STAATSTECHNISCHE COMMISSIE ONDER DE PRESIDENT VAN DE RUSSISCH

FEDERATIE

VERTROUWELIJKE INFORMATIE

(STR-K)

1. Termen, definities en afkortingen

2. Algemene bepalingen

3. Organisatie van de werkzaamheden op het gebied van informatiebescherming

4.1. Algemene bepalingen

4.3. Bescherming van informatie die circuleert in geluidsversterkingssystemen en soundtrack films

4.4. Bescherming van informatie tijdens geluidsopname..

4.5. Bescherming van spraakinformatie tijdens de verzending via communicatiekanalen

computertechnologie

5.4. Procedure om bescherming te garanderen vertrouwelijke informatie tijdens de werking van de luidspreker

5.5. Bescherming van vertrouwelijke informatie op geautomatiseerde werkstations op basis van autonome pc's

5.6. Informatie beschermen tijdens gebruik verwisselbare schijven grote capaciteit voor geautomatiseerde werkstations op basis van autonome pc's

5.7. Bescherming van informatie in lokale computernetwerken

5.8. Informatiebescherming tijdens internetwerken

5.9. Informatie beschermen bij het werken met databasebeheersystemen 6. Aanbevelingen voor het waarborgen van de bescherming van informatie in niet-statelijke informatiebronnen waarmee abonnees interacteren openbare informatienetwerken

6.1. Algemene bepalingen

6.2. Voorwaarden voor het aansluiten van abonnees op het Netwerk

6.3. De procedure voor het verbinden en communiceren van abonneepunten met het netwerk, vereisten en aanbevelingen voor het garanderen van informatiebeveiliging 7, Toepassingen:

1. Act van classificatie van een geautomatiseerd informatieverwerkingssysteem

2. Certificaat van overeenstemming van het geautomatiseerde systeem met de veiligheidseisen

3. Certificaat van overeenstemming van het beschermde pand met de veiligheidseisen informatie

4. Vorm van technisch paspoort voor de beschermde gebouwen

5. Vorm van technisch paspoort voor het geautomatiseerde systeem

6. Een voorbeeld van het documenteren van een lijst met vertrouwelijke informatie karakter

7. Beveiligingsklassen tegen ongeoorloofde toegang tot informatie

8. Basisregelgevende rechtshandelingen en methodologische documenten over bescherming

1. TERMEN, DEFINITIES EN AFKORTINGEN

In dit document worden de volgende basistermen, definities en afkortingen gebruikt:

1.1. Netwerkabonnee (zie ook clausule 1.14) - een persoon die werknemer is van een instelling (onderneming) en over een op de juiste wijze verleende vergunning en technische mogelijkheden beschikt om verbinding te maken en te communiceren met netwerken.

1.2. Abonneepunt (AP) - computerapparatuur van een instelling (onderneming) die met behulp van communicatieapparatuur op de netwerken is aangesloten. AP kan de vorm hebben van autonome personal elektronische computers (PC) met een modem en dat niet hebben fysieke kanalen communicatie met andere computerapparatuur (CT) van de onderneming, evenals in de vorm van een of meer geïntegreerde lokale netwerken (LAN) met werkstations en servers die op de netwerken zijn aangesloten via communicatieapparatuur (modems, bruggen, gateways, routers, multiplexers , communicatieservers, enz.).

1.3. Geautomatiseerd systeem (AS) - een systeem dat bestaat uit personeel en een reeks automatiseringstools voor hun activiteiten, waarbij informatietechnologie wordt geïmplementeerd om gevestigde functies uit te voeren.

1.4. AS-beheerder - een persoon die verantwoordelijk is voor het functioneren van het geautomatiseerde systeem in het gevestigde systeem normale modus werk.

1.5. Een informatiebeveiligingsbeheerder (beveiligingsbeheerder) is een persoon die verantwoordelijk is voor het beschermen van een geautomatiseerd systeem tegen ongeoorloofde toegang tot informatie.

1.6. Informatiebeveiliging is de staat van informatiebeveiliging, gekenmerkt door het vermogen van het personeel om dat te doen technische middelen en informatietechnologieën om de vertrouwelijkheid te waarborgen (dat wil zeggen geheim te houden voor personen die niet de bevoegdheid hebben om zich ermee vertrouwd te maken), de integriteit en de toegankelijkheid van informatie wanneer deze met technische middelen wordt verwerkt.

1.7. Hulptechnische middelen en systemen (ATSS) - technische middelen en systemen die niet bedoeld zijn voor de overdracht, verwerking en opslag van vertrouwelijke informatie, geïnstalleerd samen met de belangrijkste technische middelen en systemen of in beschermde gebouwen. Deze omvatten:

Diverse soorten telefoon faciliteiten en systemen;

Middelen en systemen voor gegevensoverdracht in het radiocommunicatiesysteem;

Beveiligings- en brandalarmsystemen en -apparatuur;

Middelen en systemen voor waarschuwing en alarm;

Controle- en meetapparatuur;

Airconditioningproducten en -systemen;

Hulpmiddelen en systemen voor bekabelde radio-omroepnetwerken en ontvangst van radio- en televisieprogramma's (abonneeluidsprekers, radio-omroepsystemen, televisies en radio's, enz.);

Elektronische kantoorapparatuur;

Elektrische klokapparatuur en -systemen;

Overige technische middelen en systemen.

1.8. Toegang tot informatie (toegang) - vertrouwd raken met informatie, de verwerking ervan, in het bijzonder het kopiëren, wijzigen of vernietigen van informatie.

1.9. Beschikbaarheid (geautoriseerde beschikbaarheid) van informatie is de staat van informatie die wordt gekenmerkt door het vermogen van technische middelen en informatietechnologieën om onbelemmerde toegang tot informatie te bieden aan personen die daartoe de bevoegdheid hebben.

1.10. Bescherming van informatie tegen ongeoorloofde toegang (bescherming tegen ongeoorloofde toegang) of beïnvloeding - activiteiten gericht op het voorkomen dat de belanghebbende in overtreding informatie verkrijgt (of beïnvloedt) gevestigde rechten of regels.

1.11. Speciaal beschermend teken(SPZ) - gecertificeerd en geregistreerd in op de voorgeschreven manier een product dat is ontworpen om ongeoorloofde toegang tot beschermde objecten te controleren door de authenticiteit en integriteit van de sanitaire beschermingszone te bepalen, door het teken zelf of de samenstelling "satellietbeschermingszone - substraat" te vergelijken volgens conformiteitscriteria karakteristieke kenmerken visuele, instrumentele en andere methoden.

1.12. Beschermde gebouwen (SP) - gebouwen (kantoren, vergaderzalen, conferentiezalen, enz.) speciaal ontworpen voor het houden van vertrouwelijke evenementen (vergaderingen, discussies, conferenties, onderhandelingen, enz.).

1.13. Informatief signaal - elektrische signalen, akoestische, elektromagnetische en andere fysieke velden, waarvan de parameters vertrouwelijke informatie kunnen onthullen die wordt verzonden, opgeslagen of verwerkt in technische basismiddelen en -systemen en besproken in de PO.

1.14. Informatiebronnen - individuele documenten en afzonderlijke reeksen documenten, documenten en reeksen documenten in informatiesystemen(bibliotheken, archieven, fondsen, databanken, andere informatiesystemen).

1.15. Openbare informatienetwerken (hierna Netwerken genoemd) zijn computernetwerken (informatie- en telecommunicatienetwerken) die openstaan ​​voor gebruik door alle natuurlijke personen en rechtspersonen, waarvan de diensten niet aan deze personen kunnen worden ontzegd.

1.16. Een gecontroleerde zone (CA) is een ruimte (territorium, gebouw, deel van een gebouw) waarin de ongecontroleerde aanwezigheid van personen die geen permanente of eenmalige toegang hebben, en vreemden is uitgesloten voertuigen. De grens van de kortsluiting kan zijn:

De omtrek van het beschermde grondgebied van de instelling (onderneming);

Omhullende constructies van een beschermd gebouw of een beschermd deel van een gebouw, als dit zich in een onbeschermd gebied bevindt.

In sommige gevallen kan gedurende de periode waarin vertrouwelijke informatie met technische middelen wordt verwerkt, de beveiligingszone tijdelijk groter worden ingesteld dan het beschermde grondgebied van de onderneming. In dit geval moeten organisatorische, operationele en technische maatregelen worden genomen die de mogelijkheid van het onderscheppen van informatie in deze zone uitsluiten of aanzienlijk bemoeilijken.

1.17. Vertrouwelijke informatie - gedocumenteerde informatie, waartoe de toegang wettelijk beperkt is Russische Federatie.

1.18. Lokaal computernetwerk- een computernetwerk dat een of meer ondersteunt hogesnelheidskanalen overdrachten digitale informatie, verstrekt aan aangesloten apparaten voor exclusief gebruik op korte termijn.

1.19. Firewall (FW) is een lokaal (enkelcomponent) of functioneel gedistribueerd softwarehulpmiddel (hardware en software) (complex) dat controle implementeert over informatie die de firewall binnenkomt en/of de firewall verlaat.

1.20. Ongeautoriseerde toegang (niet-geautoriseerde acties) (NSD) - toegang tot informatie of acties met informatie die de regels van toegangscontrole schenden met behulp van reguliere fondsen geleverd door computertechnologie of geautomatiseerde systemen.

1.21. Technische basismiddelen en -systemen (OTSS) - technische middelen en systemen, evenals hun communicatie, gebruikt voor het verwerken, opslaan en verzenden van vertrouwelijke informatie. In de context van dit document omvatten deze technische middelen en systemen van geautomatiseerde systemen van verschillende niveaus en doeleinden gebaseerd op computertechnologie, middelen en systemen voor communicatie en gegevensoverdracht die worden gebruikt voor het verwerken van vertrouwelijke informatie.

1.22. Netwerkprovider is een geautoriseerde organisatie die de functies van een netwerkserviceprovider uitvoert voor een abonneepunt en rechtstreeks voor netwerkabonnees.

1.23. Informatiebeveiligingssysteem van NSD (SZI NSD) - complex organisatorische maatregelen en software en hardware (indien nodig cryptografische) beschermingsmiddelen tegen ongeoorloofde toegang tot informatie (ongeoorloofde handelingen daarmee) in een geautomatiseerd systeem.

1.24. Service-informatie van SZI NSD - informatiebasis AS noodzakelijk voor het functioneren van het NSD-informatiebeveiligingssysteem (autorisatieniveau van het AS-bedieningspersoneel, toegangsmatrix, sleutels, wachtwoorden, enz.).

1.25. Het technische kanaal van informatielekken is een combinatie van het technische inlichtingenobject, de fysieke omgeving en de technische inlichtingenmiddelen waarmee inlichtingengegevens worden verkregen.

1.26. Netwerkdiensten - complex functionaliteit aangeboden aan netwerkabonnees die gebruikmaken van applicatieprotocollen(e-mailprotocollen, FTP - File Transfer Protocol - ontvangst/overdracht van bestanden, HTTP - Hiper Text Transfer Protocol - toegang tot webservers, IRC - Internet Relay Chat - realtime dialoog, Telnet -terminaltoegang op het netwerk, WAIS - Wide Area Information Servers - een systeem voor het opslaan en ophalen van documenten op het netwerk, enz.).

1.27. Informatie-integriteit is de weerstand van informatie tegen ongeoorloofde of onbedoelde beïnvloeding ervan tijdens de verwerking met technische middelen, wat kan resulteren in de vernietiging en vervorming van informatie.

1.28. Webserver - openbaar beschikbaar op internet informatie server, met behulp van hypertext-technologie.

2. ALGEMENE BEPALINGEN

2.1. Dit document legt de procedure vast voor het organiseren van werkzaamheden, vereisten en aanbevelingen voor het waarborgen van de technische bescherming van vertrouwelijke informatie op het grondgebied van de Russische Federatie en is het belangrijkste leidende document bij het

dit gebied voor de federale autoriteiten staatsmacht, overheidsinstanties van de samenstellende entiteiten van de Russische Federatie en lokale overheden, ondernemingen, instellingen en organisaties (hierna instellingen en ondernemingen genoemd), ongeacht hun organisatorische en juridische vorm en eigendomsvorm, functionarissen en burgers van de Russische Federatie die verplichtingen op zich hebben genomen of door hun status verplicht zijn om te voldoen aan de vereisten van juridische documenten van de Russische Federatie over informatiebescherming.

Vertrouwelijke informatie - informatie met beperkte toegang, met uitzondering van informatie die is geclassificeerd als staatsgeheim en persoonsgegevens die zijn opgenomen in staats- (gemeentelijke) informatiebronnen, verzameld ten koste van de staats- (gemeentelijke) begroting en eigendom zijn van de staat (dit kan informatie bevatten die officiële geheimen en andere soorten geheimen vormt in overeenstemming met de wetgeving van de Russische Federatie, evenals informatie vertrouwelijk in overeenstemming met de “Lijst met vertrouwelijke informatie”, goedgekeurd bij decreet van de president van de Russische Federatie van 6 maart 1997 nr. 188), waarvan de bescherming wordt uitgevoerd in het belang van de staat (hierna officieel geheim genoemd );

Informatie over feiten, gebeurtenissen en omstandigheden privacy burger, waardoor hij kan worden geïdentificeerd (persoonsgegevens) (In overeenstemming met de federale wet "Informatie, informatisering en informatiebescherming" moet het regime voor de bescherming van persoonsgegevens worden bepaald door de federale wet. Vóór de implementatie ervan moet dit document worden gebruikt om een ​​regime vast te stellen voor de bescherming van dergelijke informatie., met uitzondering van informatie die onderworpen is aan verspreiding in de massamedia in overeenstemming met federale wettengevallen.)

