Информация – товар, который иногда стоит дороже акций или недвижимости. Некоторые массивы данных подлежат охране на уровне закона, это, например, персональные данные граждан, банковская тайна, государственная тайна. Требования по защите информации, используемые организационные и технические средства, определяются Федеральной службой по таможенному и экспортному контролю.

Цель регулирования

Государство наделило ведомство правом определять стратегические направления в сфере информационной безопасности, разрабатывать концепции и методики, утверждать руководящие документы, обязательные для применения участниками процесса защиты информации. Организации, приступающие к проектированию информационных систем, берут за основу не только международные стандарты и ГОСТы, в первую очередь они ориентируются на методики ФСТЭК России и используют одобренные ведомством программные и технические средства. 

Такой подход позволяет решать задачи единообразия государственного регулирования в сфере защиты информации различных классов. Но рекомендации ведомства не всегда успевают за современными моделями угроз. Уровень атак растет быстрее, чем ведомство вносит изменения в руководящие документы, но минимальные требования оно все же устанавливает.   

Выполнение рекомендаций регулятора обязательно в случаях: 

• получения лицензий на технические средства (ТЗКИ) и средства криптографической защиты (СКЗИ), разрешающих оказывать профессиональные услуги в сфере информационной безопасности;
• получения лицензии на работу с государственной тайной;
• работы с банковской тайной. В этом случае в первую очередь действуют требования регулятора, ЦБ РФ, опирающиеся на рекомендации ведомства; 
• выполнения функций оператора персональных данных;
• оказания телематических услуг (передача информации по Интернету). 

В каждом из этих случаев необходимо соблюдение требований ведомства. Отказ от этого приведет к проверкам, приостановке и отзыву лицензии, административным штрафам.

Нормативно-правовая база

Федеральный орган исполнительной власти опирается на Конституцию РФ и федеральные законы, регулирующие защиту информации. Ведомство действует на основании Указа Президента № 1085, определяющего его полномочия. Служба издает собственные нормативно-правовые акты, имеющие как обязательный, так и рекомендательный характер. Найти весь перечень нормативных актов, действующих, и утративших силу, можно на официальном сайте.

Полномочия ведомства распространяются на частные и государственные организации. Приказ № 17 устанавливает требования к защите информации, находящейся в государственных информационных системах (ИС), если она не содержит государственную тайну. Методика определения актуальных угроз безопасности персональных данных, предложенная ведомством, и Рекомендации по защите ПД (Приказ № 21) распространяются на операторов ПД. Некоторые документы имеют гриф «Для служебного пользования», но с большинства он снят. Гриф «ДСП» традиционно сохраняется на документах, регламентирующих требования к программным и аппаратным средствам, которые предназначены для систем с повышенным классом безопасности. Это связано с тем, что информация о том, каким способом защищаются особо важные сведения, может быть доступна только лицензированным организациям.

Нормы ФСТЭК в целом регламентируют:

• классификацию программных и технических средств защиты информации по разным критериям;
• использование определенных защитных схем данных исходя из существенности угроз;
• критерии оценки работы организаций и персонала;
• условия получения лицензий на деятельность и сертификатов на ПО.

Некоторые документы вызывают недопонимание в профессиональном сообществе, так как вынуждают изменить защитные схемы и расходовать большие бюджеты на новые программные и технические средства. В большинстве случаев в ходе обсуждения достигается консенсус. Так, в результате взаимодействия с бизнесом ведомство инициировало внесение изменений в Постановление Правительства № 127, касающееся защиты объектов критической информационной инфраструктуры.

Полномочия ведомства

Все действия регулятора, ранее именуемого Ростехкомиссией и созданного впервые еще в СССР для борьбы с иностранными техническими разведками, регламентированы на уровне закона и указов президента. 

Указ № 1085 устанавливает функции ФСТЭК РФ в сфере защиты информации:

• обеспечение безопасности критической информационной инфраструктуры;
• борьба с работой зарубежных технических разведок;
• организация системы защиты гостайны и других массивов данных, представляющих ценность и охраняемых законом;
• контроль за разработкой программных средств;
• экспортный контроль.

Для реализации этих функций ведомству предоставлен ряд полномочий:

• самостоятельное нормативно-правовое регулирование в сфере своей компетенции;
• координация работы других государственных органов, работающих в сфере защиты информации;
• проведение проверок деятельности юридических лиц;
• лицензирование;
• внесение предложений о привлечении к ответственности виновных в нарушении требований информационной безопасности;
• приостановление деятельности организаций;
• лицензирование, сертификация, разработка требований по созданию программных и технических средств защиты информации.

