Защита информации в ГИС

Кратко о государственных информационных системах

Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (149-ФЗ) дает определение информационных систем (ИС). Они делятся на:

• государственные информационные системы (ГИС);
• муниципальные информационные системы (МИС);
• другие ИС.

К ГИС относятся федеральные и региональные платформы, созданные на основе федерального законодательства, законов субъектов РФ или нормативных документов государственных органов. Это платформы государственных структур разного уровня: системы регистрации и лицензирования, фискальной политики, цифровые решения в сферах медицины, образовательных услуг, социального обеспечения.

Государственные информационные системы создаются органами власти для выполнения полномочий. В них агрегируются чувствительная для госструктур информация, требующая защиты.

Объекты защиты в ГИС

Защите от угроз и атак подлежат компоненты государственной информационной системы:

• Информация (персональные сведения, закрытые данные, коммерческая тайна).
• Технические средства (железо, сетевая инфраструктура, периферийные устройства, средства хранения).
• Программное обеспечение (системное, прикладное, СУБД).
• Средства защиты информации (СЗИ).

Каждый компонент может представлять уязвимую точку, через которую могут произойти утечка данных или кибератака.

Угрозы безопасности государственных информационных систем

Основные угрозы включают кибератаки, вредоносные программы, утечку конфиденциальных данных, технические сбои. Виды угроз можно разделить на внешние и внутренние.

Внешние угрозы связаны с действиями злоумышленников - хакерами, кибертеррористами, конкурентами. Они могут пытаться проникнуть в ГИС для получения конфиденциальной информации, внедрения вредоносных программ или нарушения работы системы.

Внутренние угрозы исходят от сотрудников организации, администраторов или провайдеров. Это может быть намеренное уклонение от политики безопасности или неосторожное обращение с данными.

Для выбора мероприятий и СЗИ разрабатывают модель угроз безопасности ГИС. Она содержит анализ потенциальных угроз и оценку уязвимостей ГИС.

Модель угроз должна соответствовать руководящим документам ФСТЭК и ФСБ России в области безопасности государственных информационных систем. При ее разработке используют банк данных угроз безопасности (bdu.fstec.ru), а также базовые и типовые МУ в государственной информационной системе, представленные ФСТЭК,

Требования к защите информации в ГИС

Нормативные документы, устанавливающие стандарты безопасности и конфиденциальности в государственной информационной системе:

• 149-ФЗ – основа защиты информации в России, включает ответственность за утечку и незаконное использование конфиденциальных данных.
• Постановление Правительства РФ от 06.07.2015 № 676 - устанавливает требования к ГИС (Постановление 676).

Федеральная служба по техническому и экспортному контролю (ФСТЭК) является органом, определяющим требования к защите информации. Методические рекомендации ФСТЭК определены:

• Приказом от 11.02.2013 №17, действующий до 01.03.2026 (Приказ 17);
• Приказом от 11.04.026 №117 (будет действовать с 01.03.2026);
• Мерами защиты информации в ГИС от 11.02.2014;
• Методикой оценки угроз безопасности от 05.02.2021.

Если ГИС содержит персональные данные к нормативным требованиям добавляется:

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
• Постановление Правительства РФ от 1.11.2012 г. № 1119

Соблюдение требований к безопасности государственных информационных систем обеспечивает сохранность данных, предотвращает возможные угрозы, позволяет организациям избежать штрафов и возможных санкций за нарушение правил обработки и хранения конфиденциальных данных.

Классы защищенности ГИС

Требования по защите государственных информационных систем устанавливает ФСТЭК в зависимости от класса защищенности ГИС. Приказ 17 устанавливает 3 класса, где самый высокий К1, самый низкий К3. Класс защищенности определяют по масштабу информационной системы (федеральный, региональный, объектовый) и уровня значимости информации (УЗ).

УЗ определяется степенью возможного ущерба от нарушения какого-либо свойства безопасности – конфиденциальности, целостности, доступности:

• Высокий УЗ 1 - присваивается при определении высокой степени ущерба для одного из свойств.
• Средний УЗ 2 - присваивается при определении средней степени ущерба для одного из свойств и отсутствия высокой степени для других свойств.
• Низкий УЗ 3 - присваивается при определении низкой степени ущерба для всех свойств.

Каждому классу соответствуют определенные меры по обеспечению безопасности государственных информационных систем. Например, для ГИС с классом К1 требуются строгий контроль доступа пользователей к информационной системе, контроль запуска приложений, применение отказоустойчивых технических комплексов, резервирование всех компонентов системы. Для УЗ1 класс защищенности всегда будет К1.

Меры защиты информации в государственных информационных системах

Методические рекомендации ФСТЭК по защите ГИС предполагают комплексный подход к обеспечению безопасности. Он включает организационные и технические меры.

При выборе инструментов и технологий для обеспечения безопасности необходимо учитывать структуру системы защиты, состав и локализацию её компонентов. Защитные механизмы должны быть практически применимы в конкретной инфраструктуре. В случаях размещения ГИС в центре обработки данных нужно учитывать применяющиеся в нем средства защиты.

Организационные меры защиты информации в ГИС состоят из:

• Рабочей документации на СЗИ, которая должна определять правила выполнения работ по вводу в действие СЗИ и их эксплуатацию.
• Распорядительных документов, устанавливающих роли и обязанности сотрудников, доступ к информации.
• Проведения обучения и тренингов по безопасности.

Технические средства защиты в ГИС - это комплекс аппаратных и программных средства. К ним относятся антивирусное ПО, средства шифрования данных, ПО аудита и мониторинга, механизмы контроля доступа и аутентификации пользователей, средства резервного копирования и восстановления данных.

Согласно нормативам безопасности, применять можно только сертифицированные СЗИ, которые будут выполнять следующие функции:

• доступ пользователей и проверку их полномочий;
• мониторинг доступа к информационным ресурсам;
• ограничения по запуску программного обеспечения;
• комплексную защиту всех устройств хранения данных;
• учет и документирование нарушений безопасности;
• обнаружение и предотвращение несанкционированных вторжений;
• обеспечение безопасности в облачных сервисах.

Меры защиты в государственных информационных систем могут применяются в зависимости от класса защищенности, который необходимо определить до выбора СЗИ.

Специфика обеспечения безопасности муниципальных информационных систем

МИС создаются по решению местных управленческих структур для соблюдения федерального законодательства или исполнения функций территориального образования.

В отличие от государственных информационных систем, МИС ориентированы на обеспечение потребностей местного населения и управления городскими или муниципальными службами.

Примерами МИС могут служить электронные порталы городов, онлайн-голосования, информационные базы данных кадастра и недвижимости, управления жилищным фондом, финансами и налогами, электронные очереди.

На МИС распространяются требованиям безопасности, установленные Приказом 17, а требования Постановления 676 носят рекомендательный характер.

Преимущества обращения в УЦ ПРОФИ

Защита ГИС включает в себя использование современных технологий, постоянное обновление СЗИ, обучение персонала и строгий контроль за доступом к данным. Необходимо постоянно совершенствовать меры безопасности для предотвращения угроз и атак со стороны злоумышленников.

Мы специализируемся на разработке индивидуальных стратегий информационной безопасности, внедрении СЗИ и готовы обеспечить надежную защиту ГИС или МИС, минимизируя риски утечки данных.

УЦ ПРОФИ является лицензиатом ФСБ и ФСТЭК в области технической защиты информации и является сертифицированным партнером ведущих российских разработчиков и вендоров, обеспечивая внедрение надежных отечественных решений.