См. Документы Министерства финансов Российской Федерации
МИНИСТЕРСТВО ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРИКАЗ
от 7 июля 2014 г. N 208
О КОНЦЕПЦИИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
В ИНФОРМАЦИОННЫХ СИСТЕМАХ МИНИСТЕРСТВА ФИНАНСОВ
РОССИЙСКОЙ ФЕДЕРАЦИИ
В целях совершенствования подходов, правил, процедур обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации, предотвращения ущерба в результате противоправных действий, приводящих к разглашению, уничтожению, искажению, блокированию или незаконному использованию информации, нарушению работы информационных систем и информационно-телекоммуникационной инфраструктуры Министерства финансов Российской Федерации, приказываю:
1. Утвердить прилагаемую Концепцию обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации.
2. Департаменту информационных технологий в сфере управления государственными и муниципальными финансами и информационного обеспечения бюджетного процесса (Е.Е. Чернякова) совместно с департаментами Министерства финансов Российской Федерации обеспечить реализацию Концепции обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации.
3. Контроль за исполнением настоящего приказа возложить на первого заместителя Министра финансов Российской Федерации Т.Г. Нестеренко.
Министр
А.Г.СИЛУАНОВ
Утверждена
приказом
Министерства финансов
Российской Федерации
от 7 июля 2014 г. N 208
КОНЦЕПЦИЯ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ
СИСТЕМАХ МИНИСТЕРСТВА ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Общие положения
Настоящая Концепция обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации (далее - Концепция) разработана в целях реализации Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и защите информации".
В Концепции определяются цель, задачи, принципы, основные направления и этапы совершенствования обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации (далее - Министерство).
Концепция не распространяется на информационные системы Министерства, в которых содержатся сведения, составляющие государственную тайну.
2. Анализ текущей ситуации по обеспечению безопасности
информации в Министерстве
В настоящее время в Министерстве в целях реализации функций и полномочий, определенных Положением о Министерстве финансов Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 30 июня 2004 г. N 329, и иными нормативно-правовыми актами, осуществляется автоматизированная и неавтоматизированная обработка различных видов информации: общедоступной информации, информации ограниченного доступа (служебная тайна, коммерческая тайна, банковская тайна, персональные данные и др.).
Для обеспечения выполнения требований по защите информации в информационно-телекоммуникационной инфраструктуре Министерства выделено два контура:
закрытый контур внутренней локальной вычислительной сети (далее - ЗКВС), в котором обрабатывается информация, содержащая сведения конфиденциального характера;
открытый контур внутренней локальной вычислительной сети (далее - ОКВС), в котором размещены доступные из информационно-телекоммуникационной сети "Интернет" сервисы Министерства, в том числе официальный сайт Министерства.
Ключевой системой информационной инфраструктуры Министерства является автоматизированная информационная система Министерства финансов Российской Федерации "Финансы" (далее - АИС "Финансы"), которая представляет собой совокупность аппаратных, программных и организационных средств. В состав АИС "Финансы" входит прикладное программное обеспечение, информационные сервисы, официальный сайт, порталы, а также информационно-телекоммуникационная инфраструктура Министерства.
В соответствии с законодательством Российской Федерации в Министерстве организована работа по обеспечению безопасности информации.
Требования к организации защиты информации в Министерстве в первую очередь определяют:
постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
постановление Правительства Российской Федерации от 18 мая 2009 г. N 424 "Об особенностях подключениях федеральных государственных информационных систем к информационно-телекоммуникационным сетям";
приказ Федеральной службы по техническому и экспортному контролю, Федеральной службы безопасности Российской Федерации от 31 августа 2010 г. N 489/416 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования";
приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований по защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
Деятельность по защите информации в Министерстве осуществляется в связи с наличием актуальных угроз безопасности информации, реализация которых может привести к раскрытию (компрометации), искажению (нарушению целостности), блокированию (недоступности), уничтожению (утрате) информации Министерства. Реализация угроз может повлечь репутационные, материальные, финансовые, правовые и иные последствия.
