1

НАЧАЛЬНИК ОТДЕЛАУПРАВЛЕНИЯ ФСТЭК РОССИИПО СИБИРСКОМУ ФЕДЕРАЛЬНОМУ ОКРУГУСЕЛИФАНОВ ВАЛЕНТИН ВАЛЕРЬЕВИЧ

2

Эффективность защиты информации – степень соответствия результатов защитыинформации цели защиты информации

Цель защиты информации – заранее намеченный результат защиты информации.

Результат защиты информации –предотвращение ущерба обладателюинформации из-за возможной утечкиинформации и (или)несанкционированногоили непреднамеренного воздействия наинформацию

ТКУИ – соответствие оцениваемогопоказателя нормируемым значениям

НСД и НСВ – соответствие состававнедренных средств защитыинформации и их настроек требованиям(НПА, РД, МД, ГОСТ, ТЗ)

Организационные меры – достаточностьполитик безопасности принятых ворганизации для нейтрализациивозможных угроз безопасности

3

Информационные (автоматизированные) системы различного назначения

обрабатывающие информациюограниченного доступа (не ГТ)

обрабатывающие информациюограниченного доступа (ГТ)

КСИИ

ПОО-И (АСУ ТП)

ООИ

Помещения

ВП

ЗП

СИРД

обрабатывающие общедоступную информацию

ВТСС

ОТСС

Защита информации от несанкционированного воздействия - защита информации, направленная напредотвращение несанкционированного доступа и воздействия на защищаемую информацию снарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению,уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа кинформации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от несанкционированного доступа - защита информации, направленная напредотвращение получения защищаемой информации заинтересованными субъектами с нарушениемустановленных нормативными и правовыми документами (актами) или обладателями информации правили правил разграничения доступа к защищаемой информации

Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации егодеятельности, реализующая информационную технологию выполнения установленных функций

Автоматизированная система - информационная система, включая элементы, не связанные синформационной технологией, рассматриваемые с учетом условий ее эксплуатации

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающихее обработку информационных технологий и технических средств

ГОСТ 34.003-90

149-ФЗ

ГОСТ Р ИСО/МЭК ТО 19791

ГОСТ Р 50922-2006

ЗАЩИТА ОТ НСД

4

АВТОМАТИЗИРОВАННАЯ СИСТЕМА

5

ФЗ или НПА, определяющий необходимость защиты

ПА или МД, НС или МС определяющий порядок работы

ПА ФОИВ или МД ФОИВ (ТЗ), определяющие

требования к СЗИ

Программы и методики испытаний

6

СТР Приказ ФСТЭК России №17, 21

СТР-К

РД. АС. Защита от НСД к информации. Классификация АС и требования по ЗИ.

РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД

к информации.

МД КСИИ

Приказ ФСТЭК России №31

РД. Защита от НСД к информации. Часть1. Программное обеспечение СЗИ. Классификация по уровню контроля

отсутствия НДВ.

РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД

к информации.

МД. Меры

ЗИ в ГИС

Государственная

тайна

КСИИ Информация ограниченного

доступа, не содержащая

сведения составляющие ГТ

Информация,

которая в

соответствии с ФЗ

подлежит

предоставлению или

распространению

(Сайты гос. оргнаов)

Приказ ФСБ России и ФСТЭК России

№416/489

Информац

7

СТР Приказы ФСТЭК России №17, 21

Приказ ФСБ России и ФСТЭК России №416/489

Требования к системам обнаружения вторжений

(Приказ ФСТЭК России №638, с 15 марта 2012 г.)

Приказ ФСТЭК России №31

Информация, которая в

соответствии с ФЗ

подлежит предоставлению

или распространению

Информация

ограниченного доступа, не

содержащая сведения

составляющие ГТ

Государственная тайна КСИИ

Требования к средствам антивирусной защиты

(Приказ ФСТЭК России №28, с 1 августа 2012 г.)

Требования к средствам доверенной загрузки

(Приказ ФСТЭК России №119, с 1 января 2014 г.)

Требования к средствам контроля съемных машинных носителей информации(Приказ ФСТЭК России №87, с сентября 2014 г.)

