Внутренний номер: 337977
Varianta în limba de stat
Республика Молдова
от 20.12.2010
об утверждении Технических регламентов
Утратил силу согласно ПМЭИ309 от 21.06.18, МО256-265/13.07.18 ст.1128; в силу с 13.07.18
На основании Закона о техническом регулировании № 420-XVI от 22.12.2006 и во исполнение Постановления Правительства “О некоторых мерах внедрения Национальной стратегии построения информационного общества – «Электронная Молдова» в 2007 году» № 606 от 1.06.2007, а также Постановления Правительства «Об утверждении распределения средств Фонда по реализации Национальной программы разработки технических регламентов» № 564 от 21.05.2007 ПРИКАЗЫВАЮ:
1. Утвердить технические регламенты:
a) Обеспечение информационной безопасности информационной инфраструктуры для органов публичной власти. Технические требования. В соответствии с Приложением № 1.
b) Обеспечение информационной безопасности баз данных при предоставлении электронных публичных услуг. Технические требования. В соответствии с Приложением № 2.
2. Технические регламенты, упомянутые в первом пункте, вступят в силу в течение трех месяцев со дня опубликования в «Monitorul Oficial al Republicii Moldova».
3. Контроль за выполнением настоящего приказа возложить на Управление технического регламентирования и стандартизации.
Министр информационных
технологий и связи Александру ОЛЕЙНИК
№ 106. Кишинэу, 20 декабря 2010 г.
Целью настоящего регламента является определение порядка обеспечения информационной безопасности БД, обеспечивающих и поддерживающих процесс функционирования органов публичной власти.
Настоящий регламент устанавливает подходы и требования к обеспечению информационной безопасности БД органов публичной власти. Также данный документ устанавливает требования по осуществлению анализа рисков, связанных с БД, с учетом основных потенциальных угроз и уязвимостей БД в процессе предоставления публичных услуг.
Настоящий регламент распространяется на все виды БД органов публичной власти, обеспечивающих процесс предоставления публичных услуг, независимо от характера хранимой информации, способа хранения данных или от структуры организации данных.
Настоящий регламент разработан на основе следующих законодательных и нормативных актов Республики Молдова:
- Закон «О коммерческой тайне» № 171-XIII от 6.07.1994;
- Закон «О доступе к информации» № 982-XIV от 11.05.2000;
- Закон «Об информатизации и государственных информационных ресурсах» № 467-XV от 21.11.2003;
- Закон «О техническом регулировании» № 420-XVI от 22.12.2006;
- Закон «О защите персональных данных» № 17-XVI от 15.02.2007;
- Закон «О регистрах» № 71-XVI от 22.03.2007;
- Закон «Об электронных коммуникациях» № 241-XVI от 15.11.2007;
- Закон «О государственной тайне» № 245-XVI от 27.11.2008.
В настоящем регламенте применяются следующие термины:
Внешний ключ - ключевой элемент подчиненной таблицы, значение которого совпадает со значением первичного ключа главной таблицы.
Первичный ключ - главный ключевой элемент, однозначно идентифицирующий строку в таблице.
Резервное копирование баз данных - средства, обеспечивающие восстановление баз данных в случае отказа системы.
Администрирование баз данных - управление базой данных, включающее комплекс мероприятий, обеспечивающих точность, непротиворечивость, полноту, защиту и доступность данных в нужной форме, в нужном месте и в нужное время.
Объект базы данных - элемент базы данных, обладающий определенными свойствами и определенным образом реагирующий на определенные внешние события.
Владелец объектов базы данных - субъект, осуществляющий владение и пользование указанными объектами, а также обладающий полными полномочиями над объектом.
Восстановление базы данных - приведение базы данных в состояние, существовавшее незадолго до ее отказа.
Системы управления базой данных - комплекс программных средств, предназначенных для организации и ведения базы данных, для создания структуры новой базы, наполнения ее содержимым, редактирования содержимого и визуализации информации.
2. Требования к целям обеспечения информационной безопасности баз данных
БД составляют важный компонент информационной инфраструктуры органов публичной власти, с помощью которых выполняются функции обработки, хранения и манипулирования информацией. Исходя из того, что БД содержат ценную информацию, необходимо обеспечивать информационную безопасность БД, то есть конфиденциальность, целостность и доступность.
Обеспечение информационной безопасности БД должно быть направлено на достижение следующих целей:
- защита ценной информации, содержащейся в БД, от ее разглашения, утраты, утечки, искажения и уничтожения, исходя из конфиденциальности, целостности, доступности;
- защита структуры БД от ее нарушения и несанкционированного изменения;
- обеспечение наблюдаемости, направленной на обеспечение возможности фиксировать системой информационной безопасности любую деятельность, связанную с операциями БД пользователей и процессов, а также использование пассивных объектов в целях мошенничества;
- обеспечение анонимности и проверяемости (возможность проверки правильного использования информации и эффективности мер безопасности БД).
3. Требования к задачам обеспечения информационной безопасности баз данных
Для достижения поставленных целей обеспечения информационной безопасности БД должны выполняться следующие задачи:
- выявление и прогнозирование источников угроз, уязвимостей и соответствующих рисков, возникающих как следствие изменений в информационной и контрольной среде;
- осуществление оценки рисков информационной безопасности БД;
- формирование единой политики и плана обеспечения безопасности БД и разработка механизмов ее реализации;
- осуществление взаимного согласования мер обеспечения информационной безопасности БД;
- использование технических и программных средств, соответствующих требованиям безопасности БД;
- осуществление процесса управления инцидентами, связанными с нарушением информационной безопасности баз данных;
- обеспечение информированности о нарушениях безопасности БД и реализация согласованных мер для ликвидации последствий при нарушении безопасности;
- внедрение мер и средств безопасности, соответствующих уровням обнаруженных рисков и угроз.
Обеспечение информационной безопасности БД должно основываться на принципах, рассмотренных в следующих Технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 4.6 Процесс управления информационной безопасностью;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 4.3 Принципы обеспечения информационной безопасности.
4. Требования к подходам обеспечения информационной безопасности баз данных
Для достижения целей обеспечения информационной безопасности БД должны применяться следующие подходы:
- процессный подход к обеспечению информационной безопасности;
- системный подход к обеспечению информационной безопасности;
- подход структуризации к обеспечению информационной безопасности;
- избирательный и обязательный подходы к обеспечению информационной безопасности.
Применение указанных подходов к обеспечению информационной безопасности БД должно обеспечивать получение следующих результатов:
- конфиденциальность, полнота и точность данных, содержащихся в БД;
- подтверждение, что операции точно выполнены и документированы;
- адекватные журналы аудита операций/доступа;
- требуемый уровень защищенности услуг для пользователей БД;
- эффективный учет и анализ обнаружения атак на БД, а также их предотвращение.
Концепция процессного подхода рассмотрена в техническом регламенте «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования». Требования к обеспечению информационной безопасности БД в рамках процессного подхода определены в разделе 5.
1) Системный подход к обеспечению информационной безопасности баз данных
Для обеспечения информационной безопасности БД должен применяться системный подход, который должен определять требования информационной безопасности:
- к объектам БД;
- к основным видам рисков БД;
- к основным уязвимостям БД.
2) Подход структуризации к обеспечению информационной безопасности баз данных
Для обеспечения информационной безопасности БД должен применяться подход структуризации, который должен определять требования к следующим основным мерам и средствам обеспечения информационной безопасности БД:
- идентификация, аутентификация и авторизация в БД;
- управление доступом в БД;
- управление системами управления базами данных (СУБД) с точки зрения жизненного цикла информационного ресурса;
- управление резервным копированием и восстановлением БД;
- защита БД от вирусов и вредоносного кода;
- контроль целостности БД;
- шифрование данных в БД;
- аудит и мониторинг БД;
- распределение ответственности за обеспечение информационной безопасности БД;
- обучение персонала вопросам обеспечения информационной безопасности БД.
3) Избирательный и обязательный подходы к обеспечению информационной безопасности баз данных
Для обеспечения информационной безопасности данных для объектов БД, где к объектам БД относятся как вся БД целиком, так и любой объект внутри БД, должны применяться два общих подхода: избирательный подход и обязательный подход.
При избирательном подходе определенный пользователь должен обладать различными правами (привилегиями или полномочиями) при работе с объектами БД.
При обязательном подходе каждому объекту БД должен быть присвоен некоторый классификационный уровень, а каждый пользователь должен обладать некоторым уровнем допуска.
Для обеспечения полной и надежной безопасности БД необходимо придерживаться гибкости при выборе и сопровождении мер и средств безопасности. Данные подходы к обеспечению информационной безопасности заключаются в следующем:
- нахождение легко администрируемых и управляемых аппаратно-технических решений для защиты БД, соответствующих требованиям конкретного органа публичной власти, избегая излишней привязки к одной программной платформе или к одному поставщику;
- применение наиболее эффективных и надежных мер безопасности БД при одновременной минимизации их стоимости, а также контроль и управление ими.
5. Требования к обеспечению информационной безопасности баз данных в рамках процессного подхода
1) Требования информационной безопасности к управлению рисками
Для обеспечения информационной безопасности БД процесс управления рисками должен включать набор последовательных этапов:
- определение объектов защиты БД;
- определение и анализ угроз;
- оценка уязвимостей;
- оценка рисков;
- определение требований по защите БД;
- определение мер и средств обеспечения безопасности БД;
- внедрение мер и средств обеспечения безопасности БД;
- проведение мониторинга системы обеспечения информационной безопасности БД и ее улучшение.
2) Требования к этапу определения объектов защиты баз данных
Для обеспечения информационной безопасности БД, данный этап должен быть направлен на выделение объектов, содержащихся в БД, которые необходимо оградить от нежелательного воздействия или не допустить утечки информации, находящейся в идентифицированных объектах.
В ходе данного этапа должен быть проведен перечень следующих мероприятий:
- нахождение, составление списков и определение характеристик данных и объектов БД;
- определение границ и области проведения анализа рисков БД;
- определение критичности данных и объектов БД, основываясь на критериях конфиденциальности, целостности и доступности.
В результате идентификации всех объектов БД должно быть проведено их категорирование с точки зрения следующих критериев:
- конфиденциальность – категории данных должны соответствовать уровню защищенности информации от ее несанкционированного раскрытия в соответствии с требованиями по следующим принципам классификации информации:
a) по степеням секретности в соответствии с Законом Республики Молдова № 245-XVI от 27.11.2008 «О государственной тайне»;
b) по категориям персональных данных в соответствии с Законом Республики Молдова № 17-XVI от 15.02.2007 «О защите персональных данных»;
c) по объектам коммерческой тайны в соответствии Законом Республики Молдова «О коммерческой тайне» № 171-XIII от 6.07.1994;
d) по доступу к официальной информации в соответствии с Законом Республики Молдова «О доступе к информации» № 982-XIV от 11.05.2000;
e) по доступу к информации, создаваемой, обрабатываемой, хранимой в специальных системах, в соответствии с Постановлением Правительства № 735 от 11.06.2002;
- целостность:
a) «высокая» - к данной категории должны относиться объекты БД, несанкционированная модификация которых может привести к нанесению значительного прямого ущерба органам публичной власти, целостность которых должна обеспечиваться гарантированными методами в соответствии с обязательными требованиями действующего законодательства;
b) «низкая» - к данной категории должны относиться объекты БД, несанкционированная модификация или удаление которых может привести к нанесению незначительного или косвенного ущерба органам публичной власти или сотрудникам;
c) «нет требований» - к данной категории должны относиться объекты БД, к обеспечению целостности которых требования не предъявляются;
- доступность:
a) «беспрепятственная доступность» - доступ к объектам БД должен обеспечиваться в любое время, объект должен предоставляться постоянно, задержка получения результата не должна превышать нескольких секунд или минут;
b) «высокая доступность» - доступ к объектам БД должен осуществляться без существенных временных задержек (максимум промежутка времени, в течение которого информация не доступна, не должен превышать 2-4 часа);
c) «средняя доступность» - доступ к объектам БД может обеспечиваться с существенными временными задержками (один раз в несколько дней), задержка получения результата не должна превышать нескольких дней и это не влечет за собой нарушений нормального функционирования органов публичной власти;
d) «низкая доступность» - временные задержки при доступе к объектам БД практически не лимитированы, допустимая задержка получения результата - несколько недель и это не влечет за собой нарушений нормального функционирования органов публичной власти.
Для каждого типа объектов в зависимости от категории доступа к информации должны быть установлены различные права доступа.
На этапе определения объектов защиты БД должны быть определены:
- объекты, которые необходимо защищать;
- субъекты, которым необходимы эти объекты, и время, в течение которого необходимы объекты;
- степень сложности структуры БД;
- принципы, используемые для оценки ценности данных, хранимых в БД;
- законодательная и социальная ответственность за обеспечение безопасности БД;
- меры и средства обеспечения безопасности, необходимые для защиты данных в БД в соответствии с определенной категорией конфиденциальности, целостности и доступности.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие формализованной ответственности администраторов БД;
- наличие организационно-уязвимых аспектов в организации функционирования компонентов информационной инфраструктуры, связанных с БД;
- случайное раскрытие или потеря данных БД;
- ошибочная и вводящая в заблуждение информация;
- отсутствие установленных стандартов обеспечения безопасности БД.
3) Требования к этапу определения и анализа угроз
Для обеспечения информационной безопасности БД должен быть проведен анализ рисков, то есть должны быть идентифицированы возможные угрозы, угрожающие обследуемой БД. Определение потенциальных угроз, направленных на БД, и их источников составляет основную задачу деятельности по определению и анализу угроз.
В рамках данного этапа должен проводиться перечень следующих мероприятий:
- должны быть определены сотрудники, имеющие доступ к уязвимым ресурсам БД;
- должны быть определены лица, несущие ответственность за изменение информации в БД;
- должна быть осуществлена проверка наличия формализованных процессов проведения контроля сотрудников, имеющих доступ к БД;
- должна быть осуществлена проверка уровня документирования и внедрения процедур;
- должна быть осуществлена проверка наличия программы подготовки и обучения персонала, имеющего доступ к ресурсам БД.
Также должен быть проведен анализ средств управления безопасностью БД, которые были внедрены или запланированы для минимизации или устранения вероятности реализации угроз, таких как:
- профилактические и детективные средства управления безопасностью БД:
a) профилактические средства управления безопасностью БД – должны включать средства управления доступом, шифрования и установления подлинности;
b) детективные средства управления БД – должны включать средства ведения журналов событий, методы обнаружения вторжений и контрольные суммы;
- технические и нетехнические методы контролей:
a) технические методы – должны включать средства управления доступом, идентификацию и механизмы аутентификации, методы шифрования, программное обеспечение обнаружения вторжений;
b) нетехнические методы - должны включать политику и планы безопасности, эксплуатационные процедуры, персонал.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие контроля доступа к информации, содержащейся в БД;
- отсутствие следующих профилей доступа к БД:
a) профиль управляемого доступа – должны быть формализованы методы организации безопасности БД, такие как дискретный метод доступа, методы парольной аутентификации;
b) профиль уровней защищенности - профиль управляемого доступа должен расширяться, добавляя категории доступа к информации;
- отсутствие сознательного отношения к уровням защищенности БД во всей организации;
- отсутствие или недостаточная проработка политики и процедур безопасности БД;
- неэффективное внедрение программы обучения в области защиты БД.
4) Требования к этапу оценки уязвимостей
Для определения возможных уязвимых точек БД и ресурсов, взаимодействующих с БД, посредством которых могут быть реализованы угрозы, должна проводиться оценка уязвимостей при имеющемся множестве угроз и каналов утечки данных из БД.
В рамках данного этапа должны быть проведены следующие мероприятия:
- должен быть составлен список уязвимостей БД и ресурсов, взаимодействующих с БД, через которые могут быть реализованы угрозы;
- должны быть определены уязвимости по каждой возможной угрозе;
- должны использоваться результаты анализа соответствия используемых мер и средств обеспечения безопасности БД установленным требованиям безопасности;
- должны использоваться печатные и электронные источники, содержащие известные уязвимости средств обеспечения безопасности БД;
- должны использоваться результаты тестирования средств обеспечения безопасности БД.
Для обнаружения уязвимых мест БД должны использоваться средства для БД, которые быстро и легко сканируют их в рамках сети и к которым должны предъявляться требования согласно критериям:
- анализ учетных записей пользователей и их паролей:
a) должен проводиться анализ объема автоматических паролей;
b) должны выявляться бывшие пользователи, у которых остался логин;
c) должна проверяться целостность учетных записей пользователей;
- анализ конфигураций БД:
a) должны проверяться разрешения или запреты на использование набора функций, использование которых связано с потенциальным ущербом для информации БД;
b) анализ конфигурации должен позволять давать рекомендации к изменению опций конфигурации;
- анализ и отслеживание статуса настроек:
a) должны отслеживаться позиции специальных исправлений hotfix и пакетов обновлений;
b) клиенты должны своевременно уведомляться о том, что должно быть установлено в программных средствах patch;
- анализ и контроль полномочий - должны устанавливаться учетные записи пользователей, имеющих доступ к процедурам, в случае наличия возможных угроз с их стороны к БД.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие документации по результатам анализа соответствия используемых мер и средств обеспечения безопасности БД установленным требованиям безопасности;
- отсутствие источников, содержащих известные уязвимости средств обеспечения безопасности БД;
- отсутствие или неполные результаты тестирования средств обеспечения безопасности БД;
- неэффективное внедрение программы обучения в области защиты БД.
5) Требования к этапу оценки рисков
Для идентификации источников рисков и определения его уровня значимости, выраженного в числовом значении, должна осуществляться оценка рисков.
На этапе оценки рисков должен быть выполнен перечень следующих действий:
- должна быть оценена вероятность успешного осуществления угроз и возможные последствия для конкретного органа публичной власти;
- должно быть присвоено числовое значение рискам и должна быть проведена их классификация;
- должны быть правильно расставлены приоритеты при реализации мер и средств обеспечения безопасности.
Оценка рисков должна проводиться путем его вычисления и сопоставления с заданной шкалой. Метод вычисления рисков должен быть определен каждым конкретным органом публичной власти согласно законодательным и внутренним требованиям. Допускается проведение как качественной, так и количественной оценки рисков.
После проведения оценки рисков должно быть принято решение относительно его обработки. Должны применяться следующие четыре меры обработки риска:
- уменьшение риска - риск считается неприемлемым и для его минимизации должны быть выбраны и реализованы соответствующие меры и средства обеспечения безопасности;
- передача риска - риск считается неприемлемым и при определенных условиях должен переноситься на стороннюю организацию (например, при аутсорсинге);
- принятие риска - риск считается осознанно допустимым, когда стоимость мер и средств обеспечения безопасности значительно превосходит финансовые потери в случае реализации угрозы;
- отказ от риска - отказ конкретным органом публичной власти от процессов, являющихся причиной риска.
В результате обработки рисков остается так называемый остаточный риск, относительно которого должно быть принято и утверждено руководством решение о его приемлемости.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие классификации объектов БД;
- отсутствие приоритезации объектов защиты на основе анализа и оценки рисков;
- неэффективное распределение средств обеспечения безопасности для объектов данных БД, требующих защиты;
- отсутствие документации по уязвимостям БД;
- отсутствие методики оценки рисков и документированной оценки рисков.
6) Требования к этапу определения требований по защите баз данных
На основе полученной информации в ходе оценки рисков должны быть определены требования к обеспечению безопасности БД, в результате чего должна быть получена следующая информация:
- используемые технологические меры безопасности БД;
- соотношение стоимости и эффективности доступных технологических мер обеспечения безопасности БД;
- уязвимость элементов средств обеспечения безопасности БД.
Для обеспечения информационной безопасности объектов БД должны быть определены требования по защите для различных видов и типов мер и средств обеспечения безопасности информации БД.
Виды мер и средств обеспечения безопасности должны включать:
- меры и средства, нацеленные на недопущение риска;
- меры и средства, нацеленные на минимизацию негативных последствий риска.
Типы мер и средств обеспечения безопасности должны включать:
- технические средства - механические, электромеханические, электронные и другие средства, решающие задачи обеспечения безопасности БД;
- программные средства - программы для идентификации пользователей, контроля доступа, шифрования данных и т.д.;
- смешанные аппаратно-программные средства – выполняют те же функции, что аппаратные и программные средства в отдельности;
- организационные меры - организационно-правовые меры, например, требования национального законодательства и правила работы, устанавливаемые руководством конкретного органа публичной власти.
Должны применяться следующие виды контролей:
- предупреждающие контроли – должны применяться для предотвращения ошибок и уклонения от дополнительных затрат, связанных с корректировкой;
- контроли обнаружения – должны применяться для оценки эффективности упреждающих контролей и обнаружения тех ошибок, которые невозможно было предотвратить;
- корректирующие контроли – должны использоваться в ситуации, когда отрицательные последствия уже имели место и были обнаружены.
После определений требований по защите должен быть определен остаточный риск и должно быть уведомлено об этом руководство конкретного органа публичной власти для утверждения факта, что остаточный риск является приемлемым.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие формализованного процесса управления изменениями;
- частые изменения в технологиях защиты БД;
- несовместимость платформ различных средств обеспечения безопасности БД.
7) Требования к этапу определения мер и средств обеспечения безопасности баз данных
Для осуществления выбора мер и средств обеспечения безопасности БД и их характеристик должны быть определены наиболее критичные риски БД и выбраны соответствующие меры и средства обеспечения безопасности для их снижения.
При выборе мер и средств обеспечения безопасности БД должны быть проведены следующие мероприятия:
- должны быть выделены приоритетные угрозы, для которых в первую очередь должны быть определены меры обеспечения безопасности;
- должны быть определены меры и средства, с помощью которых должна быть реализована защита БД;
- должна быть определена стоимость реализации выбранных мер и средств для обеспечения безопасности БД;
- должен быть определен необходимый уровень квалификации персонала для выполнения обязанностей по защите БД.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- неэффективное проведение организационной работы для повышения эффективности работоспособности реализуемых систем защиты и их функционирования;
- отсутствие организационных схем и правил выполнения работ по обеспечению безопасности БД.
8) Требования к этапу внедрения мер и средств обеспечения безопасности баз данных
В рамках обеспечения информационной безопасности БД данный процесс должен обеспечивать реализацию и организацию использования выбранных мер и средств обеспечения безопасности БД.
При внедрении выбранных мер и средств обеспечения безопасности БД должно быть определено следующее:
- приоритетность объектов БД в зависимости от уровня защищенности;
- степень влияния реализации программы по обеспечению безопасности БД на планы пользователей по развитию информационной системы;
- потребность в дополнительных ресурсах для обеспечения безопасности БД.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- несовместимость платформ применяемых средств обеспечения безопасности;
- отсутствие или неполное описание планов по внедрению выбранных мер и средств обеспечения безопасности БД.
9) Требования к этапу проведения мониторинга системы обеспечения безопасности баз данных и ее улучшения
При проведении мониторинга системы обеспечения безопасности БД и ее улучшении должен осуществляться контроль над распределением информации в БД для достижения следующих целей:
- обеспечение функционирования средств обеспечения безопасности БД;
- фиксация выполняемых функций и состояний средств безопасности БД;
- фиксация событий, связанных с нарушением безопасности БД.
Для обеспечения информационной безопасности БД в рамках данного этапа должно быть определено следующее:
- состав специалистов для эффективной работы группы контроля;
- наличие стандартов безопасности по каждой конкретной БД, представляющих собой перечень требуемых мер и средств обеспечения безопасности данных и объектов конкретной БД;
- эффективность существующей комбинации технических и программных средств, а также организационных мер обеспечения безопасности БД;
- степень удовлетворенности существующих условий в отношении обеспечения защищенности информации законодательным и социальным требованиям органов публичной власти;
- возможные улучшения с целью обеспечения наибольшей эффективности и работоспособности системы защиты БД;
- периодичность проведения контроля.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие постоянной оценки эффективности программы защиты БД;
- отсутствие мотивированного стремления всего персонала к достижению целей обеспечения безопасности БД;
- отсутствие отчетов и рекомендаций группы аудита.
10) Цели, требования, условия обеспечения информационной безопасности БД для защиты данных и объектов баз данных
Обеспечение информационной безопасности БД должно быть направлено на достижение следующих целей:
- обеспечение необходимого уровня защиты всех данных и объектов БД конкретного органа публичной власти от всех типов внутренних или внешних угроз, появившихся вследствие преднамеренных или случайных действий или намерений;
- гарантия, что меры и средства обеспечения безопасности БД являются адекватными и соответствуют требованиям управления рисками и минимизируют возможности нанесения ущерба органам публичной власти.
Обеспечение информационной безопасности БД должно обеспечивать выполнение нижепредставленных задач:
- должны своевременно выявляться и устраняться угрозы информационной безопасности, направленные на критичные данные и объекты БД;
- должны быть определены объекты БД, на которые могут быть направлены угрозы;
- должны быть определены возможные источники угроз;
- должны быть оценены риски, связанные с БД;
- должны быть созданы механизм и условия оперативного реагирования на угрозы информационной безопасности БД и проявления негативных тенденций в функционировании БД;
- должно быть осуществлено эффективное пресечение посягательств на критичные данные и объекты БД;
- должно осуществляться управление конфигурациями и изменениями в БД;
- должны разрабатываться и внедряться планы непрерывной деятельности БД;
- должна повышаться квалификация сотрудников органов публичной власти в области защиты БД.
Для определения всех действий по достижению целей обеспечения информационной безопасности БД должен быть разработан План обеспечения информационной безопасности.
План обеспечения информационной безопасности должен включать:
- конкретные меры и средства обеспечения безопасности БД;
- этапы реализации и внедрения аппаратно-программных средств и организационных мер обеспечения
безопасности БД;
- ресурсы, которые будут использованы для обеспечения безопасности БД, включая требуемый персонал;
- сроки реализации мер и средств, заложенных в политике безопасности;
- процедуры улучшения процесса обеспечения информационной безопасности БД;
- процедуры проведения тренингов и семинаров по обучению и повышению осведомленности персонала вопросам обеспечения безопасности БД.
11) Требования информационной безопасности к управлению инцидентами информационной безопасности
Для уменьшения или исключения отрицательного воздействия нарушений в ходе непрерывной работы БД управление инцидентами информационной безопасности БД должно обеспечивать гарантии того, что о событиях и слабостях в системе защиты БД сообщается способом, дающим возможность произвести своевременное корректирующее действие.
К инцидентам информационной безопасности должны относиться следующие события:
- нарушения требований конфиденциальности:
a) инциденты, в результате которых произошел несанкционированный доступ к данным или объектам БД;
b) потеря носителей данных БД;
c) потеря от хищения аппаратных средств;
d) попытки изнутри или извне получить доступ к БД;
- возможные нарушения требований целостности:
a) потеря данных или неполная обработка;
b) вирусы и вредоносный код;
- возможные нарушения требований доступности:
a) прерывание обслуживания БД на длительный период;
b) вирусы и вредоносный код;
c) хищение аппаратных средств, компонентов или носителей данных БД;
- возможности нарушения невозможности отказа;
- простои в обслуживании БД;
- ошибки персонала;
- несоблюдение политики или процедур по обеспечению информационной безопасности БД;
- нарушения прав доступа к данным и объектам БД.
Управление инцидентами безопасности БД должно осуществляться согласно следующим этапам:
- обнаружение и регистрация инцидента;
- классификация и первичная поддержка;
- расследование и диагностика;
- разрешение и восстановление;
- закрытие инцидента;
- контроль, мониторинг, отслеживание и коммуникации.
Данные этапы более подробно рассмотрены в следующих Технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 5.1 Процесс управления инцидентами;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 5.5.3 Требования к реагированию на инциденты нарушения безопасности.
12) Требования информационной безопасности к управлению изменениями
Для обеспечения информационной безопасности БД управление изменениями должно обеспечивать защиту БД от несанкционированной модификации и искажения данных и объектов БД.
В рамках управления изменениями в БД должны выполняться следующие требования:
- должен поддерживаться домен безопасности, защищающий данные от вмешательства и искажения неавторизированными субъектами БД;
- должно проводиться четкое документирование всех данных, процессов и их изменений в БД, особенно изменений, касающихся построения и корректировок БД;
- изменения, касающиеся построения и корректировок БД, должны вноситься только уполномоченными лицами;
- все изменения, связанные с БД, должны постоянно отслеживаться и периодически проходить аудит;
- каждая БД должна включать журнал изменений, представляющий собой таблицу, в которой фиксируются действия над всей БД или отдельными ее таблицами;
- журнал изменений БД должен позволять определить источник недостоверных или искаженных данных.
13) Требования информационной безопасности к управлению непрерывностью функционирования баз данных
Для противодействия прерываниям функционирования различных объектов БД и ее самой, негативным последствиям после чрезвычайных ситуаций, и защиты критичных данных и объектов БД от воздействия сбоев и негативных событий должна обеспечиваться непрерывность БД.
В рамках обеспечения непрерывности БД должны выполняться следующие требования:
- должны быть определены критичные данные и объекты БД, являющиеся критичными для деятельности конкретного органа публичной власти;
- должна проводиться оценка рисков и факторов влияния на функционирование БД;
- должны быть разработаны на основе информации о рисках стратегические и тактические планы, а также процедуры и методы контроля и обеспечения непрерывности БД, включая методы резервного копирования, восстановительных работ в случае чрезвычайных ситуаций и методы репликации данных;
- внедрение процесса обеспечения непрерывности БД должно проходить в три основных этапа:
a) оценка рисков нарушения непрерывности БД;
b) разработка плана восстановления после аварий для критичных данных и объектов БД;
c) разработка детальных процедур, содержащих последовательность действий по использованию выбранных средств восстановления, обеспечивающих выход из нештатных ситуаций, а также максимально допустимое время недоступности критичных данных и объектов БД;
d) обучение персонала действиям по обеспечению непрерывности БД;
- должны осуществляться мониторинг и оптимизация процесса обеспечения непрерывности БД.
Для обеспечения непрерывного функционирования всех объектов БД и снижения негативных последствий после чрезвычайных ситуаций должен быть разработан план по обеспечению непрерывности БД.
План обеспечения непрерывности БД должен включать:
- обеспечение непрерывности поддержки и восстановление работоспособности БД;
- обеспечение непрерывности выполнения операций с объектами БД;
- реагирование на компьютерные инциденты, связанные с БД;
- восстановление БД в случае стихийных бедствий;
- реагирование в случае чрезвычайных ситуаций.
14) Требования информационной безопасности к управлению внутренней контрольной средой
Внутренняя контрольная среда представляет собой профессиональную и моральную культуру организации, определяющую, каким образом риск воспринимается сотрудниками, и как они на него реагируют.
Для обеспечения информационной безопасности БД внутренняя среда контролей должна обеспечивать гарантии эффективности деятельности существующих контролей и соблюдения соответствующих законодательных требований.
Внутренняя среда контролей, направленная на обеспечение информационной безопасности БД, должна быть организована в следующих направлениях:
- должны использоваться учетные записи и пароли, обеспечивающие адекватный доступ к объектам БД с учетом их категорий конфиденциальности;
- должно осуществляться эффективное управление доступом, включая и удаленный доступ, к критичным данным и объектам БД;
- должен обеспечиваться строго организованный в соответствии с политикой безопасности физический доступ к аппаратно-программному комплексу, обеспечивающему функционирование БД;
- должна осуществляться организация процесса непрерывности функционирования БД и эффективного восстановления в случае потери части или совокупности объектов БД;
- должно обеспечиваться безопасное резервирование и хранение БД;
- должна создаваться контрольная отчетность;
- должно осуществляться управление персоналом.
15) Требования информационной безопасности к оценке соответствия
Оценка соответствия информационной безопасности БД должна обеспечивать уверенность в соответствии объектов БД установленным требованиям информационной безопасности.
Оценка соответствия должна проводиться периодически, но не реже чем один раз в год, а также при существенных изменениях в структуре БД и угрозах безопасности. При успешном проведении оценки соответствия уполномоченными органами, среди которых Национальное агентство по регулированию в области электронных коммуникаций и информационных технологий (НАРЭКИТ), осуществляющих государственный контроль соблюдения требований безопасности информационных технологий, должен выдаваться сертификат соответствия.
Для обеспечения информационной безопасности БД при проведении оценки соответствия должны оцениваться:
- соответствие мер и средств обеспечения информационной безопасности требованиям, определенным в действующем законодательстве;
- правильность применения мер и средств обеспечения информационной безопасности;
- правильность действий по устранению последствий инцидентов нарушения безопасности и нейтрализации уязвимостей.
Для получения данных о состоянии информационной безопасности объектов БД должен выполняться перечень следующих действий:
- должен проводиться анализ эффективности мер и средств обеспечения информационной безопасности в противодействие имевшим место инцидентам нарушения безопасности;
- должны проводиться проверки и испытания мер и средств обеспечения информационной безопасности на соответствие требованиям безопасности;
- должны проводиться испытания на проникновение для оценки возможности использования уязвимостей для нарушения безопасности;
- должны использоваться специализированные аппаратные и программные средства для контроля состояния средств обеспечения информационной безопасности и выявления уязвимостей.
В случае обнаружения нарушений по обеспечению информационной безопасности БД НАРЭКИТ налагает административные санкции в предусмотренном законом порядке и выносит решение о прекращении нарушения и/или о принятии мер по устранению его последствий.
К уполномоченным органам, осуществляющим государственный контроль соответствия требованиям информационной безопасности БД, предъявляются следующие требования:
- должно быть подтверждение квалификации сертификатами специалистов в области информационных систем и обеспечения безопасности (международные сертификаты CISМ или CISA), осуществляющих контроль;
- должно быть доказательство опыта работы в области технологий и оборудования информационной безопасности, систем аудита безопасности и систем управления криптографической защитой не менее двух лет;
- специалисты уполномоченных органов должны обладать способностями использования процедур по аудиту систем управления информационной безопасностью, криптографической защитой открытых ключей.
6. Требования к обеспечению информационной безопасности баз данных в рамках системного подхода
1) Требования информационной безопасности к объектам баз данных
База данных представляет собой совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и обработки данных, посредством различных объектов.
Объекты БД составляют элементы БД, обладающие определенными свойствами и выполняющие определенные операции и функции.
К основным объектам БД должны относиться:
- таблицы (tables) - хранят собственно данные;
- представления (views) – объект, рассматриваемый в качестве виртуальной таблицы, то есть таблица, хранящая только схему, а не данные;
- хранимые процедуры (stored procedures) - программные модули, сохраняемые в БД для выполнения определенных операций с данными БД;
- триггер (trigger) – хранимая подпрограмма, содержащая выполняемый код, реализация которого осуществляется автоматически после происшествия определенного события;
- функции и операторы (user defined function), создаваемые пользователем;
- индексы (indexes) – вспомогательные структуры данных, создаваемые для более быстрого поиска данных;
- типы данных, определяемые пользователем (user defined data types);
- ключи (keys), представляющие собой один из видов ограничений целостности данных;
- ограничение целостности (constraints) – объекты для обеспечения логической целостности данных;
- пользователи (users), обладающие доступом к БД;
- роли (roles) - позволяют объединять пользователей в группы;
- правила БД (rules) - контролируют логическую целостность данных;
- умолчания (defaults) или стандартные установки БД.
2) Требования информационной безопасности к основным видам рисков баз данных
Для обеспечения информационной безопасности БД в обязательном порядке должны быть идентифицированы и оценены риски, связанные с информацией и операциями в БД:
- операционные риски;
- риски информационных технологий;
- риски неадекватной реализованной контрольной среды;
- риски, связанные с несоблюдением критериев целостности, доступности, конфиденциальности и корректности информации, содержащейся в БД;
- форс-мажорные риски.
3) Требования к операционным рискам
Операционные риски составляют риски прямых или косвенных потерь (неэффективного или нерезультативного использования ресурсов), вызванных ошибками или несовершенством процессов управления в конкретном органе публичной власти, а также ошибками или недостаточной квалификацией соответствующего персонала организации.
Операционные риски, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- риски на организационном уровне:
a) отсутствие или недостатки регламентирующих документов по целям и задачам стратегического и тактического уровней по управлению информационными технологиями и безопасностью для органа публичной власти;
b) отсутствие или недостатки регламентирующих документов по обеспечению безопасности БД;
c) недостаточный контроль над обеспечением уровня безопасности в БД;
- риски, связанные с ошибками персонала, влекущими за собой следующие последствия:
a) нарушение конфиденциальности, целостности, корректности данных в БД;
b) разглашение данных, содержащихся в БД;
c) разрушение оборудования или данных в БД;
d) небрежность манипуляций с данными БД;
e) изменение/искажение хранимых данных в БД;
f) потеря/хищение данных в БД.
4) Требования к рискам информационных технологий
Риски информационных технологий составляют риски потерь, связанные с неправильным применением или несовершенством процессов управления информационными технологиями и используемых компонентов инфраструктуры и информационных активов в органах публичной власти. Риски информационных технологий обусловлены сбоями в функционировании систем или их выходом из строя и недостаточной емкостью систем, сетей электронных коммуникаций.
Риски информационных технологий, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- риски, связанные с осуществлением процессов управления информационными технологиями:
a) отсутствие документированных процессов управления информационными технологиями;
b) отсутствие формализованной ответственности за информационные ресурсы;
c) отсутствие системы мониторинга за достижением целей информационных технологий в соответствии с целями и задачами органа публичной власти;
- риски, связанные с аппаратным обеспечением:
a) потеря хранимых данных БД;
b) отказ БД;
c) потеря целостности БД;
d) использование существующего подключения к БД через сеть, которое было установлено авторизованным пользователем;
e) отказ сервера БД;
- риски, возникающие на всех этапах жизненного цикла БД:
a) недостаточный уровень поддержки и обслуживания БД;
b) несанкционированный доступ к защищаемой информации в БД;
c) несанкционированное изменение списка пользователей и их прав доступа к БД;
d) манипуляция данными БД;
e) недоступность данных и объектов БД;
f) отказ в обслуживании БД;
g) потеря целостности информации БД, которая должна быть защищена.
5) Требования к рискам неадекватно реализованной контрольной среды
Риски неадекватно реализованной контрольной среды составляют риски, связанные с системой внутреннего контроля, неспособной своевременно обнаруживать и исправлять действия несанкционированного или мошеннического характера, являющиеся существенными по отдельности или в совокупности, и/или препятствовать возникновению таких нарушений.
Риски неадекватно реализованной контрольной среды, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- нарушения системы контроля доступа в БД;
- кражи данных БД;
- злоупотребления, связанные с удаленным доступом к БД;
- несанкционированный доступ к защищаемой информации БД;
- угрозы, исходящие от персонала в процессе обслуживания/администрирования БД;
- угрозы, исходящие от сторонних специалистов, привлекаемых для обслуживания элементов БД;
- подбор или взлом паролей авторизованных пользователей БД;
- злоупотребления правами пользователей БД;
- вредоносное программное обеспечение;
- несанкционированное копирование носителей с данными БД;
- вход в БД в обход системы аутентификации;
- несанкционированный запуск сканеров БД;
- манипуляции данными или программным обеспечением БД;
- нарушение невозможности отказа при обмене критичными данными.
6) Требования к рискам, связанным с критериями целостности, доступности и конфиденциальности информации, содержащейся в базах данных
Риски, связанные с критериями целостности, доступности и конфиденциальности информации, содержащейся в БД, составляют риски, возникающие вследствие обработки и представления неверной или искаженной информации, и связанные с раскрытием, изменением информации и нарушениями работоспособности БД при доступе к ее данным.
Риски, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- риски, связанные с критерием конфиденциальности информации:
a) несанкционированный доступ к данным, содержащимся в БД;
b) уничтожение, повреждение или хищение носителей информации БД;
c) перехват данных БД при их передаче по сети электронных коммуникаций;
d) злоупотребление привилегиями пользователей;
- риски, связанные с критерием целостности информации:
a) кража данных, содержащихся в БД;
b) ввод неверных данных в БД;
c) несанкционированное изменение данных или объектов в БД;
- риски, связанные с критерием доступности информации:
a) отказ инфраструктуры, поддерживающей функционирование БД;
b) ошибки при конфигурировании системы управления базами данных (СУБД);
c) разрушение или повреждение технических средств;
- риски, связанные с критерием надежности (корректности) информации:
a) несанкционированное изменение/искажение информации и соответственно необходимых результатов;
b) неполнота или некорректность функциональной обработки или представления необходимой информации;
c) несоблюдение временных границ выполнения работ;
d) небрежность манипуляций с данными в БД;
e) потеря актуальности информации на момент ее использования;
f) ошибки при обработке недостоверной информации;
g) нарушение целостности/доступности данных.