Источниками угроз могут выступать как юридические и физические лица, так и объективные явления.
Среди актуальных уязвимостей для АИС "Финансы" можно выделить:
недостатки в организации физической безопасности аппаратных, программных и организационных средств АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;
нарушение режима эксплуатации технических средств, входящих в информационно-технологическую инфраструктуру Министерства;
сбои и отказы технических средств;
ошибки в проектировании и построении, уязвимости (умышленные или случайные) АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;
уязвимости в средствах защиты информации;
несоответствующая утвержденной документации настройка конфигурации программного и аппаратного обеспечения, в том числе средств защиты информации, отсутствие контроля конфигураций, некомпетентные действия работников Министерства;
недостаточный контроль действий подрядчиков;
неактуальность процедур и регламентов деятельности работников Министерства текущему состоянию АИС "Финансы", неисполнение этих регламентов работниками Министерства, отсутствие контроля за действиями работников Министерства.
В качестве внутренних потенциальных нарушителей безопасности информации Министерства выступают сами работники Министерства, имеющие санкционированный доступ на территорию зданий и сооружений Министерства или к АИС "Финансы". В качестве внешних нарушителей выступают все остальные лица.
Текущее состояние безопасности информации в Министерстве характеризуется фрагментарным характером реализации как организационных, так и технических мер защиты информации.
В целях защиты сведений конфиденциального характера в Министерстве обеспечено использование средств криптографической защиты информации при взаимодействии с другими юридическими и физическими лицами, средств антивирусной защиты, межсетевого экранирования, усиленная аутентификация пользователей, разработан ряд организационно-распорядительных документов, регламентирующих вопросы защиты информации.
Указанные меры позволяют осуществлять изоляцию контуров ОКВС и ЗКВС, осуществлять борьбу с "вирусными эпидемиями" и противостоять отдельным угрозам сетевого характера.
Правовыми актами Министерства определены правила и порядок получения, обработки, хранения, передачи и любого другого использования персональных данных федеральных государственных гражданских служащих Министерства, заместителей руководителей федеральных служб, находящихся в ведении Министерства, руководителей их территориальных органов, назначаемых на должность Министром финансов Российской Федерации, в Министерстве, перечень лиц, уполномоченных на обработку персональных данных в Министерстве.
С 2013 года осуществлен переход на использование усиленных квалифицированных электронных подписей, выдаваемых аккредитованными в установленном порядке удостоверяющими центрами, для подписания (визирования) участниками электронного взаимодействия электронных документов в АИС "Финансы".
При этом существующая система защиты информации Министерства не удовлетворяет потребностям Министерства в предотвращении ущерба вследствие осуществления противоправных действий с информацией. Имеющиеся меры обеспечения безопасности информации имеют ряд недостатков, в частности:
не сформирована целостная система управления безопасностью информации, требуемые процессы обеспечения и управления безопасностью информации в информационных системах Министерства документированы и реализованы лишь частично;
не на всех уровнях технологического стека АИС "Финансы" реализованы функции защиты от несанкционированного доступа;
не обеспечивается анализ защищенности и обнаружение уязвимостей на различных уровнях технологического стека АИС "Финансы", а также мониторинг событий нарушения безопасности информации и расследование указанных инцидентов;
не в полной мере обеспечивается защита виртуальных сред, используемых для функционирования АИС "Финансы";
не выполнены в полной мере требования по обязательной сертификации средств защиты информации и механизмов управления доступом в прикладных системах;
реализация мер защиты от сетевых атак носит частичный фрагментарный характер.
Для повышения уровня безопасности информации в информационных системах Министерства должен быть выполнен комплекс мероприятий, обеспечивающий выполнение требуемого уровня безопасности информации и создающий условия к переходу на расширенный уровень безопасности информации.
Требуемый уровень обеспечения безопасности информации в информационных системах Министерства характеризуется выполнением нормативных требований к защите информации, а также наличием угроз безопасности информации. На требуемом уровне обеспечения безопасности информации должна обеспечиваться защита сведений конфиденциального характера и персональных данных Министерства, информационных систем общего пользования (в частности, официального сайта Министерства), а также должны выполняться требования по защите АИС "Финансы" как ключевой системы информационной инфраструктуры Министерства.
