Разработка требований по информационной безопасности – первый шаг к созданию архитектуры сети, надежно защищенной от внутренних и внешних угроз. Многие в качестве модели защиты предпочитают использовать рекомендации ФСТЭК РФ, касающиеся безопасности персональных данных. Это решает две задачи – персональные данные (ПД) в компании защищаются в соответствии с законодательством, при этом сокращаются временные и финансовые ресурсы, которые обычно расходуются на самостоятельную выработку стратегии информационной безопасности.

Структура требований по ИБ

Компания, желающая разработать свою стратегию безопасности, в качестве первого шага должна создать модель угроз, от которых она намерена защищаться. Для этого необходимо:

• выявить, какие именно информационные массивы, принадлежащие компании или обрабатываемые ею, могут представлять интерес для злоумышленников. Наиболее ходовой товар в даркнете – это ПД, но целью атаки могут быть коммерческие документы, разработки, патенты, клиентская база данных;
• изучить существующие на сегодня ИБ-угрозы. В этом поможет постоянно обновляемый реестр на сайте ФСТЭК, также можно заказать анализ специализированной организации.

Созданную модель угроз необходимо сравнить с предлагаемой ФСТЭК для систем, обрабатывающих ПД определенного класса, и при необходимости дополнить. На ее основании можно разрабатывать требования. Они выражаются в двух формах:

• объективно существующие и применяемые при выстраивании конфигурации информационной системы требования к ее техническим и программным компонентам;
• пакет документации, в котором эти позиции выражаются и который будет предъявляться при проверке.

Первая часть органически входит во вторую. Необходимость оформлять бумажные документы, отражающие специфику деятельности, возникает в работе разработчиков ПО, имеющих лицензию, системных интеграторов, операторов ПД. Всем им необходимо разработать документы, содержащие их взгляды на требования к информационной безопасности применительно к собственному бизнесу и к интересам клиентов и субъектов ПД.

Документальное оформление 

Составляя внутренние организационно-распорядительные документы, выражающие позиции по организации системы безопасности, компания решает несколько задач. Документирование помогает структурировать собственное понимание информационной безопасности, разработать требования к ней и ответить на вопросы:

• какие документы должны оформляться в обязательном порядке (их наличие проверяется в ходе контрольных мероприятий), а какие являются опциональными;
• чем вызваны требования регулятора к разработке каждого документа;
• какая информация обязательно должна попасть в документы, какую лучше не раскрывать. ИТ-специалисты относятся к документации двояко, описывая свою стратегию, они не готовы называть все ноу-хау в открытых документах, но чем точнее сформулированы правила в письменном виде, тем более структурированным получается результат.

Организационно-распорядительная документация опирается на нормативно-правовую базу, в основе которой лежат закон о защите персональных данных и приказы ФСТЭК, посвященные безопасности государственных информационных систем (№ 17) и ПД (№ 21).

Состав комплекта документов

Законодательство четко не называет, какие именно документы должны быть разработаны, оговариваются только требования к их содержанию. Так, в ст. 19 закона «О персональных данных», где говорится о необходимости определить угрозы безопасности ПД. Эта норма трактуется как необходимость разработки модели угроз. Таким же неявным установлением является ведение учета машинных носителей ПД, что вызывает потребность разработать журнал и правила учета носителей. 

Исходя из неопределенности этих и аналогичных требований, на практике пришлось выработать оптимальный комплект, соответствующий ожиданиям проверяющих. Внимательно читая закон и готовя свою стратегию, можно выявить следующие рекомендуемые документы:

• модель угроз;
• правила учета машинных носителей информации, содержащей ПД;
• правила выявления информационных инцидентов и типовые правила реакции на них, приказ о создании группы реагирования на инциденты;
• правила резервирования и восстановления данных;
• приказ об уровнях допуска к персональным данным, сопровождающийся опциями программного обеспечения записывать логи, показывающие, кто из пользователей с какими данными работал;
• план периодического контроля и мониторинга, стратегия анализа результатов мониторинга.

Понятно, что полный пакет этих документов в ходе разработки требований не создается, но риск того, что они будут запрошены при проверке, сохраняется. Большую конкретику можно найти в 17-м Приказе ФСТЭК РФ. Он описывает организационные меры, предписанные для государственных информационных сетей, но предлагаемый перечень документов может быть заимствован и частными компаниями.