Подчиняется служба непосредственно президенту. 

Организационные требования

Говоря об организационных требованиях, интересно в сравнении рассмотреть требования по защите данных в государственных ИС (Приказ № 17) и у операторов ПД (Приказ № 21). Оба документа предусматривают, что организационные меры должны обеспечивать защиту от:

• неправомерного доступа к информации, ее копирования или распространения (для государственных ИС – и предоставления), исходя из принципа конфиденциальности;
• неправомерного уничтожения данных или их изменения (принцип целостности);
• неправомерного блокирования данных, ограничивающего доступ пользователей (принцип доступности).

Объектом защиты признаются не только данные, содержащиеся в ИС, но и оборудование, съемные носители, средства связи, средства расшифровки информации, программное обеспечение всех типов, операционные системы, технологии сохранения безопасности сведений и технические средства их защиты. Организационные меры призваны ограничить несанкционированное проникновение к этим объектам и разграничить доступ пользователей разных категорий компетентности, а также определить регламенты взаимодействия всех участников процесса защиты информации. 

Существенные различия между моделями регулирования 

От того, насколько федеральная служба может повлиять на владельца информационной системы, зависит глубина контроля. 

Среди основных различий в системе организационных мер для государственных организаций и частных компаний – операторов ПД:

1. Государственная организация, при невозможности самостоятельно выстроить систему защиты информации, вправе привлекать для этой работы только лицензированные компании, на операторов ПД эти требования не распространяются.
2. Формирование требований к охране информации для госорганизации может происходить только на основе строго определенных ГОСТов. Частные операторы более свободны в выборе стандартов выстраивания архитектуры безопасности, могут опираться на ISO, иные стандарты, применять собственные решения, главное – использование сертифицированных программных и аппаратных средств. 
3. Для государственной ИС определяется три класса защиты информации, для ИС оператора ПД – шесть классов. Критерии определения различаются, для оператора – это вид ПД и количество записей, для государственной организации – территориальный признак (от федерального до муниципального). 
4. Модель угроз для госорганизации составляется только на основании документов и баз данных регулятора. Операторы должны лишь иметь в наличии оформленную модель угроз, ее содержание по большей части определяется на их усмотрение. 

Организационные меры для государственного органа

Одной из основных организационных мер для всех участников процесса защиты информации ФСТЭК РФ признает разработку пакета организационно-распорядительной документации. 

Для государственной организации это документы:

• определяющие регламент управления процессом обеспечения безопасности данных;
• устанавливающие порядок выявления и регистрации инцидентов информационной безопасности, реакции на них;
• определяющие регламент управления конфигурацией аттестованной информационной системы и системы защиты информации;
• устанавливающие методику мониторинга информационных систем.

Для государственных ИС существуют свои правила внедрения системы и введения ее в эксплуатацию, осуществляется разграничение уровня доступа пользователей, проверка, насколько полно в регламентах описаны все нюансы работы с обеспечением безопасности данных. В обязательном порядке проводится отработка действий должностных лиц, отвечающих за организацию процесса защиты информации. Далее информационная система официально аттестуется, лишь после этого возможен ее ввод в эксплуатацию. 

В ходе аттестации применяются следующие методы проверки:

• экспертно-документальный. Все документы, регламентирующие работу системы, проверяются на соответствие требованиям ФСТЭК и модели угроз;
• автоматизированный анализ уязвимостей, призванный выявить недостатки настройки системы и проблемы в программном обеспечении;
• проведение испытаний в виде имитации хакерской атаки.

При положительном результате всех тестов возможно начало работы. 

Управление работой состоит из нескольких этапов:

• прогнозирование возможных угроз и планирование дополнительных мероприятий по обеспечению безопасности информации;
• постоянный анализ новых угроз;
• регулярное управление системой защиты информации, мониторинг и доработка недочетов, реагирование на инциденты;
• информирование и обучение персонала;
• регулярный аудит степени защищенности данных.

Вся документация по управлению системой, в том числе о наделении полномочиями лиц, допущенных к ее обслуживанию, утверждается правовым актом ответственного руководителя органа исполнительной власти.

Организационные меры у операторов ПД 

Существенно проще организационные требования к созданию и функционированию информационной системы, в которой хранятся персональные данные, у частных компаний – операторов ПД. Первой задачей юридического лица, которое собирается начать деятельность по обработке персональных данных, является уведомление об этом Роскомнадзор. Далее предстоит определить класс защищенности системы и оборудовать ее согласно требованиям ФСТЭК РФ. 