2.3. Om vertrouwelijke informatie te beschermen die zich in niet-statelijke informatiebronnen bevindt, waarvan het beschermingsregime wordt bepaald door de eigenaar van deze bronnen (bijvoorbeeld informatie die commerciële geheimen, bankgeheimen enz. vormt) (hierna - handelsgeheim), dit document heeft een adviserend karakter.

2.4. Het document is ontwikkeld op basis van de federale wetten “Over informatie, informatisering en informatiebescherming”, “Over deelname aan internationale informatie uitwisseling", Decreet van de president van de Russische Federatie van 03/06/97 nr. 188 "Lijst met vertrouwelijke informatie", "Doctrine van informatiebeveiliging van de Russische Federatie", goedgekeurd door de president van de Russische Federatie 09/09/2000 Nr. Pr.-1895, "Regelgeving over de procedure voor het omgaan met officiële informatie beperkte distributie in federale uitvoerende autoriteiten", goedgekeurd bij decreet van de regering van de Russische Federatie van 3 november 1994 nr. 1233, andere regelgevende rechtshandelingen inzake informatiebescherming (bijlage nr. 8), evenals ervaring met het implementeren van iop ministeries en afdelingen, instellingen en bedrijven 2.5. Het document definieert de volgende hoofdthema's op het gebied van informatiebeveiliging:

Organisatie van de werkzaamheden op het gebied van informatiebescherming, inclusief de ontwikkeling en modernisering van informatiseringsobjecten en hun informatiebeschermingssystemen,

De samenstelling en hoofdinhoud van organisatorische, administratieve, ontwerp-, operationele en andere documentatie over informatiebescherming;

onderhandelingen, inclusief het gebruik van technische middelen;

De procedure voor het garanderen van informatiebescherming tijdens de werking van informatiseringsobjecten;

Kenmerken van informatiebeveiliging tijdens de ontwikkeling en werking van geautomatiseerde systemen die gebruik maken van verschillende soorten computerapparatuur en informatietechnologie;

De procedure voor het waarborgen van de bescherming van informatie wanneer abonnees interageren met openbare informatienetwerken.

De procedure voor de ontwikkeling, productie, verkoop en gebruik van fondsen cryptografische bescherming informatie wordt bepaald door de "Reglementering over de procedure voor de ontwikkeling, productie (fabricage), verkoop, verwerving en gebruik van middelen voor cryptografische bescherming van informatie met beperkte toegang die geen informatie bevat die een staatsgeheim vormt" (Verordening PKZ-99) , en ook door de "Instructies voor het organiseren en garanderen van beveiligde opslag, verwerking en verzending technische kanalen communicatie van vertrouwelijke informatie in de Russische Federatie met behulp van gecertificeerde FAPSI cryptografische middelen".

2.6. Bescherming van informatie die met technische middelen wordt verwerkt is integraal onderdeel werkt aan de creatie en werking van informatiseringsobjecten voor verschillende doeleinden en moet worden geïmplementeerd op de manier die in dit document wordt voorgeschreven in de vorm van een informatiebeschermingssysteem (subsysteem) in combinatie met anderen.

2.7. Informatie is onderworpen aan bescherming, zowel spraak als verwerkt met technische middelen, en gepresenteerd in de vorm van informatief elektrische signalen, fysieke velden, media op papier, magnetische, optische en andere bases, in de vorm van informatie-arrays en databases in de AS. Beschermde objecten van informatisering zijn:

Ien -systemen (computertechnologie,

geautomatiseerde systemen van verschillende niveaus en doeleinden gebaseerd op computertechnologie, waaronder informatie- en computercomplexen, netwerken en systemen, middelen en systemen voor communicatie en datatransmissie, technische middelen voor het ontvangen, verzenden en verwerken van informatie (telefonie, geluidsopname, geluidsversterking, geluidsversterking, reproductie-, vergaderruimtes en televisietoestellen, middelen voor het produceren, repliceren van documenten en andere technische middelen voor het verwerken van spraak-, grafische, video- en alfanumerieke informatie), software (besturingssystemen, databasebeheersystemen, andere systeembrede en applicatiesoftware) gebruikt voor verwerking vertrouwelijke informatie;

Technische middelen en systemen die vertrouwelijke informatie niet rechtstreeks verwerken, maar zich bevinden in de lokalen waar deze wordt verwerkt (verspreid);

Beschermde gebouwen.

2.8. Informatiebescherming moet worden uitgevoerd door de implementatie van een reeks maatregelen en het gebruik (indien nodig) van iom dit te voorkomen

het lekken van informatie of de impact daarop via technische kanalen, als gevolg van ongeoorloofde toegang daartoe, om opzettelijke software- en hardware-invloeden te voorkomen om de integriteit (vernietiging, vervorming) van informatie tijdens de verwerking, verzending en opslag ervan te schenden, verstoring van de beschikbaarheid ervan en bruikbaarheid van technische middelen.

2.9. Bij het voeren van onderhandelingen en het gebruik van technische middelen voor het verwerken en doorgeven van informatie is dit mogelijk volgende kanalen Lekken en bronnen van bedreigingen voor de informatiebeveiliging:

Akoestische uitstraling van een informatief spraaksignaal;

Elektrische signalen die ontstaan ​​door de omzetting van een informatief signaal van akoestisch naar elektrisch als gevolg van het microfooneffect en die zich voortplanten langs draden en leidingen die zich voorbij de kortsluiting uitstrekken;

Vibro-akoestische signalen die ontstaan ​​door transformatie

informatief akoestisch signaal bij blootstelling aan constructies bouwen en technische en technische communicatie van beschermde gebouwen;

Ongeautoriseerde toegang en ongeoorloofde handelingen met betrekking tot informatie in geautomatiseerde systemen, inclusief het gebruik van openbare informatienetwerken;

Impact op de hardware of software van informatiesystemen om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie, de prestaties van technische middelen en informatiebeveiligingsmiddelen te schenden door middel van speciaal geïmplementeerde software;

Bijwerkingen elektromagnetische straling een informatief signaal van technische middelen die vertrouwelijke informatie verwerken en transmissielijnen van deze informatie;

Inductie van een informatief signaal, verwerkt met technische middelen, op voedingscircuits en communicatielijnen die verder gaan dan de kortsluiting;

Radio-emissies of elektrische signalen van speciale elektronische apparaten voor het onderscheppen van spraakinformatie “bladwijzers” ingebed in technische middelen en beschermde gebouwen, gemoduleerd door een informatief signaal;

Radio-emissies of elektrische signalen van apparaten voor het onderscheppen van elektronische informatie die zijn aangesloten op communicatiekanalen of technische middelen voor informatieverwerking;

Luisteren naar lopende telefoon- en radiogesprekken;

Het bekijken van informatie vanaf beeldschermen en andere weergavemiddelen, papier en andere media, inclusief het gebruik van optische middelen;

Diefstal van technische apparatuur met daarin opgeslagen informatie of van individuele personen

informatiedragers.

2.10. Onderschepping van informatie of beïnvloeding ervan met behulp van technische middelen
fondsen kunnen worden aangehouden:

Vanuit het buitenland: kortsluiting vanuit nabijgelegen gebouwen en voertuigen;

Vanuit aangrenzende panden van andere instellingen (ondernemingen) die zich in hetzelfde gebouw bevinden als het beschermde object;

Bij bezoek aan een instelling (onderneming) door onbevoegden;

Als gevolg van ongeautoriseerde toegang (ongeautoriseerde acties) tot

informatie die in het AS circuleert, zowel met behulp van de technische middelen van het AS als via informatie netwerken algemeen gebruik.

2.11. Draagbare draagbare en draagbare apparaten die in de buurt van het beschermde object zijn geplaatst of zijn aangesloten op communicatiekanalen of technische middelen voor informatieverwerking, kunnen worden gebruikt als apparatuur voor het onderscheppen of beïnvloeden van informatie en technische middelen, evenals elektronische apparaten onderschepping van informatie “bladwijzers” die binnen of buiten beschermde gebouwen zijn geplaatst.

2.12. Naast het met technische middelen onderscheppen van informatie, is het mogelijk dat beschermde informatie onbedoeld terechtkomt bij personen die er geen toegang toe hebben, maar die zich wel binnen de veiligheidszone bevinden. Dit is bijvoorbeeld mogelijk door:

Onbedoeld luisteren zonder gebruik van technische middelen van vertrouwelijke gesprekken vanwege onvoldoende geluidsisolatie van de omhullende structuren van de beschermde gebouwen en hun technische en technische systemen;

Willekeurig luisteren telefoongesprekken bij het dirigeren preventief werk in telefoonnetwerken;

Ondeskundig of foutief handelen van gebruikers en systeembeheerders tijdens het exploiteren van computernetwerken;

Informatie bekijken vanaf beeldschermen en andere manieren om deze weer te geven.

2.13. Identificatie en overweging van factoren die van invloed zijn of kunnen zijn op beschermde informatie (bedreigingen voor informatiebeveiliging) in specifieke omstandigheden, in overeenstemming met GOST R 51275-99, vormen de basis voor het plannen en implementeren van maatregelen gericht op het beschermen van informatie in een informatiseringsfaciliteit.

De lijst met noodzakelijke maatregelen voor informatiebescherming wordt bepaald op basis van de resultaten van een onderzoek naar het informatiseringsobject, rekening houdend met de verhouding tussen de kosten van het beschermen van informatie met mogelijke schade door openbaarmaking, verlies, vernietiging, vervorming, schending van de geautoriseerde beschikbaarheid van informatie en de bruikbaarheid van technische middelen die deze informatie verwerken, evenals het in aanmerking nemen ervan echte kansen de onderschepping en openbaarmaking van de inhoud ervan.

2.14. De voornaamste aandacht moet worden besteed aan de bescherming van informatie waarbij bedreigingen voor de informatiebeveiliging worden geïmplementeerd zonder gebruik te maken van complexe technische middelen voor het onderscheppen van informatie:

Gesproken informatie die circuleert in beveiligde gebouwen;

Informatie verwerkt door computertechnologie tegen ongeoorloofde toegang en ongeoorloofde acties;

Informatie weergegeven op videomonitorschermen;

Informatie verzonden via communicatiekanalen die verder gaan dan de kortsluiting.

2.15. De ontwikkeling van maatregelen en het waarborgen van de bescherming van informatie wordt uitgevoerd door informatiebeschermingseenheden (veiligheidsdiensten) of individuele specialisten die door het management van de onderneming (instelling) zijn aangesteld om dergelijke werkzaamheden uit te voeren. De ontwikkeling van ikan ook worden uitgevoerd door externe bedrijven die over de juiste licenties beschikken van de State Technical Commission of Russia en/of FAPSI voor het recht om diensten te verlenen op het gebied van informatiebeveiliging.

2.16. Om informatie te beschermen, wordt aanbevolen om technische middelen te gebruiken voor het verwerken en verzenden van informatie, hardware- en softwaretools voor informatiebeveiliging die zijn gecertificeerd volgens de informatiebeveiligingsvereisten. Bij het verwerken van gedocumenteerde vertrouwelijke informatie bij informatiseringsfaciliteiten in overheidsinstanties van de Russische Federatie en overheidsinstanties van samenstellende entiteiten van de Russische Federatie, mogen anderen overheidsinstanties Bedrijven en instellingen, middelen om informatiesystemen te beschermen, zijn onderworpen aan verplichte certificering.

2.17. Informatiseringsobjecten moeten worden gecertificeerd om te voldoen aan de vereisten voor informatiebescherming (Hierna betekent certificering commissieacceptatie van het informatieobject door de onderneming met de verplichte deelname van een.)

2.18. De verantwoordelijkheid voor het waarborgen van de vereisten voor de technische bescherming van vertrouwelijke informatie ligt bij de hoofden van instellingen en ondernemingen die informatiefaciliteiten exploiteren.

De volledige versie van het document kunt u downloaden via.

GOST R 53113.2-2009

Groep T00

NATIONALE STANDAARD VAN DE RUSSISCHE FEDERATIE

Informatietechnologie

BESCHERMING VAN INFORMATIETECHNOLOGIEËN EN GEAUTOMATISEERDE SYSTEMEN TEGEN INFORMATIEBEVEILIGINGSBEDREIGINGEN MET BEHULP VAN heimelijke kanalen

Informatietechnologieën. Bescherming van informatietechnologie en geautomatiseerde systemen tegen veiligheidsrisico's die voortvloeien uit het gebruik van geheime kanalen. Deel 2. Aanbevelingen voor het beschermen van informatie, informatietechnologieën en geautomatiseerde systemen tegen geheime kanaalaanvallen

OKS 35.040

Datum van introductie 01-12-2009

Voorwoord

Voorwoord

1 ONTWIKKELD door de vennootschap met beperkte aansprakelijkheid "Cryptocom"

2 GEÏNTRODUCEERD door het Federaal Agentschap voor technische regelgeving en metrologie

3 GOEDGEKEURD EN IN WERKING GEGAAN bij besluit van het Federaal Agentschap voor Technische Regelgeving en Metrologie van 15 december 2009 N 841-st

4 VOOR HET EERST GEÏNTRODUCEERD

5 REPUBLICATIE. Oktober 2018


De regels voor de toepassing van deze standaard zijn vastgelegd in Artikel 26 van de federale wet van 29 juni 2015 N 162-FZ "Over standaardisatie in de Russische Federatie". Informatie over wijzigingen in deze standaard wordt gepubliceerd in de jaarlijkse (vanaf 1 januari van het lopende jaar) informatie-index "National Standards", en de officiële tekst van wijzigingen en aanpassingen wordt gepubliceerd in de maandelijkse informatie-index "National Standards". In geval van herziening (vervanging) of annulering van deze standaard, zal het overeenkomstige bericht worden gepubliceerd in de volgende uitgave van de maandelijkse informatie-index "Nationale standaarden". Relevante informatie, mededelingen en teksten worden ook geplaatst in het openbare informatiesysteem - op de officiële website van het Federaal Agentschap voor Technische Regelgeving en Metrologie op internet (www.gost.ru)

Invoering

Deze standaard stelt aanbevelingen vast voor het organiseren van de bescherming van informatie (IP), informatietechnologieën en geautomatiseerde systemen tegen aanvallen verborgen kanalen(SK).