Кроме технических мер, для достижения требуемого уровня защиты информации должна быть разработана и утверждена необходимая организационно-распорядительная документация.
Подтверждением достижения требуемого уровня обеспечения безопасности информации является аттестации АИС "Финансы" по требованиям безопасности информации.
Расширенный уровень обеспечения информационной безопасности характеризуется тем, что в дополнение к мерам требуемого уровня реализуется дополнительная функциональность системы обеспечения безопасности информации, которая:
обеспечивает противодействие современным угрозам, явно не предусмотренным требованиями законодательства Российской Федерации;
обеспечивает эффективную техническую реализацию процессов управления информационной безопасностью;
увеличивает скорость и эффективность реагирования на инциденты нарушения безопасности информации;
расширяет требуемый уровень информационной безопасности в части использования новых типов устройств и технологий (облачные вычисления, мобильный доступ, наличие социальных сетей, использование собственных мобильных устройств и прочее).
3. Цели, задачи, принципы и результаты обеспечения
безопасности информации в информационных
системах Министерства
Основной целью обеспечения безопасности информации в информационных системах Министерства является предотвращение (минимизация) ущерба в результате противоправных действий с информацией, приводящих к ее разглашению, уничтожению, искажению, блокированию или незаконному использованию, либо нарушению работы АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства.
Для достижения поставленной цели необходимо решение следующих задач:
своевременное выявление, оценка и прогнозирование источников угроз, причин и условий, способствующих нарушению нормального функционирования АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;
создание условий для минимизации ущерба от деструктивных воздействий на информацию и информационно-технологическую инфраструктуру Министерства;
защита АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства от вмешательства в их функционирование неуполномоченных лиц;
обеспечение соответствия мер и средств защиты информации в Министерстве положениям нормативно-методических документов по вопросам безопасности информации;
своевременное выявление и расследование инцидентов нарушения безопасности информации, восстановление актуального состояния информации, информационных систем и информационно-телекоммуникационной инфраструктуры Министерства в случае подобных инцидентов.
Обеспечение безопасности информации в Министерстве строится на следующих принципах:
законность - обеспечение безопасности информации должно осуществляется в соответствии с законодательством Российской Федерации;
комплексность - предполагает функционирование в Министерстве взаимосвязанной совокупности организационных и технических мер обеспечения безопасности информации, компонентов системы обеспечения безопасности информации, а также их интеграцию с АИС "Финансы";
эшелонированность системы защиты - предполагает построение нескольких рубежей и уровней защиты информации в информационных системах Министерства, каждый из которых последовательно усиливает степень защищенности информационных систем Министерства;
непрерывность защиты - предполагает, что меры защиты информации предпринимаются на всех этапах жизненного цикла информационных систем Министерства, а также обеспечение непрерывного функционирования системы обеспечения безопасности информации, тестирования работоспособности и восстановления информационных систем Министерства в случае отказов;
своевременность - предполагает упреждающий характер мер обеспечения безопасности информации, достигающийся параллельной разработкой и развитием мер защиты информации и информационных систем Министерства, а также реагирование на инциденты нарушения безопасности информации в кратчайшие сроки адекватно степени опасности инцидента;
простота применения средств защиты информации - означает, что механизмы и методы защиты информации должны быть интуитивно понятны пользователям информационных систем Министерства и просты в работе, не должны требовать специальных знаний.
