Актуальные вопросы защиты информации для государственных оранов

Актуальные вопросы защиты
информации в государственных органах

Докладчик
Актуальные вопросы
защиты информации
Сергей Борисов
Заместитель генерального директора по ИБ
ООО «Информационные системы и аутсорсинг»
ГК Росинтеграция
Эксперт, блогер по ИБ
s.borisov@krasnodar.pro
https://docshell.ru/
https://sborisov.blogspot.ru/
Участие в совершенствовании законодательства и НПА регуляторов
Участие в проверках по привлечению ФСБ России
Участие в проверках качестве эксперта по привлечению Заказчика

“Классические” нормативно-правовые
акты области защиты информации

Требования по защите ИСПДн Актуальные вопросы
Федеральный закон №152 «О персональных данных» от 27.07.2006
Постановление Правительства РФ № 1119 от 01.10.2012
Постановление Правительства РФ от 21.03.2012 г. № 211
Приказ ФСТЭК России № 21 от 18.02.2013
Приказ ФСБ России от 10.07.2014 № 378

Требования по защите ГИС Актуальные вопросы
Федеральный закон № 149 от 27.07.2006
Постановление Правительства РФ от 06.07.2015 N 676 "О требованиях к
порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода
из эксплуатации государственных информационных систем и дальнейшего
хранения содержащейся в их базах данных информации"
Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите
информации, не составляющей государственную тайну, содержащейся в
государственных информационных системах»

Требования ФСБ России при
эксплуатации СКЗИ
1) Приказ ФСБ от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и
технических мер по обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных с использованием средств криптографической защиты информации, необходимых
для выполнения установленных Правительством Российской Федерации требований к защите персональных
данных для каждого из уровней защищенности»
4) «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности
персональных данных, актуальные при обработке персональных данных в информационных системах
персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утвержденные
руководством 8 Центра ФСБ России (№ 149/7/2/6-432 от 31.03.2015)
3) «Инструкция об организации и обеспечении безопасности хранения, обработки и
передачи по каналам связи с использованием средствкриптографической защиты
информации с ограниченным доступом, не содержащей сведений, составляющих
государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 года №
152
2) Приказ ФСБ России от 9 февраля 2005 года № 66 «Об утверждении положения о
разработке, производстве, реализации и эксплуатации шифровальных
(криптографических) средств защиты информации (Положение ПКЗ-2005)»

Новости законодательства в области

Доктрина ИБ РФ
(утверждена Указом Президента РФ № 646 от 5 декабря 2016 г.)
Организационную основу системы обеспечения информационной
безопасности составляют: … органы исполнительной власти
субъектов Российской Федерации, органы местного
самоуправления, органы судебной власти, принимающие в
соответствии с законодательством Российской Федерации участие в
решении задач по обеспечению информационной безопасности.
Участниками системы обеспечения информационной безопасности
являются: … организации и граждане, которые в соответствии с
законодательством Российской Федерации участвуют в решении
задач по обеспечению информационной безопасности.

Доктрина ИБ РФ
35. Задачами государственных органов в рамках деятельности по обеспечению
информационной безопасности являются:
• обеспечение защиты прав и законных интересов граждан и организаций в
информационной сфере
• оценка состояния информационной безопасности, прогнозирование и
обнаружение информационных угроз, определение приоритетных направлений
их предотвращения и ликвидации последствий их проявления
• планирование, осуществление и оценка эффективности комплекса мер по
обеспечению информационной безопасности
• организация деятельности и координация взаимодействия сил обеспечения
информационной безопасности, совершенствование их правового,
организационного, оперативно-разыскного, разведывательного,
контрразведывательного, научно-технического, информационно-
аналитического, кадрового и экономического обеспечения
• выработка и реализация мер государственной поддержки организаций,
осуществляющих деятельность по разработке, производству и эксплуатации
средств обеспечения информационной безопасности, по оказанию услуг в
области обеспечения информационной безопасности, а также организаций,
осуществляющих образовательную деятельность в данной области

Российский государственный сегмент
сети Интернет или RSNet
Положение о российском государственном сегменте
информационно-телекоммуникационной сети
"Интернет", утверждено приказом ФСО РФ №443 от 7
сентября 2016 г.
Порядок подключения информационных систем и
информационно-телекоммуникационных сетей к
информационно-телекоммуникационной сети
"Интернет" и размещения (публикации) в ней
информации через российский государственный
сегмент информационно-телекоммуникационной
сети “Интернет”, утверждено Указом Президента
Российской Федерации от 22 мая 2015 г. N 260
Подключить до 31 декабря 2017 г.