SC's worden gebruikt voor systematische interactie malware(computervirussen) met een beveiligingsschender bij het organiseren van een aanval op een geautomatiseerd systeem (AS), dat niet wordt gedetecteerd door controle- en beveiligingstools.



Deze norm is ontwikkeld rekening houdend met de vereisten van GOST R ISO/IEC 15408-3 en GOST R ISO/IEC 27002, die voorzien in de implementatie van maatregelen om bedreigingen voor de veiligheid van de organisatie tegen te gaan, geïmplementeerd met behulp van de SC. In deze standaarden worden maatregelen gepresenteerd om bedreigingen voor de informatiebeveiliging tegen te gaan met behulp van het beveiligingssysteem algemeen beeld, en hun details worden in deze standaard gepresenteerd.

Daarnaast zijn er een aantal technologieën om de informatiebeveiliging en regelgevingsdocumenten (ND) van de federale uitvoerende macht te waarborgen ( FSTEC van Rusland, waarin bepaalde aspecten van dit probleem worden besproken).

Dus GOST R 51188 stelt vast algemene regels het organiseren en uitvoeren van tests van software en hun componenten om computervirussen daarin op te sporen en te elimineren. Deze norm regelt ook de procedure voor het controleren van een computer op de aanwezigheid van computervirussen en het elimineren ervan. Een dergelijke test kan de agent van een beveiligingsschender identificeren die door hem wordt gebruikt om een ​​geheim kanaal te organiseren, maar alleen als de agent geen integraal onderdeel is van het besturingssysteem of hardwareplatform van de computer die wordt getest. Sinds antiviruscontroles niet in staat zijn om alle potentiële agenten te identificeren, is het nodig om de IC’s tegen te gaan die dergelijke “onzichtbare” agenten kunnen gebruiken om met een veiligheidsschender te communiceren.

NTD FSTEC uit Rusland heeft een classificatie opgesteld software(zowel binnenlandse als buitenlandse productie) voorn, inclusief die welke zijn ingebouwd in systeembrede en applicatiesoftware (software), afhankelijk van het niveau van controle over de afwezigheid van niet-aangegeven mogelijkheden daarin. Tijdens een dergelijke verificatie kunnen niet-aangegeven capaciteiten, die als niet-gevaarlijk worden beschouwd, gevaarlijker blijken te zijn tijdens de werking van de software als gevolg van interactie via de CS met een externe beveiligingsschender.

De NTD FSTEC van Rusland stelt een classificatie van firewalls vast op basis van het beveiligingsniveau tegen ongeautoriseerde toegang tot informatie door geschikte beveiligingsindicatoren te selecteren. Deze indicatoren bevatten de vereisten vooren, geïmplementeerd in de vorm van firewalls, die een veilige interactie tussen AS-computernetwerken garanderen door de informatiestromen tussen netwerken te beheren. De firewall implementeert beperkingsfuncties netwerken, evenals de vereisten van het vastgestelde informatiebeveiligingsbeleid van de organisatie. Interactie met behulp van de CS wordt uitgevoerd binnen de grenzen van de beperkingen die door de firewall worden opgelegd, zodat de CS zelfs kan functioneren als een correct geconfigureerde firewall wordt gebruikt die een voldoende beveiligingsniveau heeft.

Deze norm stelt ook een standaardprocedure vast voor het organiseren van tegenmaatregelen tegen IC, die kan worden gespecificeerd rekening houdend met de omstandigheden en kenmerken van het gebruik van informatietechnologieën in kerncentrales. Daarnaast kunnen aanvullende beschermingsmaatregelen worden ontwikkeld en toegepast.

De organisatie van IT- en AS-bescherming tegen aanvallen met behulp van CS omvat procedures voor de identificatie en onderdrukking ervan. De reeks methoden die wordt gebruikt om IC te identificeren en/of te onderdrukken, moet worden bepaald op basis van het beveiligingsdreigingsmodel van de organisatie.

Maatregelen ter bescherming tegen aanvallen met behulp van CS moeten worden geïntegreerd in het informatiebeveiligingssysteem van de organisatie.

Deze norm wordt toegepast in combinatie met GOST R 53113.1.

1 Toepassingsgebied

Deze norm is bedoeld voor klanten, ontwikkelaars en gebruikers van informatietechnologieën die bezig zijn met het ontwikkelen van vereisten voor informatiebescherming in de stadia van ontwikkeling, verwerving en gebruik van producten, informatietechnologieën en geautomatiseerde systemen in overeenstemming met de vereisten van wettelijke wettelijke documenten van de federale uitvoerende macht (FSTEC van Rusland), of de eisen die zijn vastgelegd in de informatie over de eigenaar.

Deze norm is bedoeld voor certificatie-instellingen, maar ook voor testlaboratoria, bij het bevestigen van de conformiteit van informatietechnologieën en geautomatiseerde systemen met de vereisten voor het waarborgen van de veiligheid van informatie die circuleert in deze systemen, analytische eenheden en beveiligingsdiensten.

2 Normatieve referenties

Deze norm gebruikt normatieve verwijzingen naar de volgende normen:

GOST R ISO/IEC 7498-1-99 Informatietechnologie. Interconnectie van open systemen. Basis referentiemodel. Deel 1. Basismodel

GOST R ISO/IEC 15408-3 Informatietechnologie. Methoden en middelen om de veiligheid te garanderen. Criteria voor het beoordelen van de veiligheid van informatietechnologieën. Deel 3: Componenten van veiligheidsvertrouwen

GOST R ISO/IEC 27002 Informatietechnologie. Methoden en middelen om de veiligheid te garanderen. Set van normen en regels voor management

GOST R 51188 Informatiebescherming. Software testen op computervirussen. Modelhandleiding

GOST R 51901.1 Risicobeheer. Risicoanalyse van technologische systemen

GOST R 53113.1-2008 Informatietechnologie. Bescherming van informatietechnologieën en geautomatiseerde systemen tegen indie via geheime kanalen worden geïmplementeerd. Deel 1. Algemene bepalingen

Opmerking - Wanneer u deze norm gebruikt, is het raadzaam om de geldigheid van de referentienormen in het openbare informatiesysteem te controleren - op de officiële website van het Federaal Agentschap voor Technische Regelgeving en Metrologie op internet of met behulp van de jaarlijkse informatie-index "Nationale Normen" , dat werd gepubliceerd vanaf 1 januari van het lopende jaar, en over uitgaven van de maandelijkse informatie-index "Nationale Normen" voor het lopende jaar. Als een referentiestandaard waarnaar een ongedateerde referentie wordt gegeven, wordt vervangen, wordt het gebruik ervan aanbevolen huidige versie deze standaard, rekening houdend met alle aangebrachte wijzigingen deze versie veranderingen. Als een gedateerde referentienorm wordt vervangen, wordt aanbevolen de versie van die norm te gebruiken met het hierboven aangegeven jaar van goedkeuring (adoptie). Als na de goedkeuring van deze standaard een wijziging wordt aangebracht in de standaard waarnaar wordt verwezen en waarnaar een gedateerde verwijzing wordt gemaakt die van invloed is op de bepaling waarnaar wordt verwezen, wordt aanbevolen die bepaling toe te passen zonder rekening te houden met deze verandering. Indien de referentienorm zonder vervanging komt te vervallen, verdient het aanbeveling de bepaling waarin daarnaar wordt verwezen, toe te passen in het gedeelte dat deze referentie niet beïnvloedt.

3 Termen en definities

Deze standaard gebruikt termen volgens GOST R 53113.1.

4 Symbolen en afkortingen

In deze norm worden de volgende symbolen en afkortingen gebruikt:

ABS - geautomatiseerd banksysteem;

VOS - interconnectie van open systemen;

IS - informatiebeveiliging;

IT - informatietechnologie;

NSD - ongeautoriseerde toegang;

DBMS - databasebeheersysteem;

HTTP - (hypertekst overdrachtsprotocol) - hypertext-overdrachtsprotocol;

IP - (internetprotocol) - internetprotocol;

VPN - (virtueel particulier netwerk) - virtueel particulier netwerk.

5 Het werkingsmechanisme van het geheime kanaal

5.1 SC's worden gebruikt voor de systematische interactie van kwaadaardige programma's (computervirussen) met een beveiligingsschender bij het organiseren van een aanval op de AS, die niet wordt gedetecteerd door controle- en beveiligingstools.

Het gevaar van SC is gebaseerd op deze veronderstelling permanente toegang veiligheidsovertreder informatiebronnen organisatie en het beïnvloeden van het informatiesysteem via deze kanalen om maximale schade aan de organisatie te veroorzaken.

5.2 Het algemene diagram van het werkingsmechanisme van de SC in de AS wordt weergegeven in Figuur 1.

1 - veiligheidsovertreder (aanvaller), wiens doel het ongeautoriseerde toegang tot informatie is beperkte toegang of ongeoorloofde invloed op het systeem; 2 - informatie van beperkte toegang of van cruciaal belang belangrijke functie; 3 - een onderwerp met geautoriseerde toegang tot 2 En 5 ; 3" - een agent van een veiligheidsovertreder die zich in een gesloten lus bevindt 2 en interactie mee 2 namens het onderwerp 3; 4 - inspecteur (software, hardware en software, hardware of persoon) controlerend informatie interactie 3 , waarbij een gesloten lus wordt doorkruist die het object van informatisering scheidt van de externe omgeving; 5 - een onderwerp dat zich buiten de gesloten lus bevindt waarmee 3 voert geautoriseerde informatie-interactie uit

Figuur 1 - Algemeen diagram van het werkingsmechanisme van de SC in de AS

5.3 Interactie tussen onderwerpen 3 En 5 is geautoriseerd en noodzakelijk voor goede werking AC. Agenttaak 3" is om regelmatige interactieve interactie tussen de agent en de aanvaller te garanderen. De agent moet beperkte informatie verzenden 2 naar de aanvaller 1 of op bevel van een aanvaller 1 invloed hebben op een kritische functie 2 . Geheimhouding van het interactiekanaal tussen de aanvaller 1 en agent 3" is dat het onderwerp 3 , inspecteur 4 en onderwerp 5 het feit van het verzenden van informatie of opdrachten niet detecteren.

Met SC's kan een aanvaller regelmatig interactief communiceren met zijn agent die is ingebed in de AS.

5.4 Bij AS: interactie tussen de agent 3 en onderwerp 5 kan een netwerk zijn of binnen één AS voorkomen (zie 5.6).

5.5 Classificatie van SC's volgens verschillende criteria wordt gegeven in GOST R 53113.1.

5.6 Voorbeelden van SC's, waarin het mechanisme van hun werking wordt uitgelegd, worden hieronder weergegeven.

Voorbeeld 1 - Een beveiligingsschender (aanvaller), die samenwerkte met een concurrerende organisatie, installeerde een softwareagent in het ABS tijdens het implementatieproces (inbedrijfstelling). In interactie met het ABS als klant van deze bank, verzendt de aanvaller opdrachten naar de softwareagent die zijn gecodeerd in de reeks van zijn acties, die geen argwaan wekken (het controleren van de rekeningstatus, het beheren van de rekening, tijdsintervallen tussen bewerkingen, enz. .). Als reactie op opdrachten die via de IC worden ontvangen, stuurt de agent, met behulp van dezelfde IC, informatie over de aangevallen bank terug naar de aanvaller die van belang is voor de concurrent (informatie over de rekeningen van andere klanten, de omvang van de banktegoeden, eventuele andere voorkennis waartoe de agent toegang heeft) of wijzigingen aanbrengt in de database over klantaccounts of andere informatie waartoe hij toegang heeft. Detectie van het bestaan ​​van een dergelijke agent kan alleen plaatsvinden via indirecte signalen die kunnen ontstaan ​​als gevolg van veranderingen in databases. Een verborgen lek van informatie uit de database dat via zo’n IC plaatsvindt, zal onopgemerkt blijven. In dit geval, in overeenstemming met het diagram in Figuur 1:3" - software-agent, 3 - ABS, 2 - database, 4 - bankbeveiligingsdienst, 1 - aanvaller die handelt in het belang van een concurrent, 5 - bankklant.

Voorbeeld 2 - Een aanvaller wiens doel het is bedrijfseigen informatie van de computer van een werknemer te verkrijgen, kan handelen volgens het volgende scenario. Laat een door een firewall beschermde pc besmetten met een Trojaans paard. Het Trojaanse programma ontvangt opdrachten van de aanvaller en reageert met informatie over de geïnfecteerde pc en informatie over beperkte toegang die daarop is opgeslagen, waardoor de uitwisseling wordt vermomd als HTTP-protocol toegestaan ​​door de firewall. In dit geval, in overeenstemming met het diagram in Figuur 1:3" - Trojaans paard, 3 - een programma met geautoriseerde toegang tot internet, 2 - een document met beperkte distributie, 4 - firewall, 5 - Internetknooppunt, 1 - tussenliggend knooppunt netwerk dat wordt beheerd door een aanvaller.

