Организация комплексной системы мер по защите информации в муниципальных (государственных) информационных системах Комитет информатизации и связи Республики Коми ГБУ Республики Коми «Центр безопасности информации» ГАУ Республики Коми «Центр информационных технологий»

Выявленные инциденты безопасности (2014 год)

Определение и смысл безопасности Информационная безопасность – это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций и государства (Закон РФ «Об участии в международном информационном обмене») Защищаемая информация информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми владельцем информации (государство, ОИВ, ОМСУ, подведомственные учреждения). Политика безопасности организации – это одно или несколько правил, процедур, практических приемов или руководящих приказов в области безопасности, которыми руководствуется организация в своей деятельности». (ГОСТ Р ИСО/МЭК г.) Корпоративная этика – это культура поведения сотрудников организации, их убеждения, традиции, уровень взаимоотношений между руководителями среднего звена и работниками (сотрудниками), между структурными подразделениями организации, а так же между организацией, ее клиентами и партнерами Риск это возможность возникновения неблагоприятной ситуации или неудачного исхода, связанных с реализацией внешних или внутренних угроз.

Информация и риски Риски, связанные с утечкой(разглашением) информации (персональные данные, ДСП, коммерческая тайна, конфиденциальная информация, иная информация ограниченного распространения) дисциплинарная, административная, гражданско-правовая, уголовная ответственность руководителей ОМСУ Блокирование доступа к информационным ресурсам, изменение информации, утрата/уничтожение информации утрата доверия к органам власти, социально- политические риски, экономические потери и риски Риски, связанные с несогласованной оценкой и обсуждением действующими муниципальными служащими деятельности органов власти на общедоступных ресурсах компрометация института власти, социально-политические риски ИНФОРМАЦИОННЫЕ РИСКИ

Объекты защиты информации ОМСУ Национальная безопасность государства Информационное пространство Информационные ресурсы Персональные данные Сведения, составляющие государственную тайну Информация, необходимая для принятия решений Безопасность региона и территорий Безопасность личности и общества Каналы и линии связи Защищаемая информация, предоставляемая сторонними организациями Открытые данные Информация ДСП, служебная тайна, конфиденциальная информация Принятие решений Предоставление информации Оказание услуг

Организация комплексной системы защиты информации в ОМСУ «Если у вас паранойя, то это не значит, что за вами никто не следит» Защита информации Государственные, муниципальные, иные источники информации Несанкционированный доступ Разрушение и искажение информации Блокирование и утрата информации Нарушение функционирования информационных систем

Необходимость и неизбежность организации защиты информации: правовые меры Требования федерального законодательства Требования регуляторов 8-ФЗ (ред. от ) «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» 149-ФЗ от 27 июля 2006 «Об информации, информационных технологиях и о защите информации» 152-ФЗ от (ред. от ) «О персональных данных» 210-ФЗ от 27 июля 2010 г. «Об организации предоставления государственных и муниципальных услуг» Постановление Правительства РФ от 21 марта 2012 г. 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных» Приказ ФСТЭК России от N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» Приказ ФСТЭК России от N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" Методический документ ФСТЭК России от 11 февраля 2014 «Меры защиты информации в государственных информационных системах» Проект приказа ФСБ от Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных …..»

Требования ФСТЭК по информационной безопасности ГИС/МИС Требования действующего законодательства Планируемые требования ( годы)

Проблемы, связанные с организацией защиты информации в ОМСУ Быстро меняющееся нормативно- правовое поле в сфере защиты информации Несогласованность нормативно- правовых документов регуляторов, часто – невозможность комплексного выполнения всей совокупности требований в различных приказах Отсутствие на местах специалистов с необходимой квалификацией и минимальными компетенциями в области защиты информации Финансирование по остаточному принципу Безопасность не может быть дешевой «Лоскутные» решения, противоречащие требованиям комплексности, гибкости и адаптивности Недопонимание рисков и остроты проблем безопасности со стороны руководителей

Требования к системам защиты информации (СЗИ) Гибкость Адаптивность Комплексность Реагирование на быстро меняющиеся угрозы внешнего и внутреннего характера Описание возможных каналов снятия и утечки информации МОДЕЛЬ УГРОЗ

