Требования по защите информации при подключении пользователей к государственной информационной системе «Защищенная информационно–телекоммуникационная сеть Правительства Республики Карелия»
Настоящие Требования установлены на основании документа «Техническое задание. Подсистема обеспечения информационной безопасности. Государственная информационная система «Защищенная информационно–телекоммуникационная сеть Правительства Республики Карелия», согласованного с ФСТЭК России и определяют меры защиты информации обязательные при подключении к государственной информационной системе «Защищенная информационно–телекоммуникационная сеть Правительства Республики Карелия» [1], а также в ходе последующей эксплуатации ГИС «ЗИТКС ПРК».
Настоящие Требования соответствуют требованиям, предъявляемым к типовым сегментам ГИС «ЗИТКС ПРК», в отношении которых были проведены аттестационные испытания и на которые распространяется действие «Аттестата соответствия требованиям безопасности информации ГИС «ЗИТКС ПРК».
В составе ГИС «ЗИТКС ПРК» выделено 2 типовых сегмента с различным уровнем обеспечения защиты передаваемой информации:
1. Базовый сегмент, с возможностью передачи зашифрованной общедоступной информации, информации, содержащей персональные данные с уровнем защищенности 3УЗ и 4УЗ, информации «для служебного пользования». Базовый сегмент соответствует классу защищенности ГИС К3.
К базовому сегменту ГИС «ЗИТКС ПРК» подключаются АРМ пользователей ГИС Республики Карелия «Единая система электронного документооборота и делопроизводства «Дело», ГИС Республики Карелия «Официальный интернет-портал Республики Карелия», а также АРМ пользователей других информационных систем, для которых установлены класс и/или уровень защищенности, соответствующие базовому сегменту ГИС.
2. Усиленный сегмент, с возможностью передачи зашифрованной информации, содержащей персональные данные с уровнем защищенности 2УЗ. Усиленный сегмент соответствует классу защищенности ГИС К2.
К усиленному сегменту ГИС «ЗИТКС ПРК» подключаются АРМ пользователей ГИС Республики Карелия «Система межведомственного электронного взаимодействия Республики Карелия», а также АРМ пользователей других информационных систем, для которых установлены класс и/или уровень защищенности, соответствующие усиленному сегменту ГИС.
|
Требования |
Меры защиты информации Условное обозначение [2] |
Реализация |
|
Технические меры защиты для базового сегмента ГИС класса К3 |
||
|
Технические меры (применение средств защиты информации) |
Меры группы ИАФ |
- Применение на автоматизированном рабочем месте [3] пользователя средств защиты информации от несанкционированного доступа [4]; - Применение средств криптографической защиты информации [5]: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя |
|
Меры группы УПД |
- Применение на АРМ пользователя СЗИ НСД; - Применение СКЗИ: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя; - Применение межсетевого экрана [6] на границе (периметре) локальной вычислительной сети организации или АРМ пользователя |
|
|
Меры группы ОПС |
- Применение на АРМ пользователя СЗИ НСД |
|
|
Меры группы ЗНИ |
- Применение на АРМ пользователя СЗИ НСД |
|
|
Меры группы РСБ |
- Применение на АРМ пользователя СЗИ НСД; - Применение на АРМ средств антивирусной защиты [7]; - Применение СКЗИ: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя |
|
|
Меры группы АВЗ |
- Применение на АРМ пользователя САВЗ |
|
|
Меры группы АНЗ |
- Применение на АРМ пользователя СЗИ НСД; - Применение средств анализа защищенности [8] или выполнение организационных мероприятий по анализу защищенности; - Применение на АРМ САВЗ |
|
|
Меры группы ОЦЛ |
- Применение на АРМ СЗИ НСД; - Применение на АРМ САВЗ |
|
|
Меры группы ЗИС |
- Применение на АРМ СЗИ НСД; - Применение СКЗИ: программно-аппаратный комплекс ViPNet Coordinator HW4 необходимой производительности для организации и/или программный комплекс ViPNet Client 4 для индивидуального подключения АРМ пользователя; - Применение межсетевого экрана на границе (периметре) локальной вычислительной сети организации или на АРМ пользователя |
|
|
Дополнительные технические меры защиты для усиленного сегмента ГИС класса К2 |
||
|
Технические меры |
Меры группы УПД |
- Применение на АРМ пользователя средства доверенной загрузки (программно-аппаратного комплекса доверенной загрузки)[9] или выполнение компенсирующих мер, с учётом возможности их исполнения совместно с организационными мерами по физической охране помещений с АРМ пользователя |
|
Компенсирующие меры |
Меры группы УПД |
При отсутствии СДЗ, совместимых с моделью BIOS(UEFI) или материнской платы АРМ, необходимо применять следующие компенсирующие меры защиты: - применение на АРМ пользователя программного комплекса ViPNet Client 4 (обеспечивает шифрованный трафик внутри контролируемой зоны и доступ к защищаемой информации только после ввода аутентификационных данных в ViPNet Client и установления защищенного соединения); - запрет загрузки с внешних носителей средствами BIOS(UEFI), установка пароля на BIOS(UEFI) |
|
Организационные меры |
Меры группы ИАФ |
- Утверждена и выполняется парольная политика в организации, способствующая идентификации и аутентификации пользователей и используемых ими устройств, не допускающая компрометации учётных записей пользователей; - Утвержден перечень пользователей, допущенных к работе в ГИС «ЗИТКС ПРК»; - В адрес оператора ГИС «ЗИТКС ПРК» предоставлены заявки на работников (сотрудников) организации (внешних пользователей относительно оператора) на подключение в ГИС «ЗИТКС ПРК», однозначно определяющие полномочия таких пользователей и информацию, к которой они могут получить доступ |