Voorbeeld 3 - Bij gebruik van een VPN is het ook mogelijk om een ​​IC te bouwen voor interactie tussen een agent en een aanvaller. Laat de gebruiker de zijne gebruiken werkplek als terminal toegang op afstand naar de AS-server, d.w.z. informatie over elke toetsaanslag wordt door de terminal naar de server verzonden. De aanvaller installeerde een toetsenbord met daarin een agent op het werkstation van de gebruiker van het aangevallen systeem. De agent onderschept toetsaanslagen en verzendt deze vervolgens in de loop van de tijd, waardoor de activering van sommige toetsen wordt vertraagd volgens een schema dat de aanvaller kent. Een aanvaller, die de pakketstroom tussen de terminal en de server observeert, haalt daaruit de informatie op die door de agent via de IC wordt verzonden. Isolatie van verborgen informatie is mogelijk, zelfs als er een cryptografisch beveiligd kanaal wordt gebruikt tussen de terminal en de server, aangezien voor de werking van het IC niet de inhoud van de pakketten die de terminal en de server met elkaar uitwisselen belangrijk is. maar de duur van de tijdsintervallen tussen aangrenzende pakketten.

IN in dit geval in overeenstemming met het diagram in Figuur 1: 3" - hardwareagent, 3 - toetsenbord, 2 - informatie ingevoerd via het toetsenbord (bijvoorbeeld wachtwoord), 4 - elk middel om AS-beveiliging te bieden die geen patronen in stromen detecteert netwerkpakketten; 5 - terminal-server, 1 - aanvaller.

Voorbeeld 4 - Het genereren van kunstmatige storingen en beperkingen op de beschikbaarheid kan worden uitgevoerd met behulp van de CS. Een agent die bijvoorbeeld is ingebed in een van belangrijkste componenten De AS wacht op het ontvangen van een voorwaardelijk signaal van de aanvaller. Na ontvangst van dit signaal verstoort de agent de werking van de AS-component waarin deze zich bevindt. Als gevolg hiervan treedt een tijdelijk verlies van functionaliteit van het systeem op of verzwakking van de bescherming ervan (als de agent is ingebed in een informatiebeveiligingstool). Een voorwaardelijk signaal voor het activeren van een agent op een openbare netwerkbron kan bij sommigen bijvoorbeeld een authenticatiepoging zijn vaste naam gebruiker en wachtwoord. Toegangscontrolesysteem netwerkbron 4 zal deze aanval niet detecteren omdat pogingen tot authenticatie een toegestane actie zijn. In dit geval, in overeenstemming met het diagram in figuur 1:2, wordt een kritische functie uitgevoerd door de AC-component (3), waarin agent 3 is ingebouwd; een aanvaller geeft de agent een voorwaardelijk signaal, dat vanaf het punt zicht op 4, is niet gevaarlijk en is daarom niet geblokkeerd, 5 - AC.

Voorbeeld 5 - In overeenstemming met het diagram in Figuur 1: besturingssysteem 4 biedt isolatie van programma 3, dat toegang heeft tot vertrouwelijke informatie 2, van programma 1, dat in hetzelfde systeem draait besturingssysteem, maar heeft dergelijke toegang niet. Om 1 informatie over beperkte toegang over te dragen, organiseert de agent 3" van de indringer de SC op tijd, waarbij hij fictieve oproepen doet naar bron 5, bijvoorbeeld een harde schijf. De agent moduleert de frequentie van oproepen met de inhoud van de informatie over beperkte toegang die hij nodig heeft Programma 1, dat de systeembrede belasting van dezelfde bron bewaakt, detecteert de intensiteit van de impact van de agent op deze bron en kan de door de agent verzonden informatie extraheren uit de aard van de verandering in deze intensiteit.

6 Regels voor het vormen van een model voor veiligheidsdreigingen, waarbij rekening wordt gehouden met het bestaan ​​van geheime kanalen

6.1 Bij het opstellen van het veiligheidsdreigingsmodel wordt rekening gehouden met de bedreigingen die met behulp van het beveiligingssysteem worden geïmplementeerd. Bij het beoordelen van informatiebeveiligingsrisico's moet met deze bedreigingen rekening worden gehouden.

6.2 Beveiligingsbedreigingen die kunnen worden geïmplementeerd met behulp van CS zijn onder meer:

- introductie van kwaadaardige programma's en gegevens;

- de aanvaller geeft ter uitvoering opdrachten aan de agent;

- lekken van cryptografische sleutels of wachtwoorden;

- lekkage van individu informatie objecten.

6.3 De dreiging van het introduceren van kwaadaardige programma's en gegevens schuilt in het feit dat een aanvaller, omdat hij de mogelijkheid heeft om interactief met de aangevallen AS te communiceren, via de SC kwaadaardige programma's kan overbrengen die de functionaliteit hebben die hij nodig heeft. De introductie van valse gegevens in het aangevallen systeem kan rechtstreeks worden uitgevoerd door de agent waarmee de aanvaller via het netwerk communiceert. Als een agent bijvoorbeeld is ingebed in het DBMS van een bank, kan een aanvaller deze een opdracht sturen om de klantrekeninginformatie die in de database is opgeslagen te wijzigen, of de procedure die in deze database is opgeslagen en die werkt met rekeninggegevens te vervangen door een valse, kwaadaardige procedure die werkt in het belang van de aanvaller.

6.4 De dreiging dat een aanvaller opdrachten naar een agent stuurt om zijn functies uit te voeren, is dat de agent op bevel van de aanvaller de AS waarin deze is ingebed, kan beïnvloeden. Deze opdrachten kunnen eenvoudig zijn (bijvoorbeeld de werking van het systeem een ​​tijdje blokkeren) of complexer (bijvoorbeeld de inhoud van een bestand dat is opgeslagen in het aangevallen systeem overbrengen naar de aanvaller via het netwerk).

6.5 De ​​dreiging van het lekken van cryptografische sleutels of wachtwoorden en individuele informatieobjecten doet zich voor als een aanvaller erin slaagt zijn agent in de AS te introduceren, zodat de agent toegang heeft tot waardevolle informatiemiddelen (bijvoorbeeld cryptografische sleutels, wachtwoorden), IC's kunnen worden gebruikt voor ongeoorloofde overdracht van dergelijke informatie naar een aanvaller. Omdat de toetsen een relatief klein volume hebben, kunnen ze zelfs op een kanaal met een lage bandbreedte lekken.

7 De procedure voor het organiseren van de bescherming van informatie, informatietechnologieën en geautomatiseerde systemen tegen aanvallen die via geheime kanalen worden uitgevoerd

7.1 ZI, IT en AS van aanvallen geïmplementeerd met behulp van SC is cyclisch proces, dat de volgende stappen omvat, herhaald bij elke iteratie van het proces:

- risicoanalyse voor de activa van de organisatie, inclusief identificatie van waardevolle activa en beoordeling mogelijke gevolgen implementatie van aanvallen met behulp van CS (zie paragraaf 8);

- identificatie van SC's en beoordeling van hun gevaar voor de activa van de organisatie (zie sectie 9);

- implementatie van beschermende maatregelen om SK tegen te gaan (zie paragraaf 10);

- organisatie van de controle op de tegenactie tegen de IC (zie paragraaf 11).

7.2 De cyclische aard van het proces van bescherming tegen indat met behulp van een beveiligingssysteem wordt geïmplementeerd, wordt bepaald door de opkomst van nieuwe methoden voor het construeren van een beveiligingssysteem, die ten tijde van eerdere iteraties onbekend waren.

8 Risicoanalyse

8.1 De keuze van maatregelen om bedreigingen voor de informatieveiligheid tegen te gaan die met behulp van het beveiligingssysteem worden geïmplementeerd, moet gebaseerd zijn op een technische en economische beoordeling of op andere methoden om de waarde van informatie te beoordelen. Daarnaast moet rekening worden gehouden met gevolgen zoals verlies van vertrouwen in de organisatie of schade aan de zakelijke reputatie van de organisatie en haar leider.

8.2 Het is noodzakelijk om te identificeren welke van de beschermde informatiemiddelen van belang kunnen zijn voor een potentiële aanvaller die de mogelijkheid heeft om:

- integreer uw agent in de AS tijdens de ontwikkeling, implementatie, implementatie of exploitatie ervan;

- een kwetsbaarheid (of een ingebouwde agent) in het geautomatiseerde systeem detecteren die kan worden gebruikt om een ​​geautomatiseerd systeem te organiseren en toegang te krijgen tot beschermde activa.

8.3 Voor risicoanalyse kunt u de methodologie gebruiken in overeenstemming met GOST R 51901.1.

8.4 Om te verminderen informatie risico's Maatregelen voor het organiseren van de beveiliging tegen aanvallen met behulp van het beveiligingssysteem moeten op een acceptabel niveau worden geselecteerd en geïmplementeerd.

9.1 De procedure voor het identificeren van MC omvat:

- beoordeling van de architectuur van het AS en de daarin beschikbare communicatiekanalen;

- het identificeren van mogelijke manieren om verborgen informatie uit te wisselen tussen een aanvaller en zijn vermeende agent in de AS;

- beoordeling van het gevaar van de geïdentificeerde beveiligingssystemen voor de beschermde activa van de organisatie;

- het nemen van een beslissing over de wenselijkheid van het tegengaan van elk van de geïdentificeerde SC's.

9.2 Het beoordelen van de architectuur van de AS impliceert het identificeren van alle beschikbare communicatiekanalen en het analyseren van de interactie van de componenten ervan op hun potentiële gebruik voor het organiseren van de SC. Als resultaat van een dergelijke analyse moeten AS-componenten worden geïdentificeerd waarin SC's mogelijk kunnen worden gebruikt.

9.3 Identificatie van mogelijke manieren om verborgen informatie uit te wisselen tussen een aanvaller en zijn vermeende agent in de AS wordt uitgevoerd op basis algemeen schema werkingsmechanisme van het verzekeringsstelsel (zie paragraaf 6). Moet voor elk van de beschermde activa gelden 2 (zie diagram in figuur 1) identificeer welke onderwerpen 3 hebben er toegang toe en zijn tegelijkertijd geïsoleerd van de externe omgeving, maar hebben de mogelijkheid om te communiceren met individuele onderwerpen uit de externe omgeving 5 . In dit geval wordt de interactie gecontroleerd 4 en kan ook worden waargenomen door een potentiële aanvaller 1 . Als deze elementen aanwezig zijn, moet er rekening mee worden gehouden mogelijke beschikbaarheid potentiële IC tussen agent 3" , ingebouwd 3 en onderwerpen in de externe omgeving 1 of 5 . Als voorbeeld van een dergelijk systeem kunnen we het vermogen van een aanvaller beschouwen om tijdsintervallen te observeren die worden gevormd door een AS-component die mogelijk een aanvaller bevat. 1 .

9.4 Vanuit het oogpunt van een aanvaller is het ongepast om het beveiligingssysteem te gebruiken om de informatiebeveiliging te schenden in die segmenten van het systeem waar hij informatie kan uitwisselen met zijn agent via een kanaal dat niet wordt gecontroleerd door beveiligingsmiddelen. In dit geval is het niet nodig om het feit van informatie-uitwisseling te verbergen, omdat een dergelijke uitwisseling van beschermende uitrusting niet wordt gecontroleerd.

9.5 Bij het beoordelen van de mogelijkheid van interactie via de CS moet rekening worden gehouden met de “ondoorzichtigheid” van bepaalde typen SC van individuele AC-segmenten.

9.6 Na het identificeren van beveiligingssystemen is het noodzakelijk om te beoordelen hoe haalbaar ze zijn en hoe gevaarlijk ze zijn voor de beschermde activa van de organisatie. Deze beoordeling wordt bepaald door de omvang van de activa, de capaciteit van de verzekeringsmaatschappij en het tijdsinterval waarin de activa waarde behouden. Op basis van deze beoordeling worden kanalen die geen reële bedreiging voor activa vormen, als niet-gevaarlijk beschouwd.

9.7 Op basis van de risicobeoordeling van de SC, rekening houdend met de resultaten van de risicoanalyse, wordt een conclusie getrokken over de wenselijkheid of ongepastheid van het tegengaan van dergelijke kanalen.

9.8 Als voorbeeld toont Figuur 2 het interactiemodel met zeven niveaus van open systemen, gedefinieerd in subclausule 6.1.5 van GOST R ISO/IEC 7498-1-99.

Figuur 2 - Gegevensuitwisseling via een relais-open systeem

9.9 Elk van de niveaus van dit model heeft alleen interactie met de lagere en hogere niveaus hogere niveaus open systemen zijn geïsoleerd van de lagere. Deze functie kan worden gebruikt om SC's die op een laag niveau werken te maskeren vanaf een controller op een hoog niveau.

9.10 Als er geen speciale middelen voor het detecteren van het systeem worden gebruikt, kan de aanwezigheid van het systeem worden gedetecteerd door de gebruiker van een van de samenwerkende systemen door een verandering in het gedrag van deze systemen of een gedeeltelijk verlies van hun functionaliteit waar te nemen.

9.11 De beperkende factor wanneer een aanvaller het niveau van het open-systeeminteractiemodel kiest als medium voor het organiseren van geheime transmissie is de “ondoorzichtigheid” van relaissystemen. Relay-systemen bevatten niet de oorspronkelijke afzender en eindontvanger van de gegevens, maar verzenden alleen gegevens van het ene systeem naar het andere als ze niet zijn verbonden door één enkel fysiek medium in overeenstemming met GOST R ISO/IEC 7498-1.

