1. Требования к обеспечению информационной безопасности
При переводе государственных услуг органов исполнительной власти субъектов Российской Федерации и органов местного самоуправления в электронный формат
1.1 Общие требования обеспечению информационной безопасности
Требования по обеспечению безопасности информации на объектах инфраструктуры, используемых при оказании государственных и муниципальных услуг, определяются в соответствии с нормами законодательства Российской Федерации в области обеспечения информационной безопасности (далее - ИБ) и должны учитывать требования, установленные нормативными документами в области защиты информации Федеральной службы безопасности (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России).
Требования по обеспечению ИБ должны быть применены в отношении следующих элементов объектов инфраструктуры, используемых при оказании государственных и муниципальных услуг:
информационно-телекоммуникационную инфраструктуру, в которой размещаются информационные системы (далее - ИС) ФОИВ, РОИВ, ОМСУ;
ИС ФОИВ, РОИВ, ОМСУ, создаваемых в целях оказании государственных и муниципальных услуг;
программное обеспечение, разработанное в целях реализации функций по предоставлению региональных и муниципальных услуг;
средства криптографической защиты информации, применяемые в ИС региональных и муниципальных органов власти.
Порядок создания и модернизации объектов инфраструктуры, используемых при оказании государственных и муниципальных услуг, должен соответствовать положениям, установленным постановлением Правительства Российской Федерации от 6 июля 2015 г. N 676 "О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем, и дальнейшего хранения содержащейся в их базах данных информации".
При реализации мер защиты информации на объектах инфраструктуры, используемых при оказании государственных и муниципальных услуг, необходимо руководствоваться в том числе следующими нормативными документами в области защиты информации Российской Федерации:
Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
Федеральный закон Российской Федерации от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации";
Указ Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";
постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
приказ ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
приказ ФСТЭК России от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
приказ ФСТЭК России от 21 декабря 2017 г. N 235 "Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования";
приказ ФСТЭК России от 25 декабря 2017 г. N 239 "Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации";
методический документ "Меры защиты информации в государственных информационных системах", утвержденный ФСТЭК России 11 февраля 2014 г.;
методический документ "Методика оценки угроз безопасности информации", утвержденный ФСТЭК России 05 февраля 2021 г.;
приказ ФАПСИ от 13 июня 2001 г. N 152 "Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну";
приказ ФСБ России от 9 февраля 2005 г. N 66 "Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение ПКЗ-2005)";
приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
1.2 Классификация объектов инфраструктуры, используемых
при оказании государственных и муниципальных услуг
Объекты инфраструктуры, используемые при оказании государственных и муниципальных услуг, должны быть классифицированы в соответствии со следующими нормативными документами:
в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" должен быть определен необходимый уровень защищенности персональных данных (далее - ПДн);
в соответствии с приказом ФСТЭК России от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" должен быть определен класс защищенности объекта инфраструктуры, используемого при оказании государственных и муниципальных услуг;
в соответствии с приказом ФСБ России и ФСТЭК России от 31 августа 2010 г. N 416/489 "Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования" и приказом Минкомсвязи России от 25 августа 2009 г. N 104 "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования" должен быть определен класс информационной системы общего пользования.
1.3 Требования к разработке модели угроз и модели нарушителя
информационной безопасности
Перечень актуальных угроз безопасности информации (далее - УБИ) должен определяться в рамках разработки Модели угроз и нарушителя безопасности информации (далее - Модель угроз) в соответствии методическим документом "Методика оценки угроз безопасности информации", утвержденный ФСТЭК России 5 февраля 2021 г. и с данными банка данных угроз безопасности информации ФСТЭК России (http://bdu.fstec.ru/threat).
Модель угроз должна быть направлена на согласование (согласована) в ФСБ России и ФСТЭК России.
1.4 Требования к мерам защиты информации
на объектах инфраструктуры, используемых при оказании
государственных и муниципальных услуг
Для защиты информации на объектах инфраструктуры, используемых при оказании государственных и муниципальных услуг, необходимо обеспечить реализацию мер защиты информации в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, и Требованиями по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации, утвержденными приказом ФСТЭК России от 25 декабря 2017 г. N 239.
Обоснование выбора и уточнение мер защиты информации должно проводиться на основании согласованной с ФСТЭК России и ФСБ России Модели угроз информационной безопасности, с учетом требований, определенных в методическом документе "Меры защиты информации в государственной информационной системе", утвержденном ФСТЭК России 11 февраля 2014 г. на этапе технического проектирования системы защиты информации.