Целевыми показателями обеспечения безопасности информации в информационных системах Министерства являются:
достижение требуемого уровня обеспечения безопасности информации при автоматизированной обработке информации в контурах ОКВС и ЗКВС путем реализации технических мер защиты, предусмотренных требованиями законодательства Российской Федерации;
построение комплексной системы обеспечения безопасности информации;
обеспечение гарантированного выявления инцидентов нарушения безопасности информации (попыток нарушения конфиденциальности, целостности и доступности информации, а также воздействия на АИС "Финансы");
успешное отражение атак на информационно-телекоммуникационную инфраструктуру Министерства;
своевременное выявление уязвимостей информационно-телекоммуникационной инфраструктуры и информационных систем Министерства;
соответствие средств защиты информации, используемых в Министерстве, обязательным требованиям по сертификации;
достижение расширенного уровня обеспечения безопасности информации путем внедрения дополнительных мер защиты, таких как обеспечение контроля действий привилегированных пользователей, обеспечение защиты сегмента беспроводной передачи данных, обеспечение должного уровня защиты и управления мобильными устройствами, взаимодействующими с информационно-телекоммуникационной инфраструктурой Министерства и АИС "Финансы", внедрение средств процессно-ориентированного управления предоставлением доступа к информационным ресурсам Министерства;
разработка необходимой организационно-распорядительной документации по вопросам защиты информации;
аттестация государственных информационных систем Министерства в соответствии с требованиями безопасности информации.
4. Основные направления, этапы совершенствования
обеспечения безопасности информации в информационных
системах Министерства
Совершенствование обеспечения безопасности информации в информационных системах Министерства будет осуществляться по следующим направлениям:
проектирование и внедрение системы обеспечения безопасности информации в информационных системах Министерства;
совершенствование правил и процедур мониторинга безопасности информации в информационных системах Министерства;
создание централизованной системы управления доступом к информационным ресурсам Министерства с одновременным обеспечением юридической значимости электронных документов;
противодействие утечкам сведений конфиденциального характера;
контроль и аудит эффективности системы обеспечения безопасности информации в информационных системах Министерства;
обеспечение контроля действий привилегированных пользователей (администраторов) информационных систем Министерства;
совершенствование нормативно-правовой и организационно-распорядительной базы в области обеспечения безопасности информации в информационных системах Министерства.
4.1. Проектирование и внедрение системы обеспечения
безопасности информации в информационных
системах Министерства
В целях формирования целостной системы управления безопасностью информации предусматривается создание единой системы обеспечения безопасности информации в информационных системах Министерства. Объектом защиты в рамках данного направления являются информационные системы и информационно-телекоммуникационная инфраструктура Министерства, в том числе ОКВС, ЗКВС, АИС "Финансы", порталы и официальный сайт Министерства.
Защита информации должна осуществляться на всех уровнях технологического стека: физическом, сетевом (локальная вычислительная сеть, ведомственная сеть, беспроводной/мобильный доступ), вычислительной инфраструктуры, в среде виртуализации, на уровне операционных систем, прикладного программного обеспечения, автоматизированных рабочих мест пользователей. Указанный подход позволит противостоять современным технологиям проникновения, при которых противоправные действия реализуются в виде последовательности шагов, не локализующихся на одном конкретном уровне информационно-телекоммуникационной инфраструктуры.
Учитывая критичность объекта защиты, для подтверждения отсутствия недокументированных возможностей в компонентах информационно-телекоммуникационной инфраструктуры Министерства и прикладного программного обеспечения, а также для обеспечения оценки соответствия используемых средств защиты информации должны быть использованы (при наличии технических возможностей) только сертифицированные по требованиям безопасности информации средства защиты информации, операционные системы, прикладное программное обеспечение. Решение об использовании несертифицированных компонентов должно приниматься индивидуально, при условии отсутствия сертифицированных средств или невозможности сертификации по требуемому уровню безопасности.