Класс определяется исходя из двух параметров:

• количество обрабатываемых записей более или менее 100 000 человек, не являющихся сотрудниками компании;
• категория данных. Они делятся на три группы – общедоступные, биометрические и специальные (медицинские и касающиеся личных политических, религиозных и иных интересов человека).

Установив категорию, необходимо принять основополагающие документы, определяющие порядок работы с ПД. Согласовывать их ни с кем не требуется, достаточно наличия на предприятии и в доступе в Интернете, если получение данных осуществляется по каналам телекоммуникационной связи. 

Необходимо разработать и утвердить:

• положение о защите персональных данных;
• формат согласия на обработку ПД, а затем организовать порядок его подписания гражданами как собственноручно, например, для организаций сферы ЖКХ, так и путем проставления галочки в специальном поле на сайте для интернет-магазина;
• приказы о назначении лиц, допущенных к обработке ПД; 
• модель угроз.

Документальное обеспечение организационных мер согласно требованиям федеральной службы на этом заканчивается. Конкретные методики защиты помещений, разграничения уровней допуска пользователей, определения архитектуры системы остаются на усмотрение юридического лица. 

Ему необходимо решить задачи:

• идентификации и аутентификации пользователей;
• ограничения доступа, к ПК, программам, носителям информации;
• регистрации инцидентов безопасности;
• антивирусной защиты;
• предотвращения внешних несанкционированных вторжений;
• защиты облачной среды;
• обеспечения доступности и целостности данных.

Для решения этих задач используются программные средства, и они должны быть сертифицированы ФСТЭК РФ по классу, соответствующему классу системы оператора. Потребуется раз в три года проводить переоценку работы системы безопасности, но оператор может делать это самостоятельно, если не желает привлечь специализированные организации, имеющие лицензию.

Требования к программным продуктам

Для защиты информации, содержащейся в государственных ИС, согласно нормам Приказа № 17, могут применяться только сертифицированные программные средства. На частные компании эти нормы распространяются только при обработке ими персональных данных определенных категорий.

Государственные ИС 

Даже несмотря на то, что обрабатываемая в государственных органах информация не является государственной тайной, она интересует злоумышленников. 

Для сохранности необходимо внедрять только сертифицированные по требуемому классу защиты программные продукты со следующими функциями:

• идентификация и аутентификация пользователей и мобильных устройств;
• управление доступом к информации, его разграничения. контролировать соединения и трафик, использовать защиту от удаленного доступа, средства доверенной загрузки данных;
• ограничение программной среды. Это возможность запуска процессов и программ отдельно друг от друга, установки только разрешенного и сертифицированного программного обеспечения, запрет на инсталляцию иных программ;
• защита носителей информации, их учета, контроля за их перемещением и подключением, контроля записи информации на съемные носители;
• регистрация инцидентов безопасности, формирования заданной реакции на них, сбора и анализа статистической информации об инцидентах безопасности;
• своевременно обновляемые антивирусные программы;
• обнаружение внешних вторжений;
• мониторинг уязвимостей информационной системы, контроля за своевременным обновлением операционных систем и программ, сменой паролей;
• обеспечение целостности информации, файлов, программ, защиты от спама, контроля исходящего трафика, ограничения возможностей инсайдеров по загрузке новых данных в ИС, контроля точности сведений, вводимых в ИС, реакции на ошибки пользователей;
• защита облачной среды.

Выбор сертифицированных защитных средств определяется классом системы. Но если на конкретный временной период бюджетные требования не позволяют установить программное обеспечение нужного класса и уровня сертификации, по согласованию с территориальным органом ведомства допустимы временные отступления и установка иных сертифицированных средств.

Программные и технические средства для операторов ПД

Перечень программных средств для операторов ПД аналогичен тому, который предлагается для государственных систем, но от них требуется меньший функционал. 

Оператор вправе:

• определить базовый набор мер программной и технической защиты информации, ориентируясь на рекомендованный в приложении;
• адаптировать базовый набор мер к кадровым, финансовым, техническим возможностям компании;
• при появлении возможности уточнить и дополнить выбранный комплекс программных средств.