9.12 Bij het doorgeven in een dergelijk systeem wordt de ontvangen informatie op alle niveaus van het model geïnterpreteerd, beginnend vanaf het lagere (fysieke) niveau tot het niveau waarop gegevensoverdracht wordt uitgevoerd. Om de gegevens vervolgens verder over het netwerk te verzenden, gaan ze opnieuw naar de fysieke laag van het ontvangende netwerk. Als gevolg van dit proces wordt IC uit het geheugen (zie subsectie 5.2 van GOST R 53113.1-2008), met behulp van kenmerken van protocollen die verband houden met meer lage niveaus, dan degene waarop de relais wordt uitgevoerd, kan de mogelijkheden van geheime overdracht van informatie via een dergelijk relaissysteem vernietigen of beperken.

10 Aanbevelingen over methoden voor het implementeren van beschermende maatregelen om geheime kanalen tegen te gaan

10.1 Op basis van de resultaten van het identificeren van de beveiligingssystemen wordt een actieplan opgesteld om de bedreigingen die door het gebruik ervan worden gerealiseerd, tegen te gaan. Deze activiteiten kunnen de implementatie omvatten van een van de reeds bekende (of verbetering van reeds bestaande) methoden voor het tegengaan van bedreigingen voor de informatiebeveiliging die met behulp van het beveiligingssysteem worden geïmplementeerd.

10.2 Het is raadzaam om als beschermende maatregelen het volgende te gebruiken:

- afname bandbreedte kanaal voor informatieoverdracht;

- architectonische oplossingen bouw van AS;

- toezicht houden op de doeltreffendheid van de bescherming van kerncentrales.

10.3 De keuze van methoden om bedreigingen voor de informatieveiligheid tegen te gaan die met behulp van het beveiligingssysteem worden geïmplementeerd en het opstellen van een plan voor de implementatie ervan wordt bepaald door deskundigen, gebaseerd op de individuele kenmerken van het beschermde systeem.

10.4 Voorbeelden van methoden voor tegenmaatregelen

Voorbeeld 1 - Het tegengaan van bedreigingen die verband houden met de CS is in het bijzonder verkeersnormalisatie, die bestaat uit het veranderen van de waarden van de velden van netwerkpakketten om dubbelzinnigheid te elimineren, die mogelijk zou kunnen worden gebruikt om de CS te organiseren. In dit geval worden de SC's die dergelijke dubbelzinnigheid gebruiken voor hun werk vernietigd. Als gevolg van verkeersnormalisatie moet het ervoor zorgen dat de functionaliteit van het oorspronkelijke protocol behouden blijft om de beoogde taak uit te voeren. Normalisatie van velden van informatiepakketten kan bestaan ​​uit het in overeenstemming brengen van veldwaarden met protocolspecificaties, het plaatsen van vaste waarden in de velden van pakketten, of het schrijven van willekeurige waarden in velden.

Voorbeeld 2 - Gebruik van een tussenpersoon (proxyserver), d.w.z. een apparaat dat toegang heeft tot twee of meer netwerken, verzoeken accepteert van applicaties die draaien op hosts op een van de beschikbare netwerken voor applicaties die draaien op hosts op een ander netwerk, en vervolgens antwoorden op deze verzoeken verzendt naar omgekeerde richting. Het gebruik van een tussenpersoon maakt het mogelijk om het gebruik van de eigenaardigheden van de protocollen die de werking van het netwerk garanderen, te voorkomen om het netwerk te organiseren. De implementatiedetails van deze protocollen (bijvoorbeeld de waarden van individuele servicevelden van pakketten van deze protocollen) worden bij gebruik van een tussenpersoon niet rechtstreeks van het ene netwerk naar het andere overgedragen, maar worden opnieuw gevormd door de tussenpersoon. Zo wordt SC uit het geheugen gebruikt als transmissiemedium netwerkprotocollen, zal geen verborgen uitwisseling van informatie bieden tussen abonnees die gescheiden zijn door een tussenpersoon. De functionaliteit van applicaties die niet direct, maar ‘via’ (via) een intermediair interageren, wordt niet verstoord, aangezien de intermediair rekening houdt met de bedieningskenmerken van deze applicaties. Dit maakt het mogelijk, zonder aanvullende maatregelen te nemen, veel CS te blokkeren die verband houden met de syntaxis en semantiek van netwerk- en transportprotocollen. Het zal echter niet mogelijk zijn om op deze manier kanalen te blokkeren die op applicatieniveau werken verborgen informatie gaat samen met de aanvraaggegevens onveranderd door de tussenpersoon. De gebruikte intermediaire applicatie moet rekening houden met de specifieke kenmerken van de gebruikte applicaties transportprotocollen, om al hun functies volledig te behouden en niet te leiden tot verlies van netwerkprestaties. Applicaties kunnen op hun beurt worden ontworpen met de inzet van een tussenpersoon in gedachten.

Voorbeeld 3 - Inkapseling van internetverkeer ("tunneling") - overdracht van pakketten van het ene subnet naar een ander subnet via een derde netwerk, waarbij de originele pakketten worden "verpakt" in tunnelprotocolpakketten die worden verzonden via een derde netwerk, weergegeven in figuur 3.

Figuur 3 - Inkapseling van IP-pakketten

10.5 Bij gebruik van inkapseling met encryptie en bevestiging van de integriteit van het pakket, is het mogelijk om de CS in het geheugen te overlappen tussen knooppunten “intern” in relatie tot de gateway (d.w.z. die knooppunten die pakketten vormen die door de tunnel gaan) en “extern” (Internetgateways, waarlangs de route loopt waarlangs tunnelprotocolpakketten worden verzonden). Op tijd gebaseerde IC (zie subsectie 5.3 van GOST R 53113.1-2008), die werkt met de tijdstippen waarop pakketten worden verzonden, kan op deze manier niet volledig worden geblokkeerd. Informatie met betrekking tot de grootte van pakketten en de tijdsintervallen tussen hun verschijning worden ook opgeslagen tijdens het inkapselen en kunnen worden gebruikt voor de werking van de CS.

11 Aanbevelingen voor het organiseren van controle over het tegengaan van geheime kanalen

11.1 Het monitoren van tegenmaatregelen tegen het systeem bestaat uit het identificeren van feiten over het gebruik van het systeem in het beschermde systeem. Een dergelijke identificatie kan continu worden uitgevoerd of bij detectie van tekenen van schade als gevolg van het gebruik van het verzekeringssysteem. Statistische of handtekeningmethoden kunnen worden gebruikt om het gebruik van SC te identificeren.

11.2 De statistische methode voor het identificeren van IC omvat het verzamelen van statistische gegevens over pakketten die door het beschermde gedeelte van het netwerk gaan, zonder er wijzigingen in aan te brengen. Identificatie van IC kan zowel in realtime (wat een snelle reactie op incidenten mogelijk maakt) als autonoom worden uitgevoerd, met behulp van gegevens die over eerdere perioden zijn verzameld, waardoor een diepgaandere analyse mogelijk is.

11.3 De methode voor het identificeren van CS op basis van handtekeninganalyse is vergelijkbaar met de gebruikte methode antivirusprogramma's om naar malware te zoeken. Als er een reeks bekende implementaties van de SC bestaat, wordt voor elk daarvan een handtekening gevormd, een reeks tekens die aangeven dat deze wordt gebruikt deze implementatie SK. Dan de inspecteur 4 (zie figuur 1) zoekt naar dergelijke handtekeningen in de bekeken datastroom op het netwerk en trekt een conclusie over de aan- of afwezigheid van een geldige IC in een bepaalde implementatie. Voor efficiënt werk Deze methode vereist een constante update van de handtekeningdatabase, d.w.z. opname van handtekeningen voor voorheen onbekende implementaties van het beveiligingssysteem.

11.4 Wanneer tekenen (ook indirecte) van het gebruik van het verzekeringsstelsel worden onderkend of er nieuwe methoden voor de opbouw van het verzekeringsstelsel ontstaan, wordt de risicoanalyse opnieuw uitgevoerd.

Bibliografie

	Leidraad document. Technische Staatscommissie van Rusland, 1999	Bescherming tegen ongeoorloofde toegang tot informatie. Deel 1. Informatiebeveiligingssoftware. Classificatie volgens het niveau van controle over de afwezigheid van niet-aangegeven capaciteiten
	Leidraad document. Technische Staatscommissie van Rusland, 1998

UDC 351.864.1:004:006.354
Trefwoorden: verborgen kanalen, analyse van geheime kanalen, procedure voor de organisatie van informatiebeveiliging

Elektronische documenttekst
opgesteld door Kodeks JSC en geverifieerd aan de hand van:
officiële publicatie
M.: Standaardinform, 2018

INFORMATIEBERICHT

BETREFFENDE KWESTIES VAN INFORMATIEBESCHERMING EN HET WAARBORGEN VAN DE VEILIGHEID VAN PERSOONSGEGEVENS TIJDENS DE VERWERKING ervan IN INFORMATIESYSTEMEN IN VERBAND MET DE PUBLICATIE VAN HET BESLUIT VAN DE FSTEC VAN RUSLAND VAN 11 FEBRUARI 2013 N 17 “TER GOEDKEURING VAN INFORMATIEBESCHERMINGSEISEN” DIE GEEN STAATSGEHEIM VORMEN OPGENOMEN IN STAATSINFORMATIESYSTEMEN" EN BESLUIT VAN DE FSTEC VAN RUSLAND DATUM 18 FEBRUARI 2013 N 21 "BETREFFENDE GOEDKEURING VAN DE SAMENSTELLING EN INHOUD VAN ORGANISATORISCHE EN TECHNISCHE MAATREGELEN OM DE VEILIGHEID VAN PERSOONLIJKE GEGEVENS TE WAARBORGEN TIJDENS DE VERWERKING IN PERSOONLIJKE GEGEVENSINFORMATIESYSTEMEN"

gedateerd 15 juli 2013 N 240/22/2637

In overeenstemming met de wetgeving van de Russische Federatie inzake informatie, informatietechnologie en over informatiebescherming en wetgeving inzake persoonsgegevens Federale dienst voor technische en exportcontrole (FSTEC van Rusland), binnen de grenzen van zijn bevoegdheden, heeft de vereisten goedgekeurd voor de bescherming van informatie die geen staatsgeheim vormt in staatsinformatiesystemen (Orde van de FSTEC van Rusland van 11 februari 2013 N 17, geregistreerd door het Ministerie van Justitie van Rusland op 31 mei 2013. , reg. N 28608) en de samenstelling en inhoud van organisatorische en technische maatregelen over het waarborgen van de veiligheid van persoonsgegevens tijdens de verwerking ervan in informatiesystemen voor persoonsgegevens (beschikking van de FSTEC van Rusland van 18 februari 2013 N 21, geregistreerd door het Ministerie van Justitie van Rusland op 14 mei 2013, reg. N 28375).

In verband met de publicatie van deze regelgevende rechtshandelingen ontvangt de FSTEC van Rusland verzoeken om verduidelijking van bepaalde bepalingen van de vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen die zijn goedgekeurd door Orde van de FSTEC van Rusland van 18 februari 2013 N 21. Deze vraag besproken door deskundigen op het gebied van informatiebeveiliging in diverse fora en elektronische platforms op internet.

Gezien de aard van de meest besproken kwesties en om bepaalde bepalingen van deze besluiten van de FSTEC van Rusland te verduidelijken, achten wij het passend om het volgende te melden.

1. Over de kwestie van de inwerkingtreding van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, evenals de noodzaak van hercertificering (efficiëntiebeoordeling) informatiesystemen gecertificeerd (geslaagd voor de effectiviteitsbeoordeling) vóór de inwerkingtreding van de gespecificeerde bevelen van de FSTEC van Rusland.

In overeenstemming met paragraaf 12 van het decreet van de president van de Russische Federatie van 23 mei 1996 N 763 “Over de procedure voor de publicatie en inwerkingtreding van handelingen van de president van de Russische Federatie, de regering van de Russische Federatie en normatieve rechtshandelingen van federale uitvoerende organen”, worden normatieve rechtshandelingen van federale uitvoerende organen gelijktijdig van kracht op het gehele grondgebied van de Russische Federatie tien dagen na hun officiële publicatie, tenzij de handelingen zelf een andere procedure voor hun inwerkingtreding bepalen.

Zo zijn de samenstelling en inhoud van de maatregelen die zijn goedgekeurd in opdracht van de FSTEC van Rusland van 18 februari 2013 N 21 in werking getreden op 2 juni 2013. De vereisten die zijn goedgekeurd in opdracht van de FSTEC van Rusland van 11 februari 2013 N 17 treedt in werking op 1 september 2013

Gebaseerd op de algemene beginselen van de rechtsregels voor actie in de tijd, hebben normatieve rechtshandelingen die op de voorgeschreven wijze zijn uitgevaardigd, geen terugwerkende kracht en zijn zij van toepassing op relaties die zijn ontstaan ​​nadat de handelingen in werking zijn getreden (tenzij anders bepaald door federale wetten).

Rekening houdend met het bovenstaande, zijn informatiesystemen gecertificeerd (geslaagd voor prestatiebeoordeling) volgens informatiebeveiligingsvereisten vóór de inwerkingtreding van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen goedgekeurd door de Orde van de FSTEC van Rusland van 18 februari 2013, zijn niet onderworpen aan hercertificering (efficiëntiebeoordeling) in verband met de publicatie van deze regelgevende rechtshandelingen.

2. Over de kwestie van de eisen die moeten worden gevolgd om de veiligheid van persoonsgegevens te waarborgen tijdens de verwerking ervan in staatsinformatiesystemen, evenals het bepalen van de beveiligingsklasse van het staatsinformatiesysteem waarin persoonsgegevens worden verwerkt.

