ЧТО ТАКОЕ «ИНФОРМАЦИОННАЯ СИСТЕМА» И КТО ОТВЕЧАЕТ ЗА ЕЕ ЗАЩИТУ
Согласно Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
• информационная система (ИС) – это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Оператор ИС отвечает за создание и функционирование информационной системы, в том числе – за ее защиту.
В нормативно-правовом поле к ИС относятся: Государственная информационная система (ГИС), информационная система персональных данных (ИСПДн), Критическая информационная инфраструктура (КИИ) и автоматизированная система управления технологическим процессом (АСУ ТП). Рассмотрим подробнее процесс обеспечения безопасности и аттестацию на примере двух систем: ГИС и ИСПДн.
Государственная информационная система (ГИС) – это информационная система, созданная на основании федеральных законов, законов субъектов РФ, правовых актов государственных органов или решений органов местного самоуправления. Она обеспечивает реализацию полномочий госорганов и обеспечивает обмен информацией между ними.
Информационная система персональных данных (ИСПДн) – информационная система, содержащая совокупность персональных данных и осуществляющая их обработку с помощью или без средств автоматизации.
Важно отметить, что большинство ГИС являются также и ИСПДн.
КАК ОБЕСПЕЧИТЬ ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ ИС
Для обеспечения информационной безопасности информационных систем (ИС) необходимо реализовать комплекс мер по защите информации, который состоит из следующих этапов:
1. Классификация ИС – составление акта классификации и модели угроз.
2. Определение требований к системе защиты информации (СЗИ) – составление технического задания на проектирование СЗИ.
3. Проектирование СЗИ – разработка технического проекта СЗИ.
4. Разработка организационной и эксплуатационной документации – разработка документов согласно перечню, определенному в техническом задании.
5. Внедрение, испытания и опытная эксплуатация – внедрение системы защиты информации в соответствии с пояснительной запиской к техническому проекту, составление отчетных документов: документы на поставку средств защиты информации, программа и методики приемочных испытаний системы защиты ГИС или ИСПДн, протоколы и заключение по результатам приемочных испытаний, акты внедрения средств защиты информации.
6. Аттестация ИС – комплексная проверка на соответствие принимаемых для обеспечения информационной безопасности ИС мер требованиям законодательства, по результатам которой выдается аттестат соответствия требованиям безопасности информации.
7. Ввод ИС в промышленную эксплуатацию – ввод ИС в эксплуатацию на основании приказа руководителя организации после получения аттестата соответствия.
НА КАКИЕ НОРМАТИВНО-ПРАВОВЫЕ ДОКУМЕНТЫ ОПИРАТЬСЯ
Нормативно-правовые документы устанавливают правила введения ИС в эксплуатацию, регламентируют набор необходимых мер по обеспечению информационной безопасности, определяют органы, имеющие право на аттестацию ИС, и правила ее проведения.
Для ГИС:
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Постановление Правительства РФ от 6 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»;
• Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Для ИСПДн:
• Федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
• Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
АТТЕСТАЦИЯ ИНФОРМАЦИОННОЙ СИСТЕМЫ ПО ТРЕБОВАНИЯМ ЗАЩИТЫ ИНФОРМАЦИИ
Согласно Положению по аттестации объектов информатизации по требованиям безопасности информации, утвержденного Гостехкомиссией РФ 25 ноября 1994 года:
Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия», подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по информационной безопасности, утвержденных ФСТЭК России.
Аттестация ИС на соответствие требованиям защиты информации – это комплексная проверка реализуемых в организации мер по обеспечению информационной безопасности ИС на соответствие требованиям законодательства. Она может быть как с положительным заключением и выдачей аттестата соответствия, так и с отрицательным заключением и рекомендациями относительно того, что нужно устранить.
Аттестация по требованиям безопасности – завершающая стадия ввода в действие системы защиты информации, которая выступает подтверждением эффективности комплекса мер и средств защиты информации, а также определяет конкретные условия эксплуатации информационной системы.
Аттестация проводится до ввода ИС в эксплуатацию. Аттестат соответствия выдается на весь срок эксплуатации информационной системы.
ДЛЯ КОГО АТТЕСТАЦИЯ ОБЯЗАТЕЛЬНА
Обязательной аттестации подлежат:
• Объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну;
• Объекты информатизации, предназначенные для управления экологически опасными объектами;
• Информационные системы государственных органов;
• Критические информационные инфраструктуры.
ПОЧЕМУ ВАЖНО ПОЛУЧИТЬ АТТЕСТАТ
В августе 2019 года постановлением Правительства № 1026 была обозначена временная приостановка требования о наличии действующего аттестата для эксплуатации государственных информационных систем (ГИС). Срок действия этого указания закончился 1 июля 2020 года – после этой даты эксплуатация ГИС без наличия аттестата соответствия требованиям безопасности информации запрещена.
Отметим, что региональные информационные системы также являются ГИС согласно федеральному закону от 27 июля 2006 г. ФЗ-149 «Об информации, информационных технологиях и о защите информации». Таким образом, региональные и муниципальные системы, реализованные на базе продуктов линейки АЦК, являются объектами аттестации.
КТО ИМЕЕТ ПРАВО ПРОВОДИТЬ АТТЕСТАЦИЮ
Проводить аттестацию имеют право органы по аттестации объектов информатизации. Это специальные центры ФСТЭК России и ФСБ России, а также предприятия и организации, аккредитованные ФСТЭК России и ФСБ России и имеющие лицензию на право проведения работ по технической защите информации.