С учетом классификации объектов информатизации, установленных актуальных угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик объектов информатизации должны быть реализованы следующие меры защиты информации:
идентификации и аутентификации субъектов доступа и объектов доступа;
управления доступом субъектов доступа к объектам доступа;
ограничения программной среды;
защиты машинных носителей информации;
регистрации событий безопасности;
антивирусной защиты;
обнаружения (предотвращения) вторжений;
контроля (анализа) защищенности информации;
обеспечения целостности информационной системы и информации;
обеспечения доступности информации;
защиты среды виртуализации;
защиты технических средств;
защиты информационной системы, ее средств, систем связи передачи данных;
реагирования на компьютерные инциденты;
управления конфигурацией.
Определение мер по обеспечению безопасности информации, подлежащих реализации в рамках системы защиты информации объектов инфраструктуры, используемых при оказании государственных и муниципальных услуг, осуществляется в следующем порядке:
определение базового набора мер по обеспечению безопасности информации для установленного класса защищенности информационной системы и его адаптация с учетом структурно-функциональных характеристик информационной системы, информационных технологий, особенностей функционирования информационной системы;
уточнение адаптированного базового набора мер по обеспечению безопасности информации, в результате которого определяются меры по обеспечению безопасности информации, направленные на нейтрализацию всех актуальных угроз безопасности;
дополнение уточненного адаптированного базового набора мер по обеспечению безопасности информации мерами, обеспечивающими выполнение требований к защите информации, установленных нормативными правовыми актами в области обеспечения безопасности персональных данных и защиты информации с использованием средств криптографической защиты информации (далее - СКЗИ).
1.5 Средства защиты информации
В составе системы защиты информации должны использоваться сертифицированные по требованиям ФСТЭК России средства защиты информации. Используемые средства криптографической защиты информации должны выбираться исходя из модели угроз безопасности информации и модели нарушителя и быть сертифицированы ФСБ России.
В отношении разрабатываемых компонентов объектов инфраструктуры, используемых при оказании государственных и муниципальных услуг, реализующих функции защиты информации, должна быть проведена оценка соответствия требованиям безопасности информации в соответствии с Положением о системе сертификации средств защиты информации, утвержденным приказом ФСТЭК России от 03.04.2018 N 55, по требованиям ФСТЭК России, с привлечением специализированной лаборатории, обладающей лицензией ФСТЭК России.
В отношении СКЗИ, встраиваемого в программное обеспечение ИС, реализующих функции оказания государственных и муниципальных услуг, должны быть проведены тематические исследования на корректность встраивания СКЗИ и оценке невлияния среды функционирования на СКЗИ, по требованиям ФСБ России, с привлечением специализированной лаборатории, обладающей лицензией ФСБ России.
1.6 Дополнительные требования к обеспечению
информационной безопасности
Объекты инфраструктуры, используемые при оказании государственных и муниципальных услуг, должны быть сертифицированы на соответствие требованиям, предъявляемым к уровню предоставления услуг центрами обработки данных, требованиям к инфраструктуре центров обработки данных, а также должны отвечать следующим ключевым требованиям:
обеспечение уровня резервирования и надежности, требуемого в каждом конкретном случае национальным стандартом (после введения в действие стандарта) классификации центров обработки данных;
обеспечение резервирования инфраструктуры, используемой при оказании государственных и муниципальных услуг, в том числе каналов связи, используемых при оказании государственных и муниципальных услуг.
1.7 Оценка соответствия объектов инфраструктуры,
используемых при оказании государственных и муниципальных
услуг, требованиям безопасности информации
Оценка соответствия объектов инфраструктуры, используемых при оказании государственных и муниципальных услуг, требованиям безопасности информации должна быть проведена в форме Аттестации.
Аттестация объектов информатизации по требованиям безопасности информации должна быть проведена по классу не ниже чем класс защиты размещаемых государственных информационных систем, систем обработки персональных данных, а также исходя из критериев значимости объектов информационной инфраструктуры.
Аттестация объектов инфраструктуры, используемых при оказании государственных и муниципальных услуг, должна включать в себя проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие объектов информатизации требованиям нормативных правовых актов Российской Федерации, руководящих документов ФСТЭК России, ФСБ России, регламентирующих вопросы защиты информации.
В качестве исходных данных, необходимых для аттестации объектов информатизации, должна использоваться согласованная с ФСБ России и ФСТЭК России модель угроз и нарушителя безопасности информации, частное техническое задание на создание системы защиты информации, проектная и эксплуатационная документация на систему защиты информации, организационно-распорядительные документы по защите информации, результаты анализа уязвимостей ИС, материалы предварительных и приемочных испытаний системы защиты информации.