Проектируемая система обеспечения безопасности информации в информационных системах Министерства должна реализовывать следующую функциональность:
эшелонированная защита на сетевом уровне. Должно обеспечиваться разграничение сетевого доступа и разделение информационных потоков между различными сегментами сети Министерства, изоляция информационно-телекоммуникационной инфраструктуры Министерства при взаимодействии с сетями общего пользования, а также защита информационных ресурсов Министерства от атак и вторжений различного вида. Обеспечение защиты должно включать в себя средства межсетевого экранирования, средства противодействия атакам и вторжениям, средства построения защищенных VPN-соединений или обеспечения SSL/TLS-шлюзов доступа. Средства должны развертываться в кластерной отказоустойчивой конфигурации, обеспечивая непрерывность функционирования. Средства сетевой безопасности должны предоставлять данные о событиях и инцидентах нарушения безопасности информации для централизованного сбора, накопления, корреляции и анализа в системе мониторинга событий нарушения безопасности информации;
блокирование угроз мобильного доступа, в том числе через сеть, беспроводные сети передачи данных. Должны использоваться меры зонирования информационных сетей беспроводной передачи данных, разделения пользователей на группы по уровню доступа, аутентификации доверенных пользователей, профилирования доступа, шифрования пользовательского трафика, контроля радиоэфира (в том числе для выявления нелегитимных точек доступа в контролируемой зоне, их подавления, а также обнаружения помех в радиоканале). Должны предотвращаться попытки несанкционированного доступа к ресурсам Министерства, а также обеспечиваться защита от различных видов атак на беспроводную сеть. События безопасности, обнаруживаемые в сегменте беспроводных сетей передачи данных, должны передаваться в систему мониторинга событий нарушения безопасности информации;
мониторинг защищенности информационно-телекоммуникационной инфраструктуры и информационных систем Министерства. Должно обеспечиваться автоматическое периодическое сканирование всех узлов сети Министерства, независимо от ее сегментации. Мониторинг должен распространяться на максимально широкое количество устройств и приложений, что позволит выявлять все идентифицированные уязвимости, а также ошибки конфигурирования и избыточные сетевые сервисы;
идентификация субъектов доступа (пользователей, информационных систем) и управление доступом к информационным ресурсам Министерства на основе установленного регламента. Процессы идентификации и управления доступом должны быть разработаны и реализованы на всех уровнях информационно-телекоммуникационной инфраструктуры Министерства и прикладного программного обеспечения;
антивирусная защита, обеспечивающая противодействие угрозам заражения компонентов информационно-телекоммуникационной инфраструктуры Министерства и прикладных систем вредоносным программным обеспечением и его последующему распространению;
криптографическая защита сведений конфиденциального характера, а также критической технологической информации при передаче ее по каналам общего доступа либо за пределы контролируемой зоны. Криптографическая защита должна обеспечиваться для всех категорий обмена (при межсетевом взаимодействии, при подключении удаленных автоматизированных рабочих мест пользователей, при использовании мобильных устройств) и всех категорий пользователей (работников иных федеральных, региональных органов власти, органов местного самоуправления, иных юридических и физических лиц (при их работе в личном кабинете));
обеспечение целостности информационных ресурсов Министерства на следующих уровнях: целостность информации, целостность среды обработки информации, целостность средств защиты информации;
защита среды виртуализации, предназначенная для противодействия специфическим угрозам информационной безопасности, присущим виртуализированной информационно-телекоммуникационной инфраструктуре Министерства;
управление конфигурацией компонентов информационно-телекоммуникационной инфраструктуры, средств защиты информации, прикладного программного обеспечения. Должно обеспечиваться своевременное управление версиями и обновлениями системного и прикладного программного обеспечения, распространение политик на управляемые устройства. Должна обеспечиваться возможность резервного копирования и восстановления конфигураций.
Создаваемая система обеспечения безопасности информации должна охватывать и учитывать специфику всех элементов информационно-телекоммуникационной инфраструктуры Министерства и используемого оборудования, в том числе мобильные устройства, предусматривая распространение на них политик безопасности, загрузки приложений и информации, а также удаленного управления функциями устройств.
В качестве мобильных устройств должны рассматриваются смартфоны, планшеты, использующие для информационного обмена сети общего доступа (в том числе сети GSM, 3G, Wi-Fi), принадлежащие Министерству или работникам Министерства и используемые ими для доступа к информационным системам Министерства.
