Проблема обеспечения безопасности при размещении информационных систем органов власти в коммерческих дата-центрах и облачной инфраструктуре Емельянников Михаил Юрьевич, Управляющий партнер Эффективный документооборот в органах власти и местного самоуправления

2 Определимся с понятиями государственные информационные системы – федеральные ИС и региональные ИС, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов; муниципальные информационные системы – ИС, созданные на основании решения органа местного самоуправления.

3 Регистрация государственных информационных систем Постановление Правительства РФ от «О порядке ввода в эксплуатацию отдельных государственных информационных систем» Постановлением утверждено «Положение о регистрации федеральных государственных информационных систем». До ввода в эксплуатацию федеральной ГИС, которая предназначена для использования при осуществлении государственных функций и (или) предоставления государственных услуг, федеральный орган исполнительной власти обязан: принять правовой акт о порядке и сроках ввода в эксплуатацию федеральной ГИС; зарегистрировать федеральную ГИС в реестре федеральных ГИС.

4 Реестр ГИС (325 систем нa )

5 Факторы влияния Требования к государственным (муниципальным) информационным системам. Требования к информационным системам персональных данных. [в перспективе] Требования к защите служебной тайны органов власти.

6 Требования к ГИС (МИС). Межведомственное взаимодействие Постановление Правительства РФ от «О единой системе межведомственного электронного взаимодействия» Приказ Минкомсвязи от «Об утверждении Технических требований к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия»

7 Требования к информационной безопасности СМЭВ Необходимо обеспечить защиту информации от НСД, ее искажения и блокирования (ПП 697). Подсистема информационной безопасности каждой информационной системы, подключаемой к системе взаимодействия, должна обеспечивать установленные законодательством РФ уровни защищенности информации, обрабатываемой в этой системе (Приказ Минкомсвязи 190). При передаче данных необходимо использовать протоколы TLS, SSL и IPSec (Приказ Минкомсвязи 190).

8 Требования к ГИС (МИС). Безопасность ИСОП Постановление Правительства РФ от «Об особенностях подключения федеральных государственных информационных систем к информационно- телекоммуникационным сетям» Приказ ФСБ 416, ФСТЭК 489 от «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» Приказ Минкомсвязи от «Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования»

9 Требования к информационной безопасности ИСОП Постановление Правительства от Операторы федеральных государственных информационных систем, созданных или используемых в целях реализации полномочий федеральных органов исполнительной власти, при подключении ИСОП к информационно- телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц, обязаны обеспечить: защиту информации, содержащейся в ИСОП, от уничтожения, изменения и блокирования доступа к ней; использование при подключении ИСОП к информационно-телекоммуникационным сетям СЗИ, прошедших оценку соответствия (в том числе в установленных случаях сертификацию);

10 Требования о защите информации, содержащейся в ИСОП Приказ ФСБ 416, ФСТЭК 489 от При создании и эксплуатации ИСОП должны выполняться следующие требования: использование сертифицированных СЗИ; использование антивирусных средств; использование обнаружения компьютерных атак; использование средств межсетевого экранирования; обеспечение защиты от воздействий на технические и программные средства; осуществление регистрации действий обслуживающего персонала; осуществление мониторинга их защищенности уполномоченным подразделением ФСБ России.

11 Требования к ГИС (МИС). Обеспечение защиты информации Приказ ФСТЭК России от «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах». Требования являются обязательными при обработке информации в ГИС, функционирующих на территории РФ, а также в муниципальных ИС, если иное не установлено законодательством РФ о местном самоуправлении.

12 Требования к ГИС (МИС). Защита персональных данных Ст. 19 Федерального закона от ФЗ «О персональных данных» Постановление Правительства РФ от «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» Приказ ФСТЭК России от «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» Нормативно-методические документы ФСБ России по использованию криптографических средств для защиты персональных данных

13 Требования к защите персональных данных Оператор при обработке ПДн обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от … неправомерных действий. Безопасность ПДн при их обработке в ИС обеспечивает оператор этой системы, который обрабатывает ПДн, или лицо, осуществляющее обработку ПДн по поручению оператора на основании заключаемого с этим лицом договора. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, построение частной модели актуальных угроз и выбор СЗИ производятся оператором. Оператор должен определить уровень защищенности персональных данных.

14 Перенести ГИС или МИС в дата-центр? Можно! Лицо, обрабатывающее информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющее им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора, обеспечивает защиту информации в соответствии с законодательством РФ…В договоре должна быть предусмотрена обязанность уполномоченного лица обеспечивать защиту информации, являющейся государственным информационным ресурсом, в соответствии с настоящими Требованиями.

15 Но не забудьте! Для обеспечения защиты информации, содержащейся в ИС: обладателем информации проводится классификация ИС по требованиям защиты информации; применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности; проводится аттестация ИС по требованиям защиты информации.

16 Как решить эти проблемы Органу власти: классифицировать ИС, определить тип актуальных угроз и уровень безопасности ПДн; построить частную модель актуальных угроз (для своей части ИС); реализовать систему защиты на своей части ИС и аттестовать ее; включить требования безопасности в договор (государственный контракт) с провайдером, разделив ответственность.

17 Как решить эти проблемы Провайдеру услуги: определить тип актуальных угроз, максимальный класс ИС и уровень защищенности для ЦОДа; построить частную модель актуальных угроз ЦОДу (для защищенного сегмента); реализовать систему защиты на серверной стороне и аттестовать ИС; помочь клиенту с реализацией мер защиты на клиентской стороне; получить лицензии ФСТЭК и ФСБ.

18 Решение на законодательном уровне

19 Что предлагается в законопроекте оказание услуг облачных вычислений органам государственной власти, органам местного самоуправления, … вправе осуществлять только российские юридические лица, облачная инфраструктура которых находится на территории РФ, соответствующие обязательным требованиям, установленным законом; вводится понятие гарантирующего поставщика услуг облачных вычислений; поставщики услуг облачных вычислений должны иметь лицензии ФСБ и ФСТЭК и не менее двух ЦОД, прошедших государственную аттестацию.

20 А тем временем… Государственная программа РФ «Информационное общество ( годы)» Утверждена распоряжением Правительства РФ от р В рамках мероприятия по развитию электронного правительства реализуются следующие меры: … создание национальной платформы «облачных вычислений»; …

Емельянников Михаил Юрьевич Управляющий партнер +7 (916) Спасибо! Вопросы? Эффективный документооборот в органах власти и местного самоуправления