В документе содержатся предписания:

• создать регламентирующий документ, определяющий правила и процедуры идентификации и аутентификации;
• подготовить Правила и процедуры управления учетными записями пользователей;
• утвердить Правила и процедуры управления информационными потоками.

Некоторые нормы распространяются только на информационные системы первого или первого и второго классов, в которых обрабатываются биометрические или специальные персональные данные, но ничего не мешает включить их в организационно-распорядительную документацию для ИС более низкого класса.

Не всегда требуется создавать несколько документов, часто ряд позиций можно включить в общую инструкцию по безопасности или политику регулирования информационных потоков, исходя из следующих принципов:

• ввести в документ все положения, предусмотренные законом и инструкциями ФСТЭК РФ;
• при необходимости добавить нормы, которые не связаны с требованиями регулятора, но регламентируют другие вопросы безопасности.

При разработке документации может возникнуть вопрос, нужно ли включать в документы разделы, которые описывают компоненты, отсутствующие в архитектуре системы, например, среду виртуализации или IP-видеонаблюдение. Такой необходимости нет.

Четыре группы документов

В зависимости от типа организации и класса информационной системы, в которой обрабатываются персональные данные, документы разбиваются на группы:

• общие для всех типов систем, работу которых контролирует ФСТЭК РФ. Это ИСПДн (информационная система по обработке персональных данных), ГИС (государственная информационная система), АСУ ТП (автоматизированная система управления технологическим процессом, например, на АЭС) или объект КИИ (критической информационной инфраструктуры);
• требуемые только для государственных или муниципальных ГИС, здесь документы носят специфический для государственных структур характер;
• ПДн. Отражают требования по защите персональных данных. Если государственная ИС обрабатывает персональные данные, то в документы включаются нормы обоих уровней регулирования;
• СКЗИ. Документы создаются для информационных систем, использующих в работе методы криптографической защиты. Требования к ним определяются ФСБ РФ.

Типы документов

Разработка требований к ИБ, выраженных в документальной форме, приводит к созданию документов общего и специального характера. Они могут быть выстроены в иерархическую структуру, когда частные документы являются приложениями к общим или утверждаются параллельно. Все документы организационно-распорядительного характера утверждаются приказом руководителя компании, их действие распространяется на всю компанию или на причастные подразделения.

Общие

Документы общего характера требуются для компаний, использующих все типы информационных систем, обрабатывающих персональные данные. Они носят характер приказов, кадровых и распорядительных, положений, инструкций.

Приказ о назначении ответственных лиц

В организации издаются приказ о назначении лиц, отвечающих за конфиденциальность ПД, и должностные инструкции этих сотрудников. Необходимо назначить лицо, в чьи обязанности входит обеспечение сохранности ПД, и системного администратора, отвечающего за общие вопросы информационной безопасности. Порядок назначения сотрудника, ответственного за ПДн, определен в ст. 18.1 закона «О персональных данных». Необходимость назначения сисадмина неявно приписана в п. 9 приказа № 17, регулирующего ГИС, но требования которого применимы и к ПД. Первый сотрудник отвечает за организационные меры, второй – за технические. Инструкции для них разрабатываются отдельно или соответствующие нормы, описывающие обязанности по защите ПД, вносятся в стандартные должностные инструкции. 

Приказ о реагировании на инциденты

В компании требуется издать приказ о создании группы оперативного реагирования на инциденты информационной безопасности и инструкции по реагированию. Необходимость создания этой структурной единицы предусматривается в законе и в приказе. Под инцидентами в приказе № 17 понимаются отказы оборудования и программного обеспечения в обслуживании, сбои в работе технических средств и ПО, нарушения норм, по которым разграничивается доступ, попытки собрать, скопировать или перенаправить информацию по несанкционированным каналам, выявление работы вирусов. В инструкции по реагированию оговариваются порядок информирования ответственных сотрудников, меры реагирования на каждый тип инцидента, обязанности по анализу инцидентов, необходимость планирования мер по предотвращению инцидентов. В этой же инструкции можно отразить требования, которые должны содержаться в таких рекомендуемых документах, как «Определение событий безопасности, подлежащих регистрации, и сроков их хранения» и «Определение состава и содержания информации о событиях безопасности, подлежащих регистрации». Это позволит сократить общий объем документации.

