gasu.gov.ru – ГАСУ Управление Среда электронного обучения
Антитеррористическая защищенность объектов (территорий)
Вы не вошли в систему Вход
Среда электронного обучения
◄ Вопросы для подготовки к итоговой аттестации
Практическое занятие 1 модуль ►
Вы можете переместить блок сюда, чтобы он попал в док
Методический документ детализирует организационные и технические меры защиты информации, принимаемые в государственных информационных системах в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 года N 17 (зарегистрирован Минюстом России 31 мая 2013 года, рег. N 28608), а также определяет содержание мер защиты информации и правила их реализации.
Проект методического документа был рассмотрен экспертной группой из представителей 18 организаций, выполняющих работы в области защиты информации. Кроме того, проект документа был размещен с 25 ноября по 20 декабря 2013 года на официальном сайте ФСТЭК России www.fstec.ru для его рассмотрения экспертами в области информационной безопасности и подготовки замечаний и предложений. По результатам рассмотрения были получены замечания и предложения от 4 экспертов.
Всего в ходе рассмотрения проекта методического документа было отработано 754 замечания и предложения, в том числе 531 замечание и предложение от участников экспертной группы и 223 замечания и предложения от экспертов в области информационной безопасности. По результатам отработки в ФСТЭК России учтено 382 замечания и предложения от участников экспертной группы и 118 замечаний от экспертов в области информационной безопасности.
Доработанный по замечаниям и предложениям методический документ ФСТЭК России “Меры защиты информации в государственных информационных системах” утвержден 11 февраля 2014 года и размещен на официальном сайте ФСТЭК России www.fstec.ru в разделе “Техническая защита информации/Документы/Специальные нормативные документы”.
Начальник 2 управленияФСТЭК РоссииВ. Лютиков
УТВЕРЖДЕНФСТЭК России11 февраля 2014 года
Настоящий методический документ ФСТЭК России “Меры защиты информации в государственных информационных системах” (далее – методический документ) разработан и утвержден в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085.
Методический документ детализирует организационные и технические меры защиты информации (далее – меры защиты информации), принимаемые в государственных информационных системах (далее – информационные системы) в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 года N 17 (зарегистрирован Минюстом России 31 мая 2013 года, рег. N 28608), а также определяет содержание мер защиты информации и правила их реализации.
В методическом документе не рассматриваются содержание, правила выбора и реализации мер защиты информации, связанных с применением криптографических методов защиты информации и шифровальных (криптографических) средств защиты информации. Принятие таких мер защиты информации обеспечивается в соответствии с законодательством Российской Федерации.
Методический документ предназначен для обладателей информации, заказчиков, заключивших государственный контракт на создание информационной системы (далее – заказчики), операторов информационных систем (далее – операторы), лиц, обрабатывающих информацию, являющуюся государственным информационным ресурсом, по поручению обладателя информации (заказчика) или оператора и (или) предоставляющих им вычислительные ресурсы (мощности) для обработки информации на основании заключенного договора (далее – уполномоченные лица), а также лиц, привлекаемых в соответствии с законодательством Российской Федерации для проведения работ по созданию (проектированию) информационных систем в защищенном исполнении и (или) их систем защиты информации (далее – разработчики (проектировщики)).
конфиденциальности информации (исключение неправомерного доступа, копирования, предоставления или распространения информации);
целостности информации (исключение неправомерного уничтожения или модифицирования информации);
доступности информации (исключение неправомерного блокирования информации).
Настоящий методический документ может применяться для защиты общедоступной информации, содержащейся в государственных информационных системах, для достижения целей, указанных в пунктах 1 и 3 части 1 статьи 16 Федерального закона от 27 июля 2006 года N 149-ФЗ “Об информации, информационных технологиях и о защите информации”, а также для защиты информации, содержащейся в негосударственных информационных системах.
По решению оператора персональных данных настоящий методический документ применяется для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных, защита которых обеспечивается в соответствии с Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденных приказом ФСТЭК России от 18 февраля 2013 года N 21 (зарегистрирован Минюстом России 14 мая 2013 года, рег. N 28375).