|
Меры группы УПД |
- Назначены минимально необходимые права пользователям АРМ, исключающие возможность выполнение пользователем полномочий администратора операционной системы |
|
|
Меры группы ОПС |
- Утвержден перечень разрешенного к использованию на АРМ пользователей программного обеспечения |
|
|
Меры группы ЗНИ |
- Производится учет машинных носителей информации, уничтожение (стирание) информации на машинных носителях при их передаче между пользователями и в сторонние организации |
|
|
Меры группы РСБ |
- Утвержден порядок мониторинга событий безопасности и реагирования на них |
|
|
Меры группы АНЗ |
- Утвержден перечень разрешенного к использованию на АРМ программного обеспечения и средств защиты информации; - Утвержден порядок обновления программного обеспечения, в т.ч. средств защиты информации |
|
|
Меры группы ОЦЛ, ОДТ |
- Утвержден порядок восстановления программного обеспечения, в т.ч. средств защиты информации при возникновении нештатных ситуаций |
|
|
Меры группы ЗТС |
- В организации установлены границы контролируемой зоны, все технические средства обработки информации и машинные носители информации размещены в пределах контролируемой зоны; - В организации действует пропускной режим, исключающий неконтролируемое пребывание в организации посторонних лиц (не являющихся сотрудниками), имеется действующий договор на охрану помещений; - В организации утвержден порядок доступа в помещения пользователей ГИС «ЗИТКС ПРК», а также в помещения с технологическим оборудованием информационной системы в рабочее и нерабочие время, утвержден перечень лиц, имеющих право доступа в указанные помещения; - Входные двери в указанные помещения оснащены надежными замками, обеспечено постоянное закрытие дверей указанных помещений на замок и их открытие только для санкционированного прохода; - Указанные помещения оборудованы охранной сигнализацией и/или обеспечено опечатывание указанных помещений по окончанию рабочего дня; - АРМ пользователей, с установленным СКЗИ, оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы); - Все средства защиты информации учтены в специальных журналах |
|
|
Правовые меры |
ст. 16 Федерального закона от 27 июля 2006 г. № 149-ФЗ |
- Назначен ответственный за обеспечение защиты информации в организации - Наличие утвержденных документов (приказов, распоряжений), закрепляющих выполнение в организации технических и организационных мер |
Также в ГИС «ЗИТКС ПРК» реализуется ряд мер защиты информации, которые выполняются исключительно оператором:
меры группы УПД, в части мер УПД.1, УПД.16;
меры группы СОВ;
меры группы ОЦЛ, в части виртуальной серверной инфраструктуры ГИС;
меры группы ОДТ, в части виртуальной серверной инфраструктуры ГИС;
меры группы ЗСВ.
Все средства защиты информации (СЗИ НСД, САВЗ, МЭ, СДЗ), применяемые в ГИС «ЗИТКС ПРК», должны иметь действующие сертификаты соответствия ФСТЭК России по 6 или более высокому уровню доверия (классу защиты) для базового сегмента, по 5 или более высокому уровню доверия (классу защиты) для усиленного сегмента.
СКЗИ должны иметь действующие сертификаты соответствия ФСБ России по классу криптозащиты КС1 или выше.
[1] Далее – ГИС «ЗИТКС ПРК»
[2] Тут и далее меры защиты информации из:
Приложения № 2 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. № 17;
Приложения к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. № 21.
Полное описание мер предусмотрено в Методическом документе «Меры защиты информации в государственных информационных системах» (утвержден ФСТЭК России 11 февраля 2014 г.)
[3] Далее – АРМ
[4] Далее – СЗИ НСД
Варианты СЗИ НСД: Secret Net Studio, сертификат соответствия ФСТЭК России № 3745; Dallas Lock 8.0-K, сертификат соответствия ФСТЭК России № 2720; встроенные СЗИ НСД операционной системы «Astra Linux Special Edition», сертификат соответствия ФСТЭК России № 2557
[5] Далее – СКЗИ
[6] Варианты межсетевого экрана: программно-аппаратный комплекс ViPNet Coordinator HW 4, сертификат соответствия ФСТЭК России № 3692; программно-аппаратный комплекс ViPNet xFirewall 4, сертификат соответствия ФСТЭК России № 4093; универсальный шлюз безопасности UserGate, сертификат соответствия ФСТЭК России № 3905; встроенный МЭ СЗИ Secret Net Studio, сертификат соответствия ФСТЭК России № 3745
[7] Далее – САВЗ
Варианты САВЗ: Kaspersky Endpoint Security для Windows, сертификат соответствия ФСТЭК России № 4068; Kaspersky Endpoint Security для Linux, сертификат соответствия ФСТЭК России № 2534; Dr.Web Enterprise Security Suite, сертификат соответствия ФСТЭК России № 3509
[8] Варианты средств анализа защищенности: XSpider 7.8, сертификат соответствия ФСТЭК России № 3247; Сканер-ВС, сертификат соответствия ФСТЭК России № 2204; Ревизор Сети 3.0, сертификат соответствия ФСТЭК России № 3413. Возможно применение программы ScanOVAL для проверок наличия уязвимостей программного обеспечения (размещена на официальном сайте ФСТЭК России https://bdu.fstec.ru/scanoval).
[9] Далее – СДЗ
Варианты СДЗ: программно-аппаратный комплекс «Соболь» версии 3.0 и версии 4, сертификаты соответствия ФСТЭК России №№ 1967, 4043; программно-аппаратный комплекс «Аккорд-АМДЗ», сертификат соответствия ФСТЭК России № 4299