7) Требования к форс-мажорным рискам
Форс-мажорные риски составляют риски, связанные с непосредственными событиями природного, техногенного и социального характера.
Риски, связанные с форс-мажорными обстоятельствами, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- отказ информационных систем и БД органов публичной власти;
- потеря данных БД из-за воздействия интенсивных магнитных полей;
- отключение электроэнергии;
- стихийные бедствия, пожары;
- отказ сети на большой территории органов публичной власти;
- невозможность восстановления данных БД во всей совокупности информации.
8) Требования информационной безопасности к основным уязвимостям баз данных
Основные уязвимости, позволяющие реализовать угрозы безопасности, направленные на БД, должны быть проанализированы согласно следующим критериям:
- неправильно организованные процессы:
a) неясное разделение обязанностей по обеспечению безопасности БД;
b) недостаточное тестирование программных средств БД;
c) недостаточная реализация или некорректная разработка политики безопасности БД;
d) сложность структуры БД;
- отсутствие контролей:
a) недостаточное отслеживание действий инсайдеров;
b) ненадлежащий учет пользователей, имеющих свободный доступ к сетевым ресурсам;
c) недостаточный контроль паролей;
d) трудности или отсутствие мониторинга деятельности пользователей и администраторов БД;
e) недостаточный уровень проверки участников и приложений соединения с БД;
f) отсутствие контроля над резервным копированием БД;
- недостаточный профессионализм сотрудников:
a) использование по умолчанию учетных записей и ненадежных паролей;
b) недостаточность ресурсов;
c) ненадлежащее использование конфигураций;
d) неверная организация обмена данных пользователей с БД;
e) непрофессиональное и слабое администрирование СУБД;
f) недостаточное или неправильное использование штатных средств обеспечения информационной безопасности БД;
- недостаточность программно-аппаратных средств для реализации информационной безопасности БД:
a) использование аутентификационных данных, используемых в операционных системах;
b) злоупотребления полномочиями;
c) ошибки в компонентах программного обеспечения БД (например, переполнение буфера);
d) недостаточная сетевая изоляция (внешняя и внутренняя);
e) отсутствие или недостаточный уровень защиты от несанкционированного доступа;
f) некачественный способ либо средство хранения информации в БД;
g) отсутствие гарантии конфиденциальности и целостности передаваемой информации;
h) существование уязвимостей используемых операционных систем и сетевых протоколов.
7. Требования к мерам и средствам обеспечения информационной безопасности баз данных в рамках подхода структуризации
1) Требования к идентификации, аутентификации и авторизации доступа
Механизмы идентификации, аутентификации и авторизации должны предотвращать такие угрозы, как:
- неавторизованный доступ к БД;
- использование незащищенных соединений и открытых портов.
Для обеспечения информационной безопасности БД к механизмам идентификации, аутентификации и авторизации БД должны предъявляться следующие требования:
- должны использоваться разнообразные способы аутентификации и использоваться один или несколько из них одновременно:
a) для аутентификации средствами операционной системы должны использоваться сетевые учетные данные, в основном для аутентификации администратора СУБД;
b) для аутентификации средствами БД должны использоваться надежные пароли;
c) аутентификация должна происходить при помощи сетевых сервисов;
d) аутентификация обязательна в многоуровневых приложениях;
- для каждого пользователя БД должен поддерживаться следующий список атрибутов безопасности: идентификатор пользователя БД и привилегии доступа к объекту БД;
- аутентификация администраторов БД должна требовать специальную процедуру, обусловленную спецификой выполняемых задач;
- должно применяться шифрование паролей для безопасной передачи по сети;
- все аутентификационные данные пользователей и ключи шифрования должны храниться в зашифрованном виде;
- должны быть определены процедуры установления, запроса, активации, блокировки и удаления учетных записей пользователей БД;
- должны существовать два типа учетных записей БД: учетная запись владельца схем и учетная запись приложений, для исключения неавторизированного ручного доступа к БД;
- каждый пользователь БД должен быть успешно идентифицирован до разрешения любого другого действия от имени этого пользователя;
- должна быть возможность отказа пользователю в открытии сеанса с БД, основываясь на его правах.
К учетным записям владельцев схем должны предъявляться следующие требования:
- владелец схем должен иметь единственный PIN-код (персональный идентификационный номер);
- PIN-код должен разрешать доступ к схемам таблиц БД и к объектам БД;
- только администратор БД должен иметь системные права на создание таблиц, процедур;
- лишь администраторы БД должны знать PIN-код;
- информация о PIN-кодах не должна храниться на рабочих станциях или передаваться системным администраторам.
Должны соблюдаться следующие требования к учетным записям приложений:
- необходимо наличие списка учетных записей приложений и проведение его актуализации;
- учетные записи приложений должны использоваться серверами приложений для подключения к различным сервисам и БД;
- учетные записи приложений не должны иметь прав создания и изменения уже существующих таблиц;
- все изменения схем должны осуществляться администратором БД, используя учетную запись владельцев схем или PIN-код;
- пароль приложения должен храниться в папке конфигурации, которая должна находиться на сервере приложений;
- доступ к серверам и папкам приложений должен быть ограничен только для администраторов БД;
- ручное управление БД должно выполняться администраторами БД.
Для применяемых БД должны быть разработаны, документированы и должны периодически обновляться политика идентификации и аутентификации, а также процедуры и меры, связанные с ее реализацией.
Процедура идентификации и аутентификации в БД в обязательном порядке должна включать:
- требования к созданию и использованию учетных записей, включая учетные записи владельцев схем и приложений, имеющих доступ к БД;
- требования к управлению паролями.
2) Требования к управлению доступом в базах данных
В рамках обеспечения информационной безопасности БД управление доступом должно обеспечивать защиту и ограничение доступа к критичным данным и приложениям БД, и позволять снизить риски ошибок, мошенничества, неправильного использования и неавторизованного изменения.
К управлению и разграничению доступа к БД должны предъявляться следующие требования:
- должно быть определено, каким пользователям, и для каких операций требуется использовать объекты БД для предотвращения мошенничества и инцидентов безопасности;
- управление доступом должно осуществляться для субъектов, объектов и операций БД;
- управление доступом должно основываться на разделении полномочий по действиям;
- доступ к данным должен получать лишь пользователь, прошедший процедуру идентификации и аутентификации;
- пользователь, включая администраторов, должен иметь доступ только к необходимым объектам и ресурсам согласно занимаемой должности;
- должны использоваться специальные средства и методы, обеспечивающие надежное разделение доступа;
- должно предотвращаться манипулирование с БД и обращение к другим приложениям администратора приложений;
- периодически должен проводиться обзор и соответствие прав доступа пользователей их обязанностям;
- должен осуществляться контроль над доступом к БД, включая и логический контроль:
a) входов, выходов и действий пользователей БД;
b) системных привилегий и прав, и их изменений;
c) привилегий критичных объектов БД;
d) доступа к критичным данным и объектам БД;
- должны использоваться средства дискретной защиты, обеспечивающие разграничение доступа между поименованными субъектами и поименованными объектами;
- должны использоваться средства мандатной защиты, обеспечивающие разграничение доступа субъектов к объектам данных, основанное на категориях конфиденциальности информации.
3) Требования к системам управления базами данных с точки зрения жизненного цикла информационного ресурса
Поддержку создания БД органов публичной власти, централизованного управления и организации доступа к ним различных пользователей при предоставлении публичных услуг должна обеспечивать СУБД.
К СУБД должны предъявляться следующие требования:
- СУБД должна быть спроектирована и построена так, чтобы:
a) файлы программного обеспечения СУБД не были доступны по сети;
b) к файлам БД на сервере не было доступа по сети;
c) пользователи получали доступ к данным и объектам, хранящимся в БД, только посредством СУБД;
d) данные в БД были зашифрованы от несанкционированного доступа к ним;
- СУБД должна обеспечивать безопасное хранение данных БД, подразумевающее защиту как от сбоев и погрешностей, так и от несанкционированного доступа;
- СУБД должна поддерживать плотную интеграцию с аппаратными модулями безопасности для обеспечения высокого уровня защиты;
- СУБД должна обеспечивать улучшенное прозрачное шифрование данных БД для поддержки шифрования табличной пространств;
- СУБД должна поддерживать использование сложных паролей и надежных алгоритмов хеширования (hashing) паролей;
- СУБД должна поддерживать строгую аутентификацию привилегированных пользователей.
4) Требования к резервному копированию и восстановлению баз данных
Для исключения случаев прекращения функционирования БД вследствие появления сбоя, нарушающего их целостность, должно осуществляться резервное копирование и восстановление БД.
В случаях, если в БД производятся следующие изменения, то непосредственно перед изменениями и после должно быть осуществлено резервное копирование БД:
- создание или удаление табличного пространства;
- добавление или перемещение файла данных в существующем табличном пространстве;
- добавление, перемещение или удаление группы данных.
Резервное копирование БД должно осуществляться следующим образом:
- резервное копирование лишь управляющего файла БД;
- полное резервное копирование БД.
К осуществлению резервного копирования БД и восстановления целостности должны предъявляться следующие требования:
- все БД и связанная с ними критичная информация должны периодически подвергаться резервному копированию;
- должна обеспечиваться сохранность, подлинность и контроль над копиями резервных БД и предоставляться доступ к ним лишь уполномоченному персоналу;
- резервные копии должны подвергаться шифрованию;
- один раз в три месяца должны проверяться списки доступа к резервным копиям БД;
- операции, связанные с БД, должны выполняться полностью или не выполняться совсем;
- должно быть определено требуемое время для восстановления критичной информации и объектов БД и составлены планы восстановления;
- операции должны обеспечивать возможность возврата в первоначальное состояние;
- должна быть возможность воспроизведения процесса выполнения операций, связанных с БД;
- результаты выполнения операций должны быть записаны в системный журнал;
- при появлении сбоя должно осуществляться восстановление в некоторое промежуточное положение (контрольная точка);
- должны осуществляться операции раскрутки (воспроизведение результатов выполнения транзакции с использованием системного журнала) для восстановления БД.
Восстановление БД должно осуществляться на трех различных уровнях:
- оперативное восстановление - восстановление на уровне отдельных операций при ненормальном окончании ситуации манипулирования данными (например, при ошибке в программном обеспечении);
- промежуточное восстановление - восстановление состояния всех выполняемых операций на момент возникновения сбоев (например, системно-программные ошибки, сбои программного обеспечения, не связанные с разрушением БД);
- длительное восстановление - восстановление с помощью копий БД при их разрушении, и возвращение системы в состояние на момент разрушения.
5) Требования к защите баз данных от вредоносного кода
Для обеспечения информационной безопасности БД должна обеспечиваться защита от вредоносного кода, к средствам которой должны предъявляться
следующие требования:
- должен осуществляться постоянный контроль в реальном режиме времени файлов БД;
- должна осуществляться проверка в реальном режиме времени всей файловой системы, а также любых объектов файловой системы по требованию;
- должно проводиться обнаружение вирусов и вредоносного кода в составных файлах БД;
- должна быть возможность выбора различных действий при обнаружении вируса или вредоносного кода: блокирование доступа к файлу, запись в журнал, удаление, переименование или помещение на карантин, лечение зараженных файлов.
- должна быть возможность удаленного управления;
- должна быть возможность планирования запуска задач и выполнения действий;
- должна быть возможность гибкого исключения из проверки файлов, областей, процессов;
- частота выпуска обновлений должна быть высокой;
- должна быть возможность выполнения обновлений вручную по запросу или автоматически по расписанию;
- должна быть возможность выполнения отката обновлений антивирусных баз;
- рабочие станции, на которых осуществляется подключение к БД, должны иметь антивирусное программное обеспечение;
- администратор БД должен своевременно уведомляться обо всех важных событиях;
- пользователи должны своевременно уведомляться о попытках доступа к зараженным файлам;
- должна отображаться статистика и счетчики производительности в реальном режиме времени.
К средствам защиты от вредоносного кода для серверов БД должны относиться такие средства непрерывной работы и периодического запуска как:
- антивирусный сканер при доступе;
- антивирусный сканер по требованию;
- средства обновления антивирусных баз.
6) Требования к контролю целостности баз данных
Обеспечение целостности БД должно обеспечивать:
- защиту данных в БД от неверных и несанкционированных изменений и разрушений;
- корректность (правильность) как самих значений всех элементов данных, так и взаимосвязей между элементами данных в БД, при их хранении, передаче, обработке и резервном копировании.
Для поддержания целостности должны соблюдаться следующие основные требования:
- уровни целостности БД – целостность БД должна обеспечиваться на трех уровнях:
a) уровень типа данных, то есть соответствие типов данных;
b) уровень ключей, например, соответствие первичных и внешних ключей;
c) уровень триггеров, процедур и/или функций (например, триггера отвечают только за свои области данных);
- антивирусная защита – должны применяться меры предотвращения, обнаружения и уничтожения вредоносного кода;
- обеспечение достоверности:
a) в каждый элемент данных информация должна заноситься точно в соответствии с описанием этого элемента;
b) должны быть предусмотрены механизмы обеспечения устойчивости элементов данных и их логических взаимосвязей к ошибкам или неквалифицированным действиям пользователей;
- управление параллелизмом:
a) должны быть предусмотрены средства управления данными, обеспечивающие поддержание целостности БД при одновременном выполнении нескольких операций;
b) максимальное число параллельных сеансов с БД, предоставляемых одному и тому же пользователю БД, должно быть ограничено и заранее задано;
- восстановление:
a) хранимые в БД данные должны быть устойчивы по отношению к неблагоприятным физическим воздействиям (например, аппаратные ошибки, сбои питания) и ошибкам в программном обеспечении;
b) должны быть предусмотрены механизмы восстановления за предельно короткое время того состояния БД, которое было перед появлением неисправности.
В обязательном порядке должны быть идентифицированы и проанализированы следующие источники нарушения целостности данных:
- сбои оборудования, физические воздействия или стихийные бедствия;
- ошибки санкционированных пользователей или умышленные действия несанкционированных пользователей;
- программные ошибки СУБД или операционных систем;
- ошибки в прикладных программах;
- совместное выполнение конфликтных запросов пользователей.
В соответствии с критерием целостности информации необходимо не только не допустить нарушение целостности БД, но и своевременно обнаружить факт нарушения целостности и оперативно восстановить целостность после нарушения.
7) Требования к шифрованию данных в базах данных, которые не содержат информацию, являющуюся государственной тайной
В рамках обеспечения информационной безопасности БД шифрование данных в БД должно обеспечивать защиту от несанкционированного доступа и нарушения целостности данных, а также при их передаче по сети электронных коммуникаций.
К шифрованию данных в БД должны предъявляться следующие требования:
- должны быть определены части данных в БД, шифрование которых целесообразно;
- должны использоваться различные алгоритмы шифрования, симметричные и асимметричные;
- длина шифрованного текста должна быть равной длине исходного текста;
- структурные элементы алгоритма шифрования должны быть неизменными;
- должна быть обеспечена требуемая корректировка типов и размеров полей таблиц БД при шифровании;
- должны обеспечиваться сохранность и строгий контроль над распространением криптографических ключей;
- для данных в БД с высоким уровнем безопасности смена ключей должна осуществляться до истечения их срока действия, после чего следует провести повторное шифрование данных БД новыми ключами. В зависимости от объема данных БД повторное шифрование может повлиять на их наличие в течение определенного периода времени;
- должна быть возможность осуществления выборочного шифрования табличного пространства БД;
- шифрование данных должно осуществляться на сервере БД или на отдельном сервере шифрования, а не на стороне клиента.
8) Требования к аудиту и мониторингу баз данных
В ходе проведения аудита и мониторинга безопасности БД должно быть проверено наличие:
- политики аварийного восстановления БД;
- надзорных процедур для отслеживания несанкционированного доступа или изменения данных;
- подтверждения соответствия стандартам и требованиям безопасности;
- системы безопасности СУБД для подтверждения прав доступа и проверки полномочий пользователей (например, аутентификация Windows);
- политики контроля доступа;
- сотрудника, назначенного и ответственного за безопасность, например, менеджера безопасности БД;
- политики безопасности БД перед ее использованием;
- процесса регулярного резервного копирования всего программного обеспечения БД;
- процесса обеспечения непрерывности функционирования БД;
- строгого контроля соответствия между эксплуатационной и тестовой средой и версией БД.
Аудит и мониторинг БД должен включать следующие основные компоненты:
- аудит доступа/аутентификации:
a) должна проводиться проверка кому и какие доступны системы, когда и каким образом;
b) каждое событие, потенциально подвергаемое аудиту БД, должно ассоциироваться с идентификатором пользователя БД, который был инициатором этого события;
c) доступ к журналам аудита должны иметь только уполномоченные лица;
d) должен создаваться отчет о неудачных попытках обращений к объектам БД из-за недостатка привилегий, либо из-за отсутствия данных объектов;
- аудит пользователей/администраторов:
a) должна проводиться проверка деятельности, которая была выполнена в БД, как пользователями, так и администраторами;
b) должны использоваться встроенные средства аудита и контроля над действиями пользователей в СУБД;
c) все действия с критичными данными БД должны протоколироваться:
- доступ к данным;
- события регистрации/выхода;
- изменения структуры БД;
d) администратор БД должен быть изолирован от управления аудитом;
e) должен создаваться отчет об ошибках в процессе работы пользователей с наблюдаемой БД;
- предупреждение о безопасности:
a) должен идентифицироваться и сигнализироваться любой подозрительный, необычный или аварийный доступ к критичным данным или системам;
b) журналы событий web-операций, безопасности брандмауэра, открытых соединений с БД, системных событий должны быть идентифицированы web-серверами, брандмауэрами, приложениями и сервером БД;
- наличие отчетности по следующим направлениям действий:
a) общий отчет по соединениям, которые были осуществлены к целевой БД, должен включать:
- имя БД, к которой было установлено соединение;
- имя пользователя БД;
- IP-адрес и имя рабочей станции, с которых было выполнено соединение;
- локальное имя пользователя на его рабочей станции;
- название программного обеспечения, с помощью которого было установлено соединение, если это возможно;
- начальное время пользовательской сессии на БД;
- продолжительность пользовательской сессии на БД;
- состояние соединения (активное, неактивное, завершающееся);
b) отчет об обращениях к заданному объекту и об операциях над ним, должен включать:
- название БД, на которой осуществляется аудит;
- время, в которое будет осуществлен аудит;
- IP-адрес клиента, с которого будут выполняться запросы;
- программа-клиент, из которой будут выполняться запросы;
- имя пользователя БД;
- оператор языка запросов, который может быть интересен пользователю;
- объекты БД, к которым выполняется доступ, и которые содержат критичную информацию;
c) отчет о привилегированных соединениях (например, сессии, осуществленные с использованием системной роли; сессии, осуществленные системными пользователями «sys», «system», сессии, в которых были зафиксированы запросы на изменение структуры БД);
d) отчет о неудачных попытках соединения с БД вследствие неверно введенного имени пользователя или пароля демонстрирует попытки атаки на СУБД.
9) Требования к механизмам мониторинга в базах данных
Механизмы мониторинга БД должны уменьшать количество ошибок. Ограниченные ресурсы, человеческий фактор или недостаточное тестирование результатов в приложениях способствуют возникновению серьезных уязвимых мест в БД.
Механизмы мониторинга БД должны обеспечивать информацией об используемых категориях данных, их месторасположении и методах защиты, взаимосвязанных приложениях, а также обеспечивать целостность и непротиворечивость данных.
Основным механизмом мониторинга БД является политика мониторинга БД, в которой должны быть определены:
- осуществление мониторинга БД как единовременно, так и в автоматическом режиме с заданным интервалом времени;
- выполнение обновлений карты мониторинга целиком, либо только объектов, информация о которых в БД претерпела изменения;
- обеспечение сохранности и документирования настроек мониторинга;
- осуществление протоколирования процесса мониторинга и просмотр протокола с возможностью фильтрации записей, обеспечение сохранности протокола.
В качестве механизмов мониторинга БД должны выступать:
- автоматизация обслуживания и журналирования;
- документирование структуры БД;
- проверка резервного копирования;
- ведение и анализ журнала ошибок;
- анализ производительности БД;
- анализ доступности сервисов;
- анализ тенденций изменения параметров мониторинга;
- архивирование данных;
- анализ информационных рисков.
- мониторинг уязвимых мест/угроз:
a) должно осуществляться обнаружение уязвимых мест в БД;
b) контроль БД также должен включать аудит сетевой безопасности и безопасности прикладных систем;
c) должна быть возможность контроля как пост-фактум, так и в режиме реального времени для оперативного реагирования;
d) должны использоваться сканеры БД для обнаружения уязвимых мест;
- проверка изменений:
a) должна быть установлена основа для БД (конфигурация, схема, пользователи, привилегии и структура), затем должно проводиться отслеживание отклонений от этой основы;
b) все изменения, связанные с БД, должны постоянно отслеживаться и периодически проходить проверку;
c) все изменения в журналах контролей и проверок, вносимые в БД каждой операцией, должны регистрироваться.
10) Требования к мониторингу трафика запросов к базам данных
Обеспечение информационной безопасности средствами мониторинга трафика всех запросов к базам данных должно осуществляться только для данных с высоким уровнем безопасности.
При использовании средств мониторинга трафика запросов к БД, должны соблюдаться требования, предъявляемые к ним:
- должен осуществляться контроль всего трафика, идущего от пользователей к серверу БД, включая локальные запросы;
- должно фиксироваться любое обращение к БД;
- должен осуществляться контроль:
a) по объему скаченных данных;
b) по используемому приложению для обращения к БД;
- должна быть возможность установления фильтра на наличие определенных слов в запросе к БД;
- должен осуществляться контроль дополнительных нагрузок на серверы БД;
- должен осуществляться контроль задержек прохождения трафика.
11) Требования к распределению ролей и ответственности для обеспечение информационной безопасности баз данных
Для реализации процессов по обеспечению информационной безопасности БД при предоставлении публичных услуг должно быть проведено четкое определение ответственности и полномочий, связанных с реализацией данных.
В ходе процесса обеспечения информационной безопасности БД должно проводиться разделение полномочий по следующим действиям:
- использование БД;
- ввод входных данных в БД;
- операции с БД;
- управление сетью, связанной с БД;
- администрирование БД;
- создание и поддержка БД;
- управление изменениями БД;
- администрирование безопасности БД;
- аудит безопасности БД.
Реализация подразделениями и отдельными сотрудниками органов публичной власти обязанностей по обеспечению информационной безопасности БД должна осуществляться в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами).
Для осуществления и поддержки соответствующих мер по обеспечению информационной безопасности БД должны быть назначены следующие роли:
- руководство - несет полную ответственность за создание и поддержку политики безопасности, устанавливая общий подход к безопасности и внутреннему контролю информационных ресурсов организации;
- администратор БД ответственен за:
a) инсталляцию и обновление версий СУБД и прикладных инструментов;
b) создание первичных структур памяти (табличных пространств) и объектов БД;
c) модификацию структуры БД в соответствии с новыми потребностями;
d) внесение пользователей и наделение их правами;
e) управление и отслеживание доступа пользователей к БД;
f) отслеживание и оптимизацию производительности БД;
g) планирование и осуществление резервного копирования и восстановления БД;
h) поддержание сохранности архивных данных БД;
- владельцы объектов БД (привилегированные пользователи):
a) обладают полными полномочиями над созданными ими объектами;
b) несут ответственность по управлению и отслеживанию доступа пользователей к БД;
c) несут ответственность по управлению доступом к созданному объекту;
d) несут ответственность за поддержку применяемых мер безопасности созданного объекта;
- хранители БД – несут ответственность за сохранность резервных копий БД;
- конечные пользователи БД:
a) обладают строго ограниченным набором привилегий манипулирования данными в БД;
b) несут ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования учетной записи;
- прикладные программисты – несут ответственность за создание программ, использующих БД;
- менеджеры информационной безопасности - несут ответственность за управление информационной безопасностью БД;
- аудиторы безопасности БД:
a) обеспечение соответствия процессов функционирования и безопасности БД установленным требованиям;
b) проведение аудита доступа к БД, аудита изменений в структуре БД и аудита использования любых системных привилегий.
Настоящий технический регламент определяет роли и ответственность за процесс обеспечения информационной безопасности в органах публичной власти.
Положения настоящего технического регламента применяются для всех компонентов ИИ органов публичной власти с целью обеспечения адекватного уровня информационной безопасности.
Настоящий регламент разработан на основе следующих законодательных и нормативных актов Республики Молдова:
- Закон «О коммерческой тайне» № 171-XIII от 6.07.1994;
- Закон «О доступе к информации» № 982-XIV от 11.05.2000;
- Закон «Об информатизации и государственных информационных ресурсах» № 467-XV от 21.11.2003;
- Закон «Об электронном документе и цифровой подписи» № 264-XV от 15.07.2004;
- Закон «Об электронной торговле» № 284-XV от 22.07.2004;
- Закон «О техническом регулировании» № 420-XVI от 22.12.2006;
- Закон «О защите персональных данных» № 17-XVI от 15.02.2007;
- Закон «О регистрах» № 71-XVI от 22.03.2007;
- Закон «Об электронных коммуникациях» № 241-XVI от 15.11.2007;
- Закон «О государственной тайне» № 245-XVI от 27.11.2008.
В настоящем регламенте применяются следующие термины:
Архитектура информационной инфраструктуры - набор ключевых решений по организации информационной инфраструктуры, а также набор структурных элементов и интерфейсов, из которых она состоит, вместе с поведением, описываемым в терминах коопераций этих элементов.
Внешний контур - публичная инфраструктура, обеспечивающая взаимодействие граждан и бизнеса с органами публичного управления.
Внутренний контур - информационные системы, обслуживающие процессы внутри системы публичной администрации, в том числе, предоставление внутренних услуг структурам и работникам управления, как на центральном, так и на местном уровнях.
Электронное правление - управление, осуществляемое на основе использования информационно-коммуникационных технологий.
Дискретное управление доступом - разграничение доступа между поименованными субъектами и поименованными объектами.
Мандатное управление доступом - основано на сопоставлении категорий доступа объектов (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации.
Чрезвычайная ситуация – незапланированное прерывание обычных бизнес-процессов, вызванное прерыванием в работе информационной инфраструктуры.
2. Требования к классификации состава и уровней информационной инфраструктуры
ИИ представляет собой систему формирования, распространения и использования информационно-коммуникационных технологий, обеспечивающих взаимодействие органов публичной власти, обеспечивая доступ к информационным ресурсам.
К основным составляющим компонентам ИИ относятся:
- аппаратные средства - комплекс электронных, электрических и механических устройств, входящих в состав информационных систем и сетей органов публичной власти. К аппаратным средствам относятся:
a) рабочие станции, сервера и логические устройства;
b) внешние устройства и диагностическая аппаратура;
c) энергетическое оборудование, батареи и аккумуляторы;
- операционные системы - обеспечивают выполнение программ и приложений, распределение ресурсов, планирование, ввод-вывод и управление данными, а также определяют взаимосвязанную группу протоколов верхних уровней, которые обеспечивают основные функции сети:
a) адресацию объектов;
b) функционирование служб;
c) обеспечение безопасности данных;
d) управление сетью;
- базы данных - совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и обработки данных;
- сеть электронных коммуникаций - позволяет принимать и внедрять единую политику защиты и безопасности информации для взаимоподключения всех ведомственных и территориальных информационных ресурсов и систем, а также для предоставления высококачественных услуг. Сеть электронных коммуникаций включает базовые средства обработки информации и электронных коммуникаций, к которым относятся:
a) средства маршрутизации и коммутации среды электронных коммуникаций;
b) физические каналы связи и передачи данных;
c) информационные приборы конечных пользователей;
- средства поддержки - обеспечивают поддержку функционирования всей ИИ (например, средства управления производительностью серверов, средства управления хранением данных);
- мультимедийные средства - обеспечивают вызов телевизионного сигнала на монитор, композитный видео-выход, развертку живого видео на мониторе, цифровую фильтрацию и масштабирование видео, аппаратно-цифровую компрессию и декомпрессию видео, а также ускорение графических операций, связанных с трехмерной графикой. Средствами мультимедиа используются несколько типов мультимедийных данных:
a) текст;
b) графика;
c) звуковые эффекты;
d) видео;
e) фотографии;
- центр электронного правления, главными задачами которого являются управление техническими и технологическими процессами и проведение мониторинга процесса разрешения всех зарегистрированных инцидентов.
Компоненты ИИ должны составлять взаимодействие между субъектами электронного правления, осуществляемое по двум контурам, сообщающимся между собой через правительственный портал:
- внутренний контур - должен включать информационные системы, которые обслуживают процессы внутри системы публичной администрации, в том числе, предоставление услуг структурам и работникам управления, как на центральном, так и на местном уровнях;
- внешний контур - должен включать публичную инфраструктуру, обеспечивающую взаимодействие граждан и бизнеса с органами публичной власти посредством правительственного портала.
Все компоненты ИИ должны рассматриваться как совокупность трех самостоятельных, но взаимоувязанных между собой пространств:
- условно «центрального», компоненты которого являются общими и необходимыми для функционирования всей ИИ;
- условно «периферийного» и условно «вспомогательного», все составные компоненты, которых выполняют отдельные задачи ИИ.
По отношению к подключению сети Интернет должны различаться:
- открытые - компоненты ИИ, к которым может предоставляться доступ из сети Интернет;
- закрытые - компоненты ИИ, доступ к которым из сети Интернет должен быть запрещен.
Все компоненты ИИ должны быть информационно и технологически совместимыми между собой.
3. Требования к уровням информационной инфраструктуры
Все компоненты ИИ должны составлять три иерархических уровня:
- уровень представления – должен обеспечивать доступ пользователей к услугам электронного правления и основываться на модели, идентифицирующей действия органов публичной власти с точки зрения функций и способа их реализации. Модель должна описывать обязательства органов публичной власти по отношению к гражданам и бизнесу, определять потребности и конечные цели, информационные процессы и потоки, предоставляемые услуги и существующие ресурсы. Для обеспечения безопасности данного уровня должна быть обеспечена защита правительственного портала, предоставляющего возможность обмена информацией с общественностью посредством сетей связи, включая Интернет, и точка доступа к информационным ресурсам и услугам. Также должна быть обеспечена защита официальных веб-страниц органов публичной власти, а также центров обращения;
- уровень приложений – должен обеспечивать структурирование информационных ресурсов системы, программного обеспечения, пользователей информации, прав и политики доступа и аудита, обеспечивающих интегрирование, аутентификацию и безопасность. Информационная безопасность данного уровня должна обеспечиваться, соблюдая и выполняя требования безопасности, предъявляемые к компонентам ИИ;
- технологический уровень - должен обеспечивать решения вопросов хранения и использования данных, обеспечения технологической целостности, защиты и безопасности посредством физических и логических мер и средств обеспечения безопасности. Информационная безопасность данного уровня должна обеспечиваться в соответствии с требованиями к мерам и средствам обеспечения безопасности компонентов ИИ.
4. Требования к целям и задачам обеспечения информационной безопасности информационной инфраструктуры
Посредством обеспечения информационной безопасности ИИ должны достигаться следующие цели:
- обеспечение транспарентности деятельности органов публичной власти;
- создание и внедрение информационных систем и приложений для поддержки процессов органов публичной власти;
- развитие государственной информационной инфраструктуры с учетом требований безопасности;
- защита компонентов ИИ от повреждений, злонамеренных и случайных попыток изменения ее функционирования;
- обеспечение критериев информационной безопасности компонентов ИИ.
В ходе обеспечения информационной безопасности ИИ должны решаться следующие основные задачи:
- определить общие положения, регламентирующие требования защиты информации, специфические для компонентов ИИ;
- назначить ответственность за обеспечение информационной безопасности компонентов ИИ;
- реализовать требования, внедрив соответствующие программно-технические меры и средства защиты информации;
- внедрить систему управления информационной безопасности;
- организовать регулярный контроль и его документирование эффективности обеспечения информационной безопасности ИИ и при необходимости пересмотр требований защиты информации;
- обучить персонал вопросам обеспечения информационной безопасности.
Для обеспечения информационной безопасности компонентов ИИ должны соблюдаться следующие критерии защиты компонентов ИИ:
- конфиденциальность - обеспечение доступа к информации только авторизованным пользователям;
- целостность - обеспечение достоверности и полноты информации и методов ее обработки;
- доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Защита компонентов ИИ должна соответствовать:
- мерам, разработанным для минимизации критических и приоритетных рисков, обнаруженных в результате проведенной оценки рисков;
- требованиям информационной безопасности и управления рисками, определяемым владельцем компонентов, учитывая критерии конфиденциальности, целостности и доступности.
Обеспечение информационной безопасности ИИ должно основываться на принципах, рассмотренных в следующих Технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 4.6 Процесс управления информационной безопасностью;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 4.3 Принципы обеспечения информационной безопасности.
5. Требования к подходам обеспечения информационной безопасности информационной инфраструктуры
Обеспечение информационной безопасности компонентов ИИ должно основываться на следующих подходах, которые должны применяться последовательно:
- процессный подход к обеспечению информационной безопасности;
- системный подход к обеспечению информационной безопасности;
- подход структуризации к обеспечению информационной безопасности.
1) Процессный подход к обеспечению информационной безопасности информационной инфраструктуры
Для управления и обеспечения информационной безопасности компонентов ИИ должен применяться процессный подход, который должен определять:
- процессы управления информационной безопасностью компонентов ИИ;
- процессы управления ИИ с точки зрения обеспечения информационной безопасности.
Необходимым условием обеспечения процессов управления информационной безопасностью ИИ должны являться формализованные и одобренные каждым органом публичной власти политики и процедуры следующих процессов, по которым определены требования по обеспечению информационной безопасности:
- процесс управления рисками информационных технологий;
- процесс управления конфигурациями;
- процесс управления инцидентами;
- процесс управления изменениями;
- процесс управления непрерывностью и восстановлением;
- аудит и оценка соответствия.
Каждый компонент ИИ должен функционировать в соответствии с требованиями обеспечения информационной безопасности на всем протяжении своего жизненного цикла и проходить последовательно четыре процесса:
- планирование – должны устанавливаться требования к информационной безопасности при создании и/или улучшении компонентов ИИ;
- внедрение – должны тестироваться требования к информационной безопасности при внедрении и запуске в эксплуатацию компонентов ИИ;
- оценка – должно анализироваться и контролироваться соответствие требованиям информационной безопасности при осуществлении контроля и анализа состояния компонентов ИИ;
- обслуживание – должны отслеживаться инциденты, проблемы, связанные с установленными требованиями к информационной безопасности, при поддержке эффективного функционирования компонентов ИИ.
В рамках указанных процессов должны быть определены следующие требования, являющиеся неотъемлемой частью процессного подхода к обеспечению информационной безопасности ИИ:
- требования по регламентированию и документированию процессов, а также единой системы защиты компонентов ИИ с использованием совместимых мер и средств обеспечения их безопасности;
- требования по организации и централизованному регламентированию посредством политик и процедур процессов управления ИИ с точки зрения обеспечения информационной безопасности; процессов управления информационной безопасностью компонентов ИИ.
2) Системный подход к обеспечению информационной безопасности информационной инфраструктуры
Для обеспечения информационной безопасности компонентов ИИ должен применяться системный подход, который должен определять требования информационной безопасности к каждому компоненту ИИ в соответствии со следующей классификацией, а также к конкретным объектам инфраструктуры внутри каждого класса:
- требования к аппаратным средствам;
- требования к операционным системам;
- требования к базам данных;
- требования к сетям, включая к инфраструктуре сети и средствам сети;
- требования к средствам поддержки функционирования ИИ;
- требования к мультимедийным средствам;
- требования к центру электронного правления.
3) Подход структуризации к обеспечению информационной безопасности информационной инфраструктуры
Для обеспечения информационной безопасности компонентов ИИ должен применяться подход структуризации, который должен определять требования к основным мерам и средствам обеспечения информационной безопасности ИИ:
- требования к идентификации, аутентификации и авторизации;
- требования к управлению доступом;
- требования к защите от вредоносного кода;
- требования к ведению журналов событий;
- требования к резервному копированию и восстановлению компонентов ИИ;
- требования к физической безопасности компонентов ИИ;
- требования к средствам криптографической защиты информации;
- требования к средствам мониторинга;
- требования к распределению ролей и ответственности за обеспечение информационной безопасности информационной инфраструктуры;
- требования к обучению персонала вопросам обеспечения информационной безопасности.
6. Требования к обеспечению информационной безопасности информационной инфраструктуры, как составная часть управления процессами
1) Требования информационной безопасности к управлению рисками информационных технологий
Для обеспечения информационной безопасности ИИ подход к управлению рисками информационных технологий должен обеспечивать достижение следующих целей:
- содействие достижению стратегических и тактических целей компонентов инфраструктуры, уменьшающее уровень рисков информационных технологий до приемлемого уровня;
- разработка практических руководств, необходимых для оценки и минимизации рисков, идентифицированных в пределах ИИ;
- поддержка процесса принятия решений по обеспечению информационной безопасности компонентов ИИ;
- снижение потерь от реализации различных операций, выполнение которых связано с идентифицированными рисками информационных технологий.
Подход к управлению рисками информационных технологий заключается в проведении следующего перечня мероприятий:
- определение области и границ процесса управления рисками информационных технологий:
a) необходимо определить категории компонентов, ресурсов и бизнес-процессов, которые будут рассматриваться в рамках управления рисками информационных технологий;
b) категории защищаемых данных должны соответствовать следующим принципам классификации информации:
- по степеням секретности в соответствии с Законом Республики Молдова № 245-XVI от 27.11.2008 «О государственной тайне»;
- категорий персональных данных в соответствии с Законом Республики Молдова № 17-XVI от 15.02.2007 «О защите персональных данных»;
- объекты коммерческой тайны в соответствии Законом Республики Молдова «О коммерческой тайне» № 171-XIII от 6.07.1994;
- по доступу к официальной информации в соответствии с Законом Республики Молдова «О доступе к информации» № 982-XIV от 11.05.2000;
- по доступу к информации, создаваемой, обрабатываемой, хранимой в специальных системах, в соответствии с Постановлением Правительства № 735 от 11.06.2002;
c) необходимо установить уровень детализации в определении рисков информационных технологий;
- анализ рисков информационных технологий:
a) должен проводиться качественный и количественный анализ рисков информационных технологий;
b) должны быть идентифицированы все компоненты ИИ и должна быть определена их критичность;
c) должны определяться потенциальные угрозы информационной безопасности, которые могут повлиять на функционирование компонентов ИИ;
d) должны определяться все возможные уязвимости, посредством которых могут быть реализованы угрозы на компоненты ИИ;
e) должна оцениваться вероятность реализации угроз через выявленные уязвимости;
f) требуется определить общий уровень угроз критичных компонентов инфраструктуры;
g) должна проводиться оценка рисков компонентов ИИ;
- разработка мер по минимизации рисков информационных технологий:
a) должны быть классифицированы риски и определена их приоритетность;
b) должна быть осуществлена классификация рисков информационных технологий после проведения анализа рисков на основе оценки рисков;
c) должен быть определен общий комплекс аппаратно-программных средств и организационных мер, реализация которых необходима для минимизации существенных рисков, связанных с компонентами ИИ;
d) требуется выявить остаточный риск, который должен быть утвержден руководством конкретного органа публичной власти как приемлемый;
e) все решения по мероприятиям относительно управления рисками ИИ должны быть зарегистрированы и должны гарантировать, что риски уменьшены до приемлемого уровня;
- мониторинг рисков информационных технологий - должны быть определены и настроены контроли и аппаратно-программный комплекс на автоматическую работу или на отслеживание персоналом;
- документирование управления рисками информационных технологий:
a) политика управления рисками – должна определять цели и процессы управления рисками для обеспечения информационной безопасности всех компонентов ИИ;
b) методология анализа рисков – должна устанавливать этапы проведения анализа рисков и требования к ним, а также диапазоны возможных результатов различных параметров;
c) отчет по анализу рисков – должен включать детальные результаты оценки рисков в соответствии с утвержденной методологией;
d) план по управлению рисками – должен включать принятые решения по минимизации рисков информационных технологий на основе отчета по анализу рисков.
