Upload
alexey-lukatsky
View
4.932
Download
10
Embed Size (px)
DESCRIPTION
Citation preview
Что такое информационная система?
Лукацкий Алексей, консультант по безопасности
ОБЪЕКТ ЗАЩИТЫ – ИНФОРМАЦИОННАЯ СИСТЕМА
Виды информационных систем
• Информационная система – Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств
• Существуют разные классификации информационных систем – ФЗ-149 – Приказ ФСТЭК №17 – РД ФСТЭК по автоматизированным системам (1Г, 2Б и т.д) – РД ФСТЭК по ключевым система информационной инфраструктуры
– Постановление Правительства №1119 – Совместный приказ ФСБ РФ и ФСТЭК РФ №416/489 от
31.08.2010 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования"
Классификация информационных систем по ФЗ-149
• Государственные информационные системы – Федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов
• Муниципальные информационные системы – Созданы на основании решения органа местного самоуправления
– Установленные требования к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством РФ о местном самоуправлении
• Иные информационные системы
Что такое ГИС по закону?
• Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов – п.1 ст.13 149-ФЗ
• Муниципальные информационные системы, созданные на основании решения органа местного самоуправления – п.1 ст.14 149-ФЗ
• Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях – п.1 ст. 14 149-ФЗ
3 условия существования ГИС
1. ИС обеспечивает реализацию полномочий 2. ИС обеспечивает информационный обмен между госорганами 3. ИС обеспечивает достижение иных установленных
федеральными законами целей
Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона – Иная деятельность по определению незаконна (публичному органу запрещено все, что прямо не предписано законодательством)
– Ведение бухгалтерии (кадрового учета и др.), вообще - любая иная обеспечивающая деятельность осуществляется также только в силу требований тех или иных законов
– То, что такого рода деятельность прямо не описана в Положении о том или ином ведомстве, фактор неспецифический
– Ведомства реализуют множество полномочий, которыми их наделили вне Положений (например, федеральными законами и указами президента)
Что такое ГИС: позиция РАНХиГС
• Все, что делается в государственном органе (поскольку вся его деятельность - суть публичная сфера правоотношений), делается в силу закона – Отсутствие тех или иных полномочий в Положении дело, конечно, "неопрятное", но, если они проистекают из законодательства, они все равно полномочия
• Тем самым, ИС бухгалтерии госоргана создается – на основании закона (общего для любой организации в стране) – на основании правового акта госоргана (вводится в эксплуатацию приказом, скорее всего, министра)
– она нужна для реализации полномочий госоргана ("нужна" = без нее невозможно реализовать иные полномочия ведомства)
Что такое ГИС: позиция Минкомсвязи
• Государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов – Обратите внимание, не нормативных, а правовых актов, т.е. на основании любого правомочного решения государственного органа, например, обычного приказа или решения/протокола совещания
– Такое правомочное решение может принять не орган исполнительной власти, не орган власти вообще, а любой обычный государственный орган
Что такое ГИС: позиция Минкомсвязи
• Частая отсылка к ПП-723 о регистрации отдельных видов ГИС имеет отношение не ко всем ГИС, а только к некоторым из них. – По мнению Минкомсвязи ПП-723 обязательно только для ФОИВов и только для ГИС, предназначенных для оказания государственных функций или предоставления государственных услуг
– При этом отсутствие регистрации не меняет статус незарегистрированной ГИС, как государственной
• Иными словами, наличие обычного приказа о вводе в эксплуатацию информационной системы в госоргане делает ее государственной, а в муниципальном учреждении – муниципальной – И никакая регистрация для этого не требуется (исключая федеральные ГИС определенных типов)
Почему ИС бухгалтерии не надо регистрировать в реестре?
• ПП-723 ограничивает свою юрисдикцию только ГИС, которые предназначены для оказания госуслуг
• Регистрация осуществляется в целях организации доступа граждан и организаций, органов государственной власти и органов местного самоуправления к информации об эксплуатируемых федеральных государственных информационных системах, в том числе о составе содержащейся в них информации, информационных технологиях и технических средствах, обеспечивающих обработку информации – п.4 ПП-723
• ИС бухгалтерии не попадает в перечень ИС, которые надо регистрировать, т.к. она создается не для оказания госуслуг – Но создается на основании правового акта госоргана
Что такое ГИС: очередная версия
• Любой госорган осуществляет свою деятельность на основании Положения о нем – В этом положении, как правило, прописывается структура, в том числе кадры и т.п.
– Это структурное подразделение госоргана и неотрывно от него • Госорган выполняет ряд функций в обеспечение всей деятельности – В том числе обеспечивает соблюдение трудового законодательства при реализации правовых отношений со своими сотрудниками
– Это как раз и есть та самая «иная установленная федеральным законом цель» (ст 14 ФЗ-149)
• Следовательно ИС «Кадры», впрочем как и ИС «Бухгалтерия»" в госоргане - ГИС
Что такое ГИС: еще две версии
• К ГИС относятся «информационные системы, создаваемые и приобретаемые за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов» – Постановление Правительства РФ от 26.06.2012 №644
• «Государственные информационные системы - федеральные информационные системы и региональные информационные системы…» – Важен масштаб ИС è ИС бухгалтерии или ИС кадров не является ГИС
Что такое ГИС: немного практики
• Согласно ПП-211 все государственные органы власти и муниципальные учреждения должны принять внутренний правовой документ под названием «Перечень информационных систем персональных данных» – Этот документ в обязательном порядке смотрит РКН при надзоре
• Данный перечень является правовым актом, содержащим список ИС госоргана
• Все системы в нем - ГИС!
