2. КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ

В настоящее время в Министерстве в целях реализации функций и полномочий, определенных Положением о Министерстве финансов Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 30 июня 2004 г. N 329, и иными нормативно-правовыми актами, осуществляется автоматизированная и неавтоматизированная обработка различных видов информации: общедоступной информации, информации ограниченного доступа (служебная тайна, коммерческая тайна, банковская тайна, персональные данные и др.).

Для обеспечения выполнения требований по защите информации в информационно-телекоммуникационной инфраструктуре Министерства выделено два контура:

закрытый контур внутренней локальной вычислительной сети (далее - ЗКВС), в котором обрабатывается информация, содержащая сведения конфиденциального характера;

открытый контур внутренней локальной вычислительной сети (далее - ОКВС), в котором размещены доступные из информационно-телекоммуникационной сети "Интернет" сервисы Министерства, в том числе официальный сайт Министерства.

Ключевой системой информационной инфраструктуры Министерства является автоматизированная информационная система Министерства финансов Российской Федерации "Финансы" (далее - АИС "Финансы"), которая представляет собой совокупность аппаратных, программных и организационных средств. В состав АИС "Финансы" входит прикладное программное обеспечение, информационные сервисы, официальный сайт, порталы, а также информационно-телекоммуникационная инфраструктура Министерства.

В соответствии с законодательством Российской Федерации в Министерстве организована работа по обеспечению безопасности информации.

Требования к организации защиты информации в Министерстве в первую очередь определяют:

постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключениях федеральных государственных информационных систем к информационно-телекоммуникационным сетям";

приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации от 31 августа 2010 г. N 489/416 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования";

приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".

Деятельность по защите информации в Министерстве осуществляется в связи с наличием актуальных угроз безопасности информации, реализация которых может привести к раскрытию (компрометации), искажению (нарушению целостности), блокированию (недоступности), уничтожению (утрате) информации Министерства. Реализация угроз может повлечь репутационные, материальные, финансовые, правовые и иные последствия.

Источниками угроз могут выступать как юридические и физические лица, так и объективные явления.

Среди актуальных уязвимостей для АИС "Финансы" можно выделить:

недостатки в организации физической безопасности аппаратных, программных и организационных средств АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;

нарушение режима эксплуатации технических средств, входящих в информационно-технологическую инфраструктуру Министерства;

сбои и отказы технических средств;

ошибки в проектировании и построении, уязвимости (умышленные или случайные) АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;

уязвимости в средствах защиты информации;

несоответствующая утвержденной документации настройка конфигурации программного и аппаратного обеспечения, в том числе средств защиты информации, отсутствие контроля конфигураций, некомпетентные действия работников Министерства;

недостаточный контроль действий подрядчиков;

неактуальность процедур и регламентов деятельности работников Министерства текущему состоянию АИС "Финансы", неисполнение этих регламентов работниками Министерства, отсутствие контроля за действиями работников Министерства.

В качестве внутренних потенциальных нарушителей безопасности информации Министерства выступают сами работники Министерства, имеющие санкционированный доступ на территорию зданий и сооружений Министерства или к АИС "Финансы". В качестве внешних нарушителей выступают все остальные лица.

Текущее состояние безопасности информации в Министерстве характеризуется фрагментарным характером реализации как организационных, так и технических мер защиты информации.

В целях защиты сведений конфиденциального характера в Министерстве обеспечено использование средств криптографической защиты информации при взаимодействии с другими юридическими и физическими лицами, средств антивирусной защиты, межсетевого экранирования, усиленная аутентификация пользователей, разработан ряд организационно-распорядительных документов, регламентирующих вопросы защиты информации.

Указанные меры позволяют осуществлять изоляцию контуров ОКВС и ЗКВС, осуществлять борьбу с "вирусными эпидемиями" и противостоять отдельным угрозам сетевого характера.

Правовыми актами Министерства определены правила и порядок получения, обработки, хранения, передачи и любого другого использования персональных данных федеральных государственных гражданских служащих Министерства, заместителей руководителей федеральных служб, находящихся в ведении Министерства, руководителей их территориальных органов, назначаемых на должность Министром финансов Российской Федерации, в Министерстве, перечень лиц, уполномоченных на обработку персональных данных в Министерстве.

С 2013 года осуществлен переход на использование усиленных квалифицированных электронных подписей, выдаваемых аккредитованными в установленном порядке удостоверяющими центрами, для подписания (визирования) участниками электронного взаимодействия электронных документов в АИС "Финансы".

При этом существующая система защиты информации Министерства не удовлетворяет потребностям Министерства в предотвращении ущерба вследствие осуществления противоправных действий с информацией. Имеющиеся меры обеспечения безопасности информации имеют ряд недостатков, в частности:

не сформирована целостная система управления безопасностью информации, требуемые процессы обеспечения и управления безопасностью информации в информационных системах Министерства документированы и реализованы лишь частично;

не на всех уровнях технологического стека АИС "Финансы" реализованы функции защиты от несанкционированного доступа;

не обеспечивается анализ защищенности и обнаружение уязвимостей на различных уровнях технологического стека АИС "Финансы", а также мониторинг событий нарушения безопасности информации и расследование указанных инцидентов;

не в полной мере обеспечивается защита виртуальных сред, используемых для функционирования АИС "Финансы";

не выполнены в полной мере требования по обязательной сертификации средств защиты информации и механизмов управления доступом в прикладных системах;

реализация мер защиты от сетевых атак носит частичный фрагментарный характер.

Для повышения уровня безопасности информации в информационных системах Министерства должен быть выполнен комплекс мероприятий, обеспечивающий выполнение требуемого уровня безопасности информации и создающий условия к переходу на расширенный уровень безопасности информации.

Требуемый уровень обеспечения безопасности информации в информационных системах Министерства характеризуется выполнением нормативных требований к защите информации, а также наличием угроз безопасности информации. На требуемом уровне обеспечения безопасности информации должна обеспечиваться защита сведений конфиденциального характера и персональных данных Министерства, информационных систем общего пользования (в частности, официального сайта Министерства), а также должны выполняться требования по защите АИС "Финансы" как ключевой системы информационной инфраструктуры Министерства.

Кроме технических мер, для достижения требуемого уровня защиты информации должна быть разработана и утверждена необходимая организационно-распорядительная документация.

Подтверждением достижения требуемого уровня обеспечения безопасности информации является аттестации АИС "Финансы" по требованиям безопасности информации.

Расширенный уровень обеспечения информационной безопасности характеризуется тем, что в дополнение к мерам требуемого уровня реализуется дополнительная функциональность системы обеспечения безопасности информации, которая:

обеспечивает противодействие современным угрозам, явно не предусмотренным требованиями законодательства Российской Федерации;

обеспечивает эффективную техническую реализацию процессов управления информационной безопасностью;

увеличивает скорость и эффективность реагирования на инциденты нарушения безопасности информации;

расширяет требуемый уровень информационной безопасности в части использования новых типов устройств и технологий (облачные вычисления, мобильный доступ, наличие социальных сетей, использование собственных мобильных устройств и прочее).