2) Требования информационной безопасности к управлению конфигурациями
Для обеспечения информационной безопасности управление конфигурациями компонентов ИИ должно достигать следующих целей:
- точная регистрация детальной информации о компонентах ИИ;
- предоставление точной информации и документации для поддержки других процессов обеспечения информационной безопасности ИИ.
В ходе процесса управления конфигурациями для всех компонентов ИИ должен выполняться следующий перечень действий:
- планирование – должны быть определены стратегия, политика и задачи процесса управления конфигурациями компонентов ИИ; определены средства и ресурсы, необходимые для обеспечения информационной безопасности;
- идентификация - должны быть сформированы процессы поддержки всех компонентов ИИ; регистрированы все компоненты ИИ, взаимоотношения между ними и информация о владельце компонентов или лицах, ответственных за них, и об имеющейся документации по обеспечению информационной безопасности;
- контроль – должно обеспечиваться соответствие операций по добавлению, изменению, замене или удалению компонентов из ИИ внутренним требованиям конкретного органа публичной власти с наличием соответствующего документа;
- мониторинг – должно отслеживаться изменение статусов компонентов ИИ (например, в процессе разработки, в процессе тестирования, в наличии, в процессе использования, выведено из рабочей среды);
- верификация – должен проводиться аудит ИИ на выполнение законодательных и внутренних требований конкретного органа публичной власти;
- отчетность - должна предоставляться информация для других процессов обеспечения информационной безопасности ИИ.
Процесс управления конфигурациями должен быть формально документирован и должна быть назначена ответственность за этот процесс.
3) Требования информационной безопасности к управлению инцидентами
Для обеспечения информационной безопасности управление инцидентами должно быть направлено на достижение следующих целей:
- обеспечение гарантий того, что о событиях и слабостях в системе защиты компонентов ИИ сообщается способом, дающим возможность произвести своевременные корректирующие действия;
- уменьшение или исключение отрицательных воздействий нарушений в ходе непрерывной работы всех компонентов ИИ.
Управление инцидентами всей ИИ должно проводиться согласно следующим этапам:
- обнаружение и регистрация инцидента;
- классификация и первичная поддержка;
- расследование и диагностика;
- разрешение и восстановление;
- закрытие инцидента;
- контроль, мониторинг, отслеживание и коммуникации.
Данные этапы более подробно рассмотрены в следующих технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 5.1 Процесс управления инцидентами;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 5.5.3 Требования к реагированию на инциденты нарушения безопасности.
Процесс управления инцидентами должен быть формально документирован и должна быть назначена ответственность за этот процесс.
4) Требования информационной безопасности к управлению изменениями
Для обеспечения информационной безопасности управление изменениями должно быть направлено на достижение следующих целей:
- определение необходимых изменений ИИ и способов их проведения;
- контроль (отслеживание) проведения изменений в ИИ;
- ограничение числа инцидентов информационной безопасности, вызванных изменениями в ИИ.
К управлению изменениями предъявляются следующие требования:
- периодически должна проводиться инвентаризация всех компонентов ИИ, их классификация и должны быть определены их приоритеты, что позволит отслеживать изменения ИИ;
- при изменении структуры ИИ должна проводиться оценка рисков информационной безопасности, в особенности организационных и технических рисков;
- должен осуществляться мониторинг событий, связанных с изменением конфигураций программных и аппаратных средств;
- должен осуществляться контроль над изменениями, связанными с учетными записями и правами доступа пользователей;
- доступ к данным об изменениях в ИИ должен обеспечиваться лишь уполномоченным лицам;
- все записи об осуществленных изменениях должны периодически проходить аудит.
Процесс управления изменениями должен быть формально документирован и должна быть назначена ответственность за этот процесс.
5) Требования информационной безопасности к управлению непрерывностью
Непрерывность компонентов ИИ отражает способность органов публичной власти возвратить внутренние процессы и системы в случае реализации чрезвычайных ситуаций в нормальное функционирование.
Для обеспечения информационной безопасности обеспечение непрерывности компонентов ИИ должно быть направлено на достижение следующих целей:
- противодействие прерываниям функционирования компонентов и негативных последствий после реализации чрезвычайных ситуаций;
- защита критичных компонентов от воздействия основных сбоев;
- гарантированное своевременное восстановление функционирования компонентов до приемлемого уровня в определенной последовательности и установленные сроки, начиная с момента прерывания.
Необходимость непрерывного функционирования ИИ органов публичной власти требует разработки и поддержки в актуальном состоянии стратегии обеспечения непрерывности ИИ. Для обеспечения непрерывности компонентов ИИ должны поддерживаться три уровня стратегии:
- организационный уровень – должен определять направления, документирование политики, структуру для обеспечения непрерывности критичных компонентов ИИ;
- процессуальный уровень – должен обеспечивать разработку стратегии восстановления ресурсов для каждого критичного компонента;
- уровень восстановления компонентов – должен обеспечивать предопределенный уровень ресурсов, необходимый для реализации предыдущих стратегий.
К стратегии обеспечения непрерывности ИИ предъявляются следующие требования:
- должны учитываться риски остановки внутренних процессов органов публичной власти;
- должен разрабатываться, поддерживаться в актуальном состоянии и тестироваться план действий, нацеленный на восстановление работоспособности компонентов ИИ после реализации чрезвычайных ситуаций;
- необходимо наличие резервного центра для восстановления компонентов ИИ;
- должно проводиться периодическое обучение персонала вопросам обеспечения непрерывности функционирования компонентов ИИ.
Обеспечение непрерывности компонентов ИИ должно состоять из следующих процессов:
- определение основных внутренних процессов – должны быть выявлены основные внутренние процессы органов публичной власти, нарушение непрерывности которых может отразиться на их деятельности;
- инвентаризация информационных ресурсов – должна быть проведена полная инвентаризация всех компонентов ИИ, должны быть определены наиболее критичные компоненты для функционирования органов публичной власти, а также проведена их классификации и установлена приоритетность;
- понимание рисков - для всех критичных компонентов ИИ должны быть выявлены потенциальные риски и возможные уязвимости их реализации для планирования их восстановления, в случае реализации чрезвычайных ситуаций;
- анализ влияния на бизнес – должны быть определены неблагоприятные воздействия при нарушении непрерывности функционирования ИИ на внутренние процессы органов публичной власти, учитывая требования конфиденциальности, целостности и доступности. Анализ должен проводиться как минимум один раз в год или в случае существенных изменений в рамках органов публичной власти;
- стратегия восстановления после чрезвычайных ситуаций – должны определяться действия в условиях аварий и чрезвычайных ситуаций, процессы уведомления об авариях и объявления о них, процессы восстановления компонентов ИИ;
- документирование планов обеспечения непрерывности ИИ – должны составляться планы восстановления компонентов ИИ после аварий, которые должны периодически обновляться, как минимум, один раз в год;
- тестирование планов непрерывности деятельности – должна осуществляться идентификация слабых мест ИИ, которые были пропущены. Полное тестирование планов обеспечения непрерывности ИИ должно проводиться, как минимум, один раз в год;
- программы обучения и повышения осведомленности – должно проводиться обучение сотрудников органов публичной власти по их действиям в условиях чрезвычайных ситуаций;
- внедрение планов обеспечения непрерывности ИИ – должно обеспечиваться эффективное выполнение действий при восстановлении или прерывании функционирования компонентов ИИ.
Эффективный процесс обеспечения непрерывности компонентов ИИ минимизирует возможность и влияние прекращения их функционирования на ключевые и критичные бизнес-процессы органов публичной власти.
Процесс управления непрерывностью должен быть формально документирован и должна быть назначена ответственность за этот процесс.
6) Требования информационной безопасности к аудиту и оценке соответствия
a) Требования информационной безопасности к аудиту
Аудит информационной безопасности компонентов ИИ представляет собой системный процесс получения и оценки объективных данных о текущем состоянии компонентов инфраструктуры с точки зрения информационной безопасности, действиях и событиях, происходящих в ней. Данный процесс должен устанавливать степень соответствия указанных данных определенному уровню безопасности.
Проведение аудита и обеспечение соответствия безопасности должны быть направлены на достижение следующих целей:
- получение наиболее полной и объективной оценки защищенности компонентов ИИ;
- избежание нарушений любых законодательных, уставных, нормативных или договорных обязательств и любых требований обеспечения информационной безопасности;
- локализация имеющихся проблем и разработка эффективной системы обеспечения информационной безопасности всех компонентов ИИ органов публичной власти.
Для обеспечения информационной безопасности к аудиту компонентов ИИ предъявляются следующие требования:
- внутренний аудит должен проводиться ежегодно и под наблюдением администратора безопасности для установления соответствия органов публичной власти важным требованиям;
- в процессе проведения аудита должны рассматриваться успешные и неуспешные действия по:
a) регистрации в системе;
b) управлению учетными записями;
c) доступу к службе каталогов;
d) доступу к объектам;
e) использованию привилегий;
f) исполнению процессов и системных событий;
- должны быть разработаны справочники программ аудита для оказания помощи в проведении аудита;
- каждое структурное подразделение органов публичной власти, в особенности центры обработки данных, должно проводить аудит отдельно, в который должно быть включено: повторная проверка отчетности по деятельности, проверка пользователей и списков учетных записей, а также инвентаризация оборудования и ресурсов;
- кроме внутренних аудитов необходимо выполнять три типа повторных проверок безопасности операций и процедур органов публичной власти:
a) повторная проверка работы с криптографическими средствами защиты информации - должна осуществляться один раз, в результате которой подтверждается выполнение требований безопасности;
b) повторная проверка процедур - должна осуществляться периодически и должна подтверждать выполнение всех требований безопасности;
c) периодический аудит - должен подтверждать степень соответствия национальным стандартам в области обеспечения информационной безопасности;
- информация, полученная в результате проведения первых двух проверок, должна использоваться в процессе проведения аудита;
- кроме внутреннего аудита должен проводиться внешний аудит, как минимум, один раз в четыре года;
- при проведении внешнего аудита необходимо иметь соглашения о конфиденциальности с третьей стороной, проводящей аудит и с сотрудниками ее организации;
- должны использоваться следующие критерии аудита:
a) эффективность - актуальность информации, соответствующего внутреннего процесса органов публичной власти, гарантия своевременного и регулярного получения правильной информации;
b) продуктивность - обеспечение доступности информации с помощью оптимального использования ресурсов;
c) конфиденциальность - обеспечение защиты информации от неавторизованного ознакомления;
d) целостность - точность, полнота и достоверность информации в соответствии с внутренними требованиями органов публичной власти;
e) пригодность - предоставление информации по требованию внутренних процессов органов публичной власти;
f) согласованность - соответствие законам, правилам и договорным обязательствам;
g) надежность - доступ к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.
При проведении внешнего аудита к сторонней организации, которая проводит внешний аудит, должны предъявляться следующие требования:
- организация должна быть зарегистрирована, лицензирована и признана на международном уровне;
- должно быть подтверждение квалификации сертификатами аудиторов в области информационных систем и обеспечения безопасности (международные сертификаты CISМ или CISA);
- должно быть доказательство опыта работы в области технологий и оборудования информационной безопасности, систем аудита безопасности и систем управления криптографической защитой не менее двух лет;
- аудиторы должны обладать способностями использования процедур по аудиту систем управления криптографической защитой открытых ключей.
К этапам проведения аудита должны предъявляться следующие требования:
- перед проведением аудита организация должна провести анализ рисков и должно быть меньше года с проведения последнего аудита;
- планирование:
a) аудиторы должны устанавливать отношения с организацией и определять цели аудита;
b) аудит должен распространяться на: процедуры проверки личности пользователей, безопасность программного обеспечения и доступа к сети, журналы событий и процессы мониторинга системы, архивирование и восстановление данных, записи об изменении параметров конфигурации компонентов ИИ и записи об анализах и проверках программных приложений и технических устройств;
- аудиторы должны развивать понимание, которое является достаточным для осуществления соответствующих методов контроля, для удовлетворения требований;
- проверка информационных технологий:
a) аудиторы должны устанавливать основные приоритеты рисков для значимых зон;
b) аудиторы должны определить степень соответствия контролей установленным требованиям;
c) аудиты должны проводиться в соответствии с правилами, определенными действующим законодательством, и внутренними положениями органов публичной власти;
- согласование/подписание/выпуск:
a) на этапе отчетности аудиторы должны подготовить отчет независимого аудита безопасности;
b) в отчете по аудиту безопасности обязательно должны быть отражены: оценка качества и непрерывности деятельности, соответствие деятельности органов публичной власти требованиям политики безопасности, достаточность мер по обеспечению информационной безопасности компонентов ИИ, анализ функций управления рисками, выполнение требований по обеспечению непрерывности деятельности и соответствие программно-технического комплекса предъявляемым требованиям.
c) перед предоставлением кому-то отчета по аудиту необходимо, чтобы соответствующая персона подписала соглашение о конфиденциальности;
d) необходимо представлять отчет в формате, сохраняющем целостность документа, например: формат PDF с паролем;
e) все копии отчета по аудиту должны быть пронумерованы и в отчет должна быть внесена следующая запись «Копия № <номер> была выдана <название организации> на основе соглашения о конфиденциальности. Не должна передаваться».
b) Требования информационной безопасности к оценке соответствия
Оценка соответствия информационной безопасности ИИ должна обеспечивать уверенность в соответствии компонентов ИИ установленным требованиям информационной безопасности. Оценка соответствия должна проводиться периодически, но не реже чем один раз в год, а также при существенных изменениях в компонентах ИИ и угрозах безопасности.
При успешном проведении оценки соответствия уполномоченными органами, осуществляющими государственный контроль соблюдения требований безопасности информационных технологий, среди которых Национальное агентство по регулированию в области электронных коммуникаций и информационных технологий (НАРЭКИТ), должен выдаваться сертификат соответствия.
Для обеспечения информационной безопасности ИИ при проведении оценки соответствия должны оцениваться:
- соответствие мер и средств обеспечения информационной безопасности требованиям, определенным в действующем законодательстве;
- правильность применения мер и средств обеспечения информационной безопасности;
- правильность действий по устранению последствий инцидентов нарушения безопасности и нейтрализации уязвимостей.
Для получения данных о состоянии информационной безопасности компонентов ИИ должен выполняться перечень следующих действий:
- должен проводиться анализ эффективности мер и средств обеспечения информационной безопасности в противодействии, имевшим место инцидентам нарушения безопасности;
- должны проводиться проверки и испытания мер и средств обеспечения информационной безопасности на соответствие требованиям безопасности;
- должны проводиться испытания на проникновение для оценки возможности использования уязвимостей для нарушения безопасности;
- должны использоваться специализированные аппаратные и программные средства для контроля состояния средств обеспечения информационной безопасности и выявления уязвимостей.
В случае обнаружения нарушений по обеспечению информационной безопасности ИИ НАРЭКИТ налагает административные санкции в предусмотренном законом порядке и выносит решение о прекращении нарушения и/или о принятии мер по устранению его последствий.
К уполномоченным органам, осуществляющим государственный контроль соответствия требованиям информационной безопасности компонентов ИИ, предъявляются следующие требования:
- должно быть подтверждение квалификации сертификатами специалистов в области информационных систем и обеспечения безопасности (международные сертификаты CISМ или CISA), осуществляющих контроль;
- должно быть доказательство опыта работы в области технологий и оборудования информационной безопасности, систем аудита безопасности и систем управления криптографической защитой не менее трех лет;
- специалисты уполномоченных органов должны обладать способностями использования процедур по аудиту систем управления информационной безопасностью, криптографической защитой открытых ключей.
7. Требования информационной безопасности к процессам управления информационной инфраструктуры в рамках процессного подхода
Требования к информационной безопасности ИИ должны определяться для всех процессов управления компонентами ИИ:
- планирование и разработка – определение требований к информационной безопасности при создании и/или улучшении безопасных компонентов ИИ;
- внедрение - реализация компонентов ИИ в соответствии с планами и требованиями нормативных и законодательных актов, а также тестирование требований к информационной безопасности при внедрении и запуске в эксплуатацию компонентов ИИ;
- оценка – получение систематизированных и достоверных данных о состоянии компонентов ИИ на основе анализа и контроля соответствия требованиям информационной безопасности;
- сопровождение - ежедневная работа с компонентами ИИ по поддержанию их эффективного функционирования с соблюдением критериев информационной безопасности, посредством отслеживания инцидентов и проблем, связанных с информационной безопасностью.
1) Требования к обеспечению информационной безопасности при планировании и разработке компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс планирования и разработки компонентов ИИ, а также разработаны стратегии и планы мероприятий по внедрению компонентов ИИ.
При планировании и разработке компонентов ИИ должны быть разработаны следующие документы:
- архитектура компонентов ИИ, схематические диаграммы и топология;
- стратегии и планы мероприятий по внедрению компонентов ИИ, которые должны, как минимум, включать:
a) обоснование необходимости внедрения компонентов;
b) расчет бюджета затрат и обоснование целесообразности затрат;
c) описание используемых технологий (например, майнфреймы, распространенные системы, сети и мобильные устройства) и их совместимости с существующими компонентами ИИ;
d) документирование архитектуры и структуры ИИ;
e) документирование процессов и процедур управления ИИ;
- стратегия по обеспечению информационной безопасности всех компонентов ИИ – должна быть определена концепция обеспечения ИИ органов публичной власти;
- политика обеспечения информационной безопасности для каждого компонента ИИ, которая должна, как минимум, включать:
a) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
b) изложение целей и принципов информационной безопасности;
c) краткое изложение наиболее существенных политик безопасности, принципов, правил и требований;
d) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью;
e) ссылки на более детальные политики и процедуры безопасности, дополняющие политику информационной безопасности;
- план по обеспечению информационной безопасности для каждого компонента ИИ, который должен, как минимум, включать:
a) детальные действия по достижению целей обеспечения информационной безопасности;
b) детальные действия по внедрению аппаратно-программного комплекса;
c) процедуры улучшения процесса обеспечения информационной безопасности;
d) процедуры проведения тренингов и семинаров по обучению персонала;
e) процедуры повышения осведомленности персонала.
Документация, разработанная в ходе данного процесса, должна соответствовать следующим требованиям:
- должна быть согласована с требованиями законодательства и функционирования органов публичной власти и требованиями информационной безопасности к компонентам ИИ;
- должна соответствовать установленным целям работ и оценки компонентов ИИ;
- должна основываться на существующих информационных системах и компонентах ИИ;
- должна использоваться для координации, планирования и управления всеми компонентами ИИ;
- должна описывать ключевые риски, которые необходимо минимизировать;
- должна обеспечивать направления и мотивацию сотрудников, работающих с компонентами ИИ;
- должна быть утверждена уполномоченными лицами.
b) Требования к рискам информационных технологий
Риски при планировании и разработке компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- неадекватные финансовые, технические, человеческие ресурсы, бюджет и период времени, запланированные для компонентов;
- неэффективное использование ресурсов, преувеличенные расходы и инвестиции;
- недостаточные знания и навыки персонала;
- отсутствие взаимодействия между ответственными за управление компонентами ИИ и руководством подразделений органов публичной власти;
- ограничения, связанные с применением старых технологий, систем и сетей;
- недостаток в инструментальных средствах, стандартах и навыках для документирования, обоснования и анализа совместимости компонентов при интеграции;
- отсутствие информации для мониторинга, контроля и оценки.
c) Требования к мероприятиям по планированию и разработке компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса планирования и разработки компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- проверка согласованности между планированием компонентов ИИ и годовыми планами и задачами конкретного органа публичной власти, а также фактических результатов по реализации планов и задач;
- проверка совместимости и возможности интеграции новой компоненты с существующими компонентами ИИ, рассматривая процессы управления и архитектуру каждого компонента;
- определение вида разработки новой компоненты ИИ:
a) функциональная разработка – должен быть сформирован набор функциональных спецификаций требований и критериев к компоненте;
b) техническая разработка – должны быть определены технические параметры новой компоненты в текущей ИИ (например, использование протокола сети, конфигурации систем, версии, платформа);
- обзор текущего состояния компоненты – должны быть проведены анализ существующих процессов и процедур управления компонентами ИИ и анализ архитектуры построения и структуры всех компонентов ИИ;
- определение требуемого состояния компоненты – должны быть разработаны спецификации и требования для желаемого состояния компоненты;
- разработка плана перехода в требуемое состояние компоненты;
- анализ возможностей возникновения новых рисков информационной безопасности, связанных с внедрением новой компоненты;
- выполнение процессов обеспечения информационной безопасности компонентов ИИ в режиме 24*7;
- планирование эффективного использования человеческих ресурсов, процессов и технологий для обеспечения информационной безопасности компонентов ИИ;
- осуществление анализа следующих аспектов:
a) выгоды от внедрения новой компоненты ИИ;
b) функциональные и технические требования и потребности новой компоненты ИИ;
c) стоимость изменения компоненты ИИ;
d) стабильность функционирования новой компоненты ИИ и ее ожидаемая продолжительность жизненного цикла;
e) анализ и управление рисками, связанными с внедрением новой компоненты ИИ;
f) степень влияния новой компоненты на общую структуру ИИ и на функционирование органа публичной власти;
g) планируемая стоимость установки, тестирования, внедрения и сопровождения новой компоненты ИИ;
h) ценность инновационного решения при выборе новой компоненты;
i) степень противоречивости новой компоненты с текущими компонентами ИИ;
j) потребность в обеспечении непрерывности функционирования компонентов;
k) зависимость от поставщиков, партнеров;
l) соотношение цены и качества;
m) потребность в обеспечении целостности компонентов ИИ;
n) потребность в работе обслуживания и надежности.
2) Требования к обеспечению информационной безопасности при внедрении компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс внедрения компонентов ИИ, а также разработаны планы мероприятий по внедрению компонентов ИИ.
Для внедрения компонентов ИИ должны быть разработаны следующие документы:
- план развертывания компонентов ИИ, который должен как минимум включать:
a) описание компоненты;
b) сроки;
c) выполняемые действия по внедрению компоненты;
d) требуемые ресурсы для внедрения каждой компоненты ИИ;
e) ответственные лица;
- план интеграции компонентов ИИ, который должен как минимум включать следующие уровни интеграции:
a) интеграция событий (системы обмена сообщениями) – способность обмениваться информацией между компонентами ИИ;
b) интеграция данных – способность распространять общий набор данных разным компонентам ИИ;
c) функциональная интеграция – способность компонентов ИИ взаимодействовать и согласовывать их функциональное поведение друг с другом.
b) Требования к перечню рисков информационных технологий
Риски при внедрении компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- отклонение от запланированных показателей времени и использования ресурсов;
- недостаточная компетентность и навыки персонала;
- ненадлежащее планирование, что вызывает несоблюдение запланированного периода времени выполнения работ;
- отсутствие взаимодействия между ответственными лицами за внедрение компонентов ИИ и руководством подразделений органов публичной власти;
- несоответствующие инструментальные средства или неадекватное обучение эффективному их использованию;
- недостаточный контроль над процессом внедрения компонентов ИИ.
c) Требования к мероприятиям по внедрению компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса внедрения компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- инициирование и утверждение планов развертывания компонентов и необходимых для этого ресурсов;
- выполнение принятых планов развертывания компонентов в соответствии с руководящими принципами и нормами конкретного органа публичной власти;
- анализ рисков, которые могут возникнуть при внедрении компонентов ИИ;
- проведение блочного, функционального, нефункционального, нагрузочного, интеграционного, системного и приемочного тестирования и тестирования по безопасности новой компоненты ИИ, регистрация полученных результатов, ошибок и причин их появления;
- при успешном тестировании утверждение готовности компоненты к интеграции с существующими компонентами ИИ;
- осуществление интеграции компонентов ИИ, обеспечивая единую интегрированную систему органов публичной власти;
- установление контролей безопасности после внедрения новых компонентов инфраструктуры;
- анализ уровня соответствия функциональных и технических характеристик компонентов существующим требованиям функционирования конкретного органа публичной власти;
- обеспечение защищенности информации, полученной в ходе внедрения компонентов ИИ;
- обеспечение конфиденциальности и целостности данных, находящихся или передаваемых с помощью компонентов ИИ;
- осуществление контроля версий компонентов ИИ;
- информирование пользователей по вопросам безопасности компонентов ИИ.
3) Требования к обеспечению информационной безопасности при оценке компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс оценки компонентов ИИ.
Для проведения оценки компонентов ИИ должен быть разработан план оценки компонентов ИИ, включающий как минимум:
- процедуры оценки по всем критичным компонентам ИИ;
- процедуры оценки по всем этапам жизненного цикла компонентов ИИ;
- масштаб оценки компонентов ИИ;
- требуемый уровень детализации проводимой оценки компонентов ИИ;
- необходимые ресурсы для оценки компонентов ИИ.
b) Требования к рискам информационных технологий
Риски при оценке компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- отклонение от запланированных показателей времени и использования ресурсов;
- некорректные цели и действия по процессам планирования и внедрения компонентов ИИ;
- недостаточный контроль показателей процессов планирования и внедрения компонентов ИИ.
c) Требования к мероприятиям по оценке компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса оценки компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- оценка результатов и динамики функционирования компонентов ИИ с точки зрения соблюдения критериев информационной безопасности;
- оценка уровня зрелости для каждой компоненты ИИ;
- оценка эффективности выполнения планов внедрения для всех компонентов ИИ;
- формирование отчетов по выявленным ошибкам, проблемам и возможным воздействиям на компоненты ИИ от реализации угроз информационной безопасности;
- подготовка рекомендаций по модернизации компонентов ИИ;
- контроль следующих параметров контрольных средств информационной безопасности:
a) параметры, связанные с сервисами безопасности:
- наличие средств протоколирования и аудита для критичных компонентов ИИ;
- уровень и степень эффективности механизмов идентификации и аутентификации;
- применение технологий, обеспечивающих коммуникацию в форме «отправитель-получатель»;
- наличие средств защиты данных пользователей;
b) параметры, связанные с инфраструктурой:
- наличие средств криптографической защиты информации;
- применение мер по управлению безопасностью;
- наличие средств, разграничивающих доступ к объектам ценки;
c) параметры, связанные с обязательным прохождением всех этапов жизненного цикла компонентов ИИ:
- проектирование и разработка компонентами ИИ;
- управление конфигурациями компонентов ИИ;
- тестирование компонентов ИИ, с учетом оценки уязвимостей;
- поставка и эксплуатация компонентов ИИ;
- контроль показателей исполнения и качества:
a) показатели исполнения, определяющие характеристики выполнения работ по внедрению компонентов ИИ посредством сравнения запланированных и фактических затрат на достижение поставленных целей;
b) показатели качества, измеряющие пригодность компоненты для всей ИИ для реализации ее целей и функций.
В результате оценки компонентов ИИ должны быть получены систематизированные и достоверные данные о состоянии ИИ, необходимые для принятия решений и оперативного управления компонентами ИИ.
4) Требования к обеспечению информационной безопасности при обслуживании компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс обслуживания компонентов ИИ.
Для обеспечения информационной безопасности при обслуживании компонентов ИИ, должны быть разработаны:
- план обслуживания компонентов ИИ, включающий как минимум:
a) типы выполняемого обслуживания;
b) порядок сопровождения документации по использованию компонентов ИИ;
c) организационные работы и работы по обслуживанию;
d) ресурсы;
e) необходимый уровень квалификации персонала по обслуживанию;
f) организация службы поддержки клиентов;
g) отчетность;
- план действий, нацеленный на восстановление работоспособности компонентов ИИ после реализации чрезвычайных ситуаций, который должен включать:
a) действия по предотвращению инцидентов;
b) действия во время инцидентов;
c) действия по устранению последствий инцидентов и восстановлению работоспособности ИИ.
b) Требования к рискам информационных технологий
Риски при обслуживании компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- недостаточная доступность требуемых ресурсов для обслуживания компонентов и неэффективное их использование;
- неэффективное использование ресурсов, что вызывает преувеличенные расходы на обслуживание ИИ;
- недостаточный уровень квалификации и навыков персонала по обслуживанию;
- отсутствие информации для мониторинга, контроля и оценки.
c) Требования к мероприятиям по обслуживанию компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса обслуживания компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- согласование и подтверждение задач по обслуживанию ответственными лицами органов публичной власти;
- в разрезе управления всеми событиями, связанными с ИИ:
a) мониторинг и обнаружение событий, связанных с неправильными ситуациями и условиями компонентов ИИ;
b) ведение журналов событий, связанных с компонентами ИИ;
c) обработка, эскалация и решение обнаруженных событий;
d) составление отчетности о событиях всей ИИ;
- в разрезе операционного контроля и управления конфигурациями компонентов ИИ:
a) установка нового или измененного компонента в ИИ;
b) демонтаж старого или устаревшего компонента;
c) распределение исправленных или новых конфигураций компонентов ИИ;
d) установка операционных параметров и признаков компонентов ИИ согласно определенным стандартам и требованиям;
- в разрезе управления хранением, резервным копированием и восстановлением компонентов ИИ:
a) хранение и распределение компонентов ИИ;
b) применение системы резервного копирования и восстановления;
- осуществление мониторинга и контроля событий, связанных со всеми компонентами ИИ;
- осуществление проверки и отслеживания уровня безопасности компонентов ИИ;
- осуществление контроля и управления доступом к информационным ресурсам и самим компонентам ИИ;
- контроль параметров обслуживания, включая:
a) стабильность и надежность компонентов ИИ;
b) документация, содержащая данные по обслуживанию компонентов;
c) регистрация или база данных всех событий обслуживания, тревог и сигналов.
8. Требования к обеспечению информационной безопасности информационной инфраструктуры в рамках системного подхода
1) Требования к аппаратным средствам
Для обеспечения информационной безопасности аппаратных средств должны выполняться следующие обязательные требования:
- должны использоваться лишь аппаратные средства, прошедшие соответствующую сертификацию;
- должна осуществляться проверка технических средств на наличие негативных функциональных возможностей;
- аппаратные средства должны соответствовать требованиям по защите информационных ресурсов от утечки по техническим каналам;
- аппаратные средства должны обеспечивать возможность идентификации и аутентификации субъектов доступа к ним, управления доступом и проведения аудита событий безопасности, связанных с их использованием;
- аппаратные средства, обеспечивающие информационную безопасность, не должны позволять модифицировать или искажать алгоритм работы технических средств;
- аппаратные средства должны быть защищены от воздействий со стороны внешних сетей передачи данных;
- необходимо выполнять постоянный контроль целостности аппаратных средств;
- должны быть в наличии резервные аппаратные средства;
- должны вестись регистрация и учет использования аппаратных средств;
- при подключении нового аппаратного средства:
a) новое подключаемое оборудование должно регистрироваться;
b) оборудование должно быть закреплено за сотрудником, берущим на себя ответственность за его эксплуатацию;
c) ответственное лицо обязано сообщать уполномоченному лицу о перемещении оборудования в иное помещение, об изменении комплектации, о сдаче в ремонт, о передаче ответственности за оборудование другому лицу.
Для обеспечения информационной безопасности ИИ должны выполняться следующие требования к серверам:
- серверы и оборудование электронных коммуникаций должны быть размещены в специальном безопасном помещении;
- сервера постоянно должны находиться в режиме ручного или электронного обнаружения несанкционированного доступа;
- должны устанавливаться только необходимые сервисы и приложения;
- необходимо применять жесткие требования к доступу для выполнения различных операций, особенно для модификации содержимого и конфигурации серверов;
- для передачи критичных информационных ресурсов должны использоваться защищенные каналы;
- требуется управлять доступом к данным на сервере, а также обеспечивать целостность и аутентичность данных;
- должны использоваться матрицы доступа к содержимому серверов, определяющие, какие папки и файлы внутри директории сервера имеют ограничения по доступу;
- необходимо шифровать трафик удаленного администрирования серверов;
- требуется использовать механизмы аутентификации пользователей серверов, включая цифровые подписи и другие криптографические механизмы;
- необходимо использовать системы обнаружения проникновений, основанных на хосте и/или проверки целостности файлов;
- необходимо обеспечить постоянную защиту серверов от вирусов и вредоносного кода;
- необходимо вести протоколирование всех событий и действий пользователей и деятельности серверов для определения проникновения и попыток проникновения;
- требуется проводить контроль целостности программного обеспечения и конфигураций серверов;
- необходимо осуществлять мониторинг любой подозрительной активности на серверах (например, активность в ночное время, многократные попытки авторизации);
- требуется обеспечивать репликацию критичных серверов и архивирование наиболее критичных информационных ресурсов;
- должны использоваться процедуры восстановления серверов;
- требуется периодически проводить тестирование безопасности серверов.
Для обеспечения информационной безопасности ИИ должны выполняться следующие требования к рабочим станциям:
- требуется использовать механизмы аутентификации пользователей рабочих станций;
- должен ограничиваться доступ к информационным ресурсам рабочих станций в соответствии с требованиями для выполнения своих обязанностей;
- необходимо разграничить права доступа к выполнению различных операций пользователями для предотвращения несанкционированных действий сотрудников (например, печать на принтер, копирование данных через буфер обмена, экспорт данных в локальные форматы);
- для передачи критичных информационных ресурсов должны использоваться защищенные каналы;
- должна обеспечиваться постоянная защита рабочих станций от вирусов и вредоносного кода;
- требуется периодически проводить контроль целостности программного обеспечения и конфигураций серверов;
- должен осуществляться мониторинг и управление аппаратными и программными средствами рабочих станций;
- должен вестись журнал событий и операций пользователей, связанных с информационной безопасностью;
- должно выполняться архивирование, шифрование критичных данных, располагаемых на рабочих станциях;
- требуется обеспечить безопасное внедрение и настройку приложений для рабочих станций;
- должна обеспечиваться физическая безопасность рабочих станций.
2) Требования к операционным системам
Для обеспечения информационной безопасности ИИ должны выполняться следующие обязательные требования к операционным системам:
- каждый пользователь должен быть идентифицирован уникальной учетной записью и паролем для входа в систему.
- должны использоваться средства криптографической защиты для хранения паролей операционных систем;
- при удаленном доступе к операционной системе должны использоваться криптографические протоколы во избежание передачи пароля по сети в открытом виде;
- доступ к рабочей станции должен предоставляться лишь после успешной аутентификации;
- система должна использовать матрицы доступа в соответствии с уровнями защищенности информации;
- система должна обеспечивать протоколирование и отслеживать действия пользователей;
- операционная система должна защищать объекты от повторного использования;
- системный администратор должен вести учет всех событий, относящихся к безопасности операционных систем;
- система должна поддерживать защиту от внешнего влияния, такого как модификация загруженной системы или системных файлов, хранящихся на диске.
Для обеспечения информационной безопасности компонентов ИИ должны применяться следующие средства защиты операционных систем:
- базовые технологии безопасности:
a) механизмы идентификации, аутентификации, авторизации;
b) наличие защищенных каналов передачи данных;
c) криптографические средства защиты информации;
d) средства аудита и мониторинга;
- технологии аутентификации:
a) механизмы сетевой аутентификации на основе многоразового пароля;
b) механизмы аутентификации с использованием одноразового пароля;
c) механизмы аутентификации информации;
- средства восстановления и защиты операционных систем от сбоев:
a) средства защиты системных файлов операционных систем;
b) наличие безопасного режима загрузки операционной системы;
c) наличие консоли восстановления;
d) наличие диска аварийного восстановления;
e) средства резервного копирования и восстановления.
3) Требования к базам данных
Доступ к базам данных является важным аспектом в управлении органов публичной власти и в выполнении функций обработки, хранения и манипулирования информацией.
База данных составляет интегрированную часть ИИ органов публичной власти и содержит ценную критичную информацию, что требует соблюдения обязательных требований к базам данных:
- требуется обеспечить безопасность архитектуры и структуры баз данных;
- должен осуществляться мониторинг действий всех пользователей в базах данных;
- запрещается хранить информацию баз данных в незащищенных условиях;
- должен быть исключен неавторизированный ручной доступ к базам данных;
- требуется обеспечить безопасный вход в базы данных;
- должна обеспечиваться безопасность паролей баз данных;
- должна обеспечиваться надежность баз данных через наделение соответствующих разрешений и прав доступа к объектам и ресурсам;
- должен осуществляться контроль доступа к данным в базах данных;
- должно осуществляться резервное копирование и восстановление баз данных;
- должна обеспечиваться безопасность сетевых соединений к базам данных с другими приложениями или системами;
- должен проводиться аудит и мониторинг баз данных;
- требуется обеспечить физическую безопасность баз данных.
4) Требования к сетям
Для обеспечения информационной безопасности компонентов ИИ в обязательном порядке должны выполняться общие требования к сетям:
- каждая сеть должна включать собственную инфраструктуру (рутеры, свитчи и серверы) и выполнять собственные специфические приложения;
- должна обеспечиваться сохранность сетей и серверного оборудования;
- все соединения администраторов, включая доступ на расстоянии, должны соответствовать высоким требованиям безопасности.
При построении локальных сетей должны использоваться следующее оборудование и технологии:
- управляемый свитч, предоставляющий возможности администрирования конфигурации локальной сети;
- модем, обеспечивающий работу пользователей в Интернете;
- рутеры, обеспечивающие трафик между локальными сетями, имеющими разные сетевые адреса;
- сервер авторизации доступа, обеспечивающий организацию доступа к ресурсам и разграничение доступа к своим ресурсам и ресурсам других сетей.
Для разграничения доступа к сети пользователей должны применяться различные методы защиты сетей:
- метод, основанный на ограничении физического доступа к сети;
- метод, основанный на преобразовании сигналов в линии к форме, исключающей для нарушителя восприятие или искажение содержания передачи (логический доступ).
Для ограничения доступа пользователей к сети должны применяться следующие способы ограничения доступа:
- ограничение доступа к узлу – с помощью средств аутентификации пользователей и проверки корректности их запросов должны ограничиваться запросы с удаленных рабочих станций, создаваться списки хостов, которым разрешено подключаться к сети;
- ограничения пересылки почты – с помощью файла, в котором должны быть указаны узлы, которым разрешено (запрещено) использовать сервер;
- ограничение доступа пользователей к ресурсам – должны использоваться файлы, первый из которых должен представлять собой таблицу доступа пользователей, второй файл должен определять полномочия привилегированных пользователей и третий файл должен включать ограничения ресурсов для пользователя или группы пользователей.
5) Требования к инфраструктуре сети
Для обеспечения информационной безопасности компонентов ИИ к инфраструктуре сети органов публичной власти предъявляются следующие требования:
- требуется осуществлять контроль подключения к сети между двумя рабочими станциями для контроля соответствия подключения требованиям и целям безопасности органов публичной власти;
- требуется защищать от нарушителей информацию ограниченного доступа, разглашаемую посредством сети, используя следующие средства сетей:
a) файерволы - для разделения локальных и глобальных сетей;
b) рутеры - для фильтрации трафика сети;
c) системы предотвращения вторжений;
d) свитчи - для предупреждения повреждения пакетов данных;
- необходимо обеспечение шифрования всей критичной информации, используя средства криптографической защиты, передаваемой по сетям;
- требуется наличие альтернативной сети электронных коммуникаций для переадресовки данных в случае блокировки отправки;
- необходимо разделение сетей, согласно целям и выполняемым функциям в органах публичной власти.
6) Требования к средствам сетей
Для обеспечения информационной безопасности ИИ обязательно должны использоваться следующие средства сети:
a) свитчи;
b) рутеры;
c) файерволы.
a) Требования к свитчам
Общие пользовательские зоны должны быть защищены посредством безопасности конфигурации свитчей, безопасности подключений к свитчам, безопасности компонентов свитчей, безопасности файловой системы свитчей, авторизации, предоставляемых механизмов аутентификации, точности, процедур восстановления.