Для целей настоящего методического документа используются термины и определения, установленные законодательством Российской Федерации об информации, информационных технологиях и о защиты информации, термины и определения, установление национальными стандартами в области защиты информации, а также термины и определения, приведенные в приложении N 1 к настоящему методическому документу.
Выбор мер защиты информации для их реализации в информационной системе осуществляется в ходе проектирования системы защиты информации информационной системы в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
Выбор мер защиты информации осуществляется исходя из класса защищенности информационной системы, определяющего требуемый уровень защищенности содержащейся в ней информации, и угроз безопасности информации, включенных в модель угроз безопасности информационной системы, а также с учетом структурно-функциональных характеристик информационной системы, к которым относятся структура и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, взаимосвязи с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
Правила и процедуры по реализации требований о защите информации и мер защиты информации в конкретной информационной системе определяются в эксплуатационной документации на систему защиты информации и организационно-распорядительных документах по защите информации.
Эксплуатационная документация на систему защиты информации разрабатывается с учетом национальных стандартов и, как правило, включает руководства пользователей и администраторов, инструкцию по эксплуатации комплекса средств защиты информации и иных технических средств, описание технологического процесса обработки информации, общее описание информационной системы, формуляр и паспорт информационной системы.
Организационно-распорядительные документы по защите информации включают, как правило, политики, стандарты организации, положения, планы, перечни, инструкции или иные виды документов, разрабатываемые оператором для регламентации процедур защиты информации в информационной системе в ходе ее эксплуатации.
Устанавливаются четыре класса защищенности информационной системы (первый класс (К1), второй класс (К2), третий класс (К3), четвертый класс (К4)), определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый.
Класс защищенности информационной системы определяется в зависимости от уровня значимости информации (УЗ), обрабатываемой в этой информационной системе, и масштаба информационной системы (федеральный, региональный, объектовый).
Уровень значимости информации определяется степенью возможного ущерба для обладателя информации (заказчика) и (или) оператора от нарушения конфиденциальности, целостности или доступности информации:
где степень возможного ущерба определяется обладателем информации (заказчиком) и (или) оператором самостоятельно экспертным или иными методами и может быть:
высокой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять возложенные на них функции;
средней, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) не могут выполнять хотя бы одну из возложенных на них функций;
низкой, если в результате нарушения одного из свойств безопасности информации (конфиденциальности, целостности, доступности) возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности и (или) информационная система и (или) оператор (обладатель информации) могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.
Для определения степени возможного ущерба от нарушения конфиденциальности, целостности или доступности могут применяться национальные стандарты и (или) методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085.
Масштаб информационной системы определяется назначением и распределенностью сегментов информационной системы.
Информационная система имеет федеральный масштаб, если она функционирует на территории Российской Федерации (в пределах федерального округа) и имеет сегменты в субъектах Российской Федерации, муниципальных образованиях и (или) организациях.
Информационная система имеет региональный масштаб, если она функционирует на территории субъекта Российской Федерации и имеет сегменты в одном или нескольких муниципальных образованиях и (или) подведомственных и иных организациях.
Информационная система имеет объектовый масштаб, если она функционирует на объектах одного федерального органа государственной власти, органа государственной власти субъекта Российской Федерации, муниципального образования и (или) организации и не имеет сегментов в территориальных органах, представительствах, филиалах, подведомственных и иных организациях.
При обработке персональных данных в информационной системе определение класса защищенности информационной системы осуществляется с учетом требуемого уровня защищенности персональных данных, установленного в соответствии с Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119. При этом в соответствии с пунктом 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 года N 17, должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 года N 17.
Угрозы безопасности информации (УБИ) определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности)
При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, применяемые информационные технологии и особенности (условия) функционирования информационной системы.
Эффективность принимаемых мер защиты информации в информационной системе зависит от качества определения угроз безопасности информации для конкретной информационной системы в конкретных условиях ее функционирования.
Модель угроз безопасности информации представляет собой формализованное описание угроз безопасности информации для конкретной информационной системы или группы информационных систем в определенных условиях их функционирования. Модель угроз безопасности информации разрабатывается обладателем информации (оператором, разработчиком (проектировщиком)) и должна по содержанию соответствовать Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом ФСТЭК России от 11 февраля 2013 года N 17.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разрабатываемые и утверждаемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 года N 1085.