ПЗПЗПЗ1 12

ПЗПЗПЗ1 24

ПЗПЗПЗ1 10

ПЗПЗПЗ1 10

Требования в области сертификации

Управление доступом

Требования к средствам идентификации и аутентификации

Требования к средствам управления доступом

Требования к средствам разграничения доступа

Требования к средствам управления потоками информации

Регистрация и учет Требования к средствам контроля целостности

Требования к средствам очистки памятиОбеспечение целостности

Требования к средствам защиты от несанкционированного вывода (ввода) информации (DLP – системы)

Требования к средствам контроля и анализа защищенности

Требования к средствам ограничения программной среды

Межсетевое экранирование Требования к средствам межсетевого экранирования

Система РД НСД Система требований к СЗИ от НСД нового поколения

РД НДВ

РД МЭ

РД АС

РД СВТ

Требования к операционным системам

Требования к системам управления базами данных

Требования к средствам защиты среды виртуализации

Требования к базовым системам ввода-вывода 8

9

4. Сопровождение системы ЗИ в ходе эксплуатации АСЗИ

2. Разработка системы ЗИ АСЗИ

Формирование требований к АС

Разработка концепции АС

Техническое задание

Эскизный проект

Технический проект

Рабочая документация

Ввод в действие

Сопровождение АС

1. Формирование требований к системе ЗИ АСЗИ

3. Внедрение системы ЗИ АСЗИ

Аттестация АСЗИИспытанияИспытанияИспытанияИспытания

Программа и методика испытаний

Нейтрализация актуальных угроз

Выполнение требований к СЗИ

ТЗ и ТП

Система требований к оценке эффективности

До 2012

РД НДВ

РД МЭ

РД АС

РД СВТ

Программа и методики испытаний

Протокол

РД НСД

После 2012

РД НДВРД МЭ

РД АСРД СВТ Программа и

методики испытанийПротоколРД НСД

10?Технические условия

Требования к…

Требования к… Требования к СЗИ

ПЗПЗПЗ1 N

?ЗБ ПротоколПрограмма и

методики испытаний

ПротоколПрограмма и

методики испытаний

? ПротоколПрограмма и

методики испытаний

ГИС

МД. Меры ЗИ в ГИС

ПротоколПриложение №2

Приказ № 17

КСИИ Программа и

методики испытанийПротокол

Приказ №31

Программа и методики

испытаний

Сертификат на СЗИ соответствует п. 26

ИСПДн

МД. Меры ЗИ в ГИС

ПротоколПриложение №2

Приказ № 21Программа и

методики испытаний

Сертификат на СЗИ соответствует п. 12

11

Приказ № 416/489СОП

?

МД КСИИ

РД НСД?

МД. Меры ЗИ в АСУ ТП

ПротоколПрограмма и

методики испытаний

СЗИ \ Классы ГИС 1 2 3 4

СВТ 5 5 5 5

СОВ 4 4 4*/5 5

Средстваантивирусной защиты

4 4 4*/5 5

МЭ 3*/4 3*/4 3*/4 4

*- наличие взаимодействия информационной системы с информационно-телекоммуникационнымисетями международного информационного обмена и (или) актуальности угроз 1(2) типа

СЗИ/УЗ 1 2 3 4

СВТ 5 5 5 6

СОВ 4 4 4*/5 5

Средстваантивирусной защиты

4 4 4*/5 5

МЭ 3*/4 3*/4 3*/4 5

12

Приказ ФСТЭК России № 17 п. 26

Приказ ФСТЭК России № 21 п. 12

13

доказательство соответствия СЗИ требуемомуклассу (три возможные задачи)

проведение оценки эффективностивнедряемой системы ЗИ

Выбранное СЗИ сертифицировано насоответствие ТУ или иному документу несоответствующему действующему НПА или ТЗ

НПА не определен порядок проведения оценкисоответствия

отраслевым требованием или ТЗ определено,что СЗИ должно соответствовать ПЗ

ГОСТ Р ИСО/МЭК 15408-1,2,3 «ИТ. Методы и средства обеспечения безопасности. Критерии оценкибезопасности ИТ.»

ГОСТ Р ИСО/МЭК 15446 «ИТ. Методы и средства обеспечения безопасности. Руководство поразработке профилей защиты и заданий по безопасности.»

ГОСТ Р ИСО/МЭК 18045 «ИТ. Методы и средства обеспечения безопасности. Методология оценкибезопасности информационных технологий.»

ГОСТ Р ИСО/МЭК ТО 19791 «ИТ. Методы и средства обеспечения безопасности. Оценка безопасностиавтоматизированных систем.»