In overeenstemming met paragraaf 7 van de Samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, worden maatregelen genomen om de veiligheid van persoonlijke gegevens tijdens de verwerking ervan in staatsinformatiesystemen te waarborgen in overeenstemming met de vereisten voor de bescherming van informatie in staatsinformatiesystemen, opgericht door de FSTEC van Rusland binnen de grenzen van haar bevoegdheden in overeenstemming met deel 5 van artikel 6 van de federale wet van 27 juli 2006 N 149-FZ “Over informatie, informatie Technologieën en informatiebescherming”. Deze vereisten zijn goedgekeurd in opdracht van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Overwegend dat maatregelen om de veiligheid van persoonsgegevens te garanderen en de procedure voor de selectie ervan, bepaald door de compositie en de inhoud van de maatregelen die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, zijn vergelijkbaar met de ien de procedure voor hun selectie die zijn vastgelegd in de vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari , 2013 N 17, om de veiligheid te garanderen van persoonlijke gegevens die worden verwerkt in staatsinformatiesystemen, volstaat het om u alleen te laten leiden door de vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Tegelijkertijd, in overeenstemming met paragraaf 5 van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, bij het verwerken van informatie die persoonlijke gegevens bevat in het staatsinformatiesysteem, worden vereisten voor de bescherming van informatie die niet die een staatsgeheim vormen in staatsinformatiesystemen worden toegepast samen met de vereisten voor de bescherming van persoonsgegevens tijdens de verwerking ervan in informatiesystemen voor persoonsgegevens, goedgekeurd bij besluit van de regering van de Russische Federatie van 1 november 2012 N 1119.

Om de veiligheid van persoonlijke gegevens tijdens de verwerking ervan in staatsinformatiesystemen te garanderen, is het dus, naast de vereisten goedgekeurd door het besluit van de FSTEC van Rusland van 11 februari 2013 N 17, noodzakelijk om zich te laten leiden door de vereisten (inclusief in voorwaarden voor het bepalen van het beveiligingsniveau van persoonlijke gegevens) vastgesteld besluit van de regering van de Russische Federatie van 1 november 2012 N 1119. Tegelijkertijd, in overeenstemming met paragraaf 27 van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, de juiste verhouding tussen de beveiligingsklasse van het staatsinformatiesysteem en het beveiligingsniveau van persoonsgegevens moet worden gewaarborgd. Als het beveiligingsniveau van persoonsgegevens dat op de vastgestelde manier is bepaald hoger is dan de vastgestelde beveiligingsklasse van het staatsinformatiesysteem, wordt de beveiligingsklasse verhoogd tot een waarde die naleving van clausule 27 van de vereisten garandeert die zijn goedgekeurd in opdracht van de FSTEC van Rusland gedateerd 11 februari 2013 nr. 17.

3. Over de kwestie van het formulier voor het beoordelen van de effectiviteit van maatregelen die zijn genomen om de veiligheid van persoonsgegevens te waarborgen, de vorm en inhoud van materialen voor het beoordelen van de effectiviteit, evenals de mogelijkheid om een ​​beoordeling van de effectiviteit uit te voeren tijdens de certificering van het informatiesysteem .

In overeenstemming met paragraaf 4 van deel 2 van artikel 19 van de federale wet van 27 juli 2006 N 152-FZ “Betreffende persoonsgegevens” wordt het garanderen van de veiligheid van persoonsgegevens met name bereikt door de effectiviteit te beoordelen van de maatregelen die zijn genomen om de beveiliging van persoonsgegevens voordat het informatiesysteem voor persoonsgegevens in gebruik wordt genomen.

In overeenstemming met paragraaf 6 van de Samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, een beoordeling van de effectiviteit van maatregelen die zijn geïmplementeerd in het kader van het systeem voor de bescherming van persoonsgegevens om de veiligheid te waarborgen van persoonsgegevens wordt door de exploitant zelfstandig of met tussenkomst van uitgevoerd rechtspersonen en individuele ondernemers die een vergunning hebben om activiteiten uit te voeren voor de technische bescherming van vertrouwelijke informatie. Tegelijkertijd leggen de samenstelling en inhoud van de maatregelen die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21 niet de vorm van prestatiebeoordeling vast, evenals de vorm en inhoud van documenten die zijn ontwikkeld op basis van de resultaten (in het proces) van de beoordeling.

De beslissing over de vorm van prestatiebeoordeling en de documenten die zijn ontwikkeld op basis van de resultaten (tijdens het proces) van prestatiebeoordeling wordt dus onafhankelijk en (of) in overleg met de betrokken persoon genomen door de exploitant om de effectiviteit van de geïmplementeerde maatregelen te beoordelen. zorgen voor de veiligheid van persoonsgegevens.

Een beoordeling van de effectiviteit van de geïmplementeerde maatregelen kan worden uitgevoerd als onderdeel van de certificering van het persoonlijke gegevensinformatiesysteem in overeenstemming met de nationale norm GOST RO 0043-003-2012 “Informatiebescherming. Certificering van informatiseringsobjecten. Algemene bepalingen."

Wat staatsinformatiesystemen betreft waarin persoonsgegevens worden verwerkt, wordt een beoordeling van de effectiviteit van de maatregelen genomen om de veiligheid van persoonsgegevens te waarborgen uitgevoerd als onderdeel van de verplichte certificering van het staatsinformatiesysteem voor informatiebeveiligingseisen in overeenstemming met de Vereisten goedgekeurd bij besluit van de Federale Dienst voor Technische en Exportcontrole van Rusland van 11 februari 2013 N 17, nationale normen GOST RO 0043-003-2012 en GOST RO 0043-004-2013 “Informatiebescherming. Certificering van informatiseringsobjecten. Programma en methoden voor certificeringstests."

4. Over de kwestie van de toepassing van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, met betrekking tot gemeentelijke informatiesystemen.

In overeenstemming met deel 4 van artikel 13 van de federale wet van 27 juli 2006 N 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming” zijn de vereisten voor staatsinformatiesystemen die door de genoemde federale wet zijn vastgesteld, van toepassing op gemeentelijke informatiesystemen, tenzij anders bepaald in de wetgeving van de Russische Federatie inzake lokaal zelfbestuur.

De vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17 zijn dus van toepassing op gemeentelijke informatiesystemen, tenzij anders bepaald door de wetgeving van de Russische Federatie inzake lokaal zelfbestuur (in het bijzonder de federale wet van 6 oktober 2013). 2003 N 131-FZ "Over algemene principes lokaal zelfbestuur in de Russische Federatie" en andere regelgevende rechtshandelingen van de Russische Federatie die in overeenstemming daarmee zijn aangenomen).

5. Over de kwestie van de toepassing van “Speciale vereisten en aanbevelingen voor de technische bescherming van vertrouwelijke informatie”, rekening houdend met de publicatie van Order nr. 17 van de FSTEC van Rusland van 11 februari 2013.

De publicatie van Order nr. 17 van de FSTEC van Rusland van 11 februari 2013 annuleert niet de geldigheid van de methodologische documenten "Speciale vereisten en aanbevelingen voor de technische bescherming van vertrouwelijke informatie" (hierna STR-K genoemd) en " Geautomatiseerde systemen. Bescherming tegen ongeoorloofde toegang tot informatie. Classificatie van geautomatiseerde systemen en vereisten voor informatiebescherming” (hierna RD AS genoemd).

STR-K wordt gebruikt als een methodologisch document bij de implementatie van maatregelen ter bescherming van de technische middelen van staatsinformatiesystemen (ZTS.1), geselecteerd in overeenstemming met paragraaf 21 en bijlage nr. 2 bij de vereisten goedgekeurd in opdracht van de FSTEC van Rusland van 11 februari 2013 nr. 17, om bedreigingen voor de informatieveiligheid te neutraliseren die verband houden met de bescherming van informatie die wordt gepresenteerd in de vorm van informatieve elektrische signalen en fysieke velden (bescherming tegen lekkage via technische kanalen).

Andere bepalingen van STR-K (sectie 3 “Organisatie van werkzaamheden om vertrouwelijke informatie te beschermen”, sectie 5 “Vereisten en aanbevelingen voor de bescherming van vertrouwelijke informatie verwerkt in geautomatiseerde systemen”) kunnen worden toegepast bij besluit van informatie-eigenaren, klanten en exploitanten van staatsinformatiesystemen in termen van, niet in tegenspraak met de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Bovendien worden de bepalingen van STR-K en RD AS toegepast bij besluit van de eigenaar van informatie (klanten, exploitanten van informatiesystemen) om informatie te beschermen die vertrouwelijke informatie bevat (Decreet van de president van de Russische Federatie van 6 maart 1997 N 188 “Bij goedkeuring van de lijst met vertrouwelijke informatie "), verwerkt in informatiesystemen die, in overeenstemming met de federale wet van
27 juli 2006 N 149-FZ “Over informatie, informatietechnologieën en informatiebescherming” zijn niet geclassificeerd als staatsinformatiesystemen.

6. Wat betreft de toepassing van de concepten “informatiesysteem” en “ geautomatiseerd systeem».

De vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, maken gebruik van het concept van een “informatiesysteem”. door de federale wet van 27 juli 2006 . N 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming”. Tegelijkertijd worden het concept van “staatsinformatiesysteem”, de doelstellingen en de procedure voor de oprichting ervan, evenals de procedure voor de werking ervan vastgelegd in de artikelen 13 en 14 van de genoemde federale wet.

Andere methodologische documenten en nationale normen op het gebied van informatiebeveiliging gebruiken het concept van “geautomatiseerd systeem”, gedefinieerd door de nationale norm GOST 34.003-90 “Informatietechnologie. Een reeks normen voor geautomatiseerde systemen. Geautomatiseerde systemen. Termen en definities."

Overwegend dat de vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van de maatregelen die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, zijn ontwikkeld in overeenstemming met federale wetten gedateerd 27 juli 2006 N 149 -FZ “Over informatie, informatietechnologieën en de bescherming van informatie” en gedateerd 27 juli 2006 N 152-FZ “Over persoonsgegevens”, respectievelijk, die het concept “informatiesysteem” gebruiken in In de regelgevende rechtshandelingen van de FSTEC van Rusland wordt het gespecificeerde concept ook gebruikt.

Gebaseerd op gerelateerde definities van het concept van “informatiesysteem”, vastgelegd door de federale wet van 27 juli 2006 N 149-FZ “Over informatie, informatietechnologieën en informatiebescherming”, en het concept van “geautomatiseerd systeem” vastgelegd door de nationale norm GOST 34.003-90, evenals uit de inhoud van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21 heeft het gebruik van het concept “informatiesysteem” in de regelgevende rechtshandelingen van de FSTEC van Rusland geen invloed op het uiteindelijke doel van informatiebescherming.

7. Wat betreft de kwestie van het weerspiegelen in certificaten van overeenstemming voor informatiebeveiliging: de resultaten van hun verificatie op de afwezigheid van niet-aangegeven capaciteiten, evenals het weerspiegelen in het ontwerp en de operationele documentatie van de mogelijkheid om informatiebeveiligingsmiddelen te gebruiken in staatsinformatiesystemen en persoonlijke data-informatiesystemen.

In overeenstemming met de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, in staatsinformatiesystemen van 1 en 2 beveiligingsklassen, evenals voor Om 1, 2 beveiligingsniveaus en 3 beveiligingsniveaus van persoonsgegevens te garanderen in informatiesystemen waarvoor bedreigingen van het 2e type als actueel worden geclassificeerd, worden ingebruikt, waarvan de software is op zijn minst op niveau 4 getest om de afwezigheid van niet-aangegeven capaciteiten te controleren. Tegelijkertijd wordt de keuze van de beschermingsklassen van gecertificeerdeen, afhankelijk van de beveiligingsklasse van staatsinformatiesystemen en het beveiligingsniveau van persoonsgegevens, uitgevoerd in overeenstemming met paragraaf 26 van de Vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en paragraaf 12 van de Samenstelling en inhoud van maatregelen, goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, respectievelijk.

We merken op dat de informatiebeveiligingsvereisten vooren, die sinds december 2011 door de FSTEC van Rusland binnen de grenzen van haar bevoegdheid zijn goedgekeurd, vereisten omvatten voor een passend niveau van controle over de afwezigheid van niet-aangegeven mogelijkheden voor de beveiligingsklassen van deze instrumenten.

In het bijzonder inbraakdetectiesystemen en -instrumenten antivirusbescherming, gecertificeerd voor naleving van de vereisten voor inbraakdetectiesystemen, goedgekeurd bij besluit van de FSTEC van Rusland van 6 december 2011 N 638, en de vereisten voor antivirusbeschermingsproducten goedgekeurd bij besluit van de FSTEC van Rusland van 20 maart 2012 N 28 komt voor beschermingsklasse 4 overeen met controle op niveau 4 over de afwezigheid van niet-aangegeven capaciteiten.

Bij gebruik in overheidsinformatiesystemen moet de juiste beveiligingsklasse worden gegarandeerd vastgesteld niveau beveiliging van persoonsgegevens van indie zijn gecertificeerd voor naleving van de informatiebeveiligingseisen vastgelegd in technische omstandigheden(beveiligingsopdrachten) en (of) andere regelgevende documenten van de FSTEC van Rusland, de naleving van het niveau van controle over de afwezigheid van niet-aangegeven capaciteiten wordt aangegeven in de certificaten van overeenstemming met informatiebeveiligingsvereisten voor dezeen.

De mogelijkheid om inte gebruiken die zijn gecertificeerd voor naleving van informatiebeveiligingseisen die zijn vastgelegd in technische specificaties (beveiligingsspecificaties) in staatsinformatiesystemen en om het vastgestelde niveau van bescherming van persoonsgegevens te garanderen, wordt door de aanvrager (ontwikkelaar, fabrikant) aangegeven in de operationele en ontwerpdocumentatie voor deze fondsen (formulieren en technische voorwaarden).