Меры защиты информации реализуются в информационной системе в рамках ее системы защиты информации в зависимости от класса защищенности информационной системы, угроз безопасности информации, структурно-функциональных характеристик информационной системы, применяемых информационных технологий и особенностей функционирования информационной системы.
В информационной системе подлежат реализации следующие меры защиты информации:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации;
регистрация событий безопасности;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности информации;
обеспечение целостности информационной системы и информации;
обеспечение доступности информации;
1. Утвердить Положение о государственной информационной системе безопасности объектов города Москвы (приложение).
2.1. Департамент информационных технологий города Москвы осуществляет от имени города Москвы правомочия собственника государственной информационной системы безопасности объектов города Москвы (далее – ГИС “Защита”) и является оператором ГИС “Защита”.
2.2. Департамент региональной безопасности и противодействия коррупции города Москвы является уполномоченным органом исполнительной власти города Москвы, осуществляющим координацию информационного наполнения и использования ГИС “Защита”.
3. Контроль за выполнением настоящего постановления возложить на министра Правительства Москвы, руководителя Департамента информационных технологий города Москвы Лысенко Э. А. и руководителя Департамента региональной безопасности и противодействия коррупции города Москвы Хлебникова С. Д.
Приложениек постановлению Правительства Москвыот 13 декабря 2022 года N 2850-ПП
1.1. Положение о государственной информационной системе безопасности объектов города Москвы (далее – Положение) определяет назначение, задачи и функции государственной информационной системы безопасности объектов города Москвы (далее – ГИС “Защита”), состав участников информационного взаимодействия с использованием ГИС “Защита” (далее – участники информационного взаимодействия) и их полномочия.
1.2. Г ИС “Защита” является государственной информационной системой города Москвы, предназначенной для автоматизации процессов централизованного сбора, обработки, хранения и представления информации, используемой в целях обеспечения безопасности и повышения уровня антитеррористической защищенности объектов (территорий) города Москвы, включая места массового пребывания людей (далее – объекты).
1.3. Основной задачей ГИС “Защита” является обеспечение сбора, хранения, обработки и представления информации об объектах.
1.4. Основными функциями ГИС “Защита” являются:
1.4.1. Учет информации об объектах и выполнении требований к их антитеррористической защищенности.
1.4.2. Анализ информации об объектах.
1.4.3. Хранение и обработка информации об объектах, в том числе архивной и метаданных.
1.4.4. Хранение информации об истории обращений участников информационного взаимодействия к ГИС “Защита”.
1.4.5. Формирование паспорта безопасности объекта.
1.4.6. Информационное взаимодействие с иными информационными системами.
1.5. Порядок взаимодействия участников информационного взаимодействия, порядок, состав, сроки и периодичность размещения и актуализации информации в ГИС “Защита”, а также порядок интеграции иных информационных систем с ГИС “Защита” определяется Регламентом функционирования ГИС “Защита” (далее – Регламент).
2.1. Оператор ГИС “Защита”.
2.2. Уполномоченный орган исполнительной власти города Москвы, осуществляющий координацию информационного наполнения и использования ГИС “Защита” (далее – уполномоченный орган).
2.3. Поставщики информации в ГИС “Защита” – органы исполнительной власти города Москвы и их подведомственные организации, территориальные подразделения федеральных органов исполнительной власти по городу Москве и иные правообладатели объектов.
2.4. Пользователи информации ГИС “Защита” – органы исполнительной власти города Москвы и их подведомственные организации, территориальные подразделения федеральных органов исполнительной власти по городу Москве, использующие ГИС “Защита” в целях обеспечения безопасности и защищенности объектов в соответствии с законодательством Российской Федерации.
3.1. Оператор ГИС “Защита”:
3.1.1. Обеспечивает функционирование ГИС “Защита” в соответствии с требованиями, установленными законодательством Российской Федерации, правовыми актами города Москвы и Регламентом.
3.1.2. Совместно с уполномоченным органом разрабатывает и утверждает Регламент.
3.1.3. Обеспечивает разграничение прав доступа поставщиков информации в ГИС “Защита” и пользователей информации ГИС “Защита” при осуществлении информационного взаимодействия с использованием ГИС “Защита” в соответствии с Регламентом.