ГИС: краткое резюме
ГИС = создана в государственном
органе
ГИС = есть приказ о ее
создании (вводе в эксплуатацию)
ГИС = зарегистрирована
в реестре
Классификация информационных систем по приказу ФСТЭК №17
• Информационная система имеет федеральный масштаб, если она функционирует на территории РФ (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
• Информационная система имеет региональный масштаб, если она функционирует на территории субъекта РФ и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
• Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта РФ, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях
ИС, подключаемые к инфраструктуре госуслуг
• Информационные системы организаций, подключаемых к инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме
• Приказ Минкомсвязи от 9 декабря 2013 г. №390
• Приравнены к ГИС по 17-му приказу, но имеют особые требования по сертификации средств защиты информации в ФСБ
ИС общего пользования
• Постановление Правительства от 18 мая 2009 г. №424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»
Минкомсвязь ФСБ/ФСТЭК
ИС общего пользования по версии Минкомсвязи
• Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения, указанные в перечне сведений о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательных для размещения в информационно-телекоммуникационной сети «Интернет», утвержденном постановлением Правительства Российской Федерации от 12 февраля 2003 года №98 «Об обеспечении доступа к информации о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти» – Приказ Минкомсвязи от 25 августа 2009 года №104 “Об утверждении Требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»
ИС общего пользования по версии Минкомсвязи
• В зависимости от значимости информационные системы общего пользования разделяются на два класса – К классу I относятся информационные системы общего пользования: Правительства Российской Федерации, федеральных министерств, федеральных служб и федеральных агентств, руководство деятельностью которых осуществляет Президент Российской Федерации, федеральных служб и федеральных агентств, подведомственных этим федеральным министерствам
– К классу II относятся информационные системы общего пользования федеральных органов исполнительной власти, за исключением перечисленных в подпункте 9.1
• Приравнены к ГИС по 17-му приказу + описаны отдельные требования по безопасности – + Особые требования по сертификации СрЗИ в ФСБ
ИС общего пользования по версии ФСТЭК и ФСБ
• Требования распространяются на федеральные государственные информационные системы, созданные или используемые в целях реализации полномочий федеральных органов исполнительной власти и содержащие сведения о деятельности Правительства Российской Федерации и федеральных органов исполнительной власти, обязательные для размещения в информационно-телекоммуникационной сети Интернет, определяемые Правительством Российской Федерации – Приказ ФСБ и ФСТЭК от 31 августа 2010 г. N 416/489 «Об утверждении о защите информации, содержащейся в информационных системах общего пользования»
ИС общего пользования по версии ФСТЭК и ФСБ
• Информационные системы общего пользования в зависимости от значимости содержащейся в них информации и требований к ее защите разделяются на два класса. – К I классу относятся информационные системы общего пользования Правительства Российской Федерации и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности Российской Федерации. Отнесение информационных систем общего пользования к I классу проводится по решению руководителя соответствующего федерального органа исполнительной власти
– Ко II классу относятся информационные системы общего пользования, не указанные в предыдущем подпункте
ИС общего пользования: текущие сложности
Минкомсвязи
• ГИС è приказ №17 • 2 класса ИСОП • Есть дополнительные к
17-му приказу требования, но мало
• Требования по сертификации отдельных средств защиты в ФСБ
ФСТЭК / ФСБ
• ГИС è приказ №17 • 2 класса ИСОП
(отличных от Минкомсвязи)
• Есть дополнительные к 17-му приказу требования
• Требования по сертификации большинства средств защиты в ФСБ
ИС открытых данных
• Требования к средствам, необходимым для размещения открытых данных – Приказ Минкомсвязи России от 27.06.2013 №149 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, необходимым для размещения информации государственными органами и органами местного самоуправления в сети «Интернет» в форме открытых данных, а также для обеспечения ее использования»
• Распространяются на госорганы и органы местного самоуправления – Не является информационной системой
• Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489 – + некоторые дополнительные требования по защите информации
ИС сайтов ФОИВ
• Требования к средствам, необходимым для обеспечения пользования сайтами ФОИВ – Приказ Минэкономразвития России от 16.11.2009 №470 «Об утверждении Требований к технологическим, программным и лингвистическим средствам, обеспечения пользования официальными сайтами федеральных органов исполнительной власти»
• Требования по безопасности ИСОП по приказу Минкомсвязи №104 и ФСБ/ФСТЭК №416/489
Проект ФЗ по сайтам ФОИВ