Система стандартов «Общие критерии» необходимая для оценки соответствия

14

ПЗ МЭПЗ МЭ

ПЗ САВЗ

ПЗ СДЗ

ПЗ СОВ

ПЗ СКН

ПЗ МЭ

ЗБ, ЗБС ТЗ, ТППрограмма и методики

испытаний

ПЗ МЭПЗ МЭ

ПЗ САВЗ

ПЗ СДЗ

ПЗ СОВ

ПЗ СКН

ПЗ МЭ

ЗБС ТЗ, ТППрограмма и методики

испытаний

Часть оценки по ОУД

Концепция АС

Часть оценки по

ОУД

Часть оценки по

ОУД

доказательство соответствия СЗИ требуемому классу

проведение оценки эффективности внедряемойсистемы ЗИ

1. Оценка ЗБ

2. Оценка управления конфигурацией

3. Оценка документов поставки и эксплуатации

4. Оценка документов разработки

5. Оценка руководств

6. Оценка поддержки жизненного цикла

7. Оценка тестов

8. Тестирование

9. Оценка уязвимостей

ОУД 1+

ОУД 2 +

ОУД 3 +

ОУД 4 +

ОУД 5 +

ОУД 6

ОУД 7

Конфи5,4 класс

ГТ3,2,1 класс

Открытая6 класс

Возможности СЗИ совпадают с требованиями к соотносимому классу (обязательное условие)

ТУ

ЗБ + ОУД

РД

Класс СЗИСоздание АСЗИ

Доказательство соответствия

15

Действия по ОУД 3 (4 класс СЗИ)

ТУ

ЗБ + ОУД

идентификация и аутентификация субъектов доступа кобъектам доступа

управление доступом субъектов доступа к объектамдоступа

регистрация событий безопасности

контроль (анализ) защищенности информации

обеспечение доступности информации

обеспечение целостности ИС и информации

защита ИС, ее средств, систем связи ипередачи данных

сертификат соответствия № 3257 от 31 октября 2014 г. (InterSystems Caché 2014.1)

сертификат соответствия № 3264 от 7 ноября 2014 г. (InterSystems HealthShare 2014.1)

сертификат соответствия № 3300 от 18 декабря 2014 г. (InterSystems Ensemble 2014.1)

РД. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средствзащиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей»(Гостехкомиссия России, 1999) — по 4 уровню контроля

технических условий (ТУ), прилагаемых к сертификатам

Требования ТУ разработаны на основе 17 и 21 приказов ФСТЭК и включают следующие функции

16Сайт

Сертификат

17

McAfee Network Security Platform Программное обеспечение «McAfee Network SecurityPlatform» (версия 7.1) - на соответствие СОВ(ИТ.СОВ.С5.ПЗ) по 5 классу

McAfee Web Gateway Программное обеспечение «McAfee Web Gateway»(версия 7.4)» (версия 7.1) - на соответствие САВЗ(ИТ.САВЗ.Б5.ПЗ) по 5 классу

Deep Security 8.0 на соответствие на соответствие СОВ(ИТ.СОВ.У4.ПЗ) - по4 классу , САВЗ (ИТ.САВЗ.Б4.ПЗ) - по 4 классу, РД МЭ - 4класс

OfficeScan 10.6 на соответствие СОВ (ИТ.СОВ.У4.ПЗ) - по 4 классу , САВЗ(ИТ.САВЗ.А4.ПЗ, ИТ.САВЗ.Б4.ПЗ, ИТ.САВЗ.В4.ПЗ,ИТ.САВЗ.Г4.ПЗ) - по 4 классу, РД МЭ - 4 класс

ViPNet IDS 2.0 Программно-аппартаный комплекс ViPNet IDS 2.0 насоответствие требованиям к СОВ (ИТ.СОВ.С4.ПЗ) - по 4классу

18

Secret Net 7

Dallas Lock 8.0-С

Аккорд-Win32

на соответствие ТУ является средством защиты от НСД кинформации и соответствует требованиям по 3 классудля СВТ и по 2 уровню контроля отсутствия НДВ

на соответствие ТУ является средством защиты от НСД кинформации и соответствует требованиям по 3 классудля СВТ и по 2 уровню контроля отсутствия НДВ

на соответствие ТУ является средством защиты от НСД кинформации и соответствует требованиям по 3 классудля СВТ и по 2 уровню контроля отсутствия НДВ

Страж на соответствие ТУ является средством защиты от НСД кинформации и соответствует требованиям по 3 классудля СВТ и по 2 уровню контроля отсутствия НДВ