Государственная система
обнаружения и предотвращения атак
проект Методических рекомендаций по созданию
ведомственных и корпоративных центров ГосСОПКА, 2016
г.
Концепция государственной системы обнаружения, предупреждения и
ликвидации последствий компьютерных атак на информационные ресурсы
Российской Федерации утверждена Президентом Российской Федерации 12
декабря 2014 г. № К 1274
Указ Президента Российской Федерации от 15 января 2013
г. N 31с г. Москва "О создании государственной системы
обнаружения, предупреждения и ликвидации
последствий компьютерных атак на информационные
ресурсы Российской Федерации"

Государственная система
обнаружения и предотвращения атак
Главный и
региональные центры
Системы
Ведомственные центры
Системы
Корпоративные центры
Системы
Создает и
эксплуатирует:
ФСБ Р
Создает и
орган государственной
власти или Лицензиат
Создает и
Госкорпорация,
оператор связи или
Лицензиат
ГосСОПКА
Информационные ресурсы:
- Органов государственной власти РФ
- Органов госвласти субъектов РФ
- ФСБ Р
Информационные ресурсы данного органа
государственной власти РФ
Информационные ресурсы данной
организации
Информационные ресурсы иных
организаций и учреждений

Требования ФСТЭК России
приказом ФСТЭК России от 9 февраля 2016 г. N 9 утверждены
Требования к межсетевым экранам
• с 1 декабря 2016 г. разрабатываемые, производимые и
поставляемые межсетевые экраны должны соответствовать
Требованиям
• С 1 декабря 2016 г. сертификация, а также инспекционный
контроль серийного производства межсетевых экранов будут
осуществляться только на соответствие Требованиям.
• Межсетевые экраны, установленные до 1 декабря 2016 г., могут
эксплуатироваться без проведения повторной сертификации на
соответствие Требованиям

Требования ФСТЭК России
приказом ФСТЭК России от 19 августа 2016 г. N 119 утверждены
Требования безопасности информации к операционным системам
• с 1 июня 2017 г. разрабатываемые и производимые операционные
системы, используемые для защиты информации, должны
соответствовать Требованиям.
• с 1 июня 2017 г. сертификация, а также инспекционный контроль
серийного производства операционных систем будут
осуществляться только на соответствие Требованиям.

Постановление правительства №399
Постановление Правительства РФ от 6 мая 2016 г. № 399 “Об
организации повышения квалификации специалистов по защите
информации и должностных лиц, ответственных за организацию
защиты информации в органах государственной власти, органах
местного самоуправления, организациях с государственным
участием и организациях оборонно-промышленного комплекса”

Новое.
• Определить лиц, ответственных за защиту информации
• Обеспечить регулярное повышение квалификации этих лиц
• Очное или удаленное
• Периодичность – достаточная с учетом нарастания угроз ИБ
и необходимости совершенствования методов их
нейтрализации (рекомендуем 3 года)
• Тематика и программа повышения квалификации –
согласована с ФСТЭК России

Профессиональные стандарты в области
ИБ

В 2016 г. утверждены проф. стандарты
http://profstandart.rosmintrud.ru
/nationalnews/61485/

В 2016 г. утверждены проф. стандарты Актуальные вопросы

Постановление Правительства Российской Федерации от
27.06.2016 № 584 "Об особенностях применения
профессиональных стандартов в части требований, обязательных
для применения государственными внебюджетными фондами
Российской Федерации, государственными или
муниципальными учреждениями, государственными или
муниципальными унитарными предприятиями, а также
государственными корпорациями, государственными
компаниями ….

Разработать план применения проф. стандартов (ПС)
• Определить список ПС подлежащих применению – в том числе
ИБ
• Провести анализ квалификации сотрудников и определить
потребность в обучении
• Этапы применения ПС
Реализацию плана завершить не позднее 1 января 2020 г.

3 важных законопроекта

• Законопроект "О безопасности критической информационной
инфраструктуры Российской Федерации“
• Законопроект “Об установлении требований о защите
информации в информационных системах, используемых
органами государственной власти”
• Законопроект О внесении изменений в Кодекс Российской
Федерации об административных правонарушениях (в части
уточнения положений, устанавливающих ответственность за
нарушение законодательства о персональных данных)

Нарушения и недостатки ИБ выявленные при
проверках органов государственного
контроля или в рамках выполнения работ

Проводился анализ следующих материалов:
• Протоколы ОРМ
• Представления об устранении нарушений
• Протоколы об административном нарушении
• Определения о рассмотрении дел об административном нарушении
По организациям:
• Управления ЗАГС
• МФЦ
• Учреждения здравоохранения
• Учреждения образования
• Райгазы
• Почтовые и курьерские организации
Проверки ФСБ России на юге в 2016 Актуальные вопросы

Типовые нарушения
• Не классифицированы (не установлены уровни защищенности)
информационные системы персональных данных
• Не разработана Модель угроз ПДн
• Не ведется учет машинных носителей информации
• Не определен список лиц, допущенных к работе в ИСПДн
• Не назначен ответственный за обеспечение безопасности ПДн
• Не оснащены средствами защиты информации (далее – СЗИ) все
автоматизированные рабочие места (далее – АРМ) участвующие в
обработке ПДн
• СЗИ имеют просроченный сертификат соответствия