• Технические средства государственных информационных систем, включая официальные сайты ФОИВ, должны соответствовать требованиям ФЗ о техническом регулировании и размещаться на территории РФ
ИС для информирования о деятельности ФОИВ
• Требования распространяются на информационные системы, предназначенные для информирования общественности о деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации (ИСИОД) – Проект Постановления Правительства
• ИСИОД, в зависимости от значимости содержащейся в них информации, разделяются на 3 класса: I, II, III
ИС для информирования о деятельности ФОИВ
I класс
• ИСИОД Президента Российской Федерации;
• ИСИОД Администрации Президента Российской Федерации;
• ИСИОД Председателя Правительства Российской Федерации;
• ИСИОД Правительства Российской Федерации;
• ИСИОД Федерального Собрания Российской Федерации;
• ИСИОД Судебной власти Российской Федерации (ИСИОД Конституционного Суда Российской Федерации, ИСИОД Верховного Суда Российской Федерации, ИСИОД Высшего Арбитражного Суда Российской Федерации);
• ИСИОД Совета Безопасности Российской Федерации;
• ИСИОД Генеральной прокуратуры Российской Федерации;
• ИСИОД Федеральной службы безопасности Российской Федерации;
• ИСИОД Федеральной службы охраны Российской Федерации;
• ИСИОД Службы внешней разведки Российской Федерации
II класс
• ИСИОД Счетной палаты Российской Федерации;
• ИСИОД Уполномоченного по правам человека в Российской Федерации;
• ИСИОД Центральной избирательной комиссии Российской Федерации;
• ИСИОД федеральных органов исполнительной власти, за исключением перечисленных в пункте 2.1
III класс
• ИСИОД органов государственной власти субъектов Российской Федерации
Отнесение систем к КСИИ
• КСИИ делятся на группы – Системы сбора открытой информации, на основании которой принимаются управленческие решения
– Системы хранения открытой информации – Системы управления СМИ – Системы управления критически важным объектом
• Уровень важности КСИИ определяется в соответствии с «Системой признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий», утвержденной Секретарем Совета Безопасности 08.11.2005
Отнесение систем к КСИИ
• КСИИ делятся на группы – Системы сбора открытой информации, на основании которой принимаются управленческие решения
– Системы хранения открытой информации – Системы управления СМИ – Системы управления критически важным объектом
• Требования по обеспечению безопасности информации в КСИИ отличаются в зависимости от их типа и между собой не пересекаются (!!!) – 1-й тип – системы сбора и хранения открытой информации, а также системы управления СМИ
– 2-й тип – системы управления критически важными объектами
АСУ ТП – это подмножество КСИИ
• Ключевая (критически важная) система информационной инфраструктуры – информационно-управляющая или информационно-телекоммуникационная система, которая осуществляет управление КВО (процессом), или информационное обеспечение таким объектом (процессом), или официальное информирование граждан и в результате деструктивных действий на которую может сложиться чрезвычайная ситуация или будут нарушены выполняемые системой функции управления со значительными негативными последствиями
• Автоматизированная система управления производственными и технологическими процессами КВО инфраструктуры РФ – комплекс аппаратных и программных средств, информационных систем и информационно-телекоммуникационных сетей, предназначенных для решения задач оперативного управления и контроля за различными процессами и техническими объектами в рамках организации производства или технологического процесса КВО
Класс ИСПДн или уровень защищенности?
Старый ФЗ
• Класс ИСПДн определяется в зависимости от объема и типа ПДн
• Класс и модель угроз определяют защитные меры
• Класс определяется оператором
Новый ФЗ
• Понятие «классификации» отсутствует
• Вводится понятие «уровень защищенности»
• Зависит от угроз • Определяются Правительством РФ
Приказ трех больше не действует
• «Приказ трех» формально не действует с 01.11.2012 – Согласно нормам правам
• ФСТЭК специально разработала проект приказа о недействительности «приказа трех» – Утвержден 31 декабря 2013 года – №151/786/461
– Подписан руководителями ФСТЭК, ФСБ и Минкомсвязи
Кто классифицирует сложную ИС, включая ИСПДн?
• Классификация информационных систем проводится владельцами ИС
• Как классифицировать ИС, если – Технические средства находятся во владении одного лица, например, у хостинг-провайдера
– Прикладное ПО находится во владении второго лица, например, у финансовой компании
– Защищаемая информация находятся во владении третьего лица, например, у субъекта ПДн или обработчика ПДн
• Кто определяет цели, тот и классифицирует!
Границы ИС определяете вы самостоятельно!
Резюме
• В РФ существует множество различных классификаций информационных систем – Особенно для государственных органов и органов местного самоуправления
• В вопросе отнесения информационных систем госорганов к ГИС до сих пор остаются неясные моменты
• Требования по безопасности прописаны преимущественно в ПП-424 и приказе ФСТЭК №17 – Возможны и иные требования, специфичные для отдельных видов информационных систем
© Cisco и (или) дочерние компании, 2011 г. Все права защищены. Общедоступная информация Cisco BRKSEC-1065 37
Благодарю вас за внимание