4.1. Проектирование и внедрение системы обеспечения безопасности информации в информационных системах Министерства

Весь документ

4.1. Проектирование и внедрение системы обеспечения
безопасности информации в информационных
системах Министерства

В целях формирования целостной системы управления безопасностью информации предусматривается создание единой системы обеспечения безопасности информации в информационных системах Министерства. Объектом защиты в рамках данного направления являются информационные системы и информационно-телекоммуникационная инфраструктура Министерства, в том числе ОКВС, ЗКВС, АИС "Финансы", порталы и официальный сайт Министерства.

Защита информации должна осуществляться на всех уровнях технологического стека: физическом, сетевом (локальная вычислительная сеть, ведомственная сеть, беспроводной/мобильный доступ), вычислительной инфраструктуры, в среде виртуализации, на уровне операционных систем, прикладного программного обеспечения, автоматизированных рабочих мест пользователей. Указанный подход позволит противостоять современным технологиям проникновения, при которых противоправные действия реализуются в виде последовательности шагов, не локализующихся на одном конкретном уровне информационно-телекоммуникационной инфраструктуры.

Учитывая критичность объекта защиты, для подтверждения отсутствия недокументированных возможностей в компонентах информационно-телекоммуникационной инфраструктуры Министерства и прикладного программного обеспечения, а также для обеспечения оценки соответствия используемых средств защиты информации должны быть использованы (при наличии технических возможностей) только сертифицированные по требованиям безопасности информации средства защиты информации, операционные системы, прикладное программное обеспечение. Решение об использовании несертифицированных компонентов должно приниматься индивидуально, при условии отсутствия сертифицированных средств или невозможности сертификации по требуемому уровню безопасности.

Проектируемая система обеспечения безопасности информации в информационных системах Министерства должна реализовывать следующую функциональность:

эшелонированная защита на сетевом уровне. Должно обеспечиваться разграничение сетевого доступа и разделение информационных потоков между различными сегментами сети Министерства, изоляция информационно-телекоммуникационной инфраструктуры Министерства при взаимодействии с сетями общего пользования, а также защита информационных ресурсов Министерства от атак и вторжений различного вида. Обеспечение защиты должно включать в себя средства межсетевого экранирования, средства противодействия атакам и вторжениям, средства построения защищенных VPN-соединений или обеспечения SSL/TLS-шлюзов доступа. Средства должны развертываться в кластерной отказоустойчивой конфигурации, обеспечивая непрерывность функционирования. Средства сетевой безопасности должны предоставлять данные о событиях и инцидентах нарушения безопасности информации для централизованного сбора, накопления, корреляции и анализа в системе мониторинга событий нарушения безопасности информации;

блокирование угроз мобильного доступа, в том числе через сеть, беспроводные сети передачи данных. Должны использоваться меры зонирования информационных сетей беспроводной передачи данных, разделения пользователей на группы по уровню доступа, аутентификации доверенных пользователей, профилирования доступа, шифрования пользовательского трафика, контроля радиоэфира (в том числе для выявления нелегитимных точек доступа в контролируемой зоне, их подавления, а также обнаружения помех в радиоканале). Должны предотвращаться попытки несанкционированного доступа к ресурсам Министерства, а также обеспечиваться защита от различных видов атак на беспроводную сеть. События безопасности, обнаруживаемые в сегменте беспроводных сетей передачи данных, должны передаваться в систему мониторинга событий нарушения безопасности информации;

мониторинг защищенности информационно-телекоммуникационной инфраструктуры и информационных систем Министерства. Должно обеспечиваться автоматическое периодическое сканирование всех узлов сети Министерства, независимо от ее сегментации. Мониторинг должен распространяться на максимально широкое количество устройств и приложений, что позволит выявлять все идентифицированные уязвимости, а также ошибки конфигурирования и избыточные сетевые сервисы;

идентификация субъектов доступа (пользователей, информационных систем) и управление доступом к информационным ресурсам Министерства на основе установленного регламента. Процессы идентификации и управления доступом должны быть разработаны и реализованы на всех уровнях информационно-телекоммуникационной инфраструктуры Министерства и прикладного программного обеспечения;

антивирусная защита, обеспечивающая противодействие угрозам заражения компонентов информационно-телекоммуникационной инфраструктуры Министерства и прикладных систем вредоносным программным обеспечением и его последующему распространению;

криптографическая защита сведений конфиденциального характера, а также критической технологической информации при передаче ее по каналам общего доступа либо за пределы контролируемой зоны. Криптографическая защита должна обеспечиваться для всех категорий обмена (при межсетевом взаимодействии, при подключении удаленных автоматизированных рабочих мест пользователей, при использовании мобильных устройств) и всех категорий пользователей (работников иных федеральных, региональных органов власти, органов местного самоуправления, иных юридических и физических лиц (при их работе в личном кабинете));

обеспечение целостности информационных ресурсов Министерства на следующих уровнях: целостность информации, целостность среды обработки информации, целостность средств защиты информации;

защита среды виртуализации, предназначенная для противодействия специфическим угрозам информационной безопасности, присущим виртуализированной информационно-телекоммуникационной инфраструктуре Министерства;

управление конфигурацией компонентов информационно-телекоммуникационной инфраструктуры, средств защиты информации, прикладного программного обеспечения. Должно обеспечиваться своевременное управление версиями и обновлениями системного и прикладного программного обеспечения, распространение политик на управляемые устройства. Должна обеспечиваться возможность резервного копирования и восстановления конфигураций.

Создаваемая система обеспечения безопасности информации должна охватывать и учитывать специфику всех элементов информационно-телекоммуникационной инфраструктуры Министерства и используемого оборудования, в том числе мобильные устройства, предусматривая распространение на них политик безопасности, загрузки приложений и информации, а также удаленного управления функциями устройств.

В качестве мобильных устройств должны рассматриваются смартфоны, планшеты, использующие для информационного обмена сети общего доступа (в том числе сети GSM, 3G, Wi-Fi), принадлежащие Министерству или работникам Министерства и используемые ими для доступа к информационным системам Министерства.

<<< 4. Основные направления, этапы совершенствования обеспечения безопасности информации в информационных системах Министерства4. Основные направления, этапы совершенствования обеспечения безопасности информации в информационных системах Министерства [КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ФИНАНСОВ РФ]
4.2. Совершенствование правил и процедур мониторинга безопасности информации в информационных системах Министерства4.2. Совершенствование правил и процедур мониторинга безопасности информации в информационных системах Министерства [КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ФИНАНСОВ РФ] >>>