• Спецпомещение, в котором осуществляется обработка ПДн с
применением средств криптографической защиты информации (далее
– СКЗИ), не оборудовано устройством опечатывания, сигнализирующее
о несанкционированном вскрытии
• Не разработаны правила доступа в спецпомещение
• Не утвержден список лиц, допущенных в спецпомещение
• Окна спецпомещения не оборудованы железными решетками или
средствами охранной сигнализации

• Не разработана Модель нарушителя
• Отсутствует список пользователей, допущенных к работе с СКЗИ
• Отсутствует заключение, подтверждающее специальную подготовку
пользователей
• Отсутствует техническая и эксплуатационная документация к СКЗИ, либо данная
документация не зарегистрирована в журналах учета
• Не опломбирован системный блок, на котором установлено СКЗИ

Статистика проверок Роскомнадзора Актуальные вопросы

Основные нарушения, выявленные
Роскомнадзор-ом в 2015 и 2016 году

Типичные проблемы ИБ
За последний год при работе с организациями в Южном федеральном округе был
выявлен ряд проблем, типичных для подавляющего большинства организаций
независимо от формы собственности:
• низкий уровень осведомленности сотрудников по вопросам информационной
безопасности
• отсутствие лиц, ответственных за направление информационной безопасности, а в
случае их наличия – низкий уровень квалификации
• отсутствие реализации организационных мер по защите информации
• неактуальная нормативно-распорядительной документации в области защиты
информации
• отсутствие комплексной реализации мер информационной безопасности в ИТ-
решениях

Типичные проблемы ИБ
• отсутствие унифицированной информационной инфраструктуры
• отсутствие сертифицированных средств защиты информации и шифровальных
(криптографических) средств защиты информации и эксплуатационной
документации к ним
• отсутствие аттестованных по требованиям безопасности информации
информационных систем и защищаемых помещений, даже если таковые
предусмотрены требованиями действующего законодательства
• отсутствие заключений по результатам ежегодного контроля защищенности
объектов информатизации на соответствие требованиям безопасности
• отсутствие аттестованных по требованиям безопасности информации выделенных
помещений, даже если таковые предусмотрены требованиями действующего
законодательства

Инциденты гос. органов в 2016 г.
• заражение критических компонентов ИС вирусами - шифровальщиками
• заражение технических средств и включение их в бот сети для проведение атак на
другие организации
• атаки на отказ в обслуживании (DDoS) из внешних сетей
• использование ресурсов гос. органа в личных целях
• атаки на систему клиент-банк

Рекомендации и лучшие практики

Общий порядок проведения работ по
защите информации
Обследование ИС, процессов обработки информации, категорирование,
классификация, определение требований к компонентам разных категорий
Установка СЗИ, выполнение мероприятий в соответствии с разработанной
документацией
Разработка документации, в части организации обработки и защиты
информации
Обработка информации, эксплуатация ИС, СЗИ, анализ защищенности

Этап сбора информации о имеющихся
ИС и защищаемой информации
• Регулярно обновлять информацию (работа не должна быть
разовой)
• Собирать сводную и ключевую информацию с
подведомственных учреждений
• Не забывать про объекты имеющие срок действия (аттестаты,
сертификаты, лицензии, дипломы и т.п.)
• Выявлять и создавать типовые сегменты

Этап разработки документации
• Учитывать регулярные изменения законодательства
• Учитывать регулярные изменения в организации
• Учитывать изменения в системе защиты
• Простые и понятные пользователям документы
• Единообразные документы в рамках ведомства
• Использовать системы автоматизации подготовки и
поддержания в актуальном виде документации и
свидетельств выполнения мероприятий

Этап внедрения СЗИ
• Создавать ведомственные и региональные защищенные сети
• Для типовых сегментов использовать типовые СЗИ,
аттестовать типовые сегменты только 1 раз
• Подключаться к центрам мониторинга ИБ и реагирования на
инциденты ИБ
• Отправлять на обучение лиц ответственных за ИБ

Этап эксплуатации ИС
• Осуществлять централизованный контроль
• Поддерживать меры защиты в актуальном состоянии
• Осуществлять выборочный контроль защищенности
• Координировать силы ИБ с использованием ГосСОПКА,
корпоративных центров мониторинга, совместно
расследовать инциденты ИБ

Система автоматизации DocShell Актуальные вопросы
Специализированные для
отдельных компаний
Общие Новые разработки
Управление ИБ

Вопросы
s.borisov@krasnodar.pro
https://docshell.ru/
https://sborisov.blogspot.ru/

Актуальные вопросы защиты информации для государственных оранов

Recommended

Recommended

More Related Content

What's hot

What's hot (17)

Viewers also liked

Viewers also liked (20)

Similar to Актуальные вопросы защиты информации для государственных оранов

Similar to Актуальные вопросы защиты информации для государственных оранов (20)

Актуальные вопросы защиты информации для государственных оранов