Требования к защите
информации
Общие требования
В информационной
системе должна храниться, обрабатываться и передаваться по каналам связи
конфиденциальная информация \ персональные данные, не содержащая сведений,
составляющих государственную тайну.
В качестве основных мер по обеспечению информационной безопасности
необходимо реализовать:
− защиту от
несанкционированного считывания, модификации или уничтожения данных в …….(ИС);
− защиту информационных
ресурсов …….(ИС), в том числе баз данных систем обработки информации;
− защищенный обмен
информацией между различными компонентами …….(ИС).
На этапе технического
проектирования должны быть разработаны модель нарушителя и модель угроз
Системы.
На основании анализа
моделей должны быть определены уровни и механизмы криптозащиты информации для различных
компонентов системы, а также уровень защиты информации в каналах
связи в зависимости от конкретных условий.
Конкретные требования
по информационной безопасности должны уточняться на этапе технического
проектирования.
Во всех элементах
системы должно быть предусмотрено использование технологии электронной цифровой
подписи для защиты и придания юридической значимости обрабатываемой и
передаваемой информации, реализации процедур идентификации и аутентификации. В
компонентах системы должно быть обеспечено использование доверенной
программно-аппаратной среды.
Все применяемые в
системе не криптографические средства защиты информации должны быть
сертифицированы на соответствие требованиям РД ФСТЭК России:
− «Средства
вычислительной техники. Защита от несанкционированного
доступа к информации.
Показатели защищённости от несанкционированного доступа к
информации» – по классу
защищенности в соответствии с максимальным грифом
(пометкой)
обрабатываемой информации;
− «Защита от
несанкционированного доступа к информации. Часть 1.
Программное обеспечение
средств защиты информации. Классификация по уровню
контроля отсутствия
недекларированных возможностей» – по классу защищенности в
соответствии с
максимальным грифом (пометкой) обрабатываемой информации.
Применяемые в системе
межсетевые экраны должны быть сертифицированы.
Информация ограниченного
доступа, передаваемая по внешним каналам связи должна защищаться
криптографическими методами защиты. Применяемые средства криптографической
защиты информации должны иметь сертификаты и положительные заключения ФСБ
России по результатам экспертизы корректности встраивания указанных средств в
ПТС сегмента.
В состав средств защиты
от НСД должны входить современные аппаратные и программные комплексы,
ориентированные на применение новых методов обеспечения информационной
безопасности (с использованием принципов криптографии, технологии
«гальванической развязки» и др.).
Технические мероприятия
по защите информации должны разрабатываться и проводиться с учетом следующих
нормативно-правовых документов:
− Закон Российской
Федерации от 05 марта 1992 г. № 2446-1
«О безопасности»;
- Закон Российской Федерации
от 21 июля 1993 г. № 5485-1
«О государственной
тайне» (в ред. Федеральных законов от 06.10.1997 N 131-ФЗ, от
30.06.2003 N 86-ФЗ, от
11.11.2003 N 153-ФЗ, от 29.06.2004 N 58-ФЗ, от 22.08.2004 N
122-ФЗ, с изменениями,
внесенными Постановлением Конституционного Суда
Российской Федерации от
27.03.1996 N 8-П, определениями Конституционного Суда
Российской федерации от
10.11.2002 N 293-О, от 10.11.2002 N
314-О);
− Федеральный закон «Об
информации, информатизации и защите
информации» от
27.07.2006 № 149-ФЗ;
− Федеральный Закон
Российской Федерации от 16 февраля 1995 г. № 15-ФЗ
«О связи»;
− Федеральный Закон
Российской Федерации от 7 июля 2003 г. N 126-ФЗ "О
связи";
− Федеральный Закон
Российской Федерации от 04 июля 1996
г. № 85-ФЗ
«Об участии в
международном информационном обмене»;
− Федеральный Закон
Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О
персональных данных»;
− Постановление
Правительства Российской федерации от 14.02.2007 № 94 «О
Государственной
информационной системе миграционного учета»;
− Постановление
Правительства Российской Федерации от 4 сентября 1995 г.
№ 870 «Об утверждении
правил отнесения сведений, составляющих государственную
тайну, к различным
степеням секретности»;
− Постановление Правительства Российской Федерации от 3
ноября 1994 г.
№ 1233 «Об утверждении
положения о порядке обращения со служебной информацией
ограниченного
распространения в федеральных органах исполнительной власти»;
− Указ Президента
Российской Федерации от 6 марта 1997 г. № 188
«Об утверждении перечня
сведений конфиденциального характера» (в редакции от 23
сентября 2005 года);
− Постановление
Правительства Российской Федерации «Положение
о государственной
системе защиты информации в Российской
Федерации
от иностранных
технических разведок и от её утечки по техническим каналам» от 15
сентября 1993 г. №
912-51;
− Постановление
Правительства Российской Федерации «О сертификации
средств защиты
информации» от 26 июня 1995 г. № 608 (с изменениями от 23 апреля
1996 г., 29 марта 1999
г.);
− Руководящий документ.
«Автоматизированные системы. Защита
от несанкционированного
доступа к информации. Классификация автоматизированных
систем и требования по
защите информации». Москва. Гостехкомиссия России. 1992 г.;
− Руководящий документ.
«Средства вычислительной техники. Защита
от несанкционированного
доступа к информации. Показатели защищенности от НСД к
информации». Москва.
Гостехкомиссия России. 1992 г.;
− Руководящий документ.
«Концепция защиты средств вычислительной
техники и
автоматизированных систем от несанкционированного доступа
к информации». Москва.
Гостехкомиссия России. 1992 г.;56
