Меры защиты информации от НСД (1/2)

Общая характеристика и классификация мер защиты информации от НСД

Здравствуйте!

В данной лекции мы поговорим о мерах защиты информации, содержащейся в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), автоматизированных системах управления производственными и технологическими процессами (АСУ ТП), а также в значимых объектах критической информационной инфраструктуры (КИИ). Сначала мы рассмотрим, в каких нормативных документах можно найти перечень этих мер и требования к ним. Затем поговорим о самих мерах защиты информации.  И наконец, поговорим о том, как осуществляется выбор мер защиты информации для их реализации в ГИС, ИСПДн, АСУ и в значимых объектах КИИ.

В настоящее время, в середине 2020 года, существует несколько нормативных документов,  утвержденных приказами ФСТЭК России. Названия этих нормативных документов приведены на слайде. Эти документы  содержат требования к организационным и техническим мерам защиты информации, содержащейся в ГИС, ИСПДн, АСУ ТП и значимых объектах КИИ. И они утверждены приказами ФСТЭК России № 17, 21, 31 и 239 соответственно.

Сами приказы и содержание данных документов можно найти на сайте ФСТЭК России  по ссылке на слайде.

Рассмотрим группы мер, к которым относятся все меры, описываемые в данных нормативных документах. Необходимо отметить, что перечни мер во всех четырех документах пересекаются между собой, однако есть некоторые отличия, в том числе и касающиеся содержания каждой из этих мер. Общие для всех этих документов меры приведены на слайде.

Замечу, что все эти меры имеют в каждом из рассматриваемых документов несколько отличающиеся названия, но общий их смысл именно такой, как на данном слайде.

В нормативных документах, относящихся к ИСПДн и ГИС, также указаны следующие две меры, которых нет в документах для АСУ ТП и значимых объектов КИИ:

• Контроль (анализ) защищенности информации.
• и Защита среды виртуализации.

В документах для ИСПДн, АСУ ТП и значимых объектов КИИ есть меры, которых нет в документах для государственных информационных систем:

Реагирование на компьютерные инциденты.

Управление конфигурацией.

А также в нормативных документах для АСУ ТП и значимых объектов КИИ есть меры, которых нет в двух первых документах для ГИС и ИСПДн:

• Управление обновлениями программного обеспечения.
• Планирование мероприятий по обеспечению безопасности.
• Информирование и обучение персонала.
• и Обеспечение действий в нештатных ситуациях.

Перечень всех мер из каждого документа Вы можете посмотреть в методических материалах к лекции, там они приведены в виде таблицы и указаны точные названия каждой из мер для ГИС, ИСПДн, АСУ ТП и значимых объектов КИИ.

Еще один момент, о котором я бы хотела поговорить – это «выбор мер защиты информации». В Приложениях к каждому из рассматриваемых на нашей лекции нормативных документов содержится состав мер защиты информации и их базовые наборы для соответствующего класса, уровня защищенности системы или категории значимости.

Для того чтобы выбрать меры защиты для их реализации в ГИС, ИСПДн, АСУ или значимых объектах КИИ нужно:

• определить базовый набор мер защиты информации для установленного класса/уровня защищенности системы или категории значимости значимого объекта КИИ в соответствии с базовыми наборами мер защиты информации, которые приведены в этих Приложениях к рассматриваемым нормативным документам;
• далее необходимо выполнить адаптацию базового набора мер защиты информации с учетом структурно-функциональных характеристик ИС, АСУ, значимого объекта, с учетом используемых в них информационных технологий и имеющихся особенностей функционирования систем или значимого объекта. При этом необходимо исключить из базового набора мер защиты информации те меры, которые непосредственно связаны с информационными технологиями, не используемыми в ИС, АСУ или значимом объекте. Также нужно исключить меры, связанные с характеристиками, не свойственными информационной/автоматизированной системе, значимому объекту;
• после проведения адаптации необходимо уточнить адаптированный базовый набор мер защиты информации с учетом не выбранных ранее мер, приведенных в рассматриваемых Приложениях к нормативным документам. В результате этого определяются меры защиты информации, обеспечивающие блокирование (нейтрализацию) всех угроз безопасности информации для конкретной ИС, на каждом уровне конкретной АСУ, для конкретного значимого объекта;
• далее необходимо провести дополнение уточненного адаптированного базового набора мер защиты информации мерами, которые обеспечивают выполнение требований о защите информации, но которые установлены иными нормативными правовыми актами в области защиты ГИС, ИСПДн, АСУ и значимых объектов КИИ соответственно.

В завершении лекции хотелось бы отметить, что в рассмотренных на ней нормативных  документах можно найти много полезной информации, касающейся мер  защиты информации и требований к ним для государственных информационных систем, систем персональных данных, автоматизированных систем и значимых объектов КИИ. Крайне рекомендую ознакомиться с их содержанием. На следующей лекции мы поговорим о требованиях к этим мерам.

Спасибо за внимание, до встречи на следующей лекции!