3.1.4. Обеспечивает защиту информации в ГИС “Защита” от несанкционированного доступа к ней, ее искажения или блокирования с момента размещения указанной информации в ГИС “Защита”, в том числе при обработке персональных данных в ГИС “Защита” в соответствии с законодательством Российской Федерации о персональных данных.
3.1.5. Осуществляет техническое сопровождение и консультационную поддержку участников информационного взаимодействия по вопросам технического функционирования ГИС “Защита”.
3.1.6. Обеспечивает целостность и сохранность информации в ГИС “Защита”, резервное копирование и восстановление такой информации (в случае технических сбоев в работе ГИС “Защита”).
3.1.7. Не несет ответственности за достоверность, полноту и правомерность использования информации, размещенной в ГИС “Защита”.
3.1.8. Обеспечивает эксплуатацию, развитие (модернизацию) ГИС “Защита”.
3.2. Отдельные функции Оператора ГИС “Защита” по его решению могут быть переданы другому органу исполнительной власти города Москвы, государственному учреждению города Москвы или иной организации в соответствии с нормативными правовыми актами Российской Федерации, правовыми актами города Москвы.
3.3. Уполномоченный орган:
3.3.1. Совместно с Оператором ГИС “Защита” разрабатывает и утверждает Регламент.
3.3.2. Соблюдает требования Регламента.
3.3.3. Размещает в ГИС “Защита” информацию в соответствии с Регламентом.
3.3.4. Осуществляет контроль за соблюдением участниками информационного взаимодействия требований, установленных Регламентом.
3.3.5. Координирует деятельность поставщиков информации в ГИС “Защита” по вопросам своевременного размещения и актуализации в ГИС “Защита” информации.
3.3.6. Формирует и направляет Оператору ГИС “Защита” предложения по совершенствованию функций ГИС “Защита”.
3.3.7. Осуществляет консультационную поддержку пользователей ГИС “Защита” и поставщиков информации в ГИС “Защита” по вопросам использования ГИС “Защита”, за исключением вопросов, указанных в пункте 3.1.5 настоящего Положения.
3.3.8. Обеспечивает сохранность и неразглашение своих учетных данных, предоставленных Оператором ГИС “Защита” для использования функциональных возможностей ГИС “Защита”.
3.3.9. Организует и (или) осуществляет обработку персональных данных, содержащихся в ГИС “Защита”, определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке с использованием ГИС “Защита”, действия (операции) в соответствии с нормативными правовыми актами Российской Федерации и правовыми актами города Москвы.
3.4. Отдельные функции уполномоченного органа по его решению могут быть переданы другому органу исполнительной власти города Москвы, государственному учреждению города Москвы или иной организации в соответствии с нормативными правовыми актами Российской Федерации, правовыми актами города Москвы.
3.5. Поставщики информации в ГИС “Защита”:
3.5.1. Размещают и обрабатывают в ГИС “Защита” информацию в соответствии с Регламентом.
3.5.2. Обеспечивают достоверность, полноту и актуальность информации, размещаемой ими в ГИС “Защита”, несут ответственность в соответствии с законодательством Российской Федерации в случае размещения недостоверной, неактуальной и (или) неполной информации.
3.5.3. Обеспечивают сохранность и неразглашение своих учетных данных в ГИС “Защита”, предоставляемых Оператором ГИС “Защита” для использования функциональных возможностей ГИС “Защита”.
3.5.4. Обеспечивают неразглашение информации, содержащейся в ГИС “Защита”.
3.5.5. Соблюдают требования Регламента.
3.6. Пользователи информации ГИС “Защита”:
3.6.1. Осуществляют доступ к информации, содержащейся в ГИС “Защита”, и ее использование в соответствии с Регламентом.
3.6.2. Используют информацию, содержащуюся в ГИС “Защита”, в соответствии с Регламентом.
3.6.3. Обеспечивают сохранность и неразглашение своих учетных данных в ГИС “Защита”, предоставляемых Оператором ГИС “Защита” для использования функциональных возможностей ГИС “Защита”.
3.6.4. Обеспечивают неразглашение информации, содержащейся в ГИС “Защита”.
3.6.5. Соблюдают требования Регламента.
Электронный текст документа