Если использование какого-то средства невозможно, то ведомство предлагает компенсирующие меры, также устраняющие риски утраты данных. Финансовая целесообразность остается базовым принципом при выстраивании архитектуры системы. Дополнительно ведомство рекомендует операторам своевременно тестировать систему на проникновения и на качество защиты. В большинстве случаев операторы при формировании своих систем ограничиваются антивирусной защитой, межсетевыми экранами и регулярным мониторингом.

Требования к файрволам

Брандмауэры или файрволы для защиты информации применяют многие компании, вне зависимости от необходимости защиты ПД, поэтому интересно рассмотреть требования ФСТЭК РФ к ним. Ведомство открыло для общего доступа нормы, регламентирующие только профили файрволов 4-6 классов защиты, то есть не предназначенных для систем, в которых обрабатываются сведения, содержащие государственную тайну.

Согласно утвержденному ведомством профилю защиты межсетевых экранов, под межсетевым экраном понимается ПО, реализующее функции контроля и фильтрации проходящих через него информационных потоков в соответствии с изначально заданными правилами. 

Файрвол должен обеспечивать защиту от угроз:

• НСД (несанкционированный доступ) к информации, хранящейся в ИС, путем неконтролируемых сетевых подключений;
• отказ ИС или ее элементов в работе, связанный с неконтролируемыми подключениями, уязвимостью программного обеспечения или сетевых протоколов, низким качеством настройки элементов защиты. В условиях работы межсетевого экрана при защите от этого типа угроз присутствует формулировка, предполагающая, что ПО обязано защищать и от DDoS-атак;
• утечки защищаемой информации из сети в Интернет из-за действия вируса или внутреннего пользователя;
• нарушения его собственной работы в результате внешнего вмешательства и обхода защиты.

Функциями межсетевого экрана, согласно ФСТЭК РФ, являются:

• фильтрация трафика;
• идентификация и аутентификация пользователей ПО;
• аудит и регистрация инцидентов информационной безопасности, классификация которых приведена в стандарте ГОСТ Р ИСО/МЭК 15408-2-2013;
• обеспечение собственной работы и восстановления после сбоев;
• администрирование собственной работы;
• эффективное взаимодействие с другими программными компонентами систем безопасности.

Рассмотренные в документе типы межсетевых экранов применимы только к рабочим станциям, ведомство не интересует регулирование средств защиты информации в рамках мобильных устройств, объектов Интернета вещей, автомобильной электроники. Выбор программного обеспечения для этих целей остается на усмотрение пользователей.

Актуальные вопросы защиты информации

Общественность интересует, насколько эффективно ведомство выполняет свои функции. Отчитываясь о результатах реализации требований в сфере защиты информации, ФСТЭК применительно к разработчикам ПО, критически важным объектам инфраструктуры и частично к операторам ПД отмечает:

• в 2018 году продлен срок сертификации ПО, теперь операторы не обязаны самостоятельно продлять сертификации;
• изменилось формирование модели угроз, сейчас она опирается на архитектуру системы;
• предложена модель защиты прав оператора, если он установил несертифицированное ПО. Если ранее ему требовалась инсталляция нового, теперь он сам, а не разработчик, вправе подать заявку на сертификацию;
• в связи с изменением информационной среды разработаны требования к новым средствам защиты информации, в том числе в облачной среде;
• изменена методика выявления уязвимостей в ПО;
• создан и поддерживается банк данных угроз безопасности информации. Базовое описание предлагает до 700 типов уязвимостей.

Деятельность ФСТЭК РФ показывает ее готовность успевать за требованиями времени и предлагать рынку новые инструменты защиты информации.

Проверки

Ведомство регулярно проводит плановые и внеплановые проверки деятельности организаций в сфере защиты информации. Плановые проводятся раз в три года. О том, что компания попала в список на проверку, можно узнать в конце предыдущего перед проверкой года в реестре на сайте Генпрокуратуры. Внеплановые проводятся в критических случаях, когда выявлена реальная угроза безопасности данных.

Результатами проверки становятся:

• отсутствие замечаний;
• вынесение предписаний об устранении недостатков;
• административный штраф;
• приостановка деятельности;
• в редчайших случаях – представление о привлечении к уголовной ответственности.

На практике нехватка документов, отсутствие контроля за машинными носителями информации или использование несертифицированного программного обеспечения для оператора ПД, если он не является, например, банком или крупным провайдером, приводит к небольшим штрафам.

Тем не менее не стоит пренебрегать рекомендациями и требованиями ФСТЭК по защите информации, утечка персональных данных и иных сведений из-за беспечности может привести к крупным убыткам.

05.12.2019