4.2. Совершенствование правил и процедур мониторинга
безопасности информации в информационных
системах Министерства
Основополагающей задачей обеспечения безопасности информации в информационных системах Министерства является гарантированное выявление инцидентов нарушения безопасности информации, зависящее от оптимальности построения и постоянного совершенствования процессов и процедур сбора, консолидации, корреляции, архивирования, анализа событий нарушения безопасности информации, генерируемых различными компонентами информационно-телекоммуникационной инфраструктуры Министерства, всеми средствами защиты информации АИС "Финансы".
Для реализации данного направления необходимо:
провести всесторонний анализ результатов функционирования текущей системы мониторинга событий нарушения безопасности информации;
определить наиболее часто встречающиеся атаки и области уязвимостей информационно-телекоммуникационной инфраструктуры Министерства и информационных систем Министерства;
сформировать направления совершенствования защиты информации;
обеспечить увеличение производительности средств анализа событийного трафика (при необходимости) для гарантии отсутствия потери событий и достаточности объема хранения в целях реализации необходимой глубины анализа в соответствии с требованиями организационно-распорядительных документов по безопасности информации Министерства.
Должна быть построена централизованная система мониторинга инцидентов нарушения безопасности информации, интегрированная с максимально широким количеством компонентов информационно-телекоммуникационной инфраструктуры Министерства и прикладного программного обеспечения, предусматривающая средства ранжирования (приоритезации) событий нарушения безопасности информации, информирования операторов о критичных событиях по различным каналам.
4.3. Создание централизованной системы управления доступом
к информационным ресурсам Министерства с одновременным
обеспечением юридической значимости электронных документов
Ключевым компонентом обеспечения безопасности информации в информационных системах является гарантия доступа к ней только аутентифицированных и авторизированных пользователей.
В целях управления правами доступа пользователей к информационным системам Министерства на основе установленных процессов согласования доступа, осуществления контроля и аудита операций по управлению доступом необходимо создание одноименной специализированной информационной системы, основными задачами которой являются:
автоматизация процесса управления идентификационными данными;
унификация учетных данных пользователей;
централизованное управление правами доступа;
снижение рисков несанкционированного доступа к корпоративным информационным системам;
сокращение временных затрат на предоставление, изменение и отзыв прав доступа пользователей.
Централизованная система управления доступом должна опираться на доверенный источник данных о работниках Министерства, в качестве которого целесообразно использовать систему учета кадров Министерства. События, связанные с изменением учетных данных субъектов доступа, прав доступа, фактическим предоставлением доступа, должны регистрироваться и передаваться в систему мониторинга событий безопасности информации.
Для обеспечения удобства пользователей и учитывая многочисленное количество информационных сервисов Министерства, средства идентификации и аутентификации создаваемой системы управления доступом к информационным ресурсам Министерства должны поддерживать концепцию "единой точки входа", обеспечивающую минимизацию действий работников при обращении к информационных системам и сервисам Министерства.
Принимая во внимание, что в настоящее время для аутентификации пользователей в Министерстве применяются цифровые сертификаты, при создании системы управления доступом к информационным ресурсам Министерства предусматривается использование для идентификации и аутентификации пользователей усиленного квалифицированного сертификата ключа проверки электронной подписи, который одновременно обеспечит возможность подписания документов.
В целях обеспечения условий для использования усиленных квалифицированных сертификатов ключей проверки электронной подписи всеми работниками Министерства предлагается создание в Министерстве целостной инфраструктуры открытых ключей на базе собственного удостоверяющего центра, аккредитованного в установленном законодательством порядке.
Реализация данных мероприятий позволит обеспечить минимальные сроки организационных работ по выдаче, аннулированию или изменению сертификатов ключей проверки электронных подписей и средств электронных подписей работникам Министерства, переход на полномасштабный электронный юридически значимый документооборот в Министерстве, а также простоту и удобство пользователей при подключении к информационным ресурсам Министерства.
4.4. Противодействие утечкам сведений
конфиденциального характера
В целях достижения расширенного уровня безопасности информации видится целесообразным реализовать перечень мероприятий, обеспечивающий противодействие утечкам сведений конфиденциального характера.