Средства криптографической защиты информации (СКЗИ) СКЗИ – средства криптографической защиты информации. Сертифицированные средства криптографической защиты информации – это криптографические программные продукты, обладающие сертификатом соответствия ФСБ России, что позволяет использовать их в системах, где законом определен требуемый класс защиты, например, в ГИС/МИС и системах защиты персональных данных К СКЗИ относятся: аппаратные, программные и аппаратно-программные средства, системы и комплексы защиты, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи. Применяемые СКЗИ: Идентификация и аутентификация субъектов доступа и объектов доступа Средствами Windows Active Directory и Secret Net, а также VipNEt и другими прикладными информационными системами Управление доступом субъектов доступа к объектам доступа Средствами Windows, Active Directory, SecretNet и иными информационными системами; Защита информационной системы, ее средств и систем связи и передачи данных VipNet,Крипто Про и алгоритмами встроенными в информационными системами

Стороны взаимодействия в рамках проведения организационно-технических мероприятий с СКЗИ Пользователи информационных систем Обладатели конфиденциальной информации Пользователи СКЗИ Пользователи информационных систем Обладатели конфиденциальной информации Пользователи СКЗИ Органы государственной власти Республики Коми Подведомственные им организации Органы местного самоуправления Подведомственные им организации Органы государственной власти Республики Коми Подведомственные им организации Органы местного самоуправления Подведомственные им организации Оператор электронного правительства в Республике Коми (устав) Организация и осуществление всего комплекса действий по обеспечению функционирования информационных систем (устав) Оператор электронного правительства в Республике Коми (устав) Организация и осуществление всего комплекса действий по обеспечению функционирования информационных систем (устав) Государственное автономное учреждение Республики Коми «Центр информационных технологий» Государственное автономное учреждение Республики Коми «Центр информационных технологий» Оператор безопасности инфраструктуры электронного правительства в Республике Коми (ПП РК от г. 506) Орган криптографической защиты информации (лицензия 611/у от 17 декабря 2010 г. ФСБ России на осуществление деятельности по предоставлению услуг в области шифрования информации) Оператор безопасности инфраструктуры электронного правительства в Республике Коми (ПП РК от г. 506) Орган криптографической защиты информации (лицензия 611/у от 17 декабря 2010 г. ФСБ России на осуществление деятельности по предоставлению услуг в области шифрования информации) Государственное бюджетное учреждение Республики Коми "Центр безопасности информации" 1. Директор 2. Сотрудники ОСиКЗИ – отдела сетевой и криптографической защиты информации 3. Сотрудники ОТиОЗИ – отдела технической и организационной защиты информации 1. Директор 2. Сотрудники ОСиКЗИ – отдела сетевой и криптографической защиты информации 3. Сотрудники ОТиОЗИ – отдела технической и организационной защиты информации 1. Директор 2. Менеджеры проектов 1. Директор 2. Менеджеры проектов 1. Руководитель 2. Ответственный за организацию работ по криптографической защите информации 3. Пользователи ИС и СКЗИ 1. Руководитель 2. Ответственный за организацию работ по криптографической защите информации 3. Пользователи ИС и СКЗИ СУБЪЕКТЫ РОЛИ УЧАСТНИКИ

