Если у вас возникли вопросы, или появилось предложение, напишите нам
Меры защиты информации от НСД (1/2)
Общая характеристика и классификация мер защиты информации от НСД
Здравствуйте!
В данной лекции мы поговорим о мерах защиты информации, содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), автоматизированных системах управления производственными и технологическими процессами (АСУ ТП), а также в значимых объектах критической информационной инфраструктуры (КИИ). Сначала мы рассмотрим, в каких нормативных документах можно найти перечень этих мер и требования к ним. Затем поговорим о самих мерах защиты информации. И наконец, поговорим о том, как осуществляется выбор мер защиты информации для их реализации в ГИС, ИСПДн, АСУ и в значимых объектах КИИ.
В настоящее время, в середине 2020 года, существует несколько нормативных документов, утвержденных приказами ФСТЭК России. Названия этих нормативных документов приведены на слайде. Эти документы содержат требования к организационным и техническим мерам защиты информации, содержащейся в ГИС, ИСПДн, АСУ ТП и значимых объектах КИИ. И они утверждены приказами ФСТЭК России № 17, 21, 31 и 239 соответственно.
Сами приказы и содержание данных документов можно найти на сайте ФСТЭК России по ссылке на слайде.
Рассмотрим группы мер, к которым относятся все меры, описываемые в данных нормативных документах. Необходимо отметить, что перечни мер во всех четырех документах пересекаются между собой, однако есть некоторые отличия, в том числе и касающиеся содержания каждой из этих мер. Общие для всех этих документов меры приведены на слайде.
Замечу, что все эти меры имеют в каждом из рассматриваемых документов несколько отличающиеся названия, но общий их смысл именно такой, как на данном слайде.
В нормативных документах, относящихся к ИСПДн и ГИС, также указаны следующие две меры, которых нет в документах для АСУ ТП и значимых объектов КИИ:
- Контроль (анализ) защищенности информации.
- и Защита среды виртуализации.
В документах для ИСПДн, АСУ ТП и значимых объектов КИИ есть меры, которых нет в документах для государственных информационных систем:
Реагирование на компьютерные инциденты.
Управление конфигурацией.
А также в нормативных документах для АСУ ТП и значимых объектов КИИ есть меры, которых нет в двух первых документах для ГИС и ИСПДн:
- Управление обновлениями программного обеспечения.
- Планирование мероприятий по обеспечению безопасности.
- Информирование и обучение персонала.
- и Обеспечение действий в нештатных ситуациях.
Перечень всех мер из каждого документа Вы можете посмотреть в методических материалах к лекции, там они приведены в виде таблицы и указаны точные названия каждой из мер для ГИС, ИСПДн, АСУ ТП и значимых объектов КИИ.
Еще один момент, о котором я бы хотела поговорить – это «выбор мер защиты информации». В Приложениях к каждому из рассматриваемых на нашей лекции нормативных документов содержится состав мер защиты информации и их базовые наборы для соответствующего класса, уровня защищенности системы или категории значимости.
Для того чтобы выбрать меры защиты для их реализации в ГИС, ИСПДн, АСУ или значимых объектах КИИ нужно:
- определить базовый набор мер защиты информации для установленного класса/уровня защищенности системы или категории значимости значимого объекта КИИ в соответствии с базовыми наборами мер защиты информации, которые приведены в этих Приложениях к рассматриваемым нормативным документам;
- далее необходимо выполнить адаптацию базового набора мер защиты информации с учетом структурно-функциональных характеристик ИС, АСУ, значимого объекта, с учетом используемых в них информационных технологий и имеющихся особенностей функционирования систем или значимого объекта. При этом необходимо исключить из базового набора мер защиты информации те меры, которые непосредственно связаны с информационными технологиями, не используемыми в ИС, АСУ или значимом объекте. Также нужно исключить меры, связанные с характеристиками, не свойственными информационной/автоматизированной системе, значимому объекту;
- после проведения адаптации необходимо уточнить адаптированный базовый набор мер защиты информации с учетом не выбранных ранее мер, приведенных в рассматриваемых Приложениях к нормативным документам. В результате этого определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации для конкретной ИС, на каждом уровне конкретной АСУ, для конкретного значимого объекта;
- далее необходимо провести дополнение уточненного адаптированного базового набора мер защиты информации мерами, которые обеспечивают выполнение требований о защите информации, но которые установлены иными нормативными правовыми актами в области защиты ГИС, ИСПДн, АСУ и значимых объектов КИИ соответственно.
В завершении лекции хотелось бы отметить, что в рассмотренных на ней нормативных документах можно найти много полезной информации, касающейся мер защиты информации и требований к ним для государственных информационных систем, систем персональных данных, автоматизированных систем и значимых объектов КИИ. Крайне рекомендую ознакомиться с их содержанием. На следующей лекции мы поговорим о требованиях к этим мерам.
Спасибо за внимание, до встречи на следующей лекции!