8. Over de kwestie van het toepassen van aanvullende igericht op neutralisatie huidige bedreigingen beveiliging van persoonsgegevens van type 1 en 2.

In overeenstemming met paragraaf 11 van de Samenstelling en inhoud van maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, om de waarschijnlijkheid van bedreigingen voor de veiligheid van persoonsgegevens van type 1 en 2 te verminderen, zijn aanvullende maatregelen gerelateerd aan het testen van het informatiesysteem kan worden toegepast op de penetratie en het gebruik in het informatiesysteem van systeem- en (of) applicatiesoftware die is ontwikkeld met behulp van veilige programmeermethoden.

Deze maatregelen worden naar goeddunken van de exploitant toegepast om de veiligheid van persoonsgegevens te garanderen. Tegelijkertijd, voordat de FSTEC van Rusland methodologische documenten voor de implementatie van deze maatregelen ontwikkelt en goedkeurt, wordt de procedure voor de toepassing ervan, evenals de vorm en inhoud van de documenten, onafhankelijk door de exploitant bepaald.

9. Over de kwestie van het ontwikkelen van methodologische documenten van de FSTEC van Rusland om de vereisten te implementeren die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Beschikking van de FSTEC van Rusland van 18 februari 2013 nr. 21 werd uitgevaardigd in overeenstemming met deel 4 van artikel 19 van de federale wet van 27 juli 2006 nr. 152-FZ “Betreffende persoonlijke gegevens”. De gespecificeerde federale wet voorziet niet in de ontwikkeling van andere documenten door de FSTEC van Rusland om de veiligheid van persoonlijke gegevens te garanderen, inclusief het modelleren van bedreigingen voor de veiligheid van persoonlijke gegevens. De bepaling van de soorten bedreigingen voor de veiligheid van persoonsgegevens wordt uitgevoerd door de exploitant in overeenstemming met paragraaf 7 van de Vereisten voor de bescherming van persoonsgegevens tijdens de verwerking ervan in informatiesystemen voor persoonsgegevens, goedgekeurd bij besluit van de regering van de Russische Federatie van 1 november 2012 N 1119.

Tegelijkertijd, binnen het raamwerk van de autoriteit voor methodologische begeleiding op het gebied van technische informatiebeveiliging, en om clausules 14.3 en 21 van de vereisten, goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013, te implementeren. Op 17 oktober voltooit de FSTEC van Rusland momenteel de ontwikkeling van methodologische documenten voor het beschrijven van de inhoudelijke maatregelen om informatie in informatiesystemen te beschermen en de procedure voor het modelleren van bedreigingen voor de informatiebeveiliging in informatiesystemen. De geschatte datum voor goedkeuring van documenten is het vierde kwartaal van 2013.

Daarnaast is het de bedoeling methodologische documenten te ontwikkelen die de procedure definiëren voor het updaten van software in gecertificeerde informatiesystemen, de procedure voor het identificeren en elimineren van kwetsbaarheden in informatiesystemen, de procedure voor het reageren op incidenten die kunnen leiden tot storingen of verstoring van het functioneren van de informatiesysteem en (of) de opkomst van informatie over veiligheidsbedreigingen, evenals een aantal andere methodologische documenten gericht op de implementatie van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Tegelijkertijd informeren wij u dat de FSTEC van Rusland niet bevoegd is om de vereisten voor de bescherming van persoonlijke gegevens tijdens de verwerking ervan in informatiesystemen voor persoonlijke gegevens, goedgekeurd door het besluit van de regering van de Russische Federatie van 1 november 2012, te verduidelijken. 1119, onder meer wat betreft het bepalen van de soorten bedreigingen voor persoonsgegevens en de procedure voor het bepalen van de beschermingsniveaus van persoonsgegevens.

Hoofd van de 2e afdeling

FSTEC van Rusland

INFORMATIEBERICHT

BETREFFENDE KWESTIES VAN INFORMATIEBESCHERMING EN HET WAARBORGEN VAN DE VEILIGHEID VAN PERSOONSGEGEVENS TIJDENS DE VERWERKING ervan IN INFORMATIESYSTEMEN IN VERBAND MET DE PUBLICATIE VAN HET BESLUIT VAN DE FSTEC VAN RUSLAND VAN 11 FEBRUARI 2013 N 17 “TER GOEDKEURING VAN INFORMATIEBESCHERMINGSEISEN” DIE GEEN STAATSGEHEIM VORMEN OPGENOMEN IN STAATSINFORMATIESYSTEMEN" EN BESLUIT VAN DE FSTEC VAN RUSLAND DATUM 18 FEBRUARI 2013 N 21 "BETREFFENDE GOEDKEURING VAN DE SAMENSTELLING EN INHOUD VAN ORGANISATORISCHE EN TECHNISCHE MAATREGELEN OM DE VEILIGHEID VAN PERSOONLIJKE GEGEVENS TE WAARBORGEN TIJDENS DE VERWERKING IN PERSOONLIJKE GEGEVENSINFORMATIESYSTEMEN"

gedateerd 15 juli 2013 N 240/22/2637

In overeenstemming met de wetgeving van de Russische Federatie op het gebied van informatie, informatietechnologie en de bescherming van informatie en de wetgeving inzake persoonsgegevens, heeft de Federale Dienst voor Technische en Exportcontrole (FSTEC van Rusland), binnen de grenzen van haar bevoegdheden, vereisten goedgekeurd voor de bescherming van informatie die geen staatsgeheim vormt in staatsinformatiesystemen (beschikking van de FSTEC van Rusland van 11 februari 2013 N 17, geregistreerd door het Ministerie van Justitie van Rusland op 31 mei 2013, reg. N 28608 ) en de samenstelling en inhoud van organisatorische en technische maatregelen om de veiligheid van persoonlijke gegevens te waarborgen tijdens de verwerking ervan in informatiesystemen voor persoonlijke gegevens (Beschikking van de FSTEC van Rusland van 18 februari 2013 nr. 21, geregistreerd door het Ministerie van Justitie van Rusland op 14 mei 2013, reg.nr. 28375).

In verband met de publicatie van deze regelgevende rechtshandelingen ontvangt de FSTEC van Rusland verzoeken om verduidelijking van bepaalde bepalingen van de vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen die zijn goedgekeurd door Orde van de FSTEC van Rusland van 18 februari 2013 N 21. Deze kwestie wordt besproken door experts op het gebied van informatiebeveiliging op verschillende fora en elektronische platforms op internet.

Gezien de aard van de meest besproken kwesties en om bepaalde bepalingen van deze besluiten van de FSTEC van Rusland te verduidelijken, achten wij het passend om het volgende te melden.

1. Over de kwestie van de inwerkingtreding van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, evenals de noodzaak van hercertificering (efficiëntiebeoordeling) informatiesystemen gecertificeerd (geslaagd voor de effectiviteitsbeoordeling) vóór de inwerkingtreding van de gespecificeerde bevelen van de FSTEC van Rusland.

In overeenstemming met paragraaf 12 van het decreet van de president van de Russische Federatie van 23 mei 1996 N 763 “Over de procedure voor de publicatie en inwerkingtreding van handelingen van de president van de Russische Federatie, de regering van de Russische Federatie en normatieve rechtshandelingen van federale uitvoerende organen”, worden normatieve rechtshandelingen van federale uitvoerende organen gelijktijdig van kracht op het gehele grondgebied van de Russische Federatie tien dagen na hun officiële publicatie, tenzij de handelingen zelf een andere procedure voor hun inwerkingtreding bepalen.

Zo zijn de samenstelling en inhoud van de maatregelen die zijn goedgekeurd in opdracht van de FSTEC van Rusland van 18 februari 2013 N 21 in werking getreden op 2 juni 2013. De vereisten die zijn goedgekeurd in opdracht van de FSTEC van Rusland van 11 februari 2013 N 17 treedt in werking op 1 september 2013

Gebaseerd op de algemene beginselen van de rechtsregels voor actie in de tijd, hebben normatieve rechtshandelingen die op de voorgeschreven wijze zijn uitgevaardigd, geen terugwerkende kracht en zijn zij van toepassing op relaties die zijn ontstaan ​​nadat de handelingen in werking zijn getreden (tenzij anders bepaald door federale wetten).

Rekening houdend met het bovenstaande, zijn informatiesystemen gecertificeerd (geslaagd voor prestatiebeoordeling) volgens informatiebeveiligingsvereisten vóór de inwerkingtreding van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen goedgekeurd door de Orde van de FSTEC van Rusland van 18 februari 2013, zijn niet onderworpen aan hercertificering (efficiëntiebeoordeling) in verband met de publicatie van deze regelgevende rechtshandelingen.

2. Over de kwestie van de eisen die moeten worden gevolgd om de veiligheid van persoonsgegevens te waarborgen tijdens de verwerking ervan in staatsinformatiesystemen, evenals het bepalen van de beveiligingsklasse van het staatsinformatiesysteem waarin persoonsgegevens worden verwerkt.

In overeenstemming met paragraaf 7 van de Samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, worden maatregelen genomen om de veiligheid van persoonlijke gegevens tijdens de verwerking ervan in staatsinformatiesystemen te waarborgen in overeenstemming met de vereisten voor de bescherming van informatie in staatsinformatiesystemen, opgericht door de FSTEC van Rusland binnen de grenzen van haar bevoegdheden in overeenstemming met deel 5 van artikel 6 van de federale wet van 27 juli 2006 N 149-FZ “Over informatie, informatie Technologieën en informatiebescherming”. Deze vereisten zijn goedgekeurd in opdracht van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Overwegend dat de maatregelen om de veiligheid van persoonsgegevens te waarborgen en de procedure voor de selectie ervan, vastgelegd in de Samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, vergelijkbaar zijn met de ien de procedure voor hun selectie vastgelegd door de Vereisten goedgekeurd door de Orde van de FSTEC van Rusland van 11 februari 2013 N 17, om de veiligheid van persoonlijke gegevens verwerkt in staatsinformatiesystemen te garanderen, volstaat het om u alleen te laten leiden door de Vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17.

Tegelijkertijd, in overeenstemming met paragraaf 5 van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, bij het verwerken van informatie die persoonlijke gegevens bevat in het staatsinformatiesysteem, worden vereisten voor de bescherming van informatie die niet die een staatsgeheim vormen in staatsinformatiesystemen worden toegepast samen met de vereisten voor de bescherming van persoonsgegevens tijdens de verwerking ervan in informatiesystemen voor persoonsgegevens, goedgekeurd bij besluit van de regering van de Russische Federatie van 1 november 2012 N 1119.

Om de veiligheid van persoonlijke gegevens tijdens de verwerking ervan in staatsinformatiesystemen te garanderen, is het dus, naast de vereisten goedgekeurd door het besluit van de FSTEC van Rusland van 11 februari 2013 N 17, noodzakelijk om zich te laten leiden door de vereisten (inclusief in voorwaarden voor het bepalen van het beveiligingsniveau van persoonlijke gegevens) vastgesteld besluit van de regering van de Russische Federatie van 1 november 2012 N 1119. Tegelijkertijd, in overeenstemming met paragraaf 27 van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, de juiste verhouding tussen de beveiligingsklasse van het staatsinformatiesysteem en het beveiligingsniveau van persoonsgegevens moet worden gewaarborgd. Als het beveiligingsniveau van persoonsgegevens dat op de vastgestelde manier is bepaald hoger is dan de vastgestelde beveiligingsklasse van het staatsinformatiesysteem, wordt de beveiligingsklasse verhoogd tot een waarde die naleving van clausule 27 van de vereisten garandeert die zijn goedgekeurd in opdracht van de FSTEC van Rusland gedateerd 11 februari 2013 nr. 17.

3. Over de kwestie van het formulier voor het beoordelen van de effectiviteit van maatregelen die zijn genomen om de veiligheid van persoonsgegevens te waarborgen, de vorm en inhoud van materialen voor het beoordelen van de effectiviteit, evenals de mogelijkheid om een ​​beoordeling van de effectiviteit uit te voeren tijdens de certificering van het informatiesysteem .

In overeenstemming met paragraaf 4 van deel 2 van artikel 19 van de federale wet van 27 juli 2006 N 152-FZ “Betreffende persoonsgegevens” wordt het garanderen van de veiligheid van persoonsgegevens met name bereikt door de effectiviteit te beoordelen van de maatregelen die zijn genomen om de beveiliging van persoonsgegevens voordat het informatiesysteem voor persoonsgegevens in gebruik wordt genomen.

In overeenstemming met paragraaf 6 van de Samenstelling en inhoud van de maatregelen, goedgekeurd bij besluit nr. 21 van de FSTEC van Rusland van 18 februari 2013, wordt een beoordeling uitgevoerd van de effectiviteit van de maatregelen die zijn geïmplementeerd binnen het systeem voor de bescherming van persoonsgegevens om de veiligheid van persoonsgegevens te garanderen. gegevens worden door de exploitant zelfstandig of met tussenkomst van rechtspersonen op contractuele basis en individuele ondernemers uitgevoerd die over een vergunning beschikken om activiteiten uit te voeren die verband houden met de technische bescherming van vertrouwelijke informatie. Tegelijkertijd leggen de samenstelling en inhoud van de maatregelen die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21 niet de vorm van prestatiebeoordeling vast, evenals de vorm en inhoud van documenten die zijn ontwikkeld op basis van de resultaten (in het proces) van de beoordeling.