Организация-обладатель конфиденциальной информации Организация-обладатель конфиденциальной информации ГАУ РК «ЦИТ» Перечень пользователей ИС, их контактные данные Сведения об АРМ пользователей Перечень пользователей ИС, их контактные данные Сведения об АРМ пользователей Соглашение о взаимодействии с целью информационного обмена ГБУ Республики Коми «ЦБИ» Перечень пользователей и АРМ для установки СКЗИ Формы документов по обращению с СКЗИ Издает Приказ об обращении с СКЗИ, назначает ответственного Утверждает Инструкцию ответственного за организацию работ по КЗИ Инструкцию пользователей СКЗИ Заводит Журнал учета СКЗИ Издает Приказ об обращении с СКЗИ, назначает ответственного Утверждает Инструкцию ответственного за организацию работ по КЗИ Инструкцию пользователей СКЗИ Заводит Журнал учета СКЗИ проходят обучение и тестирование на знание правил работы с СКЗИ на сайте ГБУ Республики Коми "ЦБИ" Результаты тестирования автоматически отправляются в ГБУ Республики Коми "ЦБИ" Актуализирует перечень АРМ на предмет наличия СКЗИ Уведомляет ОКИ о необходимости проведения работ с СКЗИ Актуализирует перечень АРМ на предмет наличия СКЗИ Уведомляет ОКИ о необходимости проведения работ с СКЗИ Принимает решение о готовности пользователей к самостоятельной работе с СКЗИ Бланки Заключений о допуске к самостоятельной работе с СКЗИ Бланки Заключений о допуске к самостоятельной работе с СКЗИ подписывают Заключение Утверждает (приказом) Перечень пользователей СКЗИ Экземпляр Приказа об обращении с СКЗИ, Перечня пользователей СКЗИ, оба экземпляра Заключений Изготавливает ключевую информацию и ключевые носители Готовит Акты приема- передачи СКЗИ Фиксирует в журнале учета выдачу СКЗИ Изготавливает ключевую информацию и ключевые носители Готовит Акты приема- передачи СКЗИ Фиксирует в журнале учета выдачу СКЗИ Руководител ь Ответственны й Пользовател и Менеджер ИС ОТиОЗ И ОКиСЗИ Руководител ь ОТиОЗ И ОКиСЗИ Ключевые носители Подписанные ГБУ Республики Коми "ЦБИ" Акты приема-передачи СКЗИ Ключевые носители Подписанные ГБУ Республики Коми "ЦБИ" Акты приема-передачи СКЗИ Устанавливает и настраивает СКЗИ на АРМ пользователей Подписывают Акт об установке и настройке СЗИ Подписывает Акт приема- передачи СКЗИ Подписывают Акт об установке и настройке СЗИ Подписывает Акт приема- передачи СКЗИ Пользовател и Руководител ь Подписанные обеими сторонами экземпляр Акта приема-передачи СКЗИ экземпляр Акта об установке и настройке СЗИ Подписанные обеими сторонами экземпляр Акта приема-передачи СКЗИ экземпляр Акта об установке и настройке СЗИ Вносит СКЗИ в журнал учета ОТиОЗ И Открывает доступ ОКИ к ИС Заносит в «реестр» информацию о выполненных работах Предоставляет в ГАУ РК «ЦИТ» отчет о выполненных работах Открывает доступ ОКИ к ИС Заносит в «реестр» информацию о выполненных работах Предоставляет в ГАУ РК «ЦИТ» отчет о выполненных работах ОТиОЗ И ОКиСЗИ Ответственны й ОКиСЗИ Директо р Руководител ь Орг-техническое обслуживание СКЗИ Плановые сверки установленных СКЗИ Орг-техническое обслуживание СКЗИ Плановые сверки установленных СКЗИ Схема проведения организационно- технических мероприятий