Реализация данных мероприятий необходима для выявления и предотвращение утечек сведений конфиденциального характера, передаваемых за пределы ОКВС, контроля использования периферийных устройств и съемных носителей на автоматизированных рабочих местах работников, расследования инцидентов, связанных с несанкционированной передачей защищаемой информации.
Основными контролируемыми каналами будут являться: электронная почта работников Минфина России, внешние информационные ресурсы, социальные сети, внешние почтовые системы, системы обмена мгновенными сообщениями и иные, к которым предоставлен доступ работникам Министерства, а также используемые съемные носители (FLASH-накопители, дисковые накопители большой емкости, CD/DVD-диски и иные).
4.5. Контроль и аудит эффективности системы обеспечения
безопасности информации в информационных
системах Министерства
В целях создания условий, исключающих или минимизирующих угрозы информационной безопасности, должен осуществляться систематический контроль эффективности системы обеспечения безопасности информации в Министерстве, а также внутренний и внешний аудит безопасности информации.
Целью проведения аудита является оценка соответствия реализованных мероприятий требованиям уполномоченных органов и современным тенденциям в противостоянии актуальным угрозам, а также формирование мероприятий по устранению выявленных уязвимостей.
Внутренний аудит проводится регулярно работниками Министерства с привлечением соответствующего подразделения Департамента информационных технологий в сфере управления государственными и муниципальными финансами и информационного обеспечения бюджетного процесса, а также представителей иных департаментов Министерства.
Внешний аудит должен проводиться сторонними организациями, обладающими соответствующими лицензиями Федеральной службы по техническому и экспортному контролю и Федеральной службы безопасности Российской Федерации, с периодичностью не реже одного раза в три года.
4.6. Обеспечение контроля действий привилегированных
пользователей (администраторов) информационных
систем Министерства
Вопросы обеспечения полного контроля действий привилегированных пользователей (администраторов) являются критически актуальными для Министерства в связи с активным использованием при проведении внутренней информационной политики аутсорсинга информационно-телекоммуникационных сервисов, информационно-телекоммуникационной инфраструктуры, использованием проприетарного программного обеспечения, разработанного непосредственно для реализации функций и полномочий Министерства, постоянным проведением работ по его развитию и модернизации.
В Министерстве привилегированный доступ к информационным системам и информационно-телекоммуникационной инфраструктуре Министерства имеют работники, администрирующие базы данных, осуществляющие разработку, внедрение и эксплуатацию программного обеспечения, а также техническое обслуживания информационно-телекоммуникационной инфраструктуры, сотрудники службы технической поддержки пользователей.
Учитывая, что контроль действий администраторов информационных систем Министерства не подпадает под стандартные механизмы управления доступом пользователей, данная функция должна быть реализована самостоятельно.
В рамках реализации данного направления предусматривается выполнение следующих мероприятий:
разработка политик доступа привилегированных пользователей к информации, информационным системам и информационно-телекоммуникационной инфраструктуре Министерства;
полная запись административных сессий с возможностью ретроспективного анализа;
проксирование привилегированных сессий с использованием шифрования управляющего трафика;
назначение права доступа администраторов к отдельным элементам информационных систем и информационно-телекоммуникационной инфраструктуры Министерства.
Выполнение данных мероприятий позволит существенно снизить риск несанкционированного доступа привилегированных пользователей к информационным системам и информационно-телекоммуникационной инфраструктуре Министерства или выполнения мероприятий, приводящих к их неработоспособности вследствие ошибочных или преднамеренных действий администраторов.