К конфигурации свитчей предъявляются следующие требования:
- пароль загрузки операционной системы или программы должен быть установлен и сконфигурирован таким образом, чтобы запрашивать пароль при загрузке системы;
- авторизация программы должна быть правильно сконфигурирована для предотвращения дестабилизации системы пользователями;
- в журналы ведения событий свитча должны включаться записи:
a) использования привилегированных команд (например, доступ к привилегированному счету, файлы по аудиту или файлы настройки системы);
b) запуска и закрытия свитча, сетевого средства;
c) неудавшихся испытаний с данными или обменом;
d) создания и удаления пользователей;
e) ввода и удаления данных из архива;
f) изменения профилей безопасности пользователей, управления и атрибутов;
g) изменения прав по отношению к контролю ограниченного доступа.
Требования к предотвращению заражения вредоносными кодами файловой системы включают следующее:
- все файлы выполняемые суперпользователем (Unix) или администратором (Windows) должны принадлежать соответствующей учетной записи и не могут быть использованы на общем уровне или на уровне группы;
- необходимо обеспечивать интегрированность файлов, используемых на общем уровне или на уровне группы, для этого требуется идентифицировать все файлы системы, которые могут быть использованы на общем уровне, и ограничить общий доступ;
- все файлы и директории, которые могут быть прочитаны на общем уровне, должны находиться под наблюдением администраторов. Запрещается наличие программ, используемых на общем уровне.
b) Требования к рутерам
Рутеры должны реализовать контроль трафика сети посредством выполнения своих первичных функций. Рутеры должны выполнять и другие функции, такие как фильтрация, определяя тип трафика разрешенного в сети и направляя пакеты по их назначению.
К рутерам предъявляются следующие требования:
- рутеры должны поддерживать операции соединения, базирующиеся на паролях или на других методах безопасности;
- рутер должен обеспечивать первую линию защиты путем сортировки определенных типов трафика, используя список контроля доступа;
- доступ к рутерам должен иметь лишь уполномоченный персонал. Если рутеры имеют возможность контроля на расстоянии, то необходимо дезактивировать сетевые входы в них;
- необходимо авторизовать адрес безопасности для предотвращения доступа в сеть с неавторизированных рабочих станций;
- все списки контроля доступа должны быть соответственно сконфигурированы для гарантии обеспечения информационной безопасности ИИ;
- должна обеспечиваться сохранность файлов конфигурации рутеров, доступ к которым должен быть только у уполномоченного персонала;
- необходимо устанавливать и использовать последнюю версию операционной системы рутеров для актуализированной функциональности элементов безопасности и исправления неполадок программного обеспечения;
- должны конфигурироваться списки доступа для разрешения лишь необходимых протоколов для соответствующей дирекции. Сортировка нежелательных протоколов должна ограничивать доступ к сетям организаций;
- должны осуществляться процедуры администрирования, изменения паролей, при необходимости изменения списка доступа для добавления/изменения/удаления протоколов или правил настройки;
- должны использоваться методы аутентификации для рутеров, доступ к которым должен быть лишь у уполномоченного персонала;
- требуется менять пароли, когда происходят изменения в составе персонала, а также по истечении определенного периода времени.
c) Требования к файерволам
Для обеспечения постоянного обеспечения необходимого уровня информационной безопасности должны использоваться файерволы. Файерволы в комбинации с рутерами должны обеспечивать большее ограничение для неавторизированного доступа, чем использование только рутеров или файерволов.
Файерволы должны:
- быть спроектированы специально для обеспечения информационной безопасности;
- быть сконфигурированы для обеспечения необходимого трафика в сетях;
- обладать способностью экстенсивного подключения учетных записей, что относится к идентификации пользователей, типу трафика, типу приложения и контролю количества отправленных, принятых и отклоненных пакетов.
Для обеспечения информационной безопасности ИИ должны соблюдаться следующие требования использования файерволов инфраструктуры сетей органов публичной власти:
- на минимальном уровне файервол должен разделять Интернет и другие публичные сети от локальных сетей органов публичной власти;
- должны использоваться криптографические средства для передачи критичных данных через файервол;
- набор правил файервола должен соответствовать списку доступа рутера;
- набор правил файервола и списки доступа должны разрешать только возможности сети, необходимые для производственных услуг;
- должны соблюдаться специфические процедуры органов публичной власти, при необходимости изменить список доступа для добавления/изменения/удаления протоколов или правил настройки;
- должна обеспечиваться сохранность файерволов.
7) Требования к средствам поддержки функционирования информационной инфраструктуры
Для повышения качества и надежности функционирования органов публичной власти к средствам поддержки функционирования информационной инфраструктуры предъявляются следующие обязательные требования:
- должен обеспечиваться комплексный учет и контроль информационных ресурсов;
- должен осуществляться мониторинг использования приложений на серверах, рабочих станциях и других клиентских устройствах;
- должен обеспечиваться учет и инвентаризация программных и аппаратных средств;
- должно осуществляться распространение исправлений и обновлений, управление системными конфигурациями и откат инсталляций на различных программных и аппаратных платформах, создавая условия для повышения оперативности работы органов публичной власти;
- должно обеспечиваться надежное и безопасное удаленное администрирование серверов, рабочих станций и сетевых приложений, а также безопасное удаленное управление пользователей;
- должна проводиться проверка доступности и производительности компонентов инфраструктуры;
- должно обеспечиваться хранение и управление информационными ресурсами;
- должна поддерживаться передача голосовых, цифровых и видеоданных;
- должно осуществляться тестирование различных конфигураций и оценку изменений производительности при модификации настроек систем;
- должна поддерживаться функция взаимной аутентификации серверов.
8) Требования к мультимедийным средствам
Для обеспечения информационной безопасности компонентов ИИ к средствам мультимедиа предъявляются следующие требования:
- должна обеспечиваться безопасность сетевой архитектуры, предназначенной для передачи мультимедийного трафика;
- должна обеспечиваться целостность мультимедийных данных при их передаче;
- должна обеспечиваться защита от потери пакетов мультимедиа и от их неавторизованной обработки;
- пропускная способность должна распределяться в зависимости от выполняемых функций;
- должны использоваться алгоритмы сжатия мультимедийных данных без потерь для дальнейшего их восстановления;
- должна обеспечиваться своевременная и правильная передача мультимедийных данных;
- должны использоваться средства сохранения графических файлов и файлов звукового сопровождения.
9) Требования к центру электронного правления
Центр электронного правления должен выполнять следующие обязательные действия:
- обработка обращений и обеспечение первичной связи с заказчиком;
- ведение журналов записей и отслеживание инцидентов;
- информирование заказчиков о статусе запросов и о ходе их выполнения;
- осуществление первоначальной оценки запросов и их разрешение или перенаправление специальным группам обслуживания;
- осуществление процедур мониторинга;
- управление жизненным циклом запроса, включая закрытие и верификацию;
- оповещение заказчиков о планируемых и краткосрочных изменениях в обслуживании;
- предоставление управленческой информации и рекомендаций по улучшению обслуживания;
- выявление потребностей заказчика в тренингах и обучении;
- закрытие инцидентов и подтверждение закрытия у заказчика;
- участие в идентификации проблем.
Для решения различных вопросов управления к центру электронного управления предъявляются требования по:
- организационной структуре (отдельный офис, несколько офисов или центральный офис; количество поддерживаемых заказчиков; часы, в которые должна обеспечиваться поддержка; языки общения персонала центра электронного правления и заказчиков);
- охвату, количеству и типам приложений, которые необходимо поддерживать (стандартные, специализированные, сделанные на заказ);
- общим требованиям организации;
- сетевой инфраструктуре;
- охвату, количеству и типам аппаратного обеспечения/технологий, которые необходимо поддерживать;
- обновлению технологий;
- классификации запросов;
- наличию навыков пользователей;
- количеству сотрудников центра электронного правления.
В случае если предоставляется круглосуточная поддержка, должны учитываться следующие вопросы:
- возможность взаимодействия систем/средств электронных коммуникаций;
- доступность и поддержка на местных языках;
- необходимость в многоязычном персонале центра электронного правления;
- использование согласованных процессов управления инцидентами.
9. Требования к мерам и средствам обеспечения информационной безопасности информационной инфраструктуры в рамках подхода структуризации
1) Требования к идентификации, аутентификации и авторизации
Управление идентификацией, аутентификацией и авторизацией должно обеспечивать безопасность, доверие и защиту идентифицируемых пользователей и доступа к компонентам ИИ.
Структура управления идентификацией, аутентификацией и авторизацией должна включать следующие компоненты:
- видение безопасности компонентов ИИ, которое должно содержать:
a) важность информационной безопасности компонентов ИИ;
b) потребность в защите информационных ресурсов;
c) описание управления данными информационных ресурсов;
d) подход риск-менеджмента;
- стратегия управления идентификацией, аутентификацией и авторизацией, которая должна содержать:
a) цели управления идентификацией, аутентификацией и авторизацией;
b) критерии и факторы успеха;
c) ожидаемые преимущества для бизнеса, такие как улучшенные процессы, уменьшение стоимости, повышение качества предоставления услуг и повышение производительности;
- политика и стандарты - определяют подход к управлению или действиям для обеспечения защиты, доверия и соответствия требованиям законодательства и аудита;
- архитектура управления идентификацией, аутентификацией и авторизацией, которая должна содержать:
a) репозиторий для пользовательских учетных записей и их профилей;
b) непрерывное наблюдение за управлением жизненным циклом пользовательских профилей;
c) различные методы аутентификации, включая пароли, e-token, смарт-карт и цифровые сертификаты;
d) управление доступом, определяющее политику доступа к компонентам инфраструктуры;
- спецификации – должны содержать требования к определению необходимых технологий идентификации, аутентификации и авторизации на основе функциональных требований, а также этапы внедрения данных технологий.
При соблюдении всех требований к процедурам идентификации, аутентификации и авторизации должны быть получены следующие преимущества:
- повышение пользовательского опыта в управлении идентичностью, что приведет к наличию производительных пользователей и экономичному решению поставленных задач с использованием ИИ;
- расширение интеграции компонентов ИИ, обеспечивающих инвестиционную защиту и снижение рисков;
- многоцелевая платформа, объединяющая решения для различных требований функционирования органов публичной власти;
- централизованное управление данными процедур;
- расширение безопасности, обеспечивающее высокие уровни безопасности, в случае растущих рисков.
Для процедур идентификации, аутентификации и авторизации должны быть разработаны, документированы и должны периодически обновляться политика идентификации и аутентификации, а также процедуры и меры, связанные с ее реализацией.
Политика идентификации и аутентификации в обязательном порядке должна включать:
- требования к созданию и использованию учетных записей;
- требования к применяемым методам аутентификации;
- требования к управлению паролями;
- требования по управлению и контролю прав доступа;
- требования безопасности к пользователям.
a) Требования к идентификации
Для обеспечения информационной безопасности ИИ должны выполняться следующие требования к системам идентификации:
- управление учетными записями пользователей должно осуществляться централизованно;
- создание, удаление и управление доступом пользователей должно быть автоматизировано;
- управление идентификаторами пользователей должно обеспечиваться:
a) однократной идентификацией каждого пользователя;
b) проверкой подлинности каждого пользователя;
c) получением разрешения на выдачу идентификатора пользователя от ответственного должностного лица;
d) гарантированием того, что идентификатор пользователя выдан предопределенному лицу;
e) отключением учетной записи пользователя после заданного временного интервала неактивности (бездействия);
f) ведением архивных копий идентификаторов пользователей;
- управление идентификаторами пользователей должно проводиться лишь уполномоченными лицами;
- необходимо регулярно проводить контроль над идентификацией пользователей;
- должна использоваться однократная идентификация пользователей.
Должны выполняться следующие требования, предъявляемые к учетным записям пользователей:
- каждая учетная запись должна быть уникальной и принадлежать одному лицу;
- всегда должно высвечиваться предупреждающее сообщение при подключении пользователя, после его идентификации и аутентификации;
- сессия подключения пользователя после ряда неудачных попыток должна прерываться (допускаются 5 неудачных попыток);
- все учетные записи пользователей, которые не использовались в течение 30 дней, должны аннулироваться. Администрация имеет право дезактивировать учетные записи временных пользователей;
- требуется выключать или блокировать компьютер пользователей, если они на время покидают рабочее место. При не использовании компьютера в течение 15 минут он должен автоматически блокировать текущую сессию;
- запрещается использование одной учетной записи несколькими пользователями;
- формат учетных записей должен быть документирован и должен быть единым для всех пользователей;
- должны быть указаны единые учетные записи администраторов, которые должны отличаться от учетных записей пользователей;
- каждая учетная запись должна быть ограничена исходя из выполняемых функций посредством системного программного обеспечения операционной системы и управления приложениями.
b) Требования к аутентификации
Аутентификация - это процесс установления, что один объект или одно утверждение является истинными, так как кто-то утверждает. Аутентификация пользователей относится к логическому уровню обеспечения информационной безопасности и поэтому должна использоваться для всех компонентов ИИ (приложения, базы данных, процессы).
Должны использоваться различные методы аутентификации в зависимости от ресурсов, к которым необходим доступ, и от уровня защиты, применяемого для данных ресурсов:
- биометрические данные;
- распознавание паролей, e-token, смарт-карт и цифровых сертификатов;
- пароли и ID для подключения;
- физические ключи;
- отсутствие методов.
К процессу аутентификации установлены следующие требования:
- должны быть разрешены только учетные записи пользователей, необходимые для работы;
- все гостевые учетные записи должны быть дезактивированы;
- необходимо предоставлять предупреждение о безопасности перед авторизацией, которое должно информировать пользователя об ограничениях, применяемых при авторизации;
- каждый пользователь должен быть успешно аутентифицирован до разрешения выполнения действий;
- число неудачных попыток соединения должно быть ограничено и пользователь должен быть блокирован для невозможности повтора будущего соединения (допускаются 5 неудачных попыток);
- при реализации данных событий уведомления должны быть отправлены автоматически информационной системой соответствующему персоналу, который должен разрешить разблокировку пользователя после анализа;
- управление средствами аутентификации должно обеспечиваться:
a) определением начального содержимого средств аутентификации;
b) определением административных процедур, регламентирующих процесс распространения и изъятия средств аутентификации, а также действия в случае их утраты/компрометации или выхода из строя;
c) сменой используемой по умолчанию аутентификационной информации после инсталляции системы;
- должна обеспечиваться обратная связь с пользователем при прохождении им процедур аутентификации, при этом она не должна компрометировать механизм аутентификации;
- все пароли и данные аутентификации должны быть защищены от неавторизированного доступа;
- аутентификация пользователей должна аудитироваться;
- должен вестись учет пользователей, их учетных записей и паролей ответственными лицами для восстановления паролей с последующей организацией доступа уполномоченного лица.
К методу аутентификации, такому как применение паролей, предъявляются следующие требования:
- пароль должен иметь буквенно-цифровые символы;
- пароль должен иметь не менее восьми символов;
- пароль не должен состоять из одних только букв или цифр, они должны быть скомбинированы;
- пароль не должен повторять один и тот же знак;
- пароли должны меняться, как минимум, раз в 90 дней;
- в базе данных должна сохраняться история паролей (рекомендуется хранение последних 6 паролей) для предотвращения их повторного использования;
- пользователи должны быть осведомлены, что в качестве паролей не должны выбираться дни рождения пользователей, имена родных и близких людей или другие персональные данные;
- рекомендуется добавление в пароль специальных символов;
- пароль не должен быть идентичным с паролем профиля администратора;
- пароль не должен повторять часть профиля пользователя.
Пользователи должны выполнять следующие требования по сохранению аутентификационных данных:
- пользователи обязаны выполнять требования организационно-распорядительных документов по применению рабочих станций;
- пользователи обязаны сохранять пароль доступа к ресурсам сети и систем в тайне;
- пользователи не должны сообщать личный пароль другому лицу, даже если это сотрудник организации;
- пользователи обязаны вводить пароль и другие идентификационные данные, убедившись, что клавиатура находится вне поля зрения других сотрудников;
- пользователи обязаны периодически (не реже одного раза в три месяца) самостоятельно либо с помощью администратора изменять пароли доступа к ресурсам систем и сети;
- пользователи обязаны не допускать использование легко идентифицирующегося или уже использовавшегося пароля;
- пользователям запрещается фиксировать свои идентификационные данные (пароли, идентификаторы, ключи) на твердых носителях (в том числе бумажных).
c) Требования к авторизации
Авторизация представляет собой процесс принятия решения о предоставлении пользователю доступа к ресурсу или к системе.
Права доступа предполагают различные уровни контроля доступа к определенному объекту. Права доступа должны быть определены для:
- пользователей объектов;
- групп, к которым относится данный пользователь;
- других лиц.
Основные права доступа должны включать:
- только чтение - пользователю должен быть разрешен просмотр данных. При наличии таких прав доступа пользователь не может вносить изменения;
- чтение и изменение - пользователю должно быть разрешено чтение, изменение и удаление данных, а также право на возможное изменение прав доступа.
Должны выполняться следующие требования к авторизации пользователей:
- механизм авторизации должен запускаться только после успешной аутентификации пользователя;
- механизмы авторизации должны управлять доступом на уровне URL: File и URL;
- администрирование прав доступа должно основываться на структуризации пользователей в группы и роли;
- права доступа должны предоставляться только на основе должностных инструкций и требований;
- объекты, к которым необходим публичный доступ, должны располагаться в публичной зоне с соответствующими правами доступа;
- права пользователя должны иметь приоритет над правами группы. Администратор объекта должен обладать полным контролем над этим объектом и правами доступа к нему;
- приоритет права доступа к объекту должен быть следующим: администратор, владелец, группа, публичный доступ;
- должны использоваться встроенные права доступа для пользователей;
- дата изменения и доступ к объекту должны являться субъектами прав администратора. Если любые права доступа изменены, администраторы должны отслеживать эти изменения и принимать решения об их реконфигурации при необходимости;
- авторизация пользователя на обращение к ресурсу должна сопровождаться журнальной записью для возможности анализа при возникновении неясностей по состоянию ресурса.
2) Требования к управлению доступом
Для обеспечения информационной безопасности должны применяться механизмы управления доступом, обеспечивающие разграничение доступа субъектов к защищаемым компонентам ИИ.
Должны соблюдаться следующие требования, предъявляемые к системе управления доступом:
- контроль доступа должен применяться к каждому объекту (компоненте) и каждому субъекту (лицу или группе лиц);
- должно осуществляться единое управление учетными записями в различных системах, позволяющее автоматизировать выполнение принятой в организации политики безопасности в области контроля доступа (в том числе мобильного) к различным информационным ресурсам, приложениям и службам;
- должны поддерживаться современные средства аутентификации (в том числе многофакторная, включающая биометрию) с возможностью однократной регистрации в системе;
- должен осуществляться контроль жизненного цикла пользователя в системах с момента приема сотрудника на работу до его увольнения;
- должна обеспечиваться автоматическая синхронизация учетных записей пользователей всех подключаемых систем (прежде всего системы кадрового учета) в соответствии с политиками и правилами органов публичной власти;
- должны использоваться средства конфигурирования, администрирования и мониторинга работы системы управления доступом, и средства ведения журналов и независимого аудита;
- должна обеспечиваться интеграция с внешними системами мониторинга, аудита безопасности и поддержки.
Необходимо использовать дискретную и мандатную модели управления доступом.
К дискретной модели управления доступом предъявляются следующие требования:
- система защиты должна контролировать доступ наименованных пользователей к наименованным объектам (файлам, программам и т.д.);
- для каждой пары субъект - объект должно быть задано явное и недвусмысленное перечисление допустимых типов доступа;
- система защиты должна содержать механизм, претворяющий в жизнь дискретные правила разграничения доступа;
- контроль доступа должен быть применим к каждому объекту и каждому пользователю;
- механизм, реализующий дискретный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа;
- должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.
К механизму мандатного управления доступом предъявляются следующие требования:
- каждому субъекту и объекту доступа должны сопоставляться категории доступа к информации, которые являются основой мандатного принципа разграничения доступа;
- система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты);
- система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из пользователей:
a) субъект может читать объект, только если уровень субъекта не меньше, чем требуется для объекта;
b) субъект осуществляет запись в объект, только если уровень субъекта не больше, чем требует объект;
- должна обеспечиваться возможность сопровождения, изменения уровней субъектов и объектов специально выделенными субъектами;
- должны применяться средства, осуществляющие перехват всех обращений субъектов к объектам и разграничение доступа в соответствии с заданным принципом.
3) Требования к антивирусной защите
Для обеспечения информационной безопасности компонентов ИИ должны выполнять следующие меры по защите от вредоносного кода:
- превентивные меры, предотвращающие вирусные атаки путем удаления уязвимостей, являющихся причиной их возникновения;
- меры, направленные на своевременное обнаружение и блокирование вирусных атак и спама;
- меры, выявляющие и ликвидирующие последствия вирусных угроз для минимизации ущерба, нанесенного в результате реализации вирусного кода.
Программное обеспечение по защите от вредоносного кода, применяемое для компонентов ИИ, должно соответствовать следующим требованиям:
- программное обеспечение должно сканировать всю входящую извне информацию на исполняемые, зараженные файлы;
- должны оптимально и рационально потребляться ресурсы оперативной памяти и процессора;
- должна обеспечиваться защита от внедрения вредоносного кода в компоненты ИИ, включая возможность автоматического обновления средств защиты от вредоносного кода;
- обновление механизмов антивирусной защиты должно осуществляться автоматически;
- должно обеспечиваться централизованное управление механизмами антивирусной защиты.
Для обеспечения защиты от вредоносного кода должны использоваться следующие виды антивирусных программ:
- программы-детекторы, осуществляющие поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и выдающие соответствующее сообщение при обнаружении вирусов;
- программы-доктора, осуществляющие поиск вирусов в оперативной памяти, уничтожающие их и только затем осуществляющие их лечение;
- программы-ревизоры, проверяющие данные на диске на предмет вирусов-невидимок, изучающие, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра операционной системы, не должны пользоваться средствами операционной системы для обращения к дискам;
- программы-фильтры, обнаруживающие подозрительные действия при работе рабочей станции, характерные для вирусов (например, попытки коррекции файлов с расширениями «com», «exe», изменение атрибутов файла, прямая запись на диск по абсолютному адресу, запись в загрузочные сектора диска и загрузка резидентной программы), а также отправляющие пользователю сообщение и предлагающие запрет или разрешение соответствующего действия;
- программы-вакцины (иммунизаторы), предотвращающие заражение файлов путем модификации программ или дисков таким образом, чтобы это не отражалось на их работе, а вирус воспринимал их зараженными;
- сканер, проверяющий файлы, сектора и системную память, а также осуществляющий поиск в них известных и новых вирусов, используя так называемые «маски».
4) Требования к ведению журналов событий
Для обеспечения информационной безопасности компонентов ИИ должны вестись журналы событий, позволяющие проводить анализ происходящих событий, связанных с функционированием компонентов инфраструктуры.
В журналы событий должны входить следующие события:
- тревоги и предупреждения, генерируемые системой обнаружения вторжения;
- все операции, имеющие отношение к процедурам, предусматривающим работу с сертификатами абонентов (выдача, отзыв, приостановление, возобновление, внесение изменений);
- каждое изменение состава оборудования или программного обеспечения;
- изменение топологии сетей или сетевых соединений;
- изменения паролей, персональных идентификационных номеров, прав и должностных обязанностей;
- успешные и неуспешные попытки доступа к базам данных и серверам органов публичной власти;
- каждое полученное сообщение от абонента, каждый запрос и каждое подтверждение данных абонентом или заявителем;
- истории создания резервных копий и другие информативные записи в архивах, такие как базы данных.
В процессе ведения журналов событий должны выполняться следующие требования:
- содержание записи в журналах событий должно включать следующую информацию:
a) дата совершения события;
b) время совершения события;
c) учетная запись пользователя;
d) тип события;
e) идентификатор события;
f) запись о принятом решении относительно события, то есть выполнена или привела к ошибке;
- должны быть приняты меры по защите критичных данных, содержащихся в отчетах по аудиту;
- должны быть приняты меры по обнаружению и предотвращению несанкционированных записей в журналах событий;
- все записи журналов должны детально рассматриваться как минимум один раз в месяц;
- для каждого сервера и рабочей станции должны вестись отдельные журналы;
- при заполнении журнала он должен быть заархивирован и создан новый;
- журналы событий должны подлежать обязательному резервному копированию;
- каждый журнал в электронном или бумажном виде должен подлежать проверке при проведении аудита системы;
- записи журналов событий должны иметь формат, позволяющий читать без декодирующего программного обеспечения или дополнительного аналитического программного обеспечения;
- для обеспечения безопасности операционной среды должен быть доступ к записям журналов событий в случае появления срочной ситуации;
- журналы событий должны архивироваться и храниться в порядке, установленном положениями действующего законодательства;
- архивирование журналов должно быть отражено в бумажных журналах в присутствии администратора безопасности, системного администратора и аудитора;
- все архивные копии журналов событий должны иметь временную отметку;
- в определенных ситуациях записи должны интегрироваться в общую программу мониторинга безопасности информационных систем;
- лишь уполномоченные лица должны выполнять операции с журналом;
- системные администраторы не должны по собственной инициативе стирать отчеты журналов или отключать их создание.
5) Требования к резервному копированию и восстановлению компонентов информационной инфраструктуры
Для обеспечения информационной безопасности осуществление резервного копирования должно обеспечивать достижение следующих целей:
- обеспечение успешного восстановления резервных данных для нормального их использования;
- обеспечение дублирования данных для их архивирования и хранения в течение необходимого периода.
Обязательному резервному копированию подлежат следующие данные:
- инсталляционные диски системных приложений и систем;
- инсталляционные диски с программным обеспечением органов публичной власти;
- данные баз данных;
- данные о пользователях и сотрудниках органов публичной власти;
- журналы событий.
К системам резервного копирования и восстановления предъявляются требования:
- должна проводиться проверка подлинности содержимого резервных копий;
- должно проводиться тестирование процесса восстановления резервных копий;
- для резервных копий должны быть предусмотрены безопасные условия хранения, а также электромагнитные области, температура, влажность, легкие и механические усилия;
- должны быть определены и соблюдаться условия сохранения пригодности и жизнеспособности резервных копий;
- должны использоваться два метода создания резервных копий: резервное копирование баз данных и резервное копирование для быстрого восстановления конфигураций и настроек оборудования и программного обеспечения;
- должен быть определен состав информации, подлежащий резервному копированию;
- резервные копии данных должны создаваться для каждого сервера и каждой базы данных;
- необходимо обеспечить регулярное создание и тестирование резервных копий данных и программного обеспечения;
- должно быть определено соответствующее оборудование для резервного копирования, гарантирующее восстановление всей необходимой информации и программного обеспечения после отказа носителей информации или аварии;
- процедуры копирования и восстановления информации должны быть документированы и должны составляться точные и полные отчеты по резервным копиям;
- должны быть определены объем резервного копирования, полное или выборочное резервное копирование и частота его выполнения;
- должны проводиться тестирование и проверка процедур восстановления информации для обеспечения гарантии их эффективности;
- должны использоваться средства шифрования для защиты резервных копий;
- резервное копирование должно охватывать всю информационную систему, приложения, данные, необходимые для полного восстановления системы после стихийного бедствия или аварии;
- должен быть определен период времени хранения информации, а также требования для постоянно сохраняемых архивных копий.
Процесс управления резервным копированием и восстановлением должен быть формально документирован и должна быть назначена ответственность за этот процесс.
6) Требования к физической безопасности компонентов информационной инфраструктуры
Для обеспечения информационной безопасности должна обеспечиваться физическая безопасность компонентов ИИ для достижения следующих целей:
- поддержка целостности продуктов и услуг, предоставляемых пользователям органами публичной власти;
- предотвращение несанкционированного доступа, утери информации и программно-аппаратного обеспечения.
К физической безопасности предъявляются следующие требования:
- должна обеспечиваться защита от следующих случаев:
a) несанкционированный доступ в помещения;
b) пожары и наводнения;
c) электромагнитное излучение;
d) воровство и кражи;
e) взрыв;
- должны использоваться центральные посты и персонал охраны, а также применяться технические средства защиты объектов:
a) автоматизированные системы контроля доступа;
b) защитные приспособления и средства сигнализации;
c) средства наблюдения;
d) оборудование пункта централизованного наблюдения;
e) механические замки;
f) дублирующая система и средства электропитания;
- должна быть обеспечена защита физического периметра органов публичной власти и всех компонентов ИИ.
Процесс управления физической безопасностью должен быть формально документирован и должна быть назначена ответственность за этот процесс. Политика физической безопасности ИИ в обязательном порядке должна включать следующее:
- требования к системам контроля доступа;
- требования к резервной системе;
- требования к системам обнаружения физических вторжений.
7) Требования к средствам криптографической защиты информации, которая не относится к государственной тайне
Применение средств криптографической защиты информации должно обеспечивать защиту конфиденциальности, подлинности и целостности информации.
Для обеспечения защиты информации должны использоваться современные криптографические системы:
- криптосистемы с открытым ключом (асимметричные криптоалгоритмы: RSA, DSA);
- симметричные криптоалгоритмы: AES (256);
- хэш-алгоритмы.
Данные криптографических систем должны использоваться в обязательном порядке при:
- передаче критичной информации по каналам связи (например, электронная почта);
- установлении подлинности передаваемых сообщений;
- хранении информации (документов, баз данных) на носителях в зашифрованном виде.
Требования к средствам криптографической защиты информации должны включать:
- требования надежности:
a) средства защиты должны обеспечивать заданный уровень надежности применяемых криптографических преобразований информации, определяемый значением допустимой вероятности неисправностей или сбоев, приводящих к получению злоумышленником дополнительной информации о криптографических преобразованиях;
b) инициализация (администрирование, отладка и монтаж) средств криптографической защиты не должна приводить к ухудшению свойств средств в части параметров надежности;
- требование по защите от несанкционированного доступа - в информационных системах, для которых реализованы программные или аппаратные средства криптографической защиты информации, при хранении и обработке информации, должны быть предусмотрены следующие основные механизмы защиты:
a) идентификация и аутентификация субъектов доступа;
b) управление доступом;
c) ведение журналов событий;
- требования к разработке, изготовлению и функционированию средств криптографической защиты информации - аппаратные и программные средства, на которых ведется разработка систем криптографической защиты информации, не должны содержать функциональных возможностей, позволяющих:
a) модифицировать или изменять алгоритм работы средств защиты информации в процессе их разработки, изготовления и эксплуатации;
b) модифицировать или изменять информационные потоки, связанные с функционированием средств;
c) осуществлять доступ посторонних лиц к ключам идентификационной и аутентификационной информации;
d) получать доступ к информации средств криптографической защиты информации;
- требования по обеспечению безопасности ключей шифрования и цифровой подписи:
a) все поступающие для использования ключи шифрования и цифровой подписи и инсталляционные дискеты должны находиться под учетом;
b) уполномоченные сотрудники должны нести персональную ответственность за сохранность ключей шифрования и цифровой подписи и функционирование средств криптографической защиты информации;
c) должна обеспечиваться сохранность ключей шифрования и цифровых подписей, инсталляционных дискет;
d) должен периодически проводиться контроль сохранности входящего в состав средств криптографической защиты информации оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов;
- требования по быстродействию средств криптографической защиты:
a) механизмы обеспечения безопасности должны эффективно обрабатывать мультиплексированные данные на уровне пакетов;
b) средства безопасности не должны вносить существенные задержки в процесс обработки и передачи информации;
c) ключевая инфраструктура должна содержать эффективные средства обновления криптографических ключей;
d) криптографические алгоритмы должны обрабатывать большие объемы информации в единицу времени;
e) реализация криптографических алгоритмов должна позволять работу в системах с различной пропускной способностью;
- требования по организационному обеспечению безопасности средств криптографической защиты информации:
a) должны быть назначены ответственные лица за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности средств криптографической защиты информации;
b) вопросы обеспечения функционирования и безопасности средств криптографической защиты информации должны быть отражены в специально документах, утвержденных руководством организаций;
- требования к сотрудникам, осуществляющим эксплуатацию и установку средств криптографической защиты информации:
a) к работе со средствами криптографической защиты информации допускаются решением руководства организации только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы и прошедшие обучение работе со средствами криптографической защите информации;
b) уполномоченные лица для работы с криптографическими средствами должны иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.
8) Требования к средствам мониторинга
Средства мониторинга информационной безопасности должны обеспечивать постоянное наблюдение за событиями информационной безопасности, происходящими в процессе обмена информацией, сбор, анализ и обобщение результатов наблюдения за функционированием компонентов ИИ.
Для эффективного долгосрочного обеспечения информационной безопасности ИИ должен быть организован процесс мониторинга, как минимум включающий для каждого компонента ИИ следующее:
- доступные физические и логические механизмы безопасности;
- внедренные физические и логические механизмы безопасности;
- виды тестирования и их результаты, проведенные для механизмов безопасности;
- количество произошедших нарушений безопасности и уровень их критичности.
Требования к мониторингу информационной безопасности компонентов ИИ должны включать:
- должны быть разработаны соответствующие процедуры мониторинга использования оборудования, программного обеспечения обработки информации;
- мониторинг событий ИБ должен осуществляться в режиме реального времени 24*7;
- мониторинг должен осуществлять информационно-расчетное обеспечение управления средствами защиты информации в конкретных условиях;
- должны предоставляться рекомендации по выявленным инцидентам информационной безопасности;
- мониторинг должен проверять работоспособность критичных устройств и оборудования;
- необходимо архивировать данные мониторинга и обеспечивать их сохранность;
- должен проводиться мониторинг:
a) доступа к ресурсам;
b) выполняемых операций над ресурсами;
c) отдельных учетных записей;
d) функционирования системы и различных устройств ввода-вывода и изменения их настроек;
e) ошибок или сбоев в функционировании систем, которые могут привести к нарушению информационной безопасности компонентов ИИ;
- частота рассмотрения результатов мониторинга должна определяться:
a) вовлеченными рисками информационной безопасности;
b) критичностью процессов приложений;
c) значимостью, чувствительностью и критичностью обрабатываемой информации;
d) прошлым опытом проникновения в систему и ее неправильным использованием, частотой использования уязвимых мест;
e) степенью связности системы с другими сетями.
9) Требования к распределению ролей и ответственности за обеспечение информационной безопасности информационной инфраструктуры
Реализация процессов по обеспечению информационной безопасности компонентов ИИ возможна при четком определении ответственности и полномочий. Реализация подразделениями и отдельными сотрудниками органов публичной власти обязанностей по обеспечению информационной безопасности должна осуществляться в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами).
Специфические роли и обязанности, характерные для организации в целом, по осуществлению и поддержанию соответствующих мер по обеспечению информационной безопасности компонентов ИИ представлены в таблице 2.
Таблица 2. Роли и обязанности по обеспечению информационной безопасности ИИ
На основании Закона о техническом регулировании № 420-XVI от 22.12.2006 и во исполнение Постановления Правительства “О некоторых мерах внедрения Национальной стратегии построения информационного общества – «Электронная Молдова» в 2007 году» № 606 от 1.06.2007, а также Постановления Правительства «Об утверждении распределения средств Фонда по реализации Национальной программы разработки технических регламентов» № 564 от 21.05.2007 ПРИКАЗЫВАЮ:
1. Утвердить технические регламенты:
a) Обеспечение информационной безопасности информационной инфраструктуры для органов публичной власти. Технические требования. В соответствии с Приложением № 1.
b) Обеспечение информационной безопасности баз данных при предоставлении электронных публичных услуг. Технические требования. В соответствии с Приложением № 2.
2. Технические регламенты, упомянутые в первом пункте, вступят в силу в течение трех месяцев со дня опубликования в «Monitorul Oficial al Republicii Moldova».
3. Контроль за выполнением настоящего приказа возложить на Управление технического регламентирования и стандартизации.
Министр информационных
технологий и связи Александру ОЛЕЙНИК
№ 106. Кишинэу, 20 декабря 2010 г.
Приложение № 1
к Приказу № 106
от 20.12.10 г.
к Приказу № 106
от 20.12.10 г.
Технический регламент
Обеспечение информационной безопасности баз данных
при предоставлении электронных публичных услуг.
Технические требования
1.Область применения
Доступ к официальной информации и предоставление электронных публичных услуг гражданам и деловому сообществу осуществляются на основе данных баз данных (БД), располагаемых в органах публичной власти. Это требует обеспечения информационной безопасности БД для эффективного и надежного процесса функционирования органов публичной власти и для обмена информацией с гражданами и предпринимательской средой в процессе предоставления публичных услуг.Обеспечение информационной безопасности баз данных
при предоставлении электронных публичных услуг.
Технические требования
1.Область применения
Целью настоящего регламента является определение порядка обеспечения информационной безопасности БД, обеспечивающих и поддерживающих процесс функционирования органов публичной власти.
Настоящий регламент устанавливает подходы и требования к обеспечению информационной безопасности БД органов публичной власти. Также данный документ устанавливает требования по осуществлению анализа рисков, связанных с БД, с учетом основных потенциальных угроз и уязвимостей БД в процессе предоставления публичных услуг.
Настоящий регламент распространяется на все виды БД органов публичной власти, обеспечивающих процесс предоставления публичных услуг, независимо от характера хранимой информации, способа хранения данных или от структуры организации данных.
Настоящий регламент разработан на основе следующих законодательных и нормативных актов Республики Молдова:
- Закон «О коммерческой тайне» № 171-XIII от 6.07.1994;
- Закон «О доступе к информации» № 982-XIV от 11.05.2000;
- Закон «Об информатизации и государственных информационных ресурсах» № 467-XV от 21.11.2003;
- Закон «О техническом регулировании» № 420-XVI от 22.12.2006;
- Закон «О защите персональных данных» № 17-XVI от 15.02.2007;
- Закон «О регистрах» № 71-XVI от 22.03.2007;
- Закон «Об электронных коммуникациях» № 241-XVI от 15.11.2007;
- Закон «О государственной тайне» № 245-XVI от 27.11.2008.
В настоящем регламенте применяются следующие термины:
Внешний ключ - ключевой элемент подчиненной таблицы, значение которого совпадает со значением первичного ключа главной таблицы.
Первичный ключ - главный ключевой элемент, однозначно идентифицирующий строку в таблице.
Резервное копирование баз данных - средства, обеспечивающие восстановление баз данных в случае отказа системы.
Администрирование баз данных - управление базой данных, включающее комплекс мероприятий, обеспечивающих точность, непротиворечивость, полноту, защиту и доступность данных в нужной форме, в нужном месте и в нужное время.
Объект базы данных - элемент базы данных, обладающий определенными свойствами и определенным образом реагирующий на определенные внешние события.
Владелец объектов базы данных - субъект, осуществляющий владение и пользование указанными объектами, а также обладающий полными полномочиями над объектом.
Восстановление базы данных - приведение базы данных в состояние, существовавшее незадолго до ее отказа.
Системы управления базой данных - комплекс программных средств, предназначенных для организации и ведения базы данных, для создания структуры новой базы, наполнения ее содержимым, редактирования содержимого и визуализации информации.
2. Требования к целям обеспечения информационной безопасности баз данных
БД составляют важный компонент информационной инфраструктуры органов публичной власти, с помощью которых выполняются функции обработки, хранения и манипулирования информацией. Исходя из того, что БД содержат ценную информацию, необходимо обеспечивать информационную безопасность БД, то есть конфиденциальность, целостность и доступность.
Обеспечение информационной безопасности БД должно быть направлено на достижение следующих целей:
- защита ценной информации, содержащейся в БД, от ее разглашения, утраты, утечки, искажения и уничтожения, исходя из конфиденциальности, целостности, доступности;
- защита структуры БД от ее нарушения и несанкционированного изменения;
- обеспечение наблюдаемости, направленной на обеспечение возможности фиксировать системой информационной безопасности любую деятельность, связанную с операциями БД пользователей и процессов, а также использование пассивных объектов в целях мошенничества;
- обеспечение анонимности и проверяемости (возможность проверки правильного использования информации и эффективности мер безопасности БД).
3. Требования к задачам обеспечения информационной безопасности баз данных
Для достижения поставленных целей обеспечения информационной безопасности БД должны выполняться следующие задачи:
- выявление и прогнозирование источников угроз, уязвимостей и соответствующих рисков, возникающих как следствие изменений в информационной и контрольной среде;
- осуществление оценки рисков информационной безопасности БД;
- формирование единой политики и плана обеспечения безопасности БД и разработка механизмов ее реализации;
- осуществление взаимного согласования мер обеспечения информационной безопасности БД;
- использование технических и программных средств, соответствующих требованиям безопасности БД;
- осуществление процесса управления инцидентами, связанными с нарушением информационной безопасности баз данных;
- обеспечение информированности о нарушениях безопасности БД и реализация согласованных мер для ликвидации последствий при нарушении безопасности;
- внедрение мер и средств безопасности, соответствующих уровням обнаруженных рисков и угроз.