Инструкция пользователя

Ее необходимость обусловливается всеми нормами закона о персональных данных, в которых речь идет об инструктаже пользователей ИС по вопросам соблюдения информационной безопасности. Например, ст. 18.1, из которой вытекает обязанность ознакомить сотрудников оператора ПД, отвечающих за работу с данными, с нормами закона, организационно-распорядительной документацией оператора, посвященной вопросам охраны ПД, а также провести обучение сотрудников основам безопасности. Дополнительным преимуществом наличия инструкции пользователя становится возможность привлечь его к дисциплинарной и даже административной ответственности за нарушение правил безопасности. Отсутствие документа не даст возможности ссылаться на то, что сотрудник был уведомлен о своих обязанностях. 

Политика информационной безопасности

Разработка требований приводит к созданию основополагающего документа, отражающего их все, а именно политики информационной безопасности. Он все рекомендованные для защиты информации правила и процедуры, равно необходим для ГИС (его создание регламентировано приказом № 17) и операторов персональных данных. При выборе названия для документа следует исходить из того, что термин «политика» предполагает концентрацию на нормах общего характера, как и «положение». С равным успехом можно выпустить инструкцию или методику, сосредоточившись только на технических вопросах.

В документе содержатся требования к:

• используемым для защиты информации организационным мерам;
• условиям допуска пользователей и разграничения их полномочий;
• программным средствам;
• техническим средствам;
• средствам защиты информации.

К документу разрабатываются приложения:

• заявка на допуск пользователя к ИС или изменение объема его полномочий;
• положение о порядке разграничения прав доступа. Такой документ позволит избежать несанкционированного превышения полномочий, его необходимость обусловливается приказом ФСТЭК о разделении полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС;
• список лиц с указанием объема их полномочий. Требуется называть фамилии, а не должности, это позволит персонифицировать ответственность;
• перечень правил пользования внешними сетями, электронной почтой, мессенджерами. Их разработка обусловлена требованием ФСТЭК внедрить правила управления информационными потоками;
• список разрешенных программных продуктов. Существуют нормы, обязывающие ограничить возможности пользователей инсталлировать программное обеспечение, специально не допущенное к эксплуатации. Вместе с документом решению этой задачи должна способствовать установка ПО, запрещающего использование нежелательных программ, например, Unchecky;
• перечень пользователей, допущенных работать с системой на удаленном доступе;
• порядок создания резервных копий конфиденциальной информации, эта обязанность прямо предусмотрена ч. 2. ст. 19 закона о персональных данных, приказы ФСТЭК также устанавливают необходимость периодического копирования данных на резервные носители информации;
• план обеспечения непрерывности функционирования ИС, он содержит полный перечень инцидентов информационной безопасности, нештатных ситуаций и готовые сценарии реагирования. Это приложение к Политике обусловлено требованием ФСТЭК принять меры по организации контроля безотказного функционирования технических средств, обнаружению и локализации отказов функционирования, восстановлению отказавших средств и механизмов тестирования.

Вопрос, готовить ли полный пакет приложений или выбрать необходимые, зависит от политики информационной безопасности компании и категории ИС.

Приказ и положение о контролируемой зоне

Нормативная документация ФСТЭК под контролируемой зоной понимает защищенное от доступа неуполномоченных лиц помещение, в котором находятся рабочие станции, обрабатывающие конфиденциальную информацию. 

Такая зона имеет две характеристики:

• пропускной режим, действующий в организации, полностью исключает проникновение на территорию зоны лиц, не допущенных к работе с информацией;
• технические меры защиты, например, видеонаблюдение. Эта мера зависит от политики организации, она прямо не предписывается ФСТЭК.
• Защита помещения может обеспечиваться любыми удобными способами, дополнительным условием становится исключение возможности нахождения там сотрудников во внерабочее время.

План мероприятий по обеспечению безопасности

Разработка документации должна ориентироваться не только на системную защиту, но и на механизм реагирования подразделений информационной безопасности на чрезвычайные ситуации. Поэтому в плане содержатся два списка мероприятий:

• периодических, проводимых по календарному плану;
• разовых, инициированных внешними воздействиями.

Наличие плана мероприятий станет подспорьем при проверках, когда основные задачи еще не выполнены, но демонстрация этого документа в части разовых мероприятий покажет готовность приступить к их немедленной реализации. Периодические мероприятия относятся к регулярному внутреннему аудиту готовности системы к обеспечению информационной безопасности, они предусмотрены ст. 18 закона «О персональных данных». Аудит должен проверить соответствие применяемых мер законодательству и нормативным актам ФСТЭК РФ.