4.7. Совершенствование нормативно-правовой
и организационно-распорядительной базы в области
обеспечения безопасности информации в информационных
системах Министерства
Обеспечение безопасности информации в информационных системах Министерства требует создания и применения единых правил и механизмов обработки и защиты информации, соответствующих организационных и технических мер. В рамах совершенствования правовой базы и организационно-распорядительной документации необходимо обеспечить разработку и утверждение документов, определяющих:
модели угроз информационной безопасности;
модели нарушителя информационной безопасности;
положения об обработке и обеспечении защиты персональных данных, включая перечень сведений, составляющих персональные данные, перечень информационных систем персональных данных, подлежащих защите;
регламенты, правила и процедуры по работе с персональными данными;
положения об организации работ по защите сведений конфиденциального характера;
технические регламенты и инструкции по работе со сведениями конфиденциального характера;
перечень сведений конфиденциального характера;
регламент управления доступом к информационным системам и информационно-телекоммуникационной инфраструктуре Министерства;
регламент выявления и реагирования на инциденты нарушения безопасности информации;
регламенты, правила и процедуры обеспечения информационной безопасности при создании, развитии, модернизации и эксплуатации систем и информационно-телекоммуникационной инфраструктуры Министерства.
5. Ожидаемые результаты реализации Концепции
В результате реализации настоящей Концепции ожидается достижение следующих целевых показателей, приведенных в приложении к настоящей Концепции. Данные целевые показатели не оценивают мероприятия по обеспечению безопасности информации в сегменте информационно-телекоммуникационной сети Министерства, предназначенном для обработки сведений, составляющих государственную тайну.
6. Источники финансового обеспечения мероприятий
по реализации Концепции
Финансовое обеспечение мероприятий по реализации Концепции осуществляется за счет средств федерального бюджета, предусмотренных на содержание Министерства, и не потребует дополнительных расходов федерального бюджета.
7. Организация реализации Концепции
Управление реализацией Концепции осуществляется Департаментом информационных технологий в сфере управления государственными и муниципальными финансами и информационного обеспечения бюджетного процесса, Департаментом управления делами и контроля совместно с другими департаментами Министерства.
Руководство реализацией Концепции, а также осуществление координации и контроля за ее реализацией возлагается на Департамент информационных технологий в сфере управления государственными и муниципальными финансами и информационного обеспечения бюджетного процесса.
Приложение
к Концепции обеспечения
безопасности информации
в информационных системах
Министерства финансов
Российской Федерации,
утвержденной приказом
Министерства финансов
Российской Федерации
от 7 июля 2014 г. N 208
ЦЕЛЕВЫЕ ПОКАЗАТЕЛИ РЕАЛИЗАЦИИ КОНЦЕПЦИИ ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
МИНИСТЕРСТВА ФИНАНСОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
процент
|
Наименование показателя
|
2013 год (базовое значение)
|
2014 год
|
2015 год
|
2016 год
|
|
Достижение требуемого уровня обеспечения безопасности информации при автоматизированной обработке информации в открытом контуре вычислительной сети Министерства финансов Российской Федерации (далее - Министерство)
|
20
|
100
|
100
|
100
|
|
Достижение требуемого уровня обеспечения безопасности информации при автоматизированной обработке информации в закрытом контуре вычислительной сети Министерства
|
20
|
30
|
100
|
100
|
|
Доля автоматизированных рабочих мест, защита информации на которых соответствует установленным требованиям
|
2
|
2
|
100
|
100
|
|
Доля гарантированного выявления инцидентов нарушения безопасности информации в информационно-телекоммуникационной инфраструктуре Министерства
|
20
|
60
|
85
|
98
|
|
Доля атак на информационно-телекоммуникационную инфраструктуру Министерства, успешно отраженных системой обеспечения безопасности информации в информационных системах Министерства
|
25
|
90
|
95
|
99
|
|
Уровень отказоустойчивости системы обеспечения безопасности информации в информационных системах Министерства
|
30
|
60
|
99
|
99,5
|
|
Достижение требуемого уровня документационного обеспечения вопросов безопасности информации в информационных системах Министерства
|
20
|
85
|
99
|
99
|
|
Доля средств защиты информации, используемых в Министерстве, соответствующих обязательным требованиям по сертификации
|
20
|
90
|
100
|
100
|
|
Доля работников Министерства, имеющих средства электронной подписи и электронную подпись
|
2
|
50
|
100
|
100
|
|
Доля информационных систем (информационно-телекоммуникационной инфраструктуры) Министерства, аттестованных в соответствии с требованиями безопасности информации
|
10
|
40
|
95
|
100
|