Обеспечение информационной безопасности БД должно основываться на принципах, рассмотренных в следующих Технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 4.6 Процесс управления информационной безопасностью;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 4.3 Принципы обеспечения информационной безопасности.
4. Требования к подходам обеспечения информационной безопасности баз данных
Для достижения целей обеспечения информационной безопасности БД должны применяться следующие подходы:
- процессный подход к обеспечению информационной безопасности;
- системный подход к обеспечению информационной безопасности;
- подход структуризации к обеспечению информационной безопасности;
- избирательный и обязательный подходы к обеспечению информационной безопасности.
Применение указанных подходов к обеспечению информационной безопасности БД должно обеспечивать получение следующих результатов:
- конфиденциальность, полнота и точность данных, содержащихся в БД;
- подтверждение, что операции точно выполнены и документированы;
- адекватные журналы аудита операций/доступа;
- требуемый уровень защищенности услуг для пользователей БД;
- эффективный учет и анализ обнаружения атак на БД, а также их предотвращение.
Концепция процессного подхода рассмотрена в техническом регламенте «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования». Требования к обеспечению информационной безопасности БД в рамках процессного подхода определены в разделе 5.
1) Системный подход к обеспечению информационной безопасности баз данных
Для обеспечения информационной безопасности БД должен применяться системный подход, который должен определять требования информационной безопасности:
- к объектам БД;
- к основным видам рисков БД;
- к основным уязвимостям БД.
2) Подход структуризации к обеспечению информационной безопасности баз данных
Для обеспечения информационной безопасности БД должен применяться подход структуризации, который должен определять требования к следующим основным мерам и средствам обеспечения информационной безопасности БД:
- идентификация, аутентификация и авторизация в БД;
- управление доступом в БД;
- управление системами управления базами данных (СУБД) с точки зрения жизненного цикла информационного ресурса;
- управление резервным копированием и восстановлением БД;
- защита БД от вирусов и вредоносного кода;
- контроль целостности БД;
- шифрование данных в БД;
- аудит и мониторинг БД;
- распределение ответственности за обеспечение информационной безопасности БД;
- обучение персонала вопросам обеспечения информационной безопасности БД.
3) Избирательный и обязательный подходы к обеспечению информационной безопасности баз данных
Для обеспечения информационной безопасности данных для объектов БД, где к объектам БД относятся как вся БД целиком, так и любой объект внутри БД, должны применяться два общих подхода: избирательный подход и обязательный подход.
При избирательном подходе определенный пользователь должен обладать различными правами (привилегиями или полномочиями) при работе с объектами БД.
При обязательном подходе каждому объекту БД должен быть присвоен некоторый классификационный уровень, а каждый пользователь должен обладать некоторым уровнем допуска.
Для обеспечения полной и надежной безопасности БД необходимо придерживаться гибкости при выборе и сопровождении мер и средств безопасности. Данные подходы к обеспечению информационной безопасности заключаются в следующем:
- нахождение легко администрируемых и управляемых аппаратно-технических решений для защиты БД, соответствующих требованиям конкретного органа публичной власти, избегая излишней привязки к одной программной платформе или к одному поставщику;
- применение наиболее эффективных и надежных мер безопасности БД при одновременной минимизации их стоимости, а также контроль и управление ими.
5. Требования к обеспечению информационной безопасности баз данных в рамках процессного подхода
1) Требования информационной безопасности к управлению рисками
Для обеспечения информационной безопасности БД процесс управления рисками должен включать набор последовательных этапов:
- определение объектов защиты БД;
- определение и анализ угроз;
- оценка уязвимостей;
- оценка рисков;
- определение требований по защите БД;
- определение мер и средств обеспечения безопасности БД;
- внедрение мер и средств обеспечения безопасности БД;
- проведение мониторинга системы обеспечения информационной безопасности БД и ее улучшение.
2) Требования к этапу определения объектов защиты баз данных
Для обеспечения информационной безопасности БД, данный этап должен быть направлен на выделение объектов, содержащихся в БД, которые необходимо оградить от нежелательного воздействия или не допустить утечки информации, находящейся в идентифицированных объектах.
В ходе данного этапа должен быть проведен перечень следующих мероприятий:
- нахождение, составление списков и определение характеристик данных и объектов БД;
- определение границ и области проведения анализа рисков БД;
- определение критичности данных и объектов БД, основываясь на критериях конфиденциальности, целостности и доступности.
В результате идентификации всех объектов БД должно быть проведено их категорирование с точки зрения следующих критериев:
- конфиденциальность – категории данных должны соответствовать уровню защищенности информации от ее несанкционированного раскрытия в соответствии с требованиями по следующим принципам классификации информации:
a) по степеням секретности в соответствии с Законом Республики Молдова № 245-XVI от 27.11.2008 «О государственной тайне»;
b) по категориям персональных данных в соответствии с Законом Республики Молдова № 17-XVI от 15.02.2007 «О защите персональных данных»;
c) по объектам коммерческой тайны в соответствии Законом Республики Молдова «О коммерческой тайне» № 171-XIII от 6.07.1994;
d) по доступу к официальной информации в соответствии с Законом Республики Молдова «О доступе к информации» № 982-XIV от 11.05.2000;
e) по доступу к информации, создаваемой, обрабатываемой, хранимой в специальных системах, в соответствии с Постановлением Правительства № 735 от 11.06.2002;
- целостность:
a) «высокая» - к данной категории должны относиться объекты БД, несанкционированная модификация которых может привести к нанесению значительного прямого ущерба органам публичной власти, целостность которых должна обеспечиваться гарантированными методами в соответствии с обязательными требованиями действующего законодательства;
b) «низкая» - к данной категории должны относиться объекты БД, несанкционированная модификация или удаление которых может привести к нанесению незначительного или косвенного ущерба органам публичной власти или сотрудникам;
c) «нет требований» - к данной категории должны относиться объекты БД, к обеспечению целостности которых требования не предъявляются;
- доступность:
a) «беспрепятственная доступность» - доступ к объектам БД должен обеспечиваться в любое время, объект должен предоставляться постоянно, задержка получения результата не должна превышать нескольких секунд или минут;
b) «высокая доступность» - доступ к объектам БД должен осуществляться без существенных временных задержек (максимум промежутка времени, в течение которого информация не доступна, не должен превышать 2-4 часа);
c) «средняя доступность» - доступ к объектам БД может обеспечиваться с существенными временными задержками (один раз в несколько дней), задержка получения результата не должна превышать нескольких дней и это не влечет за собой нарушений нормального функционирования органов публичной власти;
d) «низкая доступность» - временные задержки при доступе к объектам БД практически не лимитированы, допустимая задержка получения результата - несколько недель и это не влечет за собой нарушений нормального функционирования органов публичной власти.
Для каждого типа объектов в зависимости от категории доступа к информации должны быть установлены различные права доступа.
На этапе определения объектов защиты БД должны быть определены:
- объекты, которые необходимо защищать;
- субъекты, которым необходимы эти объекты, и время, в течение которого необходимы объекты;
- степень сложности структуры БД;
- принципы, используемые для оценки ценности данных, хранимых в БД;
- законодательная и социальная ответственность за обеспечение безопасности БД;
- меры и средства обеспечения безопасности, необходимые для защиты данных в БД в соответствии с определенной категорией конфиденциальности, целостности и доступности.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие формализованной ответственности администраторов БД;
- наличие организационно-уязвимых аспектов в организации функционирования компонентов информационной инфраструктуры, связанных с БД;
- случайное раскрытие или потеря данных БД;
- ошибочная и вводящая в заблуждение информация;
- отсутствие установленных стандартов обеспечения безопасности БД.
3) Требования к этапу определения и анализа угроз
Для обеспечения информационной безопасности БД должен быть проведен анализ рисков, то есть должны быть идентифицированы возможные угрозы, угрожающие обследуемой БД. Определение потенциальных угроз, направленных на БД, и их источников составляет основную задачу деятельности по определению и анализу угроз.
В рамках данного этапа должен проводиться перечень следующих мероприятий:
- должны быть определены сотрудники, имеющие доступ к уязвимым ресурсам БД;
- должны быть определены лица, несущие ответственность за изменение информации в БД;
- должна быть осуществлена проверка наличия формализованных процессов проведения контроля сотрудников, имеющих доступ к БД;
- должна быть осуществлена проверка уровня документирования и внедрения процедур;
- должна быть осуществлена проверка наличия программы подготовки и обучения персонала, имеющего доступ к ресурсам БД.
Также должен быть проведен анализ средств управления безопасностью БД, которые были внедрены или запланированы для минимизации или устранения вероятности реализации угроз, таких как:
- профилактические и детективные средства управления безопасностью БД:
a) профилактические средства управления безопасностью БД – должны включать средства управления доступом, шифрования и установления подлинности;
b) детективные средства управления БД – должны включать средства ведения журналов событий, методы обнаружения вторжений и контрольные суммы;
- технические и нетехнические методы контролей:
a) технические методы – должны включать средства управления доступом, идентификацию и механизмы аутентификации, методы шифрования, программное обеспечение обнаружения вторжений;
b) нетехнические методы - должны включать политику и планы безопасности, эксплуатационные процедуры, персонал.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие контроля доступа к информации, содержащейся в БД;
- отсутствие следующих профилей доступа к БД:
a) профиль управляемого доступа – должны быть формализованы методы организации безопасности БД, такие как дискретный метод доступа, методы парольной аутентификации;
b) профиль уровней защищенности - профиль управляемого доступа должен расширяться, добавляя категории доступа к информации;
- отсутствие сознательного отношения к уровням защищенности БД во всей организации;
- отсутствие или недостаточная проработка политики и процедур безопасности БД;
- неэффективное внедрение программы обучения в области защиты БД.
4) Требования к этапу оценки уязвимостей
Для определения возможных уязвимых точек БД и ресурсов, взаимодействующих с БД, посредством которых могут быть реализованы угрозы, должна проводиться оценка уязвимостей при имеющемся множестве угроз и каналов утечки данных из БД.
В рамках данного этапа должны быть проведены следующие мероприятия:
- должен быть составлен список уязвимостей БД и ресурсов, взаимодействующих с БД, через которые могут быть реализованы угрозы;
- должны быть определены уязвимости по каждой возможной угрозе;
- должны использоваться результаты анализа соответствия используемых мер и средств обеспечения безопасности БД установленным требованиям безопасности;
- должны использоваться печатные и электронные источники, содержащие известные уязвимости средств обеспечения безопасности БД;
- должны использоваться результаты тестирования средств обеспечения безопасности БД.
Для обнаружения уязвимых мест БД должны использоваться средства для БД, которые быстро и легко сканируют их в рамках сети и к которым должны предъявляться требования согласно критериям:
- анализ учетных записей пользователей и их паролей:
a) должен проводиться анализ объема автоматических паролей;
b) должны выявляться бывшие пользователи, у которых остался логин;
c) должна проверяться целостность учетных записей пользователей;
- анализ конфигураций БД:
a) должны проверяться разрешения или запреты на использование набора функций, использование которых связано с потенциальным ущербом для информации БД;
b) анализ конфигурации должен позволять давать рекомендации к изменению опций конфигурации;
- анализ и отслеживание статуса настроек:
a) должны отслеживаться позиции специальных исправлений hotfix и пакетов обновлений;
b) клиенты должны своевременно уведомляться о том, что должно быть установлено в программных средствах patch;
- анализ и контроль полномочий - должны устанавливаться учетные записи пользователей, имеющих доступ к процедурам, в случае наличия возможных угроз с их стороны к БД.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие документации по результатам анализа соответствия используемых мер и средств обеспечения безопасности БД установленным требованиям безопасности;
- отсутствие источников, содержащих известные уязвимости средств обеспечения безопасности БД;
- отсутствие или неполные результаты тестирования средств обеспечения безопасности БД;
- неэффективное внедрение программы обучения в области защиты БД.
5) Требования к этапу оценки рисков
Для идентификации источников рисков и определения его уровня значимости, выраженного в числовом значении, должна осуществляться оценка рисков.
На этапе оценки рисков должен быть выполнен перечень следующих действий:
- должна быть оценена вероятность успешного осуществления угроз и возможные последствия для конкретного органа публичной власти;
- должно быть присвоено числовое значение рискам и должна быть проведена их классификация;
- должны быть правильно расставлены приоритеты при реализации мер и средств обеспечения безопасности.
Оценка рисков должна проводиться путем его вычисления и сопоставления с заданной шкалой. Метод вычисления рисков должен быть определен каждым конкретным органом публичной власти согласно законодательным и внутренним требованиям. Допускается проведение как качественной, так и количественной оценки рисков.
После проведения оценки рисков должно быть принято решение относительно его обработки. Должны применяться следующие четыре меры обработки риска:
- уменьшение риска - риск считается неприемлемым и для его минимизации должны быть выбраны и реализованы соответствующие меры и средства обеспечения безопасности;
- передача риска - риск считается неприемлемым и при определенных условиях должен переноситься на стороннюю организацию (например, при аутсорсинге);
- принятие риска - риск считается осознанно допустимым, когда стоимость мер и средств обеспечения безопасности значительно превосходит финансовые потери в случае реализации угрозы;
- отказ от риска - отказ конкретным органом публичной власти от процессов, являющихся причиной риска.
В результате обработки рисков остается так называемый остаточный риск, относительно которого должно быть принято и утверждено руководством решение о его приемлемости.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие классификации объектов БД;
- отсутствие приоритезации объектов защиты на основе анализа и оценки рисков;
- неэффективное распределение средств обеспечения безопасности для объектов данных БД, требующих защиты;
- отсутствие документации по уязвимостям БД;
- отсутствие методики оценки рисков и документированной оценки рисков.
6) Требования к этапу определения требований по защите баз данных
На основе полученной информации в ходе оценки рисков должны быть определены требования к обеспечению безопасности БД, в результате чего должна быть получена следующая информация:
- используемые технологические меры безопасности БД;
- соотношение стоимости и эффективности доступных технологических мер обеспечения безопасности БД;
- уязвимость элементов средств обеспечения безопасности БД.
Для обеспечения информационной безопасности объектов БД должны быть определены требования по защите для различных видов и типов мер и средств обеспечения безопасности информации БД.
Виды мер и средств обеспечения безопасности должны включать:
- меры и средства, нацеленные на недопущение риска;
- меры и средства, нацеленные на минимизацию негативных последствий риска.
Типы мер и средств обеспечения безопасности должны включать:
- технические средства - механические, электромеханические, электронные и другие средства, решающие задачи обеспечения безопасности БД;
- программные средства - программы для идентификации пользователей, контроля доступа, шифрования данных и т.д.;
- смешанные аппаратно-программные средства – выполняют те же функции, что аппаратные и программные средства в отдельности;
- организационные меры - организационно-правовые меры, например, требования национального законодательства и правила работы, устанавливаемые руководством конкретного органа публичной власти.
Должны применяться следующие виды контролей:
- предупреждающие контроли – должны применяться для предотвращения ошибок и уклонения от дополнительных затрат, связанных с корректировкой;
- контроли обнаружения – должны применяться для оценки эффективности упреждающих контролей и обнаружения тех ошибок, которые невозможно было предотвратить;
- корректирующие контроли – должны использоваться в ситуации, когда отрицательные последствия уже имели место и были обнаружены.
После определений требований по защите должен быть определен остаточный риск и должно быть уведомлено об этом руководство конкретного органа публичной власти для утверждения факта, что остаточный риск является приемлемым.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие формализованного процесса управления изменениями;
- частые изменения в технологиях защиты БД;
- несовместимость платформ различных средств обеспечения безопасности БД.
7) Требования к этапу определения мер и средств обеспечения безопасности баз данных
Для осуществления выбора мер и средств обеспечения безопасности БД и их характеристик должны быть определены наиболее критичные риски БД и выбраны соответствующие меры и средства обеспечения безопасности для их снижения.
При выборе мер и средств обеспечения безопасности БД должны быть проведены следующие мероприятия:
- должны быть выделены приоритетные угрозы, для которых в первую очередь должны быть определены меры обеспечения безопасности;
- должны быть определены меры и средства, с помощью которых должна быть реализована защита БД;
- должна быть определена стоимость реализации выбранных мер и средств для обеспечения безопасности БД;
- должен быть определен необходимый уровень квалификации персонала для выполнения обязанностей по защите БД.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- неэффективное проведение организационной работы для повышения эффективности работоспособности реализуемых систем защиты и их функционирования;
- отсутствие организационных схем и правил выполнения работ по обеспечению безопасности БД.
8) Требования к этапу внедрения мер и средств обеспечения безопасности баз данных
В рамках обеспечения информационной безопасности БД данный процесс должен обеспечивать реализацию и организацию использования выбранных мер и средств обеспечения безопасности БД.
При внедрении выбранных мер и средств обеспечения безопасности БД должно быть определено следующее:
- приоритетность объектов БД в зависимости от уровня защищенности;
- степень влияния реализации программы по обеспечению безопасности БД на планы пользователей по развитию информационной системы;
- потребность в дополнительных ресурсах для обеспечения безопасности БД.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- несовместимость платформ применяемых средств обеспечения безопасности;
- отсутствие или неполное описание планов по внедрению выбранных мер и средств обеспечения безопасности БД.
9) Требования к этапу проведения мониторинга системы обеспечения безопасности баз данных и ее улучшения
При проведении мониторинга системы обеспечения безопасности БД и ее улучшении должен осуществляться контроль над распределением информации в БД для достижения следующих целей:
- обеспечение функционирования средств обеспечения безопасности БД;
- фиксация выполняемых функций и состояний средств безопасности БД;
- фиксация событий, связанных с нарушением безопасности БД.
Для обеспечения информационной безопасности БД в рамках данного этапа должно быть определено следующее:
- состав специалистов для эффективной работы группы контроля;
- наличие стандартов безопасности по каждой конкретной БД, представляющих собой перечень требуемых мер и средств обеспечения безопасности данных и объектов конкретной БД;
- эффективность существующей комбинации технических и программных средств, а также организационных мер обеспечения безопасности БД;
- степень удовлетворенности существующих условий в отношении обеспечения защищенности информации законодательным и социальным требованиям органов публичной власти;
- возможные улучшения с целью обеспечения наибольшей эффективности и работоспособности системы защиты БД;
- периодичность проведения контроля.
Риски, которые в обязательном порядке должны быть идентифицированы и по которым необходимо принять меры по их снижению, должны включать:
- отсутствие постоянной оценки эффективности программы защиты БД;
- отсутствие мотивированного стремления всего персонала к достижению целей обеспечения безопасности БД;
- отсутствие отчетов и рекомендаций группы аудита.
10) Цели, требования, условия обеспечения информационной безопасности БД для защиты данных и объектов баз данных
Обеспечение информационной безопасности БД должно быть направлено на достижение следующих целей:
- обеспечение необходимого уровня защиты всех данных и объектов БД конкретного органа публичной власти от всех типов внутренних или внешних угроз, появившихся вследствие преднамеренных или случайных действий или намерений;
- гарантия, что меры и средства обеспечения безопасности БД являются адекватными и соответствуют требованиям управления рисками и минимизируют возможности нанесения ущерба органам публичной власти.
Обеспечение информационной безопасности БД должно обеспечивать выполнение нижепредставленных задач:
- должны своевременно выявляться и устраняться угрозы информационной безопасности, направленные на критичные данные и объекты БД;
- должны быть определены объекты БД, на которые могут быть направлены угрозы;
- должны быть определены возможные источники угроз;
- должны быть оценены риски, связанные с БД;
- должны быть созданы механизм и условия оперативного реагирования на угрозы информационной безопасности БД и проявления негативных тенденций в функционировании БД;
- должно быть осуществлено эффективное пресечение посягательств на критичные данные и объекты БД;
- должно осуществляться управление конфигурациями и изменениями в БД;
- должны разрабатываться и внедряться планы непрерывной деятельности БД;
- должна повышаться квалификация сотрудников органов публичной власти в области защиты БД.
Для определения всех действий по достижению целей обеспечения информационной безопасности БД должен быть разработан План обеспечения информационной безопасности.
План обеспечения информационной безопасности должен включать:
- конкретные меры и средства обеспечения безопасности БД;
- этапы реализации и внедрения аппаратно-программных средств и организационных мер обеспечения
безопасности БД;
- ресурсы, которые будут использованы для обеспечения безопасности БД, включая требуемый персонал;
- сроки реализации мер и средств, заложенных в политике безопасности;
- процедуры улучшения процесса обеспечения информационной безопасности БД;
- процедуры проведения тренингов и семинаров по обучению и повышению осведомленности персонала вопросам обеспечения безопасности БД.
11) Требования информационной безопасности к управлению инцидентами информационной безопасности
Для уменьшения или исключения отрицательного воздействия нарушений в ходе непрерывной работы БД управление инцидентами информационной безопасности БД должно обеспечивать гарантии того, что о событиях и слабостях в системе защиты БД сообщается способом, дающим возможность произвести своевременное корректирующее действие.
К инцидентам информационной безопасности должны относиться следующие события:
- нарушения требований конфиденциальности:
a) инциденты, в результате которых произошел несанкционированный доступ к данным или объектам БД;
b) потеря носителей данных БД;
c) потеря от хищения аппаратных средств;
d) попытки изнутри или извне получить доступ к БД;
- возможные нарушения требований целостности:
a) потеря данных или неполная обработка;
b) вирусы и вредоносный код;
- возможные нарушения требований доступности:
a) прерывание обслуживания БД на длительный период;
b) вирусы и вредоносный код;
c) хищение аппаратных средств, компонентов или носителей данных БД;
- возможности нарушения невозможности отказа;
- простои в обслуживании БД;
- ошибки персонала;
- несоблюдение политики или процедур по обеспечению информационной безопасности БД;
- нарушения прав доступа к данным и объектам БД.
Управление инцидентами безопасности БД должно осуществляться согласно следующим этапам:
- обнаружение и регистрация инцидента;
- классификация и первичная поддержка;
- расследование и диагностика;
- разрешение и восстановление;
- закрытие инцидента;
- контроль, мониторинг, отслеживание и коммуникации.
Данные этапы более подробно рассмотрены в следующих Технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 5.1 Процесс управления инцидентами;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 5.5.3 Требования к реагированию на инциденты нарушения безопасности.
12) Требования информационной безопасности к управлению изменениями
Для обеспечения информационной безопасности БД управление изменениями должно обеспечивать защиту БД от несанкционированной модификации и искажения данных и объектов БД.
В рамках управления изменениями в БД должны выполняться следующие требования:
- должен поддерживаться домен безопасности, защищающий данные от вмешательства и искажения неавторизированными субъектами БД;
- должно проводиться четкое документирование всех данных, процессов и их изменений в БД, особенно изменений, касающихся построения и корректировок БД;
- изменения, касающиеся построения и корректировок БД, должны вноситься только уполномоченными лицами;
- все изменения, связанные с БД, должны постоянно отслеживаться и периодически проходить аудит;
- каждая БД должна включать журнал изменений, представляющий собой таблицу, в которой фиксируются действия над всей БД или отдельными ее таблицами;
- журнал изменений БД должен позволять определить источник недостоверных или искаженных данных.
13) Требования информационной безопасности к управлению непрерывностью функционирования баз данных
Для противодействия прерываниям функционирования различных объектов БД и ее самой, негативным последствиям после чрезвычайных ситуаций, и защиты критичных данных и объектов БД от воздействия сбоев и негативных событий должна обеспечиваться непрерывность БД.
В рамках обеспечения непрерывности БД должны выполняться следующие требования:
- должны быть определены критичные данные и объекты БД, являющиеся критичными для деятельности конкретного органа публичной власти;
- должна проводиться оценка рисков и факторов влияния на функционирование БД;
- должны быть разработаны на основе информации о рисках стратегические и тактические планы, а также процедуры и методы контроля и обеспечения непрерывности БД, включая методы резервного копирования, восстановительных работ в случае чрезвычайных ситуаций и методы репликации данных;
- внедрение процесса обеспечения непрерывности БД должно проходить в три основных этапа:
a) оценка рисков нарушения непрерывности БД;
b) разработка плана восстановления после аварий для критичных данных и объектов БД;
c) разработка детальных процедур, содержащих последовательность действий по использованию выбранных средств восстановления, обеспечивающих выход из нештатных ситуаций, а также максимально допустимое время недоступности критичных данных и объектов БД;
d) обучение персонала действиям по обеспечению непрерывности БД;
- должны осуществляться мониторинг и оптимизация процесса обеспечения непрерывности БД.
Для обеспечения непрерывного функционирования всех объектов БД и снижения негативных последствий после чрезвычайных ситуаций должен быть разработан план по обеспечению непрерывности БД.
План обеспечения непрерывности БД должен включать:
- обеспечение непрерывности поддержки и восстановление работоспособности БД;
- обеспечение непрерывности выполнения операций с объектами БД;
- реагирование на компьютерные инциденты, связанные с БД;
- восстановление БД в случае стихийных бедствий;
- реагирование в случае чрезвычайных ситуаций.
14) Требования информационной безопасности к управлению внутренней контрольной средой
Внутренняя контрольная среда представляет собой профессиональную и моральную культуру организации, определяющую, каким образом риск воспринимается сотрудниками, и как они на него реагируют.
Для обеспечения информационной безопасности БД внутренняя среда контролей должна обеспечивать гарантии эффективности деятельности существующих контролей и соблюдения соответствующих законодательных требований.
Внутренняя среда контролей, направленная на обеспечение информационной безопасности БД, должна быть организована в следующих направлениях:
- должны использоваться учетные записи и пароли, обеспечивающие адекватный доступ к объектам БД с учетом их категорий конфиденциальности;
- должно осуществляться эффективное управление доступом, включая и удаленный доступ, к критичным данным и объектам БД;
- должен обеспечиваться строго организованный в соответствии с политикой безопасности физический доступ к аппаратно-программному комплексу, обеспечивающему функционирование БД;
- должна осуществляться организация процесса непрерывности функционирования БД и эффективного восстановления в случае потери части или совокупности объектов БД;
- должно обеспечиваться безопасное резервирование и хранение БД;
- должна создаваться контрольная отчетность;
- должно осуществляться управление персоналом.
15) Требования информационной безопасности к оценке соответствия
Оценка соответствия информационной безопасности БД должна обеспечивать уверенность в соответствии объектов БД установленным требованиям информационной безопасности.
Оценка соответствия должна проводиться периодически, но не реже чем один раз в год, а также при существенных изменениях в структуре БД и угрозах безопасности. При успешном проведении оценки соответствия уполномоченными органами, среди которых Национальное агентство по регулированию в области электронных коммуникаций и информационных технологий (НАРЭКИТ), осуществляющих государственный контроль соблюдения требований безопасности информационных технологий, должен выдаваться сертификат соответствия.
Для обеспечения информационной безопасности БД при проведении оценки соответствия должны оцениваться:
- соответствие мер и средств обеспечения информационной безопасности требованиям, определенным в действующем законодательстве;
- правильность применения мер и средств обеспечения информационной безопасности;
- правильность действий по устранению последствий инцидентов нарушения безопасности и нейтрализации уязвимостей.
Для получения данных о состоянии информационной безопасности объектов БД должен выполняться перечень следующих действий:
- должен проводиться анализ эффективности мер и средств обеспечения информационной безопасности в противодействие имевшим место инцидентам нарушения безопасности;
- должны проводиться проверки и испытания мер и средств обеспечения информационной безопасности на соответствие требованиям безопасности;
- должны проводиться испытания на проникновение для оценки возможности использования уязвимостей для нарушения безопасности;
- должны использоваться специализированные аппаратные и программные средства для контроля состояния средств обеспечения информационной безопасности и выявления уязвимостей.
В случае обнаружения нарушений по обеспечению информационной безопасности БД НАРЭКИТ налагает административные санкции в предусмотренном законом порядке и выносит решение о прекращении нарушения и/или о принятии мер по устранению его последствий.
К уполномоченным органам, осуществляющим государственный контроль соответствия требованиям информационной безопасности БД, предъявляются следующие требования:
- должно быть подтверждение квалификации сертификатами специалистов в области информационных систем и обеспечения безопасности (международные сертификаты CISМ или CISA), осуществляющих контроль;
- должно быть доказательство опыта работы в области технологий и оборудования информационной безопасности, систем аудита безопасности и систем управления криптографической защитой не менее двух лет;
- специалисты уполномоченных органов должны обладать способностями использования процедур по аудиту систем управления информационной безопасностью, криптографической защитой открытых ключей.
6. Требования к обеспечению информационной безопасности баз данных в рамках системного подхода
1) Требования информационной безопасности к объектам баз данных
База данных представляет собой совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и обработки данных, посредством различных объектов.
Объекты БД составляют элементы БД, обладающие определенными свойствами и выполняющие определенные операции и функции.
К основным объектам БД должны относиться:
- таблицы (tables) - хранят собственно данные;
- представления (views) – объект, рассматриваемый в качестве виртуальной таблицы, то есть таблица, хранящая только схему, а не данные;
- хранимые процедуры (stored procedures) - программные модули, сохраняемые в БД для выполнения определенных операций с данными БД;
- триггер (trigger) – хранимая подпрограмма, содержащая выполняемый код, реализация которого осуществляется автоматически после происшествия определенного события;
- функции и операторы (user defined function), создаваемые пользователем;
- индексы (indexes) – вспомогательные структуры данных, создаваемые для более быстрого поиска данных;
- типы данных, определяемые пользователем (user defined data types);
- ключи (keys), представляющие собой один из видов ограничений целостности данных;
- ограничение целостности (constraints) – объекты для обеспечения логической целостности данных;
- пользователи (users), обладающие доступом к БД;
- роли (roles) - позволяют объединять пользователей в группы;
- правила БД (rules) - контролируют логическую целостность данных;
- умолчания (defaults) или стандартные установки БД.
2) Требования информационной безопасности к основным видам рисков баз данных
Для обеспечения информационной безопасности БД в обязательном порядке должны быть идентифицированы и оценены риски, связанные с информацией и операциями в БД:
- операционные риски;
- риски информационных технологий;
- риски неадекватной реализованной контрольной среды;
- риски, связанные с несоблюдением критериев целостности, доступности, конфиденциальности и корректности информации, содержащейся в БД;
- форс-мажорные риски.
3) Требования к операционным рискам
Операционные риски составляют риски прямых или косвенных потерь (неэффективного или нерезультативного использования ресурсов), вызванных ошибками или несовершенством процессов управления в конкретном органе публичной власти, а также ошибками или недостаточной квалификацией соответствующего персонала организации.
Операционные риски, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- риски на организационном уровне:
a) отсутствие или недостатки регламентирующих документов по целям и задачам стратегического и тактического уровней по управлению информационными технологиями и безопасностью для органа публичной власти;
b) отсутствие или недостатки регламентирующих документов по обеспечению безопасности БД;
c) недостаточный контроль над обеспечением уровня безопасности в БД;
- риски, связанные с ошибками персонала, влекущими за собой следующие последствия:
a) нарушение конфиденциальности, целостности, корректности данных в БД;
b) разглашение данных, содержащихся в БД;
c) разрушение оборудования или данных в БД;
d) небрежность манипуляций с данными БД;
e) изменение/искажение хранимых данных в БД;
f) потеря/хищение данных в БД.
4) Требования к рискам информационных технологий
Риски информационных технологий составляют риски потерь, связанные с неправильным применением или несовершенством процессов управления информационными технологиями и используемых компонентов инфраструктуры и информационных активов в органах публичной власти. Риски информационных технологий обусловлены сбоями в функционировании систем или их выходом из строя и недостаточной емкостью систем, сетей электронных коммуникаций.
Риски информационных технологий, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- риски, связанные с осуществлением процессов управления информационными технологиями:
a) отсутствие документированных процессов управления информационными технологиями;
b) отсутствие формализованной ответственности за информационные ресурсы;
c) отсутствие системы мониторинга за достижением целей информационных технологий в соответствии с целями и задачами органа публичной власти;
- риски, связанные с аппаратным обеспечением:
a) потеря хранимых данных БД;
b) отказ БД;
c) потеря целостности БД;
d) использование существующего подключения к БД через сеть, которое было установлено авторизованным пользователем;
e) отказ сервера БД;
- риски, возникающие на всех этапах жизненного цикла БД:
a) недостаточный уровень поддержки и обслуживания БД;
b) несанкционированный доступ к защищаемой информации в БД;
c) несанкционированное изменение списка пользователей и их прав доступа к БД;
d) манипуляция данными БД;
e) недоступность данных и объектов БД;
f) отказ в обслуживании БД;
g) потеря целостности информации БД, которая должна быть защищена.
5) Требования к рискам неадекватно реализованной контрольной среды
Риски неадекватно реализованной контрольной среды составляют риски, связанные с системой внутреннего контроля, неспособной своевременно обнаруживать и исправлять действия несанкционированного или мошеннического характера, являющиеся существенными по отдельности или в совокупности, и/или препятствовать возникновению таких нарушений.
Риски неадекватно реализованной контрольной среды, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- нарушения системы контроля доступа в БД;
- кражи данных БД;
- злоупотребления, связанные с удаленным доступом к БД;
- несанкционированный доступ к защищаемой информации БД;
- угрозы, исходящие от персонала в процессе обслуживания/администрирования БД;
- угрозы, исходящие от сторонних специалистов, привлекаемых для обслуживания элементов БД;
- подбор или взлом паролей авторизованных пользователей БД;
- злоупотребления правами пользователей БД;
- вредоносное программное обеспечение;
- несанкционированное копирование носителей с данными БД;
- вход в БД в обход системы аутентификации;
- несанкционированный запуск сканеров БД;
- манипуляции данными или программным обеспечением БД;
- нарушение невозможности отказа при обмене критичными данными.
6) Требования к рискам, связанным с критериями целостности, доступности и конфиденциальности информации, содержащейся в базах данных
Риски, связанные с критериями целостности, доступности и конфиденциальности информации, содержащейся в БД, составляют риски, возникающие вследствие обработки и представления неверной или искаженной информации, и связанные с раскрытием, изменением информации и нарушениями работоспособности БД при доступе к ее данным.
Риски, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- риски, связанные с критерием конфиденциальности информации:
a) несанкционированный доступ к данным, содержащимся в БД;
b) уничтожение, повреждение или хищение носителей информации БД;
c) перехват данных БД при их передаче по сети электронных коммуникаций;
d) злоупотребление привилегиями пользователей;
- риски, связанные с критерием целостности информации:
a) кража данных, содержащихся в БД;
b) ввод неверных данных в БД;
c) несанкционированное изменение данных или объектов в БД;
- риски, связанные с критерием доступности информации:
a) отказ инфраструктуры, поддерживающей функционирование БД;
b) ошибки при конфигурировании системы управления базами данных (СУБД);
c) разрушение или повреждение технических средств;
- риски, связанные с критерием надежности (корректности) информации:
a) несанкционированное изменение/искажение информации и соответственно необходимых результатов;
b) неполнота или некорректность функциональной обработки или представления необходимой информации;
c) несоблюдение временных границ выполнения работ;
d) небрежность манипуляций с данными в БД;
e) потеря актуальности информации на момент ее использования;
f) ошибки при обработке недостоверной информации;
g) нарушение целостности/доступности данных.
7) Требования к форс-мажорным рискам
Форс-мажорные риски составляют риски, связанные с непосредственными событиями природного, техногенного и социального характера.
Риски, связанные с форс-мажорными обстоятельствами, которые в обязательном порядке должны быть идентифицированы и проанализированы, и по которым приняты меры по их минимизации, должны включать:
- отказ информационных систем и БД органов публичной власти;
- потеря данных БД из-за воздействия интенсивных магнитных полей;
- отключение электроэнергии;
- стихийные бедствия, пожары;
- отказ сети на большой территории органов публичной власти;
- невозможность восстановления данных БД во всей совокупности информации.
8) Требования информационной безопасности к основным уязвимостям баз данных
Основные уязвимости, позволяющие реализовать угрозы безопасности, направленные на БД, должны быть проанализированы согласно следующим критериям:
- неправильно организованные процессы:
a) неясное разделение обязанностей по обеспечению безопасности БД;
b) недостаточное тестирование программных средств БД;
c) недостаточная реализация или некорректная разработка политики безопасности БД;
d) сложность структуры БД;
- отсутствие контролей:
a) недостаточное отслеживание действий инсайдеров;
b) ненадлежащий учет пользователей, имеющих свободный доступ к сетевым ресурсам;
c) недостаточный контроль паролей;
d) трудности или отсутствие мониторинга деятельности пользователей и администраторов БД;
e) недостаточный уровень проверки участников и приложений соединения с БД;
f) отсутствие контроля над резервным копированием БД;
- недостаточный профессионализм сотрудников:
a) использование по умолчанию учетных записей и ненадежных паролей;
b) недостаточность ресурсов;
c) ненадлежащее использование конфигураций;
d) неверная организация обмена данных пользователей с БД;
e) непрофессиональное и слабое администрирование СУБД;
f) недостаточное или неправильное использование штатных средств обеспечения информационной безопасности БД;
- недостаточность программно-аппаратных средств для реализации информационной безопасности БД:
a) использование аутентификационных данных, используемых в операционных системах;
b) злоупотребления полномочиями;
c) ошибки в компонентах программного обеспечения БД (например, переполнение буфера);
d) недостаточная сетевая изоляция (внешняя и внутренняя);
e) отсутствие или недостаточный уровень защиты от несанкционированного доступа;
f) некачественный способ либо средство хранения информации в БД;
g) отсутствие гарантии конфиденциальности и целостности передаваемой информации;
h) существование уязвимостей используемых операционных систем и сетевых протоколов.
7. Требования к мерам и средствам обеспечения информационной безопасности баз данных в рамках подхода структуризации
1) Требования к идентификации, аутентификации и авторизации доступа
Механизмы идентификации, аутентификации и авторизации должны предотвращать такие угрозы, как:
- неавторизованный доступ к БД;
- использование незащищенных соединений и открытых портов.
Для обеспечения информационной безопасности БД к механизмам идентификации, аутентификации и авторизации БД должны предъявляться следующие требования:
- должны использоваться разнообразные способы аутентификации и использоваться один или несколько из них одновременно:
a) для аутентификации средствами операционной системы должны использоваться сетевые учетные данные, в основном для аутентификации администратора СУБД;
b) для аутентификации средствами БД должны использоваться надежные пароли;
c) аутентификация должна происходить при помощи сетевых сервисов;
d) аутентификация обязательна в многоуровневых приложениях;
- для каждого пользователя БД должен поддерживаться следующий список атрибутов безопасности: идентификатор пользователя БД и привилегии доступа к объекту БД;
- аутентификация администраторов БД должна требовать специальную процедуру, обусловленную спецификой выполняемых задач;
- должно применяться шифрование паролей для безопасной передачи по сети;
- все аутентификационные данные пользователей и ключи шифрования должны храниться в зашифрованном виде;
- должны быть определены процедуры установления, запроса, активации, блокировки и удаления учетных записей пользователей БД;
- должны существовать два типа учетных записей БД: учетная запись владельца схем и учетная запись приложений, для исключения неавторизированного ручного доступа к БД;
- каждый пользователь БД должен быть успешно идентифицирован до разрешения любого другого действия от имени этого пользователя;
- должна быть возможность отказа пользователю в открытии сеанса с БД, основываясь на его правах.
К учетным записям владельцев схем должны предъявляться следующие требования:
- владелец схем должен иметь единственный PIN-код (персональный идентификационный номер);
- PIN-код должен разрешать доступ к схемам таблиц БД и к объектам БД;
- только администратор БД должен иметь системные права на создание таблиц, процедур;
- лишь администраторы БД должны знать PIN-код;
- информация о PIN-кодах не должна храниться на рабочих станциях или передаваться системным администраторам.