De beslissing over de vorm van prestatiebeoordeling en de documenten die zijn ontwikkeld op basis van de resultaten (tijdens het proces) van prestatiebeoordeling wordt dus onafhankelijk en (of) in overleg met de betrokken persoon genomen door de exploitant om de effectiviteit van de geïmplementeerde maatregelen te beoordelen. zorgen voor de veiligheid van persoonsgegevens.

Een beoordeling van de effectiviteit van de geïmplementeerde maatregelen kan worden uitgevoerd als onderdeel van de certificering van het persoonlijke gegevensinformatiesysteem in overeenstemming met de nationale norm GOST RO 0043-003-2012 “Informatiebescherming. Certificering van informatiseringsobjecten. Algemene bepalingen."

Wat staatsinformatiesystemen betreft waarin persoonsgegevens worden verwerkt, wordt een beoordeling van de effectiviteit van de maatregelen genomen om de veiligheid van persoonsgegevens te waarborgen uitgevoerd als onderdeel van de verplichte certificering van het staatsinformatiesysteem voor informatiebeveiligingseisen in overeenstemming met de Vereisten goedgekeurd bij besluit van de Federale Dienst voor Technische en Exportcontrole van Rusland van 11 februari 2013 N 17, nationale normen GOST RO 0043-003-2012 en GOST RO 0043-004-2013 “Informatiebescherming. Certificering van informatiseringsobjecten. Programma en methoden voor certificeringstests."

4. Over de kwestie van de toepassing van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, met betrekking tot gemeentelijke informatiesystemen.

In overeenstemming met deel 4 van artikel 13 van de federale wet van 27 juli 2006 N 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming” zijn de vereisten voor staatsinformatiesystemen die door de genoemde federale wet zijn vastgesteld, van toepassing op gemeentelijke informatiesystemen, tenzij anders bepaald in de wetgeving van de Russische Federatie inzake lokaal zelfbestuur.

De vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17 zijn dus van toepassing op gemeentelijke informatiesystemen, tenzij anders bepaald door de wetgeving van de Russische Federatie inzake lokaal zelfbestuur (in het bijzonder de federale wet van 6 oktober 2013). 2003 N 131-FZ “Over de algemene beginselen van lokaal zelfbestuur in de Russische Federatie” en andere regelgevende rechtshandelingen van de Russische Federatie die in overeenstemming daarmee zijn aangenomen).

5. Over de kwestie van de toepassing van “Speciale vereisten en aanbevelingen voor de technische bescherming van vertrouwelijke informatie”, rekening houdend met de publicatie van Order nr. 17 van de FSTEC van Rusland van 11 februari 2013.

De publicatie van Order nr. 17 van de FSTEC van Rusland van 11 februari 2013 annuleert niet de geldigheid van de methodologische documenten "Speciale vereisten en aanbevelingen voor de technische bescherming van vertrouwelijke informatie" (hierna STR-K genoemd) en " Geautomatiseerde systemen. Bescherming tegen ongeoorloofde toegang tot informatie. Classificatie van geautomatiseerde systemen en vereisten voor informatiebescherming” (hierna RD AS genoemd).

STR-K wordt gebruikt als een methodologisch document bij de implementatie van maatregelen ter bescherming van de technische middelen van staatsinformatiesystemen (ZTS.1), geselecteerd in overeenstemming met paragraaf 21 en bijlage nr. 2 bij de vereisten goedgekeurd in opdracht van de FSTEC van Rusland van 11 februari 2013 nr. 17, om bedreigingen voor de informatieveiligheid te neutraliseren die verband houden met de bescherming van informatie die wordt gepresenteerd in de vorm van informatieve elektrische signalen en fysieke velden (bescherming tegen lekkage via technische kanalen).

Andere bepalingen van STR-K (sectie 3 “Organisatie van werkzaamheden om vertrouwelijke informatie te beschermen”, sectie 5 “Vereisten en aanbevelingen voor de bescherming van vertrouwelijke informatie verwerkt in geautomatiseerde systemen”) kunnen worden toegepast bij besluit van informatie-eigenaren, klanten en exploitanten van staatsinformatiesystemen in termen van, niet in tegenspraak met de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Bovendien worden de bepalingen van STR-K en RD AS toegepast bij besluit van de eigenaar van informatie (klanten, exploitanten van informatiesystemen) om informatie te beschermen die vertrouwelijke informatie bevat (Decreet van de president van de Russische Federatie van 6 maart 1997 N 188 “Bij goedkeuring van de lijst met vertrouwelijke informatie "), verwerkt in informatiesystemen die, in overeenstemming met de federale wet van
27 juli 2006 N 149-FZ “Over informatie, informatietechnologieën en informatiebescherming” zijn niet geclassificeerd als staatsinformatiesystemen.

6. Over de kwestie van de toepassing van de begrippen “informatiesysteem” en “geautomatiseerd systeem”.

De vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van de maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, maken gebruik van het concept van een “informatiesysteem”. door de federale wet van 27 juli 2006 . N 149-FZ “Betreffende informatie, informatietechnologieën en informatiebescherming”. Tegelijkertijd worden het concept van “staatsinformatiesysteem”, de doelstellingen en de procedure voor de oprichting ervan, evenals de procedure voor de werking ervan vastgelegd in de artikelen 13 en 14 van de genoemde federale wet.

Andere methodologische documenten en nationale normen op het gebied van informatiebeveiliging gebruiken het concept van “geautomatiseerd systeem”, gedefinieerd door de nationale norm GOST 34.003-90 “Informatietechnologie. Een reeks normen voor geautomatiseerde systemen. Geautomatiseerde systemen. Termen en definities."

Overwegend dat de vereisten die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van de maatregelen die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, zijn ontwikkeld in overeenstemming met federale wetten gedateerd 27 juli 2006 N 149 -FZ “Over informatie, informatietechnologieën en de bescherming van informatie” en gedateerd 27 juli 2006 N 152-FZ “Over persoonsgegevens”, respectievelijk, die het concept “informatiesysteem” gebruiken in In de regelgevende rechtshandelingen van de FSTEC van Rusland wordt het gespecificeerde concept ook gebruikt.

Gebaseerd op gerelateerde definities van het concept van “informatiesysteem”, vastgelegd door de federale wet van 27 juli 2006 N 149-FZ “Over informatie, informatietechnologieën en informatiebescherming”, en het concept van “geautomatiseerd systeem” vastgelegd door de nationale norm GOST 34.003-90, evenals uit de inhoud van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21 heeft het gebruik van het concept “informatiesysteem” in de regelgevende rechtshandelingen van de FSTEC van Rusland geen invloed op het uiteindelijke doel van informatiebescherming.

7. Wat betreft de kwestie van het weerspiegelen in certificaten van overeenstemming voor informatiebeveiliging: de resultaten van hun verificatie op de afwezigheid van niet-aangegeven capaciteiten, evenals het weerspiegelen in het ontwerp en de operationele documentatie van de mogelijkheid om informatiebeveiligingsmiddelen te gebruiken in staatsinformatiesystemen en persoonlijke data-informatiesystemen.

In overeenstemming met de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en de samenstelling en inhoud van maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, in staatsinformatiesystemen van 1 en 2 beveiligingsklassen, evenals voor Om 1, 2 beveiligingsniveaus en 3 beveiligingsniveaus van persoonsgegevens te garanderen in informatiesystemen waarvoor bedreigingen van het 2e type als actueel worden geclassificeerd, worden ingebruikt, waarvan de software is op zijn minst op niveau 4 getest om de afwezigheid van niet-aangegeven capaciteiten te controleren. Tegelijkertijd wordt de keuze van de beschermingsklassen van gecertificeerdeen, afhankelijk van de beveiligingsklasse van staatsinformatiesystemen en het beveiligingsniveau van persoonsgegevens, uitgevoerd in overeenstemming met paragraaf 26 van de Vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 N 17, en paragraaf 12 van de Samenstelling en inhoud van maatregelen, goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, respectievelijk.

We merken op dat de informatiebeveiligingsvereisten vooren, die sinds december 2011 door de FSTEC van Rusland binnen de grenzen van haar bevoegdheid zijn goedgekeurd, vereisten omvatten voor een passend niveau van controle over de afwezigheid van niet-aangegeven mogelijkheden voor de beveiligingsklassen van deze instrumenten.

In het bijzonder inbraakdetectiesystemen en adie zijn gecertificeerd voor naleving van de Vereisten voor inbraakdetectiesystemen, goedgekeurd bij besluit van de FSTEC van Rusland van 6 december 2011 N 638, en de Vereisten voorn, goedgekeurd door de Orde van de FSTEC van Rusland van 20 maart 2012. N 28, volgens de 4e beschermingsklasse, komen ze overeen met het 4e niveau van controle over de afwezigheid van niet-aangegeven capaciteiten.

Bij gebruik in staatsinformatiesystemen van de juiste beveiligingsklasse en om het vastgestelde niveau van bescherming van persoonsgegevens te garanderen, zijn ingecertificeerd voor naleving van de informatiebeveiligingseisen die zijn vastgelegd in de technische specificaties (beveiligingsspecificaties) en (of) andere regelgevende documenten van de FSTEC van Rusland, de naleving van het controleniveau en de afwezigheid van niet-aangegeven capaciteiten worden aangegeven in de certificaten van overeenstemming met de informatiebeveiligingsvereisten voor dezeen.

De mogelijkheid om inte gebruiken die zijn gecertificeerd voor naleving van informatiebeveiligingseisen die zijn vastgelegd in technische specificaties (beveiligingsspecificaties) in staatsinformatiesystemen en om het vastgestelde niveau van bescherming van persoonsgegevens te garanderen, wordt door de aanvrager (ontwikkelaar, fabrikant) aangegeven in de operationele en ontwerpdocumentatie voor deze fondsen (formulieren en technische voorwaarden).

8. Over de kwestie van het toepassen van aanvullende igericht op het neutraliseren van de huidige bedreigingen voor de veiligheid van persoonsgegevens van type 1 en 2.

In overeenstemming met paragraaf 11 van de Samenstelling en inhoud van maatregelen goedgekeurd bij besluit van de FSTEC van Rusland van 18 februari 2013 N 21, om de waarschijnlijkheid van bedreigingen voor de veiligheid van persoonsgegevens van type 1 en 2 te verminderen, zijn aanvullende maatregelen gerelateerd aan het testen van het informatiesysteem kan worden toegepast op de penetratie en het gebruik in het informatiesysteem van systeem- en (of) applicatiesoftware die is ontwikkeld met behulp van veilige programmeermethoden.

Deze maatregelen worden naar goeddunken van de exploitant toegepast om de veiligheid van persoonsgegevens te garanderen. Tegelijkertijd, voordat de FSTEC van Rusland methodologische documenten voor de implementatie van deze maatregelen ontwikkelt en goedkeurt, wordt de procedure voor de toepassing ervan, evenals de vorm en inhoud van de documenten, onafhankelijk door de exploitant bepaald.

9. Over de kwestie van het ontwikkelen van methodologische documenten van de FSTEC van Rusland om de vereisten te implementeren die zijn goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Beschikking van de FSTEC van Rusland van 18 februari 2013 nr. 21 werd uitgevaardigd in overeenstemming met deel 4 van artikel 19 van de federale wet van 27 juli 2006 nr. 152-FZ “Betreffende persoonlijke gegevens”. De gespecificeerde federale wet voorziet niet in de ontwikkeling van andere documenten door de FSTEC van Rusland om de veiligheid van persoonlijke gegevens te garanderen, inclusief het modelleren van bedreigingen voor de veiligheid van persoonlijke gegevens. De bepaling van de soorten bedreigingen voor de veiligheid van persoonsgegevens wordt uitgevoerd door de exploitant in overeenstemming met paragraaf 7 van de Vereisten voor de bescherming van persoonsgegevens tijdens de verwerking ervan in informatiesystemen voor persoonsgegevens, goedgekeurd bij besluit van de regering van de Russische Federatie van 1 november 2012 N 1119.

Tegelijkertijd, binnen het raamwerk van de autoriteit voor methodologische begeleiding op het gebied van technische informatiebeveiliging, en om clausules 14.3 en 21 van de vereisten, goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013, te implementeren. Op 17 oktober voltooit de FSTEC van Rusland momenteel de ontwikkeling van methodologische documenten voor het beschrijven van de inhoudelijke maatregelen om informatie in informatiesystemen te beschermen en de procedure voor het modelleren van bedreigingen voor de informatiebeveiliging in informatiesystemen. De geschatte datum voor goedkeuring van documenten is het vierde kwartaal van 2013.

Daarnaast is het de bedoeling methodologische documenten te ontwikkelen die de procedure definiëren voor het updaten van software in gecertificeerde informatiesystemen, de procedure voor het identificeren en elimineren van kwetsbaarheden in informatiesystemen, de procedure voor het reageren op incidenten die kunnen leiden tot storingen of verstoring van het functioneren van de informatiesysteem en (of) de opkomst van informatie over veiligheidsbedreigingen, evenals een aantal andere methodologische documenten gericht op de implementatie van de vereisten goedgekeurd bij besluit van de FSTEC van Rusland van 11 februari 2013 nr. 17.

Tegelijkertijd informeren wij u dat de FSTEC van Rusland niet bevoegd is om de vereisten voor de bescherming van persoonlijke gegevens tijdens de verwerking ervan in informatiesystemen voor persoonlijke gegevens, goedgekeurd door het besluit van de regering van de Russische Federatie van 1 november 2012, te verduidelijken. 1119, onder meer wat betreft het bepalen van de soorten bedreigingen voor persoonsgegevens en de procedure voor het bepalen van de beschermingsniveaus van persoonsgegevens.

Hoofd van de 2e afdeling

FSTEC van Rusland