Журналы учета

Нормы и рекомендации ФСТЭК говорят о необходимости создавать журналы учета различных объектов и действий. Наиболее четко прописана необходимость создания журналов учета машинных носителей информации:

• жестких дисков стационарных компьютеров;
• винчестеров и иных носителей информации в портативных устройствах;
• съемных носителей.

Допускается не создавать три журнала для различных типов носителей, а вносить информацию в один с учетом особенностей работы каждого типа носителей. Так, для портативных устройств необходимо фиксировать вынос носителей за пределы периметра информационной безопасности. К журналу желательно составить инструкцию по его заполнению, это снизит количество ошибок.

Документы, необходимые для ГИС

В 17-м приказе ФСТЭК, посвященном вопросам регулирования безопасности информации в государственных информационных системах (ГИС), упомянуты документы, необходимые только для государственных организаций.

Приказ о необходимости защиты информации

Объективная необходимость издания такого приказа подвергается сомнению. Его появление обусловлено требованием ФСТЭК «принять решение о защите данных». Во избежание вопросов при проверке, издание приказа покажет готовность организации принимать необходимые меры безопасности.

Приказ о классификации

ГИС может относиться к одной из трех групп исходя из того, какие административно-территориальные единицы входят в компетенцию ведомства. Класс системы определяет требования к ней. Он устанавливается на основе объективных параметров, но приказ станет основой для выбора мер защиты и их бюджетного обоснования. В приказе также необходимо отразить, обрабатываются ли в ИС персональные данные, и уровень их защиты.

Приказ о вводе системы в действие

Согласно приказу № 17, ГИС вводится в действие только на основе соответствующего приказа. Ему должны предшествовать:

• испытания системы;
• аттестация ИС;
• пробные запуски с имитацией нештатных ситуаций для проверки готовности персонала.

Документы, требуемые для систем защиты персональных данных

Разработка требований по ИБ, выполнение которых необходимо для информационных систем, осуществляющих обработку персональных данных, производится на основе норм приказа ФСТЭК РФ № 21. При проверках в первую очередь необходимо предъявить предусмотренные приказом документы, иначе существует риск привлечения к административной ответственности.

Положение о защите персональных данных

Основополагающий документ должен быть внедрен у всех операторов персональных данных. В документе указывается:

• данные каких лиц и какой категории (общедоступные, биометрические, специальные) обрабатываются;
• цели и методы обработки;
• права субъектов ПД;
• обязанности оператора;
• формат заполнения согласия на обработку ПД и право на его отзыв;
• порядок уведомления об изменении цели обработки и других существенных событиях.

Положение не носит технического характера, его разработка опирается на сложившуюся практику и требования проверяющих, а не на приказы ФСТЭК РФ. Оно должно быть опубликовано на сайте оператора и постоянно доступно для всех заинтересованных лиц.

Правила рассмотрения запросов

Далеко не все операторы ПД готовят этот документ, определяющий правила взаимодействия с носителями ПД. Он основан на правах гражданина – субъекта ПД, описанных в главе 3 закона. Там перечислен примерный перечень запросов и требований, адресуемых оператору. Это, например, уточнение, какие данные обрабатываются, цели их обработки, требования внести изменения в данные или прекратить работу с ними, заблокировать. Закон устанавливает сроки ответа на такие запросы, и правила призваны регламентировать этот процесс.

Приказ об утверждении перечня ответственных 

При создании документов важно точно определить, кто именно будет отвечать за их выполнение. Приказ о назначении ответственных лиц определит не только тех сотрудников, которые вправе обрабатывать ПД в автоматизированном режиме, но и тех, кто работает с бумажными документами. Важно, что в приказ, по мнению регулятора, должны быть включены конкретные фамилии, а не должности.

Приказ об определении степени защищенности системы

Опираясь на классификацию ФСТЭК, оператор определяет класс защищенности своей системы и издает об этом соответствующий приказ. Помимо выполнения требований регулятора, документ имеет экономическое значение, он поможет обосновать ФНС затраты, понесенные на установку оборудования и программного обеспечения определенного типа.

Разработка требований по ИБ и отражение их в соответствующих документах не требует большой квалификации от специалистов ИТ-подразделений и административного персонала. Достаточно опираться на нормативно-правовую базу и разработанные шаблоны, чтобы соответствовать всем требованиям регуляторов.

05.12.2019