Должны соблюдаться следующие требования к учетным записям приложений:
- необходимо наличие списка учетных записей приложений и проведение его актуализации;
- учетные записи приложений должны использоваться серверами приложений для подключения к различным сервисам и БД;
- учетные записи приложений не должны иметь прав создания и изменения уже существующих таблиц;
- все изменения схем должны осуществляться администратором БД, используя учетную запись владельцев схем или PIN-код;
- пароль приложения должен храниться в папке конфигурации, которая должна находиться на сервере приложений;
- доступ к серверам и папкам приложений должен быть ограничен только для администраторов БД;
- ручное управление БД должно выполняться администраторами БД.
Для применяемых БД должны быть разработаны, документированы и должны периодически обновляться политика идентификации и аутентификации, а также процедуры и меры, связанные с ее реализацией.
Процедура идентификации и аутентификации в БД в обязательном порядке должна включать:
- требования к созданию и использованию учетных записей, включая учетные записи владельцев схем и приложений, имеющих доступ к БД;
- требования к управлению паролями.
2) Требования к управлению доступом в базах данных
В рамках обеспечения информационной безопасности БД управление доступом должно обеспечивать защиту и ограничение доступа к критичным данным и приложениям БД, и позволять снизить риски ошибок, мошенничества, неправильного использования и неавторизованного изменения.
К управлению и разграничению доступа к БД должны предъявляться следующие требования:
- должно быть определено, каким пользователям, и для каких операций требуется использовать объекты БД для предотвращения мошенничества и инцидентов безопасности;
- управление доступом должно осуществляться для субъектов, объектов и операций БД;
- управление доступом должно основываться на разделении полномочий по действиям;
- доступ к данным должен получать лишь пользователь, прошедший процедуру идентификации и аутентификации;
- пользователь, включая администраторов, должен иметь доступ только к необходимым объектам и ресурсам согласно занимаемой должности;
- должны использоваться специальные средства и методы, обеспечивающие надежное разделение доступа;
- должно предотвращаться манипулирование с БД и обращение к другим приложениям администратора приложений;
- периодически должен проводиться обзор и соответствие прав доступа пользователей их обязанностям;
- должен осуществляться контроль над доступом к БД, включая и логический контроль:
a) входов, выходов и действий пользователей БД;
b) системных привилегий и прав, и их изменений;
c) привилегий критичных объектов БД;
d) доступа к критичным данным и объектам БД;
- должны использоваться средства дискретной защиты, обеспечивающие разграничение доступа между поименованными субъектами и поименованными объектами;
- должны использоваться средства мандатной защиты, обеспечивающие разграничение доступа субъектов к объектам данных, основанное на категориях конфиденциальности информации.
3) Требования к системам управления базами данных с точки зрения жизненного цикла информационного ресурса
Поддержку создания БД органов публичной власти, централизованного управления и организации доступа к ним различных пользователей при предоставлении публичных услуг должна обеспечивать СУБД.
К СУБД должны предъявляться следующие требования:
- СУБД должна быть спроектирована и построена так, чтобы:
a) файлы программного обеспечения СУБД не были доступны по сети;
b) к файлам БД на сервере не было доступа по сети;
c) пользователи получали доступ к данным и объектам, хранящимся в БД, только посредством СУБД;
d) данные в БД были зашифрованы от несанкционированного доступа к ним;
- СУБД должна обеспечивать безопасное хранение данных БД, подразумевающее защиту как от сбоев и погрешностей, так и от несанкционированного доступа;
- СУБД должна поддерживать плотную интеграцию с аппаратными модулями безопасности для обеспечения высокого уровня защиты;
- СУБД должна обеспечивать улучшенное прозрачное шифрование данных БД для поддержки шифрования табличной пространств;
- СУБД должна поддерживать использование сложных паролей и надежных алгоритмов хеширования (hashing) паролей;
- СУБД должна поддерживать строгую аутентификацию привилегированных пользователей.
4) Требования к резервному копированию и восстановлению баз данных
Для исключения случаев прекращения функционирования БД вследствие появления сбоя, нарушающего их целостность, должно осуществляться резервное копирование и восстановление БД.
В случаях, если в БД производятся следующие изменения, то непосредственно перед изменениями и после должно быть осуществлено резервное копирование БД:
- создание или удаление табличного пространства;
- добавление или перемещение файла данных в существующем табличном пространстве;
- добавление, перемещение или удаление группы данных.
Резервное копирование БД должно осуществляться следующим образом:
- резервное копирование лишь управляющего файла БД;
- полное резервное копирование БД.
К осуществлению резервного копирования БД и восстановления целостности должны предъявляться следующие требования:
- все БД и связанная с ними критичная информация должны периодически подвергаться резервному копированию;
- должна обеспечиваться сохранность, подлинность и контроль над копиями резервных БД и предоставляться доступ к ним лишь уполномоченному персоналу;
- резервные копии должны подвергаться шифрованию;
- один раз в три месяца должны проверяться списки доступа к резервным копиям БД;
- операции, связанные с БД, должны выполняться полностью или не выполняться совсем;
- должно быть определено требуемое время для восстановления критичной информации и объектов БД и составлены планы восстановления;
- операции должны обеспечивать возможность возврата в первоначальное состояние;
- должна быть возможность воспроизведения процесса выполнения операций, связанных с БД;
- результаты выполнения операций должны быть записаны в системный журнал;
- при появлении сбоя должно осуществляться восстановление в некоторое промежуточное положение (контрольная точка);
- должны осуществляться операции раскрутки (воспроизведение результатов выполнения транзакции с использованием системного журнала) для восстановления БД.
Восстановление БД должно осуществляться на трех различных уровнях:
- оперативное восстановление - восстановление на уровне отдельных операций при ненормальном окончании ситуации манипулирования данными (например, при ошибке в программном обеспечении);
- промежуточное восстановление - восстановление состояния всех выполняемых операций на момент возникновения сбоев (например, системно-программные ошибки, сбои программного обеспечения, не связанные с разрушением БД);
- длительное восстановление - восстановление с помощью копий БД при их разрушении, и возвращение системы в состояние на момент разрушения.
5) Требования к защите баз данных от вредоносного кода
Для обеспечения информационной безопасности БД должна обеспечиваться защита от вредоносного кода, к средствам которой должны предъявляться
следующие требования:
- должен осуществляться постоянный контроль в реальном режиме времени файлов БД;
- должна осуществляться проверка в реальном режиме времени всей файловой системы, а также любых объектов файловой системы по требованию;
- должно проводиться обнаружение вирусов и вредоносного кода в составных файлах БД;
- должна быть возможность выбора различных действий при обнаружении вируса или вредоносного кода: блокирование доступа к файлу, запись в журнал, удаление, переименование или помещение на карантин, лечение зараженных файлов.
- должна быть возможность удаленного управления;
- должна быть возможность планирования запуска задач и выполнения действий;
- должна быть возможность гибкого исключения из проверки файлов, областей, процессов;
- частота выпуска обновлений должна быть высокой;
- должна быть возможность выполнения обновлений вручную по запросу или автоматически по расписанию;
- должна быть возможность выполнения отката обновлений антивирусных баз;
- рабочие станции, на которых осуществляется подключение к БД, должны иметь антивирусное программное обеспечение;
- администратор БД должен своевременно уведомляться обо всех важных событиях;
- пользователи должны своевременно уведомляться о попытках доступа к зараженным файлам;
- должна отображаться статистика и счетчики производительности в реальном режиме времени.
К средствам защиты от вредоносного кода для серверов БД должны относиться такие средства непрерывной работы и периодического запуска как:
- антивирусный сканер при доступе;
- антивирусный сканер по требованию;
- средства обновления антивирусных баз.
6) Требования к контролю целостности баз данных
Обеспечение целостности БД должно обеспечивать:
- защиту данных в БД от неверных и несанкционированных изменений и разрушений;
- корректность (правильность) как самих значений всех элементов данных, так и взаимосвязей между элементами данных в БД, при их хранении, передаче, обработке и резервном копировании.
Для поддержания целостности должны соблюдаться следующие основные требования:
- уровни целостности БД – целостность БД должна обеспечиваться на трех уровнях:
a) уровень типа данных, то есть соответствие типов данных;
b) уровень ключей, например, соответствие первичных и внешних ключей;
c) уровень триггеров, процедур и/или функций (например, триггера отвечают только за свои области данных);
- антивирусная защита – должны применяться меры предотвращения, обнаружения и уничтожения вредоносного кода;
- обеспечение достоверности:
a) в каждый элемент данных информация должна заноситься точно в соответствии с описанием этого элемента;
b) должны быть предусмотрены механизмы обеспечения устойчивости элементов данных и их логических взаимосвязей к ошибкам или неквалифицированным действиям пользователей;
- управление параллелизмом:
a) должны быть предусмотрены средства управления данными, обеспечивающие поддержание целостности БД при одновременном выполнении нескольких операций;
b) максимальное число параллельных сеансов с БД, предоставляемых одному и тому же пользователю БД, должно быть ограничено и заранее задано;
- восстановление:
a) хранимые в БД данные должны быть устойчивы по отношению к неблагоприятным физическим воздействиям (например, аппаратные ошибки, сбои питания) и ошибкам в программном обеспечении;
b) должны быть предусмотрены механизмы восстановления за предельно короткое время того состояния БД, которое было перед появлением неисправности.
В обязательном порядке должны быть идентифицированы и проанализированы следующие источники нарушения целостности данных:
- сбои оборудования, физические воздействия или стихийные бедствия;
- ошибки санкционированных пользователей или умышленные действия несанкционированных пользователей;
- программные ошибки СУБД или операционных систем;
- ошибки в прикладных программах;
- совместное выполнение конфликтных запросов пользователей.
В соответствии с критерием целостности информации необходимо не только не допустить нарушение целостности БД, но и своевременно обнаружить факт нарушения целостности и оперативно восстановить целостность после нарушения.
7) Требования к шифрованию данных в базах данных, которые не содержат информацию, являющуюся государственной тайной
В рамках обеспечения информационной безопасности БД шифрование данных в БД должно обеспечивать защиту от несанкционированного доступа и нарушения целостности данных, а также при их передаче по сети электронных коммуникаций.
К шифрованию данных в БД должны предъявляться следующие требования:
- должны быть определены части данных в БД, шифрование которых целесообразно;
- должны использоваться различные алгоритмы шифрования, симметричные и асимметричные;
- длина шифрованного текста должна быть равной длине исходного текста;
- структурные элементы алгоритма шифрования должны быть неизменными;
- должна быть обеспечена требуемая корректировка типов и размеров полей таблиц БД при шифровании;
- должны обеспечиваться сохранность и строгий контроль над распространением криптографических ключей;
- для данных в БД с высоким уровнем безопасности смена ключей должна осуществляться до истечения их срока действия, после чего следует провести повторное шифрование данных БД новыми ключами. В зависимости от объема данных БД повторное шифрование может повлиять на их наличие в течение определенного периода времени;
- должна быть возможность осуществления выборочного шифрования табличного пространства БД;
- шифрование данных должно осуществляться на сервере БД или на отдельном сервере шифрования, а не на стороне клиента.
8) Требования к аудиту и мониторингу баз данных
В ходе проведения аудита и мониторинга безопасности БД должно быть проверено наличие:
- политики аварийного восстановления БД;
- надзорных процедур для отслеживания несанкционированного доступа или изменения данных;
- подтверждения соответствия стандартам и требованиям безопасности;
- системы безопасности СУБД для подтверждения прав доступа и проверки полномочий пользователей (например, аутентификация Windows);
- политики контроля доступа;
- сотрудника, назначенного и ответственного за безопасность, например, менеджера безопасности БД;
- политики безопасности БД перед ее использованием;
- процесса регулярного резервного копирования всего программного обеспечения БД;
- процесса обеспечения непрерывности функционирования БД;
- строгого контроля соответствия между эксплуатационной и тестовой средой и версией БД.
Аудит и мониторинг БД должен включать следующие основные компоненты:
- аудит доступа/аутентификации:
a) должна проводиться проверка кому и какие доступны системы, когда и каким образом;
b) каждое событие, потенциально подвергаемое аудиту БД, должно ассоциироваться с идентификатором пользователя БД, который был инициатором этого события;
c) доступ к журналам аудита должны иметь только уполномоченные лица;
d) должен создаваться отчет о неудачных попытках обращений к объектам БД из-за недостатка привилегий, либо из-за отсутствия данных объектов;
- аудит пользователей/администраторов:
a) должна проводиться проверка деятельности, которая была выполнена в БД, как пользователями, так и администраторами;
b) должны использоваться встроенные средства аудита и контроля над действиями пользователей в СУБД;
c) все действия с критичными данными БД должны протоколироваться:
- доступ к данным;
- события регистрации/выхода;
- изменения структуры БД;
d) администратор БД должен быть изолирован от управления аудитом;
e) должен создаваться отчет об ошибках в процессе работы пользователей с наблюдаемой БД;
- предупреждение о безопасности:
a) должен идентифицироваться и сигнализироваться любой подозрительный, необычный или аварийный доступ к критичным данным или системам;
b) журналы событий web-операций, безопасности брандмауэра, открытых соединений с БД, системных событий должны быть идентифицированы web-серверами, брандмауэрами, приложениями и сервером БД;
- наличие отчетности по следующим направлениям действий:
a) общий отчет по соединениям, которые были осуществлены к целевой БД, должен включать:
- имя БД, к которой было установлено соединение;
- имя пользователя БД;
- IP-адрес и имя рабочей станции, с которых было выполнено соединение;
- локальное имя пользователя на его рабочей станции;
- название программного обеспечения, с помощью которого было установлено соединение, если это возможно;
- начальное время пользовательской сессии на БД;
- продолжительность пользовательской сессии на БД;
- состояние соединения (активное, неактивное, завершающееся);
b) отчет об обращениях к заданному объекту и об операциях над ним, должен включать:
- название БД, на которой осуществляется аудит;
- время, в которое будет осуществлен аудит;
- IP-адрес клиента, с которого будут выполняться запросы;
- программа-клиент, из которой будут выполняться запросы;
- имя пользователя БД;
- оператор языка запросов, который может быть интересен пользователю;
- объекты БД, к которым выполняется доступ, и которые содержат критичную информацию;
c) отчет о привилегированных соединениях (например, сессии, осуществленные с использованием системной роли; сессии, осуществленные системными пользователями «sys», «system», сессии, в которых были зафиксированы запросы на изменение структуры БД);
d) отчет о неудачных попытках соединения с БД вследствие неверно введенного имени пользователя или пароля демонстрирует попытки атаки на СУБД.
9) Требования к механизмам мониторинга в базах данных
Механизмы мониторинга БД должны уменьшать количество ошибок. Ограниченные ресурсы, человеческий фактор или недостаточное тестирование результатов в приложениях способствуют возникновению серьезных уязвимых мест в БД.
Механизмы мониторинга БД должны обеспечивать информацией об используемых категориях данных, их месторасположении и методах защиты, взаимосвязанных приложениях, а также обеспечивать целостность и непротиворечивость данных.
Основным механизмом мониторинга БД является политика мониторинга БД, в которой должны быть определены:
- осуществление мониторинга БД как единовременно, так и в автоматическом режиме с заданным интервалом времени;
- выполнение обновлений карты мониторинга целиком, либо только объектов, информация о которых в БД претерпела изменения;
- обеспечение сохранности и документирования настроек мониторинга;
- осуществление протоколирования процесса мониторинга и просмотр протокола с возможностью фильтрации записей, обеспечение сохранности протокола.
В качестве механизмов мониторинга БД должны выступать:
- автоматизация обслуживания и журналирования;
- документирование структуры БД;
- проверка резервного копирования;
- ведение и анализ журнала ошибок;
- анализ производительности БД;
- анализ доступности сервисов;
- анализ тенденций изменения параметров мониторинга;
- архивирование данных;
- анализ информационных рисков.
- мониторинг уязвимых мест/угроз:
a) должно осуществляться обнаружение уязвимых мест в БД;
b) контроль БД также должен включать аудит сетевой безопасности и безопасности прикладных систем;
c) должна быть возможность контроля как пост-фактум, так и в режиме реального времени для оперативного реагирования;
d) должны использоваться сканеры БД для обнаружения уязвимых мест;
- проверка изменений:
a) должна быть установлена основа для БД (конфигурация, схема, пользователи, привилегии и структура), затем должно проводиться отслеживание отклонений от этой основы;
b) все изменения, связанные с БД, должны постоянно отслеживаться и периодически проходить проверку;
c) все изменения в журналах контролей и проверок, вносимые в БД каждой операцией, должны регистрироваться.
10) Требования к мониторингу трафика запросов к базам данных
Обеспечение информационной безопасности средствами мониторинга трафика всех запросов к базам данных должно осуществляться только для данных с высоким уровнем безопасности.
При использовании средств мониторинга трафика запросов к БД, должны соблюдаться требования, предъявляемые к ним:
- должен осуществляться контроль всего трафика, идущего от пользователей к серверу БД, включая локальные запросы;
- должно фиксироваться любое обращение к БД;
- должен осуществляться контроль:
a) по объему скаченных данных;
b) по используемому приложению для обращения к БД;
- должна быть возможность установления фильтра на наличие определенных слов в запросе к БД;
- должен осуществляться контроль дополнительных нагрузок на серверы БД;
- должен осуществляться контроль задержек прохождения трафика.
11) Требования к распределению ролей и ответственности для обеспечение информационной безопасности баз данных
Для реализации процессов по обеспечению информационной безопасности БД при предоставлении публичных услуг должно быть проведено четкое определение ответственности и полномочий, связанных с реализацией данных.
В ходе процесса обеспечения информационной безопасности БД должно проводиться разделение полномочий по следующим действиям:
- использование БД;
- ввод входных данных в БД;
- операции с БД;
- управление сетью, связанной с БД;
- администрирование БД;
- создание и поддержка БД;
- управление изменениями БД;
- администрирование безопасности БД;
- аудит безопасности БД.
Реализация подразделениями и отдельными сотрудниками органов публичной власти обязанностей по обеспечению информационной безопасности БД должна осуществляться в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами).
Для осуществления и поддержки соответствующих мер по обеспечению информационной безопасности БД должны быть назначены следующие роли:
- руководство - несет полную ответственность за создание и поддержку политики безопасности, устанавливая общий подход к безопасности и внутреннему контролю информационных ресурсов организации;
- администратор БД ответственен за:
a) инсталляцию и обновление версий СУБД и прикладных инструментов;
b) создание первичных структур памяти (табличных пространств) и объектов БД;
c) модификацию структуры БД в соответствии с новыми потребностями;
d) внесение пользователей и наделение их правами;
e) управление и отслеживание доступа пользователей к БД;
f) отслеживание и оптимизацию производительности БД;
g) планирование и осуществление резервного копирования и восстановления БД;
h) поддержание сохранности архивных данных БД;
- владельцы объектов БД (привилегированные пользователи):
a) обладают полными полномочиями над созданными ими объектами;
b) несут ответственность по управлению и отслеживанию доступа пользователей к БД;
c) несут ответственность по управлению доступом к созданному объекту;
d) несут ответственность за поддержку применяемых мер безопасности созданного объекта;
- хранители БД – несут ответственность за сохранность резервных копий БД;
- конечные пользователи БД:
a) обладают строго ограниченным набором привилегий манипулирования данными в БД;
b) несут ответственность за все действия, совершенные от имени его учетной записи, если не доказан факт несанкционированного использования учетной записи;
- прикладные программисты – несут ответственность за создание программ, использующих БД;
- менеджеры информационной безопасности - несут ответственность за управление информационной безопасностью БД;
- аудиторы безопасности БД:
a) обеспечение соответствия процессов функционирования и безопасности БД установленным требованиям;
b) проведение аудита доступа к БД, аудита изменений в структуре БД и аудита использования любых системных привилегий.
Приложение № 2
к Приказу № 106
от 20.12.10 г.
к Приказу № 106
от 20.12.10 г.
Технический регламент
Обеспечение информационной безопасности
информационной инфраструктуры для органов
публичной власти. Технические требования
1. Область применения
Настоящий технический регламент устанавливает требования к обеспечению информационной безопасности компонентов информационной инфраструктуры (ИИ), позволяющие обеспечить надежное функционирование информационных технологий в органах публичной власти.Обеспечение информационной безопасности
информационной инфраструктуры для органов
публичной власти. Технические требования
1. Область применения
Настоящий технический регламент определяет роли и ответственность за процесс обеспечения информационной безопасности в органах публичной власти.
Положения настоящего технического регламента применяются для всех компонентов ИИ органов публичной власти с целью обеспечения адекватного уровня информационной безопасности.
Настоящий регламент разработан на основе следующих законодательных и нормативных актов Республики Молдова:
- Закон «О коммерческой тайне» № 171-XIII от 6.07.1994;
- Закон «О доступе к информации» № 982-XIV от 11.05.2000;
- Закон «Об информатизации и государственных информационных ресурсах» № 467-XV от 21.11.2003;
- Закон «Об электронном документе и цифровой подписи» № 264-XV от 15.07.2004;
- Закон «Об электронной торговле» № 284-XV от 22.07.2004;
- Закон «О техническом регулировании» № 420-XVI от 22.12.2006;
- Закон «О защите персональных данных» № 17-XVI от 15.02.2007;
- Закон «О регистрах» № 71-XVI от 22.03.2007;
- Закон «Об электронных коммуникациях» № 241-XVI от 15.11.2007;
- Закон «О государственной тайне» № 245-XVI от 27.11.2008.
В настоящем регламенте применяются следующие термины:
Архитектура информационной инфраструктуры - набор ключевых решений по организации информационной инфраструктуры, а также набор структурных элементов и интерфейсов, из которых она состоит, вместе с поведением, описываемым в терминах коопераций этих элементов.
Внешний контур - публичная инфраструктура, обеспечивающая взаимодействие граждан и бизнеса с органами публичного управления.
Внутренний контур - информационные системы, обслуживающие процессы внутри системы публичной администрации, в том числе, предоставление внутренних услуг структурам и работникам управления, как на центральном, так и на местном уровнях.
Электронное правление - управление, осуществляемое на основе использования информационно-коммуникационных технологий.
Дискретное управление доступом - разграничение доступа между поименованными субъектами и поименованными объектами.
Мандатное управление доступом - основано на сопоставлении категорий доступа объектов (файлы, папки, рисунки) и официального разрешения (допуска) субъекта к информации.
Чрезвычайная ситуация – незапланированное прерывание обычных бизнес-процессов, вызванное прерыванием в работе информационной инфраструктуры.
2. Требования к классификации состава и уровней информационной инфраструктуры
ИИ представляет собой систему формирования, распространения и использования информационно-коммуникационных технологий, обеспечивающих взаимодействие органов публичной власти, обеспечивая доступ к информационным ресурсам.
К основным составляющим компонентам ИИ относятся:
- аппаратные средства - комплекс электронных, электрических и механических устройств, входящих в состав информационных систем и сетей органов публичной власти. К аппаратным средствам относятся:
a) рабочие станции, сервера и логические устройства;
b) внешние устройства и диагностическая аппаратура;
c) энергетическое оборудование, батареи и аккумуляторы;
- операционные системы - обеспечивают выполнение программ и приложений, распределение ресурсов, планирование, ввод-вывод и управление данными, а также определяют взаимосвязанную группу протоколов верхних уровней, которые обеспечивают основные функции сети:
a) адресацию объектов;
b) функционирование служб;
c) обеспечение безопасности данных;
d) управление сетью;
- базы данных - совокупность связанных данных, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и обработки данных;
- сеть электронных коммуникаций - позволяет принимать и внедрять единую политику защиты и безопасности информации для взаимоподключения всех ведомственных и территориальных информационных ресурсов и систем, а также для предоставления высококачественных услуг. Сеть электронных коммуникаций включает базовые средства обработки информации и электронных коммуникаций, к которым относятся:
a) средства маршрутизации и коммутации среды электронных коммуникаций;
b) физические каналы связи и передачи данных;
c) информационные приборы конечных пользователей;
- средства поддержки - обеспечивают поддержку функционирования всей ИИ (например, средства управления производительностью серверов, средства управления хранением данных);
- мультимедийные средства - обеспечивают вызов телевизионного сигнала на монитор, композитный видео-выход, развертку живого видео на мониторе, цифровую фильтрацию и масштабирование видео, аппаратно-цифровую компрессию и декомпрессию видео, а также ускорение графических операций, связанных с трехмерной графикой. Средствами мультимедиа используются несколько типов мультимедийных данных:
a) текст;
b) графика;
c) звуковые эффекты;
d) видео;
e) фотографии;
- центр электронного правления, главными задачами которого являются управление техническими и технологическими процессами и проведение мониторинга процесса разрешения всех зарегистрированных инцидентов.
Компоненты ИИ должны составлять взаимодействие между субъектами электронного правления, осуществляемое по двум контурам, сообщающимся между собой через правительственный портал:
- внутренний контур - должен включать информационные системы, которые обслуживают процессы внутри системы публичной администрации, в том числе, предоставление услуг структурам и работникам управления, как на центральном, так и на местном уровнях;
- внешний контур - должен включать публичную инфраструктуру, обеспечивающую взаимодействие граждан и бизнеса с органами публичной власти посредством правительственного портала.
Все компоненты ИИ должны рассматриваться как совокупность трех самостоятельных, но взаимоувязанных между собой пространств:
- условно «центрального», компоненты которого являются общими и необходимыми для функционирования всей ИИ;
- условно «периферийного» и условно «вспомогательного», все составные компоненты, которых выполняют отдельные задачи ИИ.
По отношению к подключению сети Интернет должны различаться:
- открытые - компоненты ИИ, к которым может предоставляться доступ из сети Интернет;
- закрытые - компоненты ИИ, доступ к которым из сети Интернет должен быть запрещен.
Все компоненты ИИ должны быть информационно и технологически совместимыми между собой.
3. Требования к уровням информационной инфраструктуры
Все компоненты ИИ должны составлять три иерархических уровня:
- уровень представления – должен обеспечивать доступ пользователей к услугам электронного правления и основываться на модели, идентифицирующей действия органов публичной власти с точки зрения функций и способа их реализации. Модель должна описывать обязательства органов публичной власти по отношению к гражданам и бизнесу, определять потребности и конечные цели, информационные процессы и потоки, предоставляемые услуги и существующие ресурсы. Для обеспечения безопасности данного уровня должна быть обеспечена защита правительственного портала, предоставляющего возможность обмена информацией с общественностью посредством сетей связи, включая Интернет, и точка доступа к информационным ресурсам и услугам. Также должна быть обеспечена защита официальных веб-страниц органов публичной власти, а также центров обращения;
- уровень приложений – должен обеспечивать структурирование информационных ресурсов системы, программного обеспечения, пользователей информации, прав и политики доступа и аудита, обеспечивающих интегрирование, аутентификацию и безопасность. Информационная безопасность данного уровня должна обеспечиваться, соблюдая и выполняя требования безопасности, предъявляемые к компонентам ИИ;
- технологический уровень - должен обеспечивать решения вопросов хранения и использования данных, обеспечения технологической целостности, защиты и безопасности посредством физических и логических мер и средств обеспечения безопасности. Информационная безопасность данного уровня должна обеспечиваться в соответствии с требованиями к мерам и средствам обеспечения безопасности компонентов ИИ.
4. Требования к целям и задачам обеспечения информационной безопасности информационной инфраструктуры
Посредством обеспечения информационной безопасности ИИ должны достигаться следующие цели:
- обеспечение транспарентности деятельности органов публичной власти;
- создание и внедрение информационных систем и приложений для поддержки процессов органов публичной власти;
- развитие государственной информационной инфраструктуры с учетом требований безопасности;
- защита компонентов ИИ от повреждений, злонамеренных и случайных попыток изменения ее функционирования;
- обеспечение критериев информационной безопасности компонентов ИИ.
В ходе обеспечения информационной безопасности ИИ должны решаться следующие основные задачи:
- определить общие положения, регламентирующие требования защиты информации, специфические для компонентов ИИ;
- назначить ответственность за обеспечение информационной безопасности компонентов ИИ;
- реализовать требования, внедрив соответствующие программно-технические меры и средства защиты информации;
- внедрить систему управления информационной безопасности;
- организовать регулярный контроль и его документирование эффективности обеспечения информационной безопасности ИИ и при необходимости пересмотр требований защиты информации;
- обучить персонал вопросам обеспечения информационной безопасности.
Для обеспечения информационной безопасности компонентов ИИ должны соблюдаться следующие критерии защиты компонентов ИИ:
- конфиденциальность - обеспечение доступа к информации только авторизованным пользователям;
- целостность - обеспечение достоверности и полноты информации и методов ее обработки;
- доступность - обеспечение доступа к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Защита компонентов ИИ должна соответствовать:
- мерам, разработанным для минимизации критических и приоритетных рисков, обнаруженных в результате проведенной оценки рисков;
- требованиям информационной безопасности и управления рисками, определяемым владельцем компонентов, учитывая критерии конфиденциальности, целостности и доступности.
Обеспечение информационной безопасности ИИ должно основываться на принципах, рассмотренных в следующих Технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 4.6 Процесс управления информационной безопасностью;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 4.3 Принципы обеспечения информационной безопасности.
5. Требования к подходам обеспечения информационной безопасности информационной инфраструктуры
Обеспечение информационной безопасности компонентов ИИ должно основываться на следующих подходах, которые должны применяться последовательно:
- процессный подход к обеспечению информационной безопасности;
- системный подход к обеспечению информационной безопасности;
- подход структуризации к обеспечению информационной безопасности.
1) Процессный подход к обеспечению информационной безопасности информационной инфраструктуры
Для управления и обеспечения информационной безопасности компонентов ИИ должен применяться процессный подход, который должен определять:
- процессы управления информационной безопасностью компонентов ИИ;
- процессы управления ИИ с точки зрения обеспечения информационной безопасности.
Необходимым условием обеспечения процессов управления информационной безопасностью ИИ должны являться формализованные и одобренные каждым органом публичной власти политики и процедуры следующих процессов, по которым определены требования по обеспечению информационной безопасности:
- процесс управления рисками информационных технологий;
- процесс управления конфигурациями;
- процесс управления инцидентами;
- процесс управления изменениями;
- процесс управления непрерывностью и восстановлением;
- аудит и оценка соответствия.
Каждый компонент ИИ должен функционировать в соответствии с требованиями обеспечения информационной безопасности на всем протяжении своего жизненного цикла и проходить последовательно четыре процесса:
- планирование – должны устанавливаться требования к информационной безопасности при создании и/или улучшении компонентов ИИ;
- внедрение – должны тестироваться требования к информационной безопасности при внедрении и запуске в эксплуатацию компонентов ИИ;
- оценка – должно анализироваться и контролироваться соответствие требованиям информационной безопасности при осуществлении контроля и анализа состояния компонентов ИИ;
- обслуживание – должны отслеживаться инциденты, проблемы, связанные с установленными требованиями к информационной безопасности, при поддержке эффективного функционирования компонентов ИИ.
В рамках указанных процессов должны быть определены следующие требования, являющиеся неотъемлемой частью процессного подхода к обеспечению информационной безопасности ИИ:
- требования по регламентированию и документированию процессов, а также единой системы защиты компонентов ИИ с использованием совместимых мер и средств обеспечения их безопасности;
- требования по организации и централизованному регламентированию посредством политик и процедур процессов управления ИИ с точки зрения обеспечения информационной безопасности; процессов управления информационной безопасностью компонентов ИИ.
2) Системный подход к обеспечению информационной безопасности информационной инфраструктуры
Для обеспечения информационной безопасности компонентов ИИ должен применяться системный подход, который должен определять требования информационной безопасности к каждому компоненту ИИ в соответствии со следующей классификацией, а также к конкретным объектам инфраструктуры внутри каждого класса:
- требования к аппаратным средствам;
- требования к операционным системам;
- требования к базам данных;
- требования к сетям, включая к инфраструктуре сети и средствам сети;
- требования к средствам поддержки функционирования ИИ;
- требования к мультимедийным средствам;
- требования к центру электронного правления.
3) Подход структуризации к обеспечению информационной безопасности информационной инфраструктуры
Для обеспечения информационной безопасности компонентов ИИ должен применяться подход структуризации, который должен определять требования к основным мерам и средствам обеспечения информационной безопасности ИИ:
- требования к идентификации, аутентификации и авторизации;
- требования к управлению доступом;
- требования к защите от вредоносного кода;
- требования к ведению журналов событий;
- требования к резервному копированию и восстановлению компонентов ИИ;
- требования к физической безопасности компонентов ИИ;
- требования к средствам криптографической защиты информации;
- требования к средствам мониторинга;
- требования к распределению ролей и ответственности за обеспечение информационной безопасности информационной инфраструктуры;
- требования к обучению персонала вопросам обеспечения информационной безопасности.
6. Требования к обеспечению информационной безопасности информационной инфраструктуры, как составная часть управления процессами
1) Требования информационной безопасности к управлению рисками информационных технологий
Для обеспечения информационной безопасности ИИ подход к управлению рисками информационных технологий должен обеспечивать достижение следующих целей:
- содействие достижению стратегических и тактических целей компонентов инфраструктуры, уменьшающее уровень рисков информационных технологий до приемлемого уровня;
- разработка практических руководств, необходимых для оценки и минимизации рисков, идентифицированных в пределах ИИ;
- поддержка процесса принятия решений по обеспечению информационной безопасности компонентов ИИ;
- снижение потерь от реализации различных операций, выполнение которых связано с идентифицированными рисками информационных технологий.
Подход к управлению рисками информационных технологий заключается в проведении следующего перечня мероприятий:
- определение области и границ процесса управления рисками информационных технологий:
a) необходимо определить категории компонентов, ресурсов и бизнес-процессов, которые будут рассматриваться в рамках управления рисками информационных технологий;
b) категории защищаемых данных должны соответствовать следующим принципам классификации информации:
- по степеням секретности в соответствии с Законом Республики Молдова № 245-XVI от 27.11.2008 «О государственной тайне»;
- категорий персональных данных в соответствии с Законом Республики Молдова № 17-XVI от 15.02.2007 «О защите персональных данных»;
- объекты коммерческой тайны в соответствии Законом Республики Молдова «О коммерческой тайне» № 171-XIII от 6.07.1994;
- по доступу к официальной информации в соответствии с Законом Республики Молдова «О доступе к информации» № 982-XIV от 11.05.2000;
- по доступу к информации, создаваемой, обрабатываемой, хранимой в специальных системах, в соответствии с Постановлением Правительства № 735 от 11.06.2002;
c) необходимо установить уровень детализации в определении рисков информационных технологий;
- анализ рисков информационных технологий:
a) должен проводиться качественный и количественный анализ рисков информационных технологий;
b) должны быть идентифицированы все компоненты ИИ и должна быть определена их критичность;
c) должны определяться потенциальные угрозы информационной безопасности, которые могут повлиять на функционирование компонентов ИИ;
d) должны определяться все возможные уязвимости, посредством которых могут быть реализованы угрозы на компоненты ИИ;
e) должна оцениваться вероятность реализации угроз через выявленные уязвимости;
f) требуется определить общий уровень угроз критичных компонентов инфраструктуры;
g) должна проводиться оценка рисков компонентов ИИ;
- разработка мер по минимизации рисков информационных технологий:
a) должны быть классифицированы риски и определена их приоритетность;
b) должна быть осуществлена классификация рисков информационных технологий после проведения анализа рисков на основе оценки рисков;
c) должен быть определен общий комплекс аппаратно-программных средств и организационных мер, реализация которых необходима для минимизации существенных рисков, связанных с компонентами ИИ;
d) требуется выявить остаточный риск, который должен быть утвержден руководством конкретного органа публичной власти как приемлемый;
e) все решения по мероприятиям относительно управления рисками ИИ должны быть зарегистрированы и должны гарантировать, что риски уменьшены до приемлемого уровня;
- мониторинг рисков информационных технологий - должны быть определены и настроены контроли и аппаратно-программный комплекс на автоматическую работу или на отслеживание персоналом;
- документирование управления рисками информационных технологий:
a) политика управления рисками – должна определять цели и процессы управления рисками для обеспечения информационной безопасности всех компонентов ИИ;
b) методология анализа рисков – должна устанавливать этапы проведения анализа рисков и требования к ним, а также диапазоны возможных результатов различных параметров;
c) отчет по анализу рисков – должен включать детальные результаты оценки рисков в соответствии с утвержденной методологией;
d) план по управлению рисками – должен включать принятые решения по минимизации рисков информационных технологий на основе отчета по анализу рисков.
2) Требования информационной безопасности к управлению конфигурациями
Для обеспечения информационной безопасности управление конфигурациями компонентов ИИ должно достигать следующих целей:
- точная регистрация детальной информации о компонентах ИИ;
- предоставление точной информации и документации для поддержки других процессов обеспечения информационной безопасности ИИ.
В ходе процесса управления конфигурациями для всех компонентов ИИ должен выполняться следующий перечень действий:
- планирование – должны быть определены стратегия, политика и задачи процесса управления конфигурациями компонентов ИИ; определены средства и ресурсы, необходимые для обеспечения информационной безопасности;
- идентификация - должны быть сформированы процессы поддержки всех компонентов ИИ; регистрированы все компоненты ИИ, взаимоотношения между ними и информация о владельце компонентов или лицах, ответственных за них, и об имеющейся документации по обеспечению информационной безопасности;
- контроль – должно обеспечиваться соответствие операций по добавлению, изменению, замене или удалению компонентов из ИИ внутренним требованиям конкретного органа публичной власти с наличием соответствующего документа;
- мониторинг – должно отслеживаться изменение статусов компонентов ИИ (например, в процессе разработки, в процессе тестирования, в наличии, в процессе использования, выведено из рабочей среды);
- верификация – должен проводиться аудит ИИ на выполнение законодательных и внутренних требований конкретного органа публичной власти;
- отчетность - должна предоставляться информация для других процессов обеспечения информационной безопасности ИИ.
Процесс управления конфигурациями должен быть формально документирован и должна быть назначена ответственность за этот процесс.
3) Требования информационной безопасности к управлению инцидентами
Для обеспечения информационной безопасности управление инцидентами должно быть направлено на достижение следующих целей:
- обеспечение гарантий того, что о событиях и слабостях в системе защиты компонентов ИИ сообщается способом, дающим возможность произвести своевременные корректирующие действия;
- уменьшение или исключение отрицательных воздействий нарушений в ходе непрерывной работы всех компонентов ИИ.
Управление инцидентами всей ИИ должно проводиться согласно следующим этапам:
- обнаружение и регистрация инцидента;
- классификация и первичная поддержка;
- расследование и диагностика;
- разрешение и восстановление;
- закрытие инцидента;
- контроль, мониторинг, отслеживание и коммуникации.
Данные этапы более подробно рассмотрены в следующих технических регламентах:
- «Предоставление электронных публичных услуг. Технические требования» пункт 5.1 Процесс управления инцидентами;
- «Обеспечение информационной безопасности при предоставлении электронных публичных услуг. Технические требования» пункт 5.5.3 Требования к реагированию на инциденты нарушения безопасности.
Процесс управления инцидентами должен быть формально документирован и должна быть назначена ответственность за этот процесс.
4) Требования информационной безопасности к управлению изменениями
Для обеспечения информационной безопасности управление изменениями должно быть направлено на достижение следующих целей:
- определение необходимых изменений ИИ и способов их проведения;
- контроль (отслеживание) проведения изменений в ИИ;
- ограничение числа инцидентов информационной безопасности, вызванных изменениями в ИИ.
К управлению изменениями предъявляются следующие требования:
- периодически должна проводиться инвентаризация всех компонентов ИИ, их классификация и должны быть определены их приоритеты, что позволит отслеживать изменения ИИ;
- при изменении структуры ИИ должна проводиться оценка рисков информационной безопасности, в особенности организационных и технических рисков;
- должен осуществляться мониторинг событий, связанных с изменением конфигураций программных и аппаратных средств;
- должен осуществляться контроль над изменениями, связанными с учетными записями и правами доступа пользователей;
- доступ к данным об изменениях в ИИ должен обеспечиваться лишь уполномоченным лицам;
- все записи об осуществленных изменениях должны периодически проходить аудит.
Процесс управления изменениями должен быть формально документирован и должна быть назначена ответственность за этот процесс.
5) Требования информационной безопасности к управлению непрерывностью
Непрерывность компонентов ИИ отражает способность органов публичной власти возвратить внутренние процессы и системы в случае реализации чрезвычайных ситуаций в нормальное функционирование.