ОРГАНИЗАЦИЯ (ОГВ РК, ОМС, подведомственные им организации) ОРГАНИЗАЦИЯ (ОГВ РК, ОМС, подведомственные им организации) 1. Забирают ключевые носители и Акты приема- передачи СКЗИ 2. Осуществляют выезд в организацию 1. Забирают ключевые носители и Акты приема- передачи СКЗИ 2. Осуществляют выезд в организацию 1. Заключает договор (соглашение) 2. Направляет заявку на подключение к ИС (Перечень пользователей ИС, контакты, сведения об АРМ) ГАУ РК «ЦИТ» ГБУ Республики Коми «ЦБИ» Отправляет официальное письмо – запрос на установку СКЗИ В приложении: Перечень пользователей ИС контактные данные сведения об АРМ 1. Отправляет уведомление о необходимости проведения работ с СКЗИ (отправляет формы приказов, инструкций, журналов) 2. Сообщает о необходимости проведения организационных мероприятий для получения доступа к работе с СКЗИ ОРГАНИЗАЦИЯ (ОГВ РК, ОМС, подведомственные им организации) ОРГАНИЗАЦИЯ (ОГВ РК, ОМС, подведомственные им организации) ГБУ Республики Коми «ЦБИ» Отправляют 1. Экземпляр Приказа об обращении с СКЗИ 2. Экземпляр Перечня пользователей СКЗИ 3. Оба экземпляра Заключений 1. Изготавливает ключевую информацию и ключевые носители 2. Фиксирует в журнале учета выдачу СКЗИ 3. Готовит Акты приема-передачи СКЗИ 1. Изготавливает ключевую информацию и ключевые носители 2. Фиксирует в журнале учета выдачу СКЗИ 3. Готовит Акты приема-передачи СКЗИ ОТиОЗИ СКИ СЗИ Директор Руководитель Менеджер проекта СКИ СЗИ ОРГАНИЗАЦИЯ 1. Устанавливает и настраивает СКЗИ на АРМ пользователей 2. Оформляют Акт об установке 1. Устанавливает и настраивает СКЗИ на АРМ пользователей 2. Оформляют Акт об установке Принимает и Вносит СКЗИ в журнал учета, пользователь подписывается в получении Ответственный ОТиОЗИ Подписываются в журнале учета о получении СКЗИ Подписывают Акт об установке и настройке СЗИ Подписывает Акт приема-передачи СКЗИ Подписываются в журнале учета о получении СКЗИ Подписывают Акт об установке и настройке СЗИ Подписывает Акт приема-передачи СКЗИ Пользователи Руководитель ГБУ Республики Коми «ЦБИ» Возвращается в ГБУ Республики Коми «ЦБИ» Получает 1. Экземпляр Акта приема-передачи СКЗИ 2. Экземпляр Акта об установке и настройке СЗИ Получает 1. Экземпляр Акта приема-передачи СКЗИ 2. Экземпляр Акта об установке и настройке СЗИ ОТиОЗИ Открывает доступ к ИС Проводит учет документов Заносит в «реестр» информацию о выполненных работах Открывает доступ к ИС Проводит учет документов Заносит в «реестр» информацию о выполненных работах Отправляет в ГАУ РК «ЦИТ» отчет о выполненных работах п.4 п.7 пп.7 и 27 пп.7 и 26 подписывают Заключения о допуске к самостоятельной работе с СКЗИ Утверждает Перечень пользователей СКЗИ подписывают Заключения о допуске к самостоятельной работе с СКЗИ Утверждает Перечень пользователей СКЗИ Пользователи Руководитель п.19 проходят обучение и тестирование на знание правил работы с СКЗИ на сайте ГБУ Республики Коми "ЦБИ«, при успешном прохождении получают по электронной почте бланки Заключений Пользователи пп.7 и 21 п.26 п.29 Издает Приказ об обращении с СКЗИ, назначает ответственного за организацию работ по КЗИ Утверждает Инструкцию ответственного Инструкцию пользователей СКЗИ Заводит Журнал учета СКЗИ Издает Приказ об обращении с СКЗИ, назначает ответственного за организацию работ по КЗИ Утверждает Инструкцию ответственного Инструкцию пользователей СКЗИ Заводит Журнал учета СКЗИ Ответственный Руководитель п.26 ГБУ Республики Коми «ЦБИ» Открывает доступ организации к ИС, т.е. допускает непосредственно к работе с СКЗИ ГБУ Республики Коми «ЦБИ» Открывает доступ организации к ИС, т.е. допускает непосредственно к работе с СКЗИ По факту выполнения Организацией требований пп. 7, 19, 21 и 26 Инструкции-152 Требования пп. 7, 19, 21 и 26 Инструкции-152 ОСиКЗИ СКИ СЗИ ОСиКЗИ

Сложность реализации процессов защиты информации в ОМСУ Идентификация и аутентификация субъектов доступа и объектов доступа; Управление доступом субъектов доступа к объектам доступа; Ограничение программной среды ; Защита машинных носителей информации; Регистрация событий безопасности; Антивирусная защита; Обнаружение (предотвращение) вторжений; Контроль (анализ) защищенности информации; обеспечение целостности информационной системы и информации; Обеспечение доступности информации (Резервирование для отдельных информационных систем); Защита среды виртуализации; защита технических средств (Контроль доступа, сигнализации); защита информационной системы, ее средств и систем связи и передачи данных В соответствии с Методическим документов ФСТЭКа от февраля 2014 года (без учета периодических изменений и дополнений)

Спасибо за внимание !