Для обеспечения информационной безопасности обеспечение непрерывности компонентов ИИ должно быть направлено на достижение следующих целей:
- противодействие прерываниям функционирования компонентов и негативных последствий после реализации чрезвычайных ситуаций;
- защита критичных компонентов от воздействия основных сбоев;
- гарантированное своевременное восстановление функционирования компонентов до приемлемого уровня в определенной последовательности и установленные сроки, начиная с момента прерывания.
Необходимость непрерывного функционирования ИИ органов публичной власти требует разработки и поддержки в актуальном состоянии стратегии обеспечения непрерывности ИИ. Для обеспечения непрерывности компонентов ИИ должны поддерживаться три уровня стратегии:
- организационный уровень – должен определять направления, документирование политики, структуру для обеспечения непрерывности критичных компонентов ИИ;
- процессуальный уровень – должен обеспечивать разработку стратегии восстановления ресурсов для каждого критичного компонента;
- уровень восстановления компонентов – должен обеспечивать предопределенный уровень ресурсов, необходимый для реализации предыдущих стратегий.
К стратегии обеспечения непрерывности ИИ предъявляются следующие требования:
- должны учитываться риски остановки внутренних процессов органов публичной власти;
- должен разрабатываться, поддерживаться в актуальном состоянии и тестироваться план действий, нацеленный на восстановление работоспособности компонентов ИИ после реализации чрезвычайных ситуаций;
- необходимо наличие резервного центра для восстановления компонентов ИИ;
- должно проводиться периодическое обучение персонала вопросам обеспечения непрерывности функционирования компонентов ИИ.
Обеспечение непрерывности компонентов ИИ должно состоять из следующих процессов:
- определение основных внутренних процессов – должны быть выявлены основные внутренние процессы органов публичной власти, нарушение непрерывности которых может отразиться на их деятельности;
- инвентаризация информационных ресурсов – должна быть проведена полная инвентаризация всех компонентов ИИ, должны быть определены наиболее критичные компоненты для функционирования органов публичной власти, а также проведена их классификации и установлена приоритетность;
- понимание рисков - для всех критичных компонентов ИИ должны быть выявлены потенциальные риски и возможные уязвимости их реализации для планирования их восстановления, в случае реализации чрезвычайных ситуаций;
- анализ влияния на бизнес – должны быть определены неблагоприятные воздействия при нарушении непрерывности функционирования ИИ на внутренние процессы органов публичной власти, учитывая требования конфиденциальности, целостности и доступности. Анализ должен проводиться как минимум один раз в год или в случае существенных изменений в рамках органов публичной власти;
- стратегия восстановления после чрезвычайных ситуаций – должны определяться действия в условиях аварий и чрезвычайных ситуаций, процессы уведомления об авариях и объявления о них, процессы восстановления компонентов ИИ;
- документирование планов обеспечения непрерывности ИИ – должны составляться планы восстановления компонентов ИИ после аварий, которые должны периодически обновляться, как минимум, один раз в год;
- тестирование планов непрерывности деятельности – должна осуществляться идентификация слабых мест ИИ, которые были пропущены. Полное тестирование планов обеспечения непрерывности ИИ должно проводиться, как минимум, один раз в год;
- программы обучения и повышения осведомленности – должно проводиться обучение сотрудников органов публичной власти по их действиям в условиях чрезвычайных ситуаций;
- внедрение планов обеспечения непрерывности ИИ – должно обеспечиваться эффективное выполнение действий при восстановлении или прерывании функционирования компонентов ИИ.
Эффективный процесс обеспечения непрерывности компонентов ИИ минимизирует возможность и влияние прекращения их функционирования на ключевые и критичные бизнес-процессы органов публичной власти.
Процесс управления непрерывностью должен быть формально документирован и должна быть назначена ответственность за этот процесс.
6) Требования информационной безопасности к аудиту и оценке соответствия
a) Требования информационной безопасности к аудиту
Аудит информационной безопасности компонентов ИИ представляет собой системный процесс получения и оценки объективных данных о текущем состоянии компонентов инфраструктуры с точки зрения информационной безопасности, действиях и событиях, происходящих в ней. Данный процесс должен устанавливать степень соответствия указанных данных определенному уровню безопасности.
Проведение аудита и обеспечение соответствия безопасности должны быть направлены на достижение следующих целей:
- получение наиболее полной и объективной оценки защищенности компонентов ИИ;
- избежание нарушений любых законодательных, уставных, нормативных или договорных обязательств и любых требований обеспечения информационной безопасности;
- локализация имеющихся проблем и разработка эффективной системы обеспечения информационной безопасности всех компонентов ИИ органов публичной власти.
Для обеспечения информационной безопасности к аудиту компонентов ИИ предъявляются следующие требования:
- внутренний аудит должен проводиться ежегодно и под наблюдением администратора безопасности для установления соответствия органов публичной власти важным требованиям;
- в процессе проведения аудита должны рассматриваться успешные и неуспешные действия по:
a) регистрации в системе;
b) управлению учетными записями;
c) доступу к службе каталогов;
d) доступу к объектам;
e) использованию привилегий;
f) исполнению процессов и системных событий;
- должны быть разработаны справочники программ аудита для оказания помощи в проведении аудита;
- каждое структурное подразделение органов публичной власти, в особенности центры обработки данных, должно проводить аудит отдельно, в который должно быть включено: повторная проверка отчетности по деятельности, проверка пользователей и списков учетных записей, а также инвентаризация оборудования и ресурсов;
- кроме внутренних аудитов необходимо выполнять три типа повторных проверок безопасности операций и процедур органов публичной власти:
a) повторная проверка работы с криптографическими средствами защиты информации - должна осуществляться один раз, в результате которой подтверждается выполнение требований безопасности;
b) повторная проверка процедур - должна осуществляться периодически и должна подтверждать выполнение всех требований безопасности;
c) периодический аудит - должен подтверждать степень соответствия национальным стандартам в области обеспечения информационной безопасности;
- информация, полученная в результате проведения первых двух проверок, должна использоваться в процессе проведения аудита;
- кроме внутреннего аудита должен проводиться внешний аудит, как минимум, один раз в четыре года;
- при проведении внешнего аудита необходимо иметь соглашения о конфиденциальности с третьей стороной, проводящей аудит и с сотрудниками ее организации;
- должны использоваться следующие критерии аудита:
a) эффективность - актуальность информации, соответствующего внутреннего процесса органов публичной власти, гарантия своевременного и регулярного получения правильной информации;
b) продуктивность - обеспечение доступности информации с помощью оптимального использования ресурсов;
c) конфиденциальность - обеспечение защиты информации от неавторизованного ознакомления;
d) целостность - точность, полнота и достоверность информации в соответствии с внутренними требованиями органов публичной власти;
e) пригодность - предоставление информации по требованию внутренних процессов органов публичной власти;
f) согласованность - соответствие законам, правилам и договорным обязательствам;
g) надежность - доступ к соответствующей информации для текущей деятельности, для создания финансовых отчетов и оценки степени соответствия.
При проведении внешнего аудита к сторонней организации, которая проводит внешний аудит, должны предъявляться следующие требования:
- организация должна быть зарегистрирована, лицензирована и признана на международном уровне;
- должно быть подтверждение квалификации сертификатами аудиторов в области информационных систем и обеспечения безопасности (международные сертификаты CISМ или CISA);
- должно быть доказательство опыта работы в области технологий и оборудования информационной безопасности, систем аудита безопасности и систем управления криптографической защитой не менее двух лет;
- аудиторы должны обладать способностями использования процедур по аудиту систем управления криптографической защитой открытых ключей.
К этапам проведения аудита должны предъявляться следующие требования:
- перед проведением аудита организация должна провести анализ рисков и должно быть меньше года с проведения последнего аудита;
- планирование:
a) аудиторы должны устанавливать отношения с организацией и определять цели аудита;
b) аудит должен распространяться на: процедуры проверки личности пользователей, безопасность программного обеспечения и доступа к сети, журналы событий и процессы мониторинга системы, архивирование и восстановление данных, записи об изменении параметров конфигурации компонентов ИИ и записи об анализах и проверках программных приложений и технических устройств;
- аудиторы должны развивать понимание, которое является достаточным для осуществления соответствующих методов контроля, для удовлетворения требований;
- проверка информационных технологий:
a) аудиторы должны устанавливать основные приоритеты рисков для значимых зон;
b) аудиторы должны определить степень соответствия контролей установленным требованиям;
c) аудиты должны проводиться в соответствии с правилами, определенными действующим законодательством, и внутренними положениями органов публичной власти;
- согласование/подписание/выпуск:
a) на этапе отчетности аудиторы должны подготовить отчет независимого аудита безопасности;
b) в отчете по аудиту безопасности обязательно должны быть отражены: оценка качества и непрерывности деятельности, соответствие деятельности органов публичной власти требованиям политики безопасности, достаточность мер по обеспечению информационной безопасности компонентов ИИ, анализ функций управления рисками, выполнение требований по обеспечению непрерывности деятельности и соответствие программно-технического комплекса предъявляемым требованиям.
c) перед предоставлением кому-то отчета по аудиту необходимо, чтобы соответствующая персона подписала соглашение о конфиденциальности;
d) необходимо представлять отчет в формате, сохраняющем целостность документа, например: формат PDF с паролем;
e) все копии отчета по аудиту должны быть пронумерованы и в отчет должна быть внесена следующая запись «Копия № <номер> была выдана <название организации> на основе соглашения о конфиденциальности. Не должна передаваться».
b) Требования информационной безопасности к оценке соответствия
Оценка соответствия информационной безопасности ИИ должна обеспечивать уверенность в соответствии компонентов ИИ установленным требованиям информационной безопасности. Оценка соответствия должна проводиться периодически, но не реже чем один раз в год, а также при существенных изменениях в компонентах ИИ и угрозах безопасности.
При успешном проведении оценки соответствия уполномоченными органами, осуществляющими государственный контроль соблюдения требований безопасности информационных технологий, среди которых Национальное агентство по регулированию в области электронных коммуникаций и информационных технологий (НАРЭКИТ), должен выдаваться сертификат соответствия.
Для обеспечения информационной безопасности ИИ при проведении оценки соответствия должны оцениваться:
- соответствие мер и средств обеспечения информационной безопасности требованиям, определенным в действующем законодательстве;
- правильность применения мер и средств обеспечения информационной безопасности;
- правильность действий по устранению последствий инцидентов нарушения безопасности и нейтрализации уязвимостей.
Для получения данных о состоянии информационной безопасности компонентов ИИ должен выполняться перечень следующих действий:
- должен проводиться анализ эффективности мер и средств обеспечения информационной безопасности в противодействии, имевшим место инцидентам нарушения безопасности;
- должны проводиться проверки и испытания мер и средств обеспечения информационной безопасности на соответствие требованиям безопасности;
- должны проводиться испытания на проникновение для оценки возможности использования уязвимостей для нарушения безопасности;
- должны использоваться специализированные аппаратные и программные средства для контроля состояния средств обеспечения информационной безопасности и выявления уязвимостей.
В случае обнаружения нарушений по обеспечению информационной безопасности ИИ НАРЭКИТ налагает административные санкции в предусмотренном законом порядке и выносит решение о прекращении нарушения и/или о принятии мер по устранению его последствий.
К уполномоченным органам, осуществляющим государственный контроль соответствия требованиям информационной безопасности компонентов ИИ, предъявляются следующие требования:
- должно быть подтверждение квалификации сертификатами специалистов в области информационных систем и обеспечения безопасности (международные сертификаты CISМ или CISA), осуществляющих контроль;
- должно быть доказательство опыта работы в области технологий и оборудования информационной безопасности, систем аудита безопасности и систем управления криптографической защитой не менее трех лет;
- специалисты уполномоченных органов должны обладать способностями использования процедур по аудиту систем управления информационной безопасностью, криптографической защитой открытых ключей.
7. Требования информационной безопасности к процессам управления информационной инфраструктуры в рамках процессного подхода
Требования к информационной безопасности ИИ должны определяться для всех процессов управления компонентами ИИ:
- планирование и разработка – определение требований к информационной безопасности при создании и/или улучшении безопасных компонентов ИИ;
- внедрение - реализация компонентов ИИ в соответствии с планами и требованиями нормативных и законодательных актов, а также тестирование требований к информационной безопасности при внедрении и запуске в эксплуатацию компонентов ИИ;
- оценка – получение систематизированных и достоверных данных о состоянии компонентов ИИ на основе анализа и контроля соответствия требованиям информационной безопасности;
- сопровождение - ежедневная работа с компонентами ИИ по поддержанию их эффективного функционирования с соблюдением критериев информационной безопасности, посредством отслеживания инцидентов и проблем, связанных с информационной безопасностью.
1) Требования к обеспечению информационной безопасности при планировании и разработке компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс планирования и разработки компонентов ИИ, а также разработаны стратегии и планы мероприятий по внедрению компонентов ИИ.
При планировании и разработке компонентов ИИ должны быть разработаны следующие документы:
- архитектура компонентов ИИ, схематические диаграммы и топология;
- стратегии и планы мероприятий по внедрению компонентов ИИ, которые должны, как минимум, включать:
a) обоснование необходимости внедрения компонентов;
b) расчет бюджета затрат и обоснование целесообразности затрат;
c) описание используемых технологий (например, майнфреймы, распространенные системы, сети и мобильные устройства) и их совместимости с существующими компонентами ИИ;
d) документирование архитектуры и структуры ИИ;
e) документирование процессов и процедур управления ИИ;
- стратегия по обеспечению информационной безопасности всех компонентов ИИ – должна быть определена концепция обеспечения ИИ органов публичной власти;
- политика обеспечения информационной безопасности для каждого компонента ИИ, которая должна, как минимум, включать:
a) определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
b) изложение целей и принципов информационной безопасности;
c) краткое изложение наиболее существенных политик безопасности, принципов, правил и требований;
d) определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью;
e) ссылки на более детальные политики и процедуры безопасности, дополняющие политику информационной безопасности;
- план по обеспечению информационной безопасности для каждого компонента ИИ, который должен, как минимум, включать:
a) детальные действия по достижению целей обеспечения информационной безопасности;
b) детальные действия по внедрению аппаратно-программного комплекса;
c) процедуры улучшения процесса обеспечения информационной безопасности;
d) процедуры проведения тренингов и семинаров по обучению персонала;
e) процедуры повышения осведомленности персонала.
Документация, разработанная в ходе данного процесса, должна соответствовать следующим требованиям:
- должна быть согласована с требованиями законодательства и функционирования органов публичной власти и требованиями информационной безопасности к компонентам ИИ;
- должна соответствовать установленным целям работ и оценки компонентов ИИ;
- должна основываться на существующих информационных системах и компонентах ИИ;
- должна использоваться для координации, планирования и управления всеми компонентами ИИ;
- должна описывать ключевые риски, которые необходимо минимизировать;
- должна обеспечивать направления и мотивацию сотрудников, работающих с компонентами ИИ;
- должна быть утверждена уполномоченными лицами.
b) Требования к рискам информационных технологий
Риски при планировании и разработке компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- неадекватные финансовые, технические, человеческие ресурсы, бюджет и период времени, запланированные для компонентов;
- неэффективное использование ресурсов, преувеличенные расходы и инвестиции;
- недостаточные знания и навыки персонала;
- отсутствие взаимодействия между ответственными за управление компонентами ИИ и руководством подразделений органов публичной власти;
- ограничения, связанные с применением старых технологий, систем и сетей;
- недостаток в инструментальных средствах, стандартах и навыках для документирования, обоснования и анализа совместимости компонентов при интеграции;
- отсутствие информации для мониторинга, контроля и оценки.
c) Требования к мероприятиям по планированию и разработке компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса планирования и разработки компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- проверка согласованности между планированием компонентов ИИ и годовыми планами и задачами конкретного органа публичной власти, а также фактических результатов по реализации планов и задач;
- проверка совместимости и возможности интеграции новой компоненты с существующими компонентами ИИ, рассматривая процессы управления и архитектуру каждого компонента;
- определение вида разработки новой компоненты ИИ:
a) функциональная разработка – должен быть сформирован набор функциональных спецификаций требований и критериев к компоненте;
b) техническая разработка – должны быть определены технические параметры новой компоненты в текущей ИИ (например, использование протокола сети, конфигурации систем, версии, платформа);
- обзор текущего состояния компоненты – должны быть проведены анализ существующих процессов и процедур управления компонентами ИИ и анализ архитектуры построения и структуры всех компонентов ИИ;
- определение требуемого состояния компоненты – должны быть разработаны спецификации и требования для желаемого состояния компоненты;
- разработка плана перехода в требуемое состояние компоненты;
- анализ возможностей возникновения новых рисков информационной безопасности, связанных с внедрением новой компоненты;
- выполнение процессов обеспечения информационной безопасности компонентов ИИ в режиме 24*7;
- планирование эффективного использования человеческих ресурсов, процессов и технологий для обеспечения информационной безопасности компонентов ИИ;
- осуществление анализа следующих аспектов:
a) выгоды от внедрения новой компоненты ИИ;
b) функциональные и технические требования и потребности новой компоненты ИИ;
c) стоимость изменения компоненты ИИ;
d) стабильность функционирования новой компоненты ИИ и ее ожидаемая продолжительность жизненного цикла;
e) анализ и управление рисками, связанными с внедрением новой компоненты ИИ;
f) степень влияния новой компоненты на общую структуру ИИ и на функционирование органа публичной власти;
g) планируемая стоимость установки, тестирования, внедрения и сопровождения новой компоненты ИИ;
h) ценность инновационного решения при выборе новой компоненты;
i) степень противоречивости новой компоненты с текущими компонентами ИИ;
j) потребность в обеспечении непрерывности функционирования компонентов;
k) зависимость от поставщиков, партнеров;
l) соотношение цены и качества;
m) потребность в обеспечении целостности компонентов ИИ;
n) потребность в работе обслуживания и надежности.
2) Требования к обеспечению информационной безопасности при внедрении компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс внедрения компонентов ИИ, а также разработаны планы мероприятий по внедрению компонентов ИИ.
Для внедрения компонентов ИИ должны быть разработаны следующие документы:
- план развертывания компонентов ИИ, который должен как минимум включать:
a) описание компоненты;
b) сроки;
c) выполняемые действия по внедрению компоненты;
d) требуемые ресурсы для внедрения каждой компоненты ИИ;
e) ответственные лица;
- план интеграции компонентов ИИ, который должен как минимум включать следующие уровни интеграции:
a) интеграция событий (системы обмена сообщениями) – способность обмениваться информацией между компонентами ИИ;
b) интеграция данных – способность распространять общий набор данных разным компонентам ИИ;
c) функциональная интеграция – способность компонентов ИИ взаимодействовать и согласовывать их функциональное поведение друг с другом.
b) Требования к перечню рисков информационных технологий
Риски при внедрении компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- отклонение от запланированных показателей времени и использования ресурсов;
- недостаточная компетентность и навыки персонала;
- ненадлежащее планирование, что вызывает несоблюдение запланированного периода времени выполнения работ;
- отсутствие взаимодействия между ответственными лицами за внедрение компонентов ИИ и руководством подразделений органов публичной власти;
- несоответствующие инструментальные средства или неадекватное обучение эффективному их использованию;
- недостаточный контроль над процессом внедрения компонентов ИИ.
c) Требования к мероприятиям по внедрению компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса внедрения компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- инициирование и утверждение планов развертывания компонентов и необходимых для этого ресурсов;
- выполнение принятых планов развертывания компонентов в соответствии с руководящими принципами и нормами конкретного органа публичной власти;
- анализ рисков, которые могут возникнуть при внедрении компонентов ИИ;
- проведение блочного, функционального, нефункционального, нагрузочного, интеграционного, системного и приемочного тестирования и тестирования по безопасности новой компоненты ИИ, регистрация полученных результатов, ошибок и причин их появления;
- при успешном тестировании утверждение готовности компоненты к интеграции с существующими компонентами ИИ;
- осуществление интеграции компонентов ИИ, обеспечивая единую интегрированную систему органов публичной власти;
- установление контролей безопасности после внедрения новых компонентов инфраструктуры;
- анализ уровня соответствия функциональных и технических характеристик компонентов существующим требованиям функционирования конкретного органа публичной власти;
- обеспечение защищенности информации, полученной в ходе внедрения компонентов ИИ;
- обеспечение конфиденциальности и целостности данных, находящихся или передаваемых с помощью компонентов ИИ;
- осуществление контроля версий компонентов ИИ;
- информирование пользователей по вопросам безопасности компонентов ИИ.
3) Требования к обеспечению информационной безопасности при оценке компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс оценки компонентов ИИ.
Для проведения оценки компонентов ИИ должен быть разработан план оценки компонентов ИИ, включающий как минимум:
- процедуры оценки по всем критичным компонентам ИИ;
- процедуры оценки по всем этапам жизненного цикла компонентов ИИ;
- масштаб оценки компонентов ИИ;
- требуемый уровень детализации проводимой оценки компонентов ИИ;
- необходимые ресурсы для оценки компонентов ИИ.
b) Требования к рискам информационных технологий
Риски при оценке компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- отклонение от запланированных показателей времени и использования ресурсов;
- некорректные цели и действия по процессам планирования и внедрения компонентов ИИ;
- недостаточный контроль показателей процессов планирования и внедрения компонентов ИИ.
c) Требования к мероприятиям по оценке компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса оценки компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- оценка результатов и динамики функционирования компонентов ИИ с точки зрения соблюдения критериев информационной безопасности;
- оценка уровня зрелости для каждой компоненты ИИ;
- оценка эффективности выполнения планов внедрения для всех компонентов ИИ;
- формирование отчетов по выявленным ошибкам, проблемам и возможным воздействиям на компоненты ИИ от реализации угроз информационной безопасности;
- подготовка рекомендаций по модернизации компонентов ИИ;
- контроль следующих параметров контрольных средств информационной безопасности:
a) параметры, связанные с сервисами безопасности:
- наличие средств протоколирования и аудита для критичных компонентов ИИ;
- уровень и степень эффективности механизмов идентификации и аутентификации;
- применение технологий, обеспечивающих коммуникацию в форме «отправитель-получатель»;
- наличие средств защиты данных пользователей;
b) параметры, связанные с инфраструктурой:
- наличие средств криптографической защиты информации;
- применение мер по управлению безопасностью;
- наличие средств, разграничивающих доступ к объектам ценки;
c) параметры, связанные с обязательным прохождением всех этапов жизненного цикла компонентов ИИ:
- проектирование и разработка компонентами ИИ;
- управление конфигурациями компонентов ИИ;
- тестирование компонентов ИИ, с учетом оценки уязвимостей;
- поставка и эксплуатация компонентов ИИ;
- контроль показателей исполнения и качества:
a) показатели исполнения, определяющие характеристики выполнения работ по внедрению компонентов ИИ посредством сравнения запланированных и фактических затрат на достижение поставленных целей;
b) показатели качества, измеряющие пригодность компоненты для всей ИИ для реализации ее целей и функций.
В результате оценки компонентов ИИ должны быть получены систематизированные и достоверные данные о состоянии ИИ, необходимые для принятия решений и оперативного управления компонентами ИИ.
4) Требования к обеспечению информационной безопасности при обслуживании компонентов информационной инфраструктуры
a) Требования к регламентированию и документированию
Для обеспечения информационной безопасности должны быть разработаны регламентирующие политики и процедуры, устанавливающие процесс обслуживания компонентов ИИ.
Для обеспечения информационной безопасности при обслуживании компонентов ИИ, должны быть разработаны:
- план обслуживания компонентов ИИ, включающий как минимум:
a) типы выполняемого обслуживания;
b) порядок сопровождения документации по использованию компонентов ИИ;
c) организационные работы и работы по обслуживанию;
d) ресурсы;
e) необходимый уровень квалификации персонала по обслуживанию;
f) организация службы поддержки клиентов;
g) отчетность;
- план действий, нацеленный на восстановление работоспособности компонентов ИИ после реализации чрезвычайных ситуаций, который должен включать:
a) действия по предотвращению инцидентов;
b) действия во время инцидентов;
c) действия по устранению последствий инцидентов и восстановлению работоспособности ИИ.
b) Требования к рискам информационных технологий
Риски при обслуживании компонентов ИИ, которые должны быть в обязательном порядке идентифицированы и по которым должны быть приняты меры по их снижению, включают:
- недостаточная доступность требуемых ресурсов для обслуживания компонентов и неэффективное их использование;
- неэффективное использование ресурсов, что вызывает преувеличенные расходы на обслуживание ИИ;
- недостаточный уровень квалификации и навыков персонала по обслуживанию;
- отсутствие информации для мониторинга, контроля и оценки.
c) Требования к мероприятиям по обслуживанию компонентов информационной инфраструктуры для обеспечения информационной безопасности
Для обеспечения информационной безопасности ИИ в рамках процесса обслуживания компонентов ИИ должен быть выполнен перечень следующих мероприятий:
- согласование и подтверждение задач по обслуживанию ответственными лицами органов публичной власти;
- в разрезе управления всеми событиями, связанными с ИИ:
a) мониторинг и обнаружение событий, связанных с неправильными ситуациями и условиями компонентов ИИ;
b) ведение журналов событий, связанных с компонентами ИИ;
c) обработка, эскалация и решение обнаруженных событий;
d) составление отчетности о событиях всей ИИ;
- в разрезе операционного контроля и управления конфигурациями компонентов ИИ:
a) установка нового или измененного компонента в ИИ;
b) демонтаж старого или устаревшего компонента;
c) распределение исправленных или новых конфигураций компонентов ИИ;
d) установка операционных параметров и признаков компонентов ИИ согласно определенным стандартам и требованиям;
- в разрезе управления хранением, резервным копированием и восстановлением компонентов ИИ:
a) хранение и распределение компонентов ИИ;
b) применение системы резервного копирования и восстановления;
- осуществление мониторинга и контроля событий, связанных со всеми компонентами ИИ;
- осуществление проверки и отслеживания уровня безопасности компонентов ИИ;
- осуществление контроля и управления доступом к информационным ресурсам и самим компонентам ИИ;
- контроль параметров обслуживания, включая:
a) стабильность и надежность компонентов ИИ;
b) документация, содержащая данные по обслуживанию компонентов;
c) регистрация или база данных всех событий обслуживания, тревог и сигналов.
8. Требования к обеспечению информационной безопасности информационной инфраструктуры в рамках системного подхода
1) Требования к аппаратным средствам
Для обеспечения информационной безопасности аппаратных средств должны выполняться следующие обязательные требования:
- должны использоваться лишь аппаратные средства, прошедшие соответствующую сертификацию;
- должна осуществляться проверка технических средств на наличие негативных функциональных возможностей;
- аппаратные средства должны соответствовать требованиям по защите информационных ресурсов от утечки по техническим каналам;
- аппаратные средства должны обеспечивать возможность идентификации и аутентификации субъектов доступа к ним, управления доступом и проведения аудита событий безопасности, связанных с их использованием;
- аппаратные средства, обеспечивающие информационную безопасность, не должны позволять модифицировать или искажать алгоритм работы технических средств;
- аппаратные средства должны быть защищены от воздействий со стороны внешних сетей передачи данных;
- необходимо выполнять постоянный контроль целостности аппаратных средств;
- должны быть в наличии резервные аппаратные средства;
- должны вестись регистрация и учет использования аппаратных средств;
- при подключении нового аппаратного средства:
a) новое подключаемое оборудование должно регистрироваться;
b) оборудование должно быть закреплено за сотрудником, берущим на себя ответственность за его эксплуатацию;
c) ответственное лицо обязано сообщать уполномоченному лицу о перемещении оборудования в иное помещение, об изменении комплектации, о сдаче в ремонт, о передаче ответственности за оборудование другому лицу.
Для обеспечения информационной безопасности ИИ должны выполняться следующие требования к серверам:
- серверы и оборудование электронных коммуникаций должны быть размещены в специальном безопасном помещении;
- сервера постоянно должны находиться в режиме ручного или электронного обнаружения несанкционированного доступа;
- должны устанавливаться только необходимые сервисы и приложения;
- необходимо применять жесткие требования к доступу для выполнения различных операций, особенно для модификации содержимого и конфигурации серверов;
- для передачи критичных информационных ресурсов должны использоваться защищенные каналы;
- требуется управлять доступом к данным на сервере, а также обеспечивать целостность и аутентичность данных;
- должны использоваться матрицы доступа к содержимому серверов, определяющие, какие папки и файлы внутри директории сервера имеют ограничения по доступу;
- необходимо шифровать трафик удаленного администрирования серверов;
- требуется использовать механизмы аутентификации пользователей серверов, включая цифровые подписи и другие криптографические механизмы;
- необходимо использовать системы обнаружения проникновений, основанных на хосте и/или проверки целостности файлов;
- необходимо обеспечить постоянную защиту серверов от вирусов и вредоносного кода;
- необходимо вести протоколирование всех событий и действий пользователей и деятельности серверов для определения проникновения и попыток проникновения;
- требуется проводить контроль целостности программного обеспечения и конфигураций серверов;
- необходимо осуществлять мониторинг любой подозрительной активности на серверах (например, активность в ночное время, многократные попытки авторизации);
- требуется обеспечивать репликацию критичных серверов и архивирование наиболее критичных информационных ресурсов;
- должны использоваться процедуры восстановления серверов;
- требуется периодически проводить тестирование безопасности серверов.
Для обеспечения информационной безопасности ИИ должны выполняться следующие требования к рабочим станциям:
- требуется использовать механизмы аутентификации пользователей рабочих станций;
- должен ограничиваться доступ к информационным ресурсам рабочих станций в соответствии с требованиями для выполнения своих обязанностей;
- необходимо разграничить права доступа к выполнению различных операций пользователями для предотвращения несанкционированных действий сотрудников (например, печать на принтер, копирование данных через буфер обмена, экспорт данных в локальные форматы);
- для передачи критичных информационных ресурсов должны использоваться защищенные каналы;
- должна обеспечиваться постоянная защита рабочих станций от вирусов и вредоносного кода;
- требуется периодически проводить контроль целостности программного обеспечения и конфигураций серверов;
- должен осуществляться мониторинг и управление аппаратными и программными средствами рабочих станций;
- должен вестись журнал событий и операций пользователей, связанных с информационной безопасностью;
- должно выполняться архивирование, шифрование критичных данных, располагаемых на рабочих станциях;
- требуется обеспечить безопасное внедрение и настройку приложений для рабочих станций;
- должна обеспечиваться физическая безопасность рабочих станций.
2) Требования к операционным системам
Для обеспечения информационной безопасности ИИ должны выполняться следующие обязательные требования к операционным системам:
- каждый пользователь должен быть идентифицирован уникальной учетной записью и паролем для входа в систему.
- должны использоваться средства криптографической защиты для хранения паролей операционных систем;
- при удаленном доступе к операционной системе должны использоваться криптографические протоколы во избежание передачи пароля по сети в открытом виде;
- доступ к рабочей станции должен предоставляться лишь после успешной аутентификации;
- система должна использовать матрицы доступа в соответствии с уровнями защищенности информации;
- система должна обеспечивать протоколирование и отслеживать действия пользователей;
- операционная система должна защищать объекты от повторного использования;
- системный администратор должен вести учет всех событий, относящихся к безопасности операционных систем;
- система должна поддерживать защиту от внешнего влияния, такого как модификация загруженной системы или системных файлов, хранящихся на диске.
Для обеспечения информационной безопасности компонентов ИИ должны применяться следующие средства защиты операционных систем:
- базовые технологии безопасности:
a) механизмы идентификации, аутентификации, авторизации;
b) наличие защищенных каналов передачи данных;
c) криптографические средства защиты информации;
d) средства аудита и мониторинга;
- технологии аутентификации:
a) механизмы сетевой аутентификации на основе многоразового пароля;
b) механизмы аутентификации с использованием одноразового пароля;
c) механизмы аутентификации информации;
- средства восстановления и защиты операционных систем от сбоев:
a) средства защиты системных файлов операционных систем;
b) наличие безопасного режима загрузки операционной системы;
c) наличие консоли восстановления;
d) наличие диска аварийного восстановления;
e) средства резервного копирования и восстановления.
3) Требования к базам данных
Доступ к базам данных является важным аспектом в управлении органов публичной власти и в выполнении функций обработки, хранения и манипулирования информацией.
База данных составляет интегрированную часть ИИ органов публичной власти и содержит ценную критичную информацию, что требует соблюдения обязательных требований к базам данных:
- требуется обеспечить безопасность архитектуры и структуры баз данных;
- должен осуществляться мониторинг действий всех пользователей в базах данных;
- запрещается хранить информацию баз данных в незащищенных условиях;
- должен быть исключен неавторизированный ручной доступ к базам данных;
- требуется обеспечить безопасный вход в базы данных;
- должна обеспечиваться безопасность паролей баз данных;
- должна обеспечиваться надежность баз данных через наделение соответствующих разрешений и прав доступа к объектам и ресурсам;
- должен осуществляться контроль доступа к данным в базах данных;
- должно осуществляться резервное копирование и восстановление баз данных;
- должна обеспечиваться безопасность сетевых соединений к базам данных с другими приложениями или системами;
- должен проводиться аудит и мониторинг баз данных;
- требуется обеспечить физическую безопасность баз данных.
4) Требования к сетям
Для обеспечения информационной безопасности компонентов ИИ в обязательном порядке должны выполняться общие требования к сетям:
- каждая сеть должна включать собственную инфраструктуру (рутеры, свитчи и серверы) и выполнять собственные специфические приложения;
- должна обеспечиваться сохранность сетей и серверного оборудования;
- все соединения администраторов, включая доступ на расстоянии, должны соответствовать высоким требованиям безопасности.
При построении локальных сетей должны использоваться следующее оборудование и технологии:
- управляемый свитч, предоставляющий возможности администрирования конфигурации локальной сети;
- модем, обеспечивающий работу пользователей в Интернете;
- рутеры, обеспечивающие трафик между локальными сетями, имеющими разные сетевые адреса;
- сервер авторизации доступа, обеспечивающий организацию доступа к ресурсам и разграничение доступа к своим ресурсам и ресурсам других сетей.
Для разграничения доступа к сети пользователей должны применяться различные методы защиты сетей:
- метод, основанный на ограничении физического доступа к сети;
- метод, основанный на преобразовании сигналов в линии к форме, исключающей для нарушителя восприятие или искажение содержания передачи (логический доступ).
Для ограничения доступа пользователей к сети должны применяться следующие способы ограничения доступа:
- ограничение доступа к узлу – с помощью средств аутентификации пользователей и проверки корректности их запросов должны ограничиваться запросы с удаленных рабочих станций, создаваться списки хостов, которым разрешено подключаться к сети;
- ограничения пересылки почты – с помощью файла, в котором должны быть указаны узлы, которым разрешено (запрещено) использовать сервер;
- ограничение доступа пользователей к ресурсам – должны использоваться файлы, первый из которых должен представлять собой таблицу доступа пользователей, второй файл должен определять полномочия привилегированных пользователей и третий файл должен включать ограничения ресурсов для пользователя или группы пользователей.
5) Требования к инфраструктуре сети
Для обеспечения информационной безопасности компонентов ИИ к инфраструктуре сети органов публичной власти предъявляются следующие требования:
- требуется осуществлять контроль подключения к сети между двумя рабочими станциями для контроля соответствия подключения требованиям и целям безопасности органов публичной власти;
- требуется защищать от нарушителей информацию ограниченного доступа, разглашаемую посредством сети, используя следующие средства сетей:
a) файерволы - для разделения локальных и глобальных сетей;
b) рутеры - для фильтрации трафика сети;
c) системы предотвращения вторжений;
d) свитчи - для предупреждения повреждения пакетов данных;
- необходимо обеспечение шифрования всей критичной информации, используя средства криптографической защиты, передаваемой по сетям;
- требуется наличие альтернативной сети электронных коммуникаций для переадресовки данных в случае блокировки отправки;
- необходимо разделение сетей, согласно целям и выполняемым функциям в органах публичной власти.
6) Требования к средствам сетей
Для обеспечения информационной безопасности ИИ обязательно должны использоваться следующие средства сети:
a) свитчи;
b) рутеры;
c) файерволы.
a) Требования к свитчам
Общие пользовательские зоны должны быть защищены посредством безопасности конфигурации свитчей, безопасности подключений к свитчам, безопасности компонентов свитчей, безопасности файловой системы свитчей, авторизации, предоставляемых механизмов аутентификации, точности, процедур восстановления.
К конфигурации свитчей предъявляются следующие требования:
- пароль загрузки операционной системы или программы должен быть установлен и сконфигурирован таким образом, чтобы запрашивать пароль при загрузке системы;
- авторизация программы должна быть правильно сконфигурирована для предотвращения дестабилизации системы пользователями;
- в журналы ведения событий свитча должны включаться записи:
a) использования привилегированных команд (например, доступ к привилегированному счету, файлы по аудиту или файлы настройки системы);
b) запуска и закрытия свитча, сетевого средства;
c) неудавшихся испытаний с данными или обменом;
d) создания и удаления пользователей;
e) ввода и удаления данных из архива;
f) изменения профилей безопасности пользователей, управления и атрибутов;
g) изменения прав по отношению к контролю ограниченного доступа.
Требования к предотвращению заражения вредоносными кодами файловой системы включают следующее:
- все файлы выполняемые суперпользователем (Unix) или администратором (Windows) должны принадлежать соответствующей учетной записи и не могут быть использованы на общем уровне или на уровне группы;
- необходимо обеспечивать интегрированность файлов, используемых на общем уровне или на уровне группы, для этого требуется идентифицировать все файлы системы, которые могут быть использованы на общем уровне, и ограничить общий доступ;
- все файлы и директории, которые могут быть прочитаны на общем уровне, должны находиться под наблюдением администраторов. Запрещается наличие программ, используемых на общем уровне.
b) Требования к рутерам
Рутеры должны реализовать контроль трафика сети посредством выполнения своих первичных функций. Рутеры должны выполнять и другие функции, такие как фильтрация, определяя тип трафика разрешенного в сети и направляя пакеты по их назначению.
К рутерам предъявляются следующие требования:
- рутеры должны поддерживать операции соединения, базирующиеся на паролях или на других методах безопасности;
- рутер должен обеспечивать первую линию защиты путем сортировки определенных типов трафика, используя список контроля доступа;
- доступ к рутерам должен иметь лишь уполномоченный персонал. Если рутеры имеют возможность контроля на расстоянии, то необходимо дезактивировать сетевые входы в них;
- необходимо авторизовать адрес безопасности для предотвращения доступа в сеть с неавторизированных рабочих станций;
- все списки контроля доступа должны быть соответственно сконфигурированы для гарантии обеспечения информационной безопасности ИИ;
- должна обеспечиваться сохранность файлов конфигурации рутеров, доступ к которым должен быть только у уполномоченного персонала;
- необходимо устанавливать и использовать последнюю версию операционной системы рутеров для актуализированной функциональности элементов безопасности и исправления неполадок программного обеспечения;
- должны конфигурироваться списки доступа для разрешения лишь необходимых протоколов для соответствующей дирекции. Сортировка нежелательных протоколов должна ограничивать доступ к сетям организаций;
- должны осуществляться процедуры администрирования, изменения паролей, при необходимости изменения списка доступа для добавления/изменения/удаления протоколов или правил настройки;
- должны использоваться методы аутентификации для рутеров, доступ к которым должен быть лишь у уполномоченного персонала;
- требуется менять пароли, когда происходят изменения в составе персонала, а также по истечении определенного периода времени.
c) Требования к файерволам
Для обеспечения постоянного обеспечения необходимого уровня информационной безопасности должны использоваться файерволы. Файерволы в комбинации с рутерами должны обеспечивать большее ограничение для неавторизированного доступа, чем использование только рутеров или файерволов.
Файерволы должны:
- быть спроектированы специально для обеспечения информационной безопасности;
- быть сконфигурированы для обеспечения необходимого трафика в сетях;
- обладать способностью экстенсивного подключения учетных записей, что относится к идентификации пользователей, типу трафика, типу приложения и контролю количества отправленных, принятых и отклоненных пакетов.
Для обеспечения информационной безопасности ИИ должны соблюдаться следующие требования использования файерволов инфраструктуры сетей органов публичной власти:
- на минимальном уровне файервол должен разделять Интернет и другие публичные сети от локальных сетей органов публичной власти;
- должны использоваться криптографические средства для передачи критичных данных через файервол;
- набор правил файервола должен соответствовать списку доступа рутера;
- набор правил файервола и списки доступа должны разрешать только возможности сети, необходимые для производственных услуг;
- должны соблюдаться специфические процедуры органов публичной власти, при необходимости изменить список доступа для добавления/изменения/удаления протоколов или правил настройки;
- должна обеспечиваться сохранность файерволов.
7) Требования к средствам поддержки функционирования информационной инфраструктуры
Для повышения качества и надежности функционирования органов публичной власти к средствам поддержки функционирования информационной инфраструктуры предъявляются следующие обязательные требования:
- должен обеспечиваться комплексный учет и контроль информационных ресурсов;
- должен осуществляться мониторинг использования приложений на серверах, рабочих станциях и других клиентских устройствах;
- должен обеспечиваться учет и инвентаризация программных и аппаратных средств;
- должно осуществляться распространение исправлений и обновлений, управление системными конфигурациями и откат инсталляций на различных программных и аппаратных платформах, создавая условия для повышения оперативности работы органов публичной власти;
- должно обеспечиваться надежное и безопасное удаленное администрирование серверов, рабочих станций и сетевых приложений, а также безопасное удаленное управление пользователей;
- должна проводиться проверка доступности и производительности компонентов инфраструктуры;
- должно обеспечиваться хранение и управление информационными ресурсами;
- должна поддерживаться передача голосовых, цифровых и видеоданных;
- должно осуществляться тестирование различных конфигураций и оценку изменений производительности при модификации настроек систем;
- должна поддерживаться функция взаимной аутентификации серверов.
8) Требования к мультимедийным средствам
Для обеспечения информационной безопасности компонентов ИИ к средствам мультимедиа предъявляются следующие требования:
- должна обеспечиваться безопасность сетевой архитектуры, предназначенной для передачи мультимедийного трафика;
- должна обеспечиваться целостность мультимедийных данных при их передаче;
- должна обеспечиваться защита от потери пакетов мультимедиа и от их неавторизованной обработки;
- пропускная способность должна распределяться в зависимости от выполняемых функций;
- должны использоваться алгоритмы сжатия мультимедийных данных без потерь для дальнейшего их восстановления;
- должна обеспечиваться своевременная и правильная передача мультимедийных данных;
- должны использоваться средства сохранения графических файлов и файлов звукового сопровождения.
9) Требования к центру электронного правления
Центр электронного правления должен выполнять следующие обязательные действия:
- обработка обращений и обеспечение первичной связи с заказчиком;
- ведение журналов записей и отслеживание инцидентов;
- информирование заказчиков о статусе запросов и о ходе их выполнения;
- осуществление первоначальной оценки запросов и их разрешение или перенаправление специальным группам обслуживания;
- осуществление процедур мониторинга;
- управление жизненным циклом запроса, включая закрытие и верификацию;
- оповещение заказчиков о планируемых и краткосрочных изменениях в обслуживании;
- предоставление управленческой информации и рекомендаций по улучшению обслуживания;
- выявление потребностей заказчика в тренингах и обучении;
- закрытие инцидентов и подтверждение закрытия у заказчика;
- участие в идентификации проблем.
Для решения различных вопросов управления к центру электронного управления предъявляются требования по:
- организационной структуре (отдельный офис, несколько офисов или центральный офис; количество поддерживаемых заказчиков; часы, в которые должна обеспечиваться поддержка; языки общения персонала центра электронного правления и заказчиков);
- охвату, количеству и типам приложений, которые необходимо поддерживать (стандартные, специализированные, сделанные на заказ);
- общим требованиям организации;
- сетевой инфраструктуре;
- охвату, количеству и типам аппаратного обеспечения/технологий, которые необходимо поддерживать;
- обновлению технологий;
- классификации запросов;
- наличию навыков пользователей;
- количеству сотрудников центра электронного правления.
В случае если предоставляется круглосуточная поддержка, должны учитываться следующие вопросы:
- возможность взаимодействия систем/средств электронных коммуникаций;
- доступность и поддержка на местных языках;
- необходимость в многоязычном персонале центра электронного правления;
- использование согласованных процессов управления инцидентами.
9. Требования к мерам и средствам обеспечения информационной безопасности информационной инфраструктуры в рамках подхода структуризации
1) Требования к идентификации, аутентификации и авторизации
Управление идентификацией, аутентификацией и авторизацией должно обеспечивать безопасность, доверие и защиту идентифицируемых пользователей и доступа к компонентам ИИ.
Структура управления идентификацией, аутентификацией и авторизацией должна включать следующие компоненты:
- видение безопасности компонентов ИИ, которое должно содержать:
a) важность информационной безопасности компонентов ИИ;
b) потребность в защите информационных ресурсов;
c) описание управления данными информационных ресурсов;
d) подход риск-менеджмента;
- стратегия управления идентификацией, аутентификацией и авторизацией, которая должна содержать:
a) цели управления идентификацией, аутентификацией и авторизацией;
b) критерии и факторы успеха;
c) ожидаемые преимущества для бизнеса, такие как улучшенные процессы, уменьшение стоимости, повышение качества предоставления услуг и повышение производительности;
- политика и стандарты - определяют подход к управлению или действиям для обеспечения защиты, доверия и соответствия требованиям законодательства и аудита;
- архитектура управления идентификацией, аутентификацией и авторизацией, которая должна содержать:
a) репозиторий для пользовательских учетных записей и их профилей;
b) непрерывное наблюдение за управлением жизненным циклом пользовательских профилей;
c) различные методы аутентификации, включая пароли, e-token, смарт-карт и цифровые сертификаты;
d) управление доступом, определяющее политику доступа к компонентам инфраструктуры;
- спецификации – должны содержать требования к определению необходимых технологий идентификации, аутентификации и авторизации на основе функциональных требований, а также этапы внедрения данных технологий.
При соблюдении всех требований к процедурам идентификации, аутентификации и авторизации должны быть получены следующие преимущества:
- повышение пользовательского опыта в управлении идентичностью, что приведет к наличию производительных пользователей и экономичному решению поставленных задач с использованием ИИ;
- расширение интеграции компонентов ИИ, обеспечивающих инвестиционную защиту и снижение рисков;
- многоцелевая платформа, объединяющая решения для различных требований функционирования органов публичной власти;
- централизованное управление данными процедур;
- расширение безопасности, обеспечивающее высокие уровни безопасности, в случае растущих рисков.
Для процедур идентификации, аутентификации и авторизации должны быть разработаны, документированы и должны периодически обновляться политика идентификации и аутентификации, а также процедуры и меры, связанные с ее реализацией.
Политика идентификации и аутентификации в обязательном порядке должна включать:
- требования к созданию и использованию учетных записей;
- требования к применяемым методам аутентификации;
- требования к управлению паролями;
- требования по управлению и контролю прав доступа;
- требования безопасности к пользователям.
a) Требования к идентификации
Для обеспечения информационной безопасности ИИ должны выполняться следующие требования к системам идентификации:
- управление учетными записями пользователей должно осуществляться централизованно;
- создание, удаление и управление доступом пользователей должно быть автоматизировано;
- управление идентификаторами пользователей должно обеспечиваться:
a) однократной идентификацией каждого пользователя;
b) проверкой подлинности каждого пользователя;
c) получением разрешения на выдачу идентификатора пользователя от ответственного должностного лица;
d) гарантированием того, что идентификатор пользователя выдан предопределенному лицу;
e) отключением учетной записи пользователя после заданного временного интервала неактивности (бездействия);
f) ведением архивных копий идентификаторов пользователей;
- управление идентификаторами пользователей должно проводиться лишь уполномоченными лицами;
- необходимо регулярно проводить контроль над идентификацией пользователей;
- должна использоваться однократная идентификация пользователей.
Должны выполняться следующие требования, предъявляемые к учетным записям пользователей:
- каждая учетная запись должна быть уникальной и принадлежать одному лицу;
- всегда должно высвечиваться предупреждающее сообщение при подключении пользователя, после его идентификации и аутентификации;
- сессия подключения пользователя после ряда неудачных попыток должна прерываться (допускаются 5 неудачных попыток);
- все учетные записи пользователей, которые не использовались в течение 30 дней, должны аннулироваться. Администрация имеет право дезактивировать учетные записи временных пользователей;
- требуется выключать или блокировать компьютер пользователей, если они на время покидают рабочее место. При не использовании компьютера в течение 15 минут он должен автоматически блокировать текущую сессию;
- запрещается использование одной учетной записи несколькими пользователями;
- формат учетных записей должен быть документирован и должен быть единым для всех пользователей;
- должны быть указаны единые учетные записи администраторов, которые должны отличаться от учетных записей пользователей;
- каждая учетная запись должна быть ограничена исходя из выполняемых функций посредством системного программного обеспечения операционной системы и управления приложениями.
b) Требования к аутентификации
Аутентификация - это процесс установления, что один объект или одно утверждение является истинными, так как кто-то утверждает. Аутентификация пользователей относится к логическому уровню обеспечения информационной безопасности и поэтому должна использоваться для всех компонентов ИИ (приложения, базы данных, процессы).
Должны использоваться различные методы аутентификации в зависимости от ресурсов, к которым необходим доступ, и от уровня защиты, применяемого для данных ресурсов:
- биометрические данные;
- распознавание паролей, e-token, смарт-карт и цифровых сертификатов;
- пароли и ID для подключения;
- физические ключи;
- отсутствие методов.
К процессу аутентификации установлены следующие требования:
- должны быть разрешены только учетные записи пользователей, необходимые для работы;
- все гостевые учетные записи должны быть дезактивированы;
- необходимо предоставлять предупреждение о безопасности перед авторизацией, которое должно информировать пользователя об ограничениях, применяемых при авторизации;
- каждый пользователь должен быть успешно аутентифицирован до разрешения выполнения действий;
- число неудачных попыток соединения должно быть ограничено и пользователь должен быть блокирован для невозможности повтора будущего соединения (допускаются 5 неудачных попыток);
- при реализации данных событий уведомления должны быть отправлены автоматически информационной системой соответствующему персоналу, который должен разрешить разблокировку пользователя после анализа;
- управление средствами аутентификации должно обеспечиваться:
a) определением начального содержимого средств аутентификации;
b) определением административных процедур, регламентирующих процесс распространения и изъятия средств аутентификации, а также действия в случае их утраты/компрометации или выхода из строя;
c) сменой используемой по умолчанию аутентификационной информации после инсталляции системы;
- должна обеспечиваться обратная связь с пользователем при прохождении им процедур аутентификации, при этом она не должна компрометировать механизм аутентификации;
- все пароли и данные аутентификации должны быть защищены от неавторизированного доступа;
- аутентификация пользователей должна аудитироваться;
- должен вестись учет пользователей, их учетных записей и паролей ответственными лицами для восстановления паролей с последующей организацией доступа уполномоченного лица.
К методу аутентификации, такому как применение паролей, предъявляются следующие требования:
- пароль должен иметь буквенно-цифровые символы;
- пароль должен иметь не менее восьми символов;
- пароль не должен состоять из одних только букв или цифр, они должны быть скомбинированы;
- пароль не должен повторять один и тот же знак;
- пароли должны меняться, как минимум, раз в 90 дней;
- в базе данных должна сохраняться история паролей (рекомендуется хранение последних 6 паролей) для предотвращения их повторного использования;
- пользователи должны быть осведомлены, что в качестве паролей не должны выбираться дни рождения пользователей, имена родных и близких людей или другие персональные данные;
- рекомендуется добавление в пароль специальных символов;
- пароль не должен быть идентичным с паролем профиля администратора;
- пароль не должен повторять часть профиля пользователя.
Пользователи должны выполнять следующие требования по сохранению аутентификационных данных:
- пользователи обязаны выполнять требования организационно-распорядительных документов по применению рабочих станций;
- пользователи обязаны сохранять пароль доступа к ресурсам сети и систем в тайне;
- пользователи не должны сообщать личный пароль другому лицу, даже если это сотрудник организации;
- пользователи обязаны вводить пароль и другие идентификационные данные, убедившись, что клавиатура находится вне поля зрения других сотрудников;
- пользователи обязаны периодически (не реже одного раза в три месяца) самостоятельно либо с помощью администратора изменять пароли доступа к ресурсам систем и сети;
- пользователи обязаны не допускать использование легко идентифицирующегося или уже использовавшегося пароля;
- пользователям запрещается фиксировать свои идентификационные данные (пароли, идентификаторы, ключи) на твердых носителях (в том числе бумажных).
c) Требования к авторизации
Авторизация представляет собой процесс принятия решения о предоставлении пользователю доступа к ресурсу или к системе.
Права доступа предполагают различные уровни контроля доступа к определенному объекту. Права доступа должны быть определены для:
- пользователей объектов;
- групп, к которым относится данный пользователь;
- других лиц.
Основные права доступа должны включать:
- только чтение - пользователю должен быть разрешен просмотр данных. При наличии таких прав доступа пользователь не может вносить изменения;
- чтение и изменение - пользователю должно быть разрешено чтение, изменение и удаление данных, а также право на возможное изменение прав доступа.
Должны выполняться следующие требования к авторизации пользователей:
- механизм авторизации должен запускаться только после успешной аутентификации пользователя;
- механизмы авторизации должны управлять доступом на уровне URL: File и URL;
- администрирование прав доступа должно основываться на структуризации пользователей в группы и роли;
- права доступа должны предоставляться только на основе должностных инструкций и требований;
- объекты, к которым необходим публичный доступ, должны располагаться в публичной зоне с соответствующими правами доступа;
- права пользователя должны иметь приоритет над правами группы. Администратор объекта должен обладать полным контролем над этим объектом и правами доступа к нему;
- приоритет права доступа к объекту должен быть следующим: администратор, владелец, группа, публичный доступ;
- должны использоваться встроенные права доступа для пользователей;
- дата изменения и доступ к объекту должны являться субъектами прав администратора. Если любые права доступа изменены, администраторы должны отслеживать эти изменения и принимать решения об их реконфигурации при необходимости;
- авторизация пользователя на обращение к ресурсу должна сопровождаться журнальной записью для возможности анализа при возникновении неясностей по состоянию ресурса.
2) Требования к управлению доступом
Для обеспечения информационной безопасности должны применяться механизмы управления доступом, обеспечивающие разграничение доступа субъектов к защищаемым компонентам ИИ.
Должны соблюдаться следующие требования, предъявляемые к системе управления доступом:
- контроль доступа должен применяться к каждому объекту (компоненте) и каждому субъекту (лицу или группе лиц);
- должно осуществляться единое управление учетными записями в различных системах, позволяющее автоматизировать выполнение принятой в организации политики безопасности в области контроля доступа (в том числе мобильного) к различным информационным ресурсам, приложениям и службам;
- должны поддерживаться современные средства аутентификации (в том числе многофакторная, включающая биометрию) с возможностью однократной регистрации в системе;
- должен осуществляться контроль жизненного цикла пользователя в системах с момента приема сотрудника на работу до его увольнения;
- должна обеспечиваться автоматическая синхронизация учетных записей пользователей всех подключаемых систем (прежде всего системы кадрового учета) в соответствии с политиками и правилами органов публичной власти;
- должны использоваться средства конфигурирования, администрирования и мониторинга работы системы управления доступом, и средства ведения журналов и независимого аудита;
- должна обеспечиваться интеграция с внешними системами мониторинга, аудита безопасности и поддержки.
Необходимо использовать дискретную и мандатную модели управления доступом.
К дискретной модели управления доступом предъявляются следующие требования:
- система защиты должна контролировать доступ наименованных пользователей к наименованным объектам (файлам, программам и т.д.);
- для каждой пары субъект - объект должно быть задано явное и недвусмысленное перечисление допустимых типов доступа;
- система защиты должна содержать механизм, претворяющий в жизнь дискретные правила разграничения доступа;
- контроль доступа должен быть применим к каждому объекту и каждому пользователю;
- механизм, реализующий дискретный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа;
- должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.
К механизму мандатного управления доступом предъявляются следующие требования:
- каждому субъекту и объекту доступа должны сопоставляться категории доступа к информации, которые являются основой мандатного принципа разграничения доступа;
- система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначаться классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты);
- система защиты должна реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из пользователей:
a) субъект может читать объект, только если уровень субъекта не меньше, чем требуется для объекта;
b) субъект осуществляет запись в объект, только если уровень субъекта не больше, чем требует объект;
- должна обеспечиваться возможность сопровождения, изменения уровней субъектов и объектов специально выделенными субъектами;
- должны применяться средства, осуществляющие перехват всех обращений субъектов к объектам и разграничение доступа в соответствии с заданным принципом.
3) Требования к антивирусной защите
Для обеспечения информационной безопасности компонентов ИИ должны выполнять следующие меры по защите от вредоносного кода:
- превентивные меры, предотвращающие вирусные атаки путем удаления уязвимостей, являющихся причиной их возникновения;
- меры, направленные на своевременное обнаружение и блокирование вирусных атак и спама;
- меры, выявляющие и ликвидирующие последствия вирусных угроз для минимизации ущерба, нанесенного в результате реализации вирусного кода.
Программное обеспечение по защите от вредоносного кода, применяемое для компонентов ИИ, должно соответствовать следующим требованиям:
- программное обеспечение должно сканировать всю входящую извне информацию на исполняемые, зараженные файлы;
- должны оптимально и рационально потребляться ресурсы оперативной памяти и процессора;
- должна обеспечиваться защита от внедрения вредоносного кода в компоненты ИИ, включая возможность автоматического обновления средств защиты от вредоносного кода;
- обновление механизмов антивирусной защиты должно осуществляться автоматически;
- должно обеспечиваться централизованное управление механизмами антивирусной защиты.
Для обеспечения защиты от вредоносного кода должны использоваться следующие виды антивирусных программ:
- программы-детекторы, осуществляющие поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и выдающие соответствующее сообщение при обнаружении вирусов;
- программы-доктора, осуществляющие поиск вирусов в оперативной памяти, уничтожающие их и только затем осуществляющие их лечение;
- программы-ревизоры, проверяющие данные на диске на предмет вирусов-невидимок, изучающие, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра операционной системы, не должны пользоваться средствами операционной системы для обращения к дискам;
- программы-фильтры, обнаруживающие подозрительные действия при работе рабочей станции, характерные для вирусов (например, попытки коррекции файлов с расширениями «com», «exe», изменение атрибутов файла, прямая запись на диск по абсолютному адресу, запись в загрузочные сектора диска и загрузка резидентной программы), а также отправляющие пользователю сообщение и предлагающие запрет или разрешение соответствующего действия;
- программы-вакцины (иммунизаторы), предотвращающие заражение файлов путем модификации программ или дисков таким образом, чтобы это не отражалось на их работе, а вирус воспринимал их зараженными;
- сканер, проверяющий файлы, сектора и системную память, а также осуществляющий поиск в них известных и новых вирусов, используя так называемые «маски».
4) Требования к ведению журналов событий
Для обеспечения информационной безопасности компонентов ИИ должны вестись журналы событий, позволяющие проводить анализ происходящих событий, связанных с функционированием компонентов инфраструктуры.
В журналы событий должны входить следующие события:
- тревоги и предупреждения, генерируемые системой обнаружения вторжения;
- все операции, имеющие отношение к процедурам, предусматривающим работу с сертификатами абонентов (выдача, отзыв, приостановление, возобновление, внесение изменений);
- каждое изменение состава оборудования или программного обеспечения;
- изменение топологии сетей или сетевых соединений;
- изменения паролей, персональных идентификационных номеров, прав и должностных обязанностей;
- успешные и неуспешные попытки доступа к базам данных и серверам органов публичной власти;
- каждое полученное сообщение от абонента, каждый запрос и каждое подтверждение данных абонентом или заявителем;
- истории создания резервных копий и другие информативные записи в архивах, такие как базы данных.
В процессе ведения журналов событий должны выполняться следующие требования:
- содержание записи в журналах событий должно включать следующую информацию:
a) дата совершения события;
b) время совершения события;
c) учетная запись пользователя;
d) тип события;
e) идентификатор события;
f) запись о принятом решении относительно события, то есть выполнена или привела к ошибке;
- должны быть приняты меры по защите критичных данных, содержащихся в отчетах по аудиту;
- должны быть приняты меры по обнаружению и предотвращению несанкционированных записей в журналах событий;
- все записи журналов должны детально рассматриваться как минимум один раз в месяц;
- для каждого сервера и рабочей станции должны вестись отдельные журналы;
- при заполнении журнала он должен быть заархивирован и создан новый;
- журналы событий должны подлежать обязательному резервному копированию;
- каждый журнал в электронном или бумажном виде должен подлежать проверке при проведении аудита системы;
- записи журналов событий должны иметь формат, позволяющий читать без декодирующего программного обеспечения или дополнительного аналитического программного обеспечения;
- для обеспечения безопасности операционной среды должен быть доступ к записям журналов событий в случае появления срочной ситуации;
- журналы событий должны архивироваться и храниться в порядке, установленном положениями действующего законодательства;
- архивирование журналов должно быть отражено в бумажных журналах в присутствии администратора безопасности, системного администратора и аудитора;
- все архивные копии журналов событий должны иметь временную отметку;
- в определенных ситуациях записи должны интегрироваться в общую программу мониторинга безопасности информационных систем;
- лишь уполномоченные лица должны выполнять операции с журналом;
- системные администраторы не должны по собственной инициативе стирать отчеты журналов или отключать их создание.
5) Требования к резервному копированию и восстановлению компонентов информационной инфраструктуры
Для обеспечения информационной безопасности осуществление резервного копирования должно обеспечивать достижение следующих целей:
- обеспечение успешного восстановления резервных данных для нормального их использования;
- обеспечение дублирования данных для их архивирования и хранения в течение необходимого периода.
Обязательному резервному копированию подлежат следующие данные:
- инсталляционные диски системных приложений и систем;
- инсталляционные диски с программным обеспечением органов публичной власти;
- данные баз данных;
- данные о пользователях и сотрудниках органов публичной власти;
- журналы событий.
К системам резервного копирования и восстановления предъявляются требования:
- должна проводиться проверка подлинности содержимого резервных копий;
- должно проводиться тестирование процесса восстановления резервных копий;
- для резервных копий должны быть предусмотрены безопасные условия хранения, а также электромагнитные области, температура, влажность, легкие и механические усилия;
- должны быть определены и соблюдаться условия сохранения пригодности и жизнеспособности резервных копий;
- должны использоваться два метода создания резервных копий: резервное копирование баз данных и резервное копирование для быстрого восстановления конфигураций и настроек оборудования и программного обеспечения;
- должен быть определен состав информации, подлежащий резервному копированию;
- резервные копии данных должны создаваться для каждого сервера и каждой базы данных;
- необходимо обеспечить регулярное создание и тестирование резервных копий данных и программного обеспечения;
- должно быть определено соответствующее оборудование для резервного копирования, гарантирующее восстановление всей необходимой информации и программного обеспечения после отказа носителей информации или аварии;
- процедуры копирования и восстановления информации должны быть документированы и должны составляться точные и полные отчеты по резервным копиям;
- должны быть определены объем резервного копирования, полное или выборочное резервное копирование и частота его выполнения;
- должны проводиться тестирование и проверка процедур восстановления информации для обеспечения гарантии их эффективности;
- должны использоваться средства шифрования для защиты резервных копий;
- резервное копирование должно охватывать всю информационную систему, приложения, данные, необходимые для полного восстановления системы после стихийного бедствия или аварии;
- должен быть определен период времени хранения информации, а также требования для постоянно сохраняемых архивных копий.
Процесс управления резервным копированием и восстановлением должен быть формально документирован и должна быть назначена ответственность за этот процесс.
6) Требования к физической безопасности компонентов информационной инфраструктуры
Для обеспечения информационной безопасности должна обеспечиваться физическая безопасность компонентов ИИ для достижения следующих целей:
- поддержка целостности продуктов и услуг, предоставляемых пользователям органами публичной власти;
- предотвращение несанкционированного доступа, утери информации и программно-аппаратного обеспечения.
К физической безопасности предъявляются следующие требования:
- должна обеспечиваться защита от следующих случаев:
a) несанкционированный доступ в помещения;
b) пожары и наводнения;
c) электромагнитное излучение;
d) воровство и кражи;
e) взрыв;
- должны использоваться центральные посты и персонал охраны, а также применяться технические средства защиты объектов:
a) автоматизированные системы контроля доступа;
b) защитные приспособления и средства сигнализации;
c) средства наблюдения;
d) оборудование пункта централизованного наблюдения;
e) механические замки;
f) дублирующая система и средства электропитания;
- должна быть обеспечена защита физического периметра органов публичной власти и всех компонентов ИИ.
Процесс управления физической безопасностью должен быть формально документирован и должна быть назначена ответственность за этот процесс. Политика физической безопасности ИИ в обязательном порядке должна включать следующее:
- требования к системам контроля доступа;
- требования к резервной системе;
- требования к системам обнаружения физических вторжений.
7) Требования к средствам криптографической защиты информации, которая не относится к государственной тайне
Применение средств криптографической защиты информации должно обеспечивать защиту конфиденциальности, подлинности и целостности информации.
Для обеспечения защиты информации должны использоваться современные криптографические системы:
- криптосистемы с открытым ключом (асимметричные криптоалгоритмы: RSA, DSA);
- симметричные криптоалгоритмы: AES (256);
- хэш-алгоритмы.
Данные криптографических систем должны использоваться в обязательном порядке при:
- передаче критичной информации по каналам связи (например, электронная почта);
- установлении подлинности передаваемых сообщений;
- хранении информации (документов, баз данных) на носителях в зашифрованном виде.
Требования к средствам криптографической защиты информации должны включать:
- требования надежности:
a) средства защиты должны обеспечивать заданный уровень надежности применяемых криптографических преобразований информации, определяемый значением допустимой вероятности неисправностей или сбоев, приводящих к получению злоумышленником дополнительной информации о криптографических преобразованиях;
b) инициализация (администрирование, отладка и монтаж) средств криптографической защиты не должна приводить к ухудшению свойств средств в части параметров надежности;
- требование по защите от несанкционированного доступа - в информационных системах, для которых реализованы программные или аппаратные средства криптографической защиты информации, при хранении и обработке информации, должны быть предусмотрены следующие основные механизмы защиты:
a) идентификация и аутентификация субъектов доступа;
b) управление доступом;
c) ведение журналов событий;
- требования к разработке, изготовлению и функционированию средств криптографической защиты информации - аппаратные и программные средства, на которых ведется разработка систем криптографической защиты информации, не должны содержать функциональных возможностей, позволяющих:
a) модифицировать или изменять алгоритм работы средств защиты информации в процессе их разработки, изготовления и эксплуатации;
b) модифицировать или изменять информационные потоки, связанные с функционированием средств;
c) осуществлять доступ посторонних лиц к ключам идентификационной и аутентификационной информации;
d) получать доступ к информации средств криптографической защиты информации;
- требования по обеспечению безопасности ключей шифрования и цифровой подписи:
a) все поступающие для использования ключи шифрования и цифровой подписи и инсталляционные дискеты должны находиться под учетом;
b) уполномоченные сотрудники должны нести персональную ответственность за сохранность ключей шифрования и цифровой подписи и функционирование средств криптографической защиты информации;
c) должна обеспечиваться сохранность ключей шифрования и цифровых подписей, инсталляционных дискет;
d) должен периодически проводиться контроль сохранности входящего в состав средств криптографической защиты информации оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов;
- требования по быстродействию средств криптографической защиты:
a) механизмы обеспечения безопасности должны эффективно обрабатывать мультиплексированные данные на уровне пакетов;
b) средства безопасности не должны вносить существенные задержки в процесс обработки и передачи информации;
c) ключевая инфраструктура должна содержать эффективные средства обновления криптографических ключей;
d) криптографические алгоритмы должны обрабатывать большие объемы информации в единицу времени;
e) реализация криптографических алгоритмов должна позволять работу в системах с различной пропускной способностью;
- требования по организационному обеспечению безопасности средств криптографической защиты информации:
a) должны быть назначены ответственные лица за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности средств криптографической защиты информации;
b) вопросы обеспечения функционирования и безопасности средств криптографической защиты информации должны быть отражены в специально документах, утвержденных руководством организаций;
- требования к сотрудникам, осуществляющим эксплуатацию и установку средств криптографической защиты информации:
a) к работе со средствами криптографической защиты информации допускаются решением руководства организации только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы и прошедшие обучение работе со средствами криптографической защите информации;
b) уполномоченные лица для работы с криптографическими средствами должны иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.
8) Требования к средствам мониторинга
Средства мониторинга информационной безопасности должны обеспечивать постоянное наблюдение за событиями информационной безопасности, происходящими в процессе обмена информацией, сбор, анализ и обобщение результатов наблюдения за функционированием компонентов ИИ.
Для эффективного долгосрочного обеспечения информационной безопасности ИИ должен быть организован процесс мониторинга, как минимум включающий для каждого компонента ИИ следующее:
- доступные физические и логические механизмы безопасности;
- внедренные физические и логические механизмы безопасности;
- виды тестирования и их результаты, проведенные для механизмов безопасности;
- количество произошедших нарушений безопасности и уровень их критичности.
Требования к мониторингу информационной безопасности компонентов ИИ должны включать:
- должны быть разработаны соответствующие процедуры мониторинга использования оборудования, программного обеспечения обработки информации;
- мониторинг событий ИБ должен осуществляться в режиме реального времени 24*7;
- мониторинг должен осуществлять информационно-расчетное обеспечение управления средствами защиты информации в конкретных условиях;
- должны предоставляться рекомендации по выявленным инцидентам информационной безопасности;
- мониторинг должен проверять работоспособность критичных устройств и оборудования;
- необходимо архивировать данные мониторинга и обеспечивать их сохранность;
- должен проводиться мониторинг:
a) доступа к ресурсам;
b) выполняемых операций над ресурсами;
c) отдельных учетных записей;
d) функционирования системы и различных устройств ввода-вывода и изменения их настроек;
e) ошибок или сбоев в функционировании систем, которые могут привести к нарушению информационной безопасности компонентов ИИ;
- частота рассмотрения результатов мониторинга должна определяться:
a) вовлеченными рисками информационной безопасности;
b) критичностью процессов приложений;
c) значимостью, чувствительностью и критичностью обрабатываемой информации;
d) прошлым опытом проникновения в систему и ее неправильным использованием, частотой использования уязвимых мест;
e) степенью связности системы с другими сетями.
9) Требования к распределению ролей и ответственности за обеспечение информационной безопасности информационной инфраструктуры
Реализация процессов по обеспечению информационной безопасности компонентов ИИ возможна при четком определении ответственности и полномочий. Реализация подразделениями и отдельными сотрудниками органов публичной власти обязанностей по обеспечению информационной безопасности должна осуществляться в соответствии с разработанными и утвержденными руководством организационно-распорядительными документами (положениями, инструкциями, обязанностями, перечнями, формулярами).
Специфические роли и обязанности, характерные для организации в целом, по осуществлению и поддержанию соответствующих мер по обеспечению информационной безопасности компонентов ИИ представлены в таблице 2.
Таблица 2. Роли и обязанности по обеспечению информационной безопасности ИИ
|
Роль
|
Обязанность
|
|
Руководство органа публичной власти
|
1) постановка задачи обеспечения и управления информационной безопасностью и контроль над ее исполнением; 2) формализация требований к сотрудникам и пользователям третьих сторон по применению средств защиты в соответствии с установленной политикой и процедурами информационной безопасности; 3) поддержка мер, средств и инструментария защиты в пределах организации посредством четкого руководства, подробного распределения и признания ответственности за все действия по обеспечению защиты информации. |
|
Отдел информационной безопасности
Несет полную ответственность за информационную безопасность в пределах органа публичной власти. |
1) концептуальное видение информационной безопасности и стратегии организации; 2) обеспечение ясного руководства и видимой поддержки управления инициатив безопасности; 3) продвижение информационной безопасности в пределах организации;
4) одобрение политики информационной безопасности, стандартов и руководящих принципов; 5) обеспечение выполнения совместных действий по обеспечению информационной безопасности с другими структурными единицами; 6) наблюдение за реализацией и постоянным мониторингом информационной безопасности; 7) обеспечение управления в соответствии с информационной безопасностью;
8) обеспечение форумов для обсуждения проблем информационной безопасности в пределах организации; 9) развитие и контроль решения основных недостатков безопасности.
|
|
Владельцы компонентов информационной инфраструктуры
|
1) внедрение одобренных политик и процедур информационной безопасности;
2) периодическая информационная оценка степени риска в области их ответственности; 3) определение приоритетов для усовершенствований обеспечения информационной безопасности компонентов; 4) распределение ресурсов (например: назначается администратор безопасности); 5) определение правил и уровней авторизации;
6) контроль соответствия в областях ответственности;
7) развитие и контроль над решением главной проблемы безопасности компонентов; 8) ответственность за определение уровней авторизации, требуемых для обеспечения адекватной безопасности компонентов; 9) ответственность по функциям безопасности может быть делегирована, но владельцы компонентов ИИ несут окончательную ответственность. |
|
Управление (менеджеры подразделений)
Управление должно отдавать себе отчет об их обязанностях относительно информационной безопасности. |
1) прямая ответственность за обеспечение того, что весь персонал отдает себе отчет об их обязательствах защищать компоненты ИИ; 2) осуществление политики информационной безопасности как задано данной политикой; 3) активное управление профилями доступа пользователя;
4) проверка достаточности ресурсов у должностного лица для выполнения поставленных задач. |
|
Администратор безопасности
Несет ответственность за внедрение, контроль и осуществление правил обеспечения информационной безопасности. |
1) ежедневное управление выполнением требований ИБ;
2) ежедневное поддержание и применение всех политик и процедур по обеспечению информационной безопасности, путем выполнения выборочных посещений, предоставления ответов и решений проблем; 3) редактирование политики информационной безопасности, процедур и норм; 4) ответственность за безопасность и функционирование всех криптографических материалов, используемых в процессе криптографии, генерации, нанесения отметок и архивирования закрытых и открытых ключей; 5) разработка и внедрение системы криптографической защиты информации; 6) хранение и ведение учета носителей критичной информации;
7) разработка документации по применению средств криптографической защиты; 8) осуществление контроля и выявление случаев нарушения конечными пользователями порядка применения средств криптографической защиты информации и получения доступа к ним; 9) администрирование программного обеспечения, данных, хранящихся и обрабатываемых на программно-технической базе органов публичной власти. |
|
Системный администратор
|
1) обеспечение нормального функционирования, администрирования, а также обеспечение информационной безопасности программно-аппаратного комплекса; 2) мониторинг эффективности и рациональности работы процесса управления инцидентами. |
|
Менеджеры компонентов информационной инфраструктуры
|
1) ответственность за управление и полный контроль процессов управления компонентами ИИ. |
|
Планировщик компонентов информационной инфраструктуры
|
1) разработка планов и требований по компонентам ИИ;
2) координирует, измеряет и рассматривает продвижение выполнения всех стратегий и планов, связанных с компонентами ИИ. |
|
Разработчик компонентов информационной инфраструктуры
|
1) проектирование безопасных и гибких компонентов ИИ;
2) разработка и поддержка всех компонентов ИИ.
|
|
Менеджер по внедрению компонентов информационной инфраструктуры
|
1) разработка планов по внедрению компонентов ИИ;
2) управление процессом внедрения компонентов ИИ;
3) обзор процесса и процедур внедрения для гарантии эффективности и соответствия существующим требованиям; 4) осуществление непрерывных усовершенствований в ходе внедрения компонентов ИИ; 5) обеспечение доступности средств внедрения и реализация внедрения.
|
|
Команда внедрения компонентов информационной инфраструктуры
|
1) выполнение функционального и технического внедрения компонентов ИИ; 2) создание рабочей среды компонентов ИИ;
3) участие в приемо-сдаточном тестировании компонентов ИИ;
4) участие в обслуживании компонентов инфраструктуры.
|
|
Менеджер по обслуживанию компонентов информационной инфраструктуры
|
1) разработка, поддержка и осуществление критериев и процедур для реализации новых компонент; 2) обслуживание инфраструктуры в соответствии с требованиями безопасности, рабочей среды и другими требованиями; 3) регулярные проверки процессов облуживания для обеспечения эффективности функционирования компонентов инфраструктуры. |
|
Менеджер по резервному хранению и восстановлению компонентов информационной инфраструктуры |
1) управление и контроль всех аспектов резервного копирования и списков восстановления компонентов инфраструктуры; 2) проведение тестирования резервных копий;
3) управление всеми носителями информации, используемыми для резервного копирования. |
|
Администраторы баз данных
|
1) логическая и физическая разработка, размещение всех действующих баз данных; 2) настройка и установка баз данных;
3) администрирование объектов баз данных: индексы, таблицы, ограничения, последовательности, процедуры; 4) архивирование резервных копий и восстановление баз данных;
5) администрирование пользователей и их профилей;
6) администрирование файлов и устройств.
|
|
Менеджер по технической поддержке компонентов информационной инфраструктуры |
1) согласование, управление командой технической поддержки;
2) разработка и применение методов и процедур технической поддержки;
3) ответственность за обеспечение качества технической поддержки.
|
|
Команда по технической поддержке компонентов информационной инфраструктуры |
1) анализ технических вопросов инфраструктуры;
2) проведение диагностики технических проблем;
3) поддержка, разработка, конфигурация и интеграция всех средств управления. |
Для обеспечения информационной безопасности ИИ в рамках распределения ролей и ответственности должно быть выполнено следующее:
- при определении ролей для сотрудников органов публичной власти должны учитываться цели, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли;
- запрещается совмещать в одном лице роли разработки, сопровождения, исполнения, администрирования или контроля компонентов ИИ;
- должны быть ясно и точно определены уровни полномочий
- должны быть определены подробные несовместимые полномочия для критичных компонентов ИИ, сочетание которых может привести к потенциальным конфликтам;
- должно быть реализовано разделение полномочий по обеспечению информационной безопасности компонентов ИИ;
- должен осуществляться ручной либо автоматизированный контроль над разделением и выполнением полномочий по обеспечению информационной безопасности компонентов ИИ;
- в случаях отсутствия ответственных лиц по обеспечению информационной безопасности компонентов ИИ должны быть назначены временные ответственные лица за обеспечение информационной безопасности ИИ;
- ответственность, обязанности и полномочия структурных единиц и конкретных сотрудников по вопросам обеспечения информационной безопасности ИИ должны быть зафиксированы в положениях о структурных подразделениях, инструкциях и соответствующих должностных обязанностях сотрудников.
Требования по документированию обязанности по соблюдению требований безопасности должны включать следующее:
- функции (роли) и ответственность в области информационной безопасности ИИ должны быть включены в трудовые договоры;
- должностные инструкции должны включать как общие обязанности по внедрению или соблюдению информационной безопасности ИИ, так и специфические особенности по защите компонентов ИИ, касающихся информационной безопасности.
- при определении ролей для сотрудников органов публичной власти должны учитываться цели, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли;
- запрещается совмещать в одном лице роли разработки, сопровождения, исполнения, администрирования или контроля компонентов ИИ;
- должны быть ясно и точно определены уровни полномочий
- должны быть определены подробные несовместимые полномочия для критичных компонентов ИИ, сочетание которых может привести к потенциальным конфликтам;
- должно быть реализовано разделение полномочий по обеспечению информационной безопасности компонентов ИИ;
- должен осуществляться ручной либо автоматизированный контроль над разделением и выполнением полномочий по обеспечению информационной безопасности компонентов ИИ;
- в случаях отсутствия ответственных лиц по обеспечению информационной безопасности компонентов ИИ должны быть назначены временные ответственные лица за обеспечение информационной безопасности ИИ;
- ответственность, обязанности и полномочия структурных единиц и конкретных сотрудников по вопросам обеспечения информационной безопасности ИИ должны быть зафиксированы в положениях о структурных подразделениях, инструкциях и соответствующих должностных обязанностях сотрудников.
Требования по документированию обязанности по соблюдению требований безопасности должны включать следующее:
- функции (роли) и ответственность в области информационной безопасности ИИ должны быть включены в трудовые договоры;
- должностные инструкции должны включать как общие обязанности по внедрению или соблюдению информационной безопасности ИИ, так и специфические особенности по защите компонентов ИИ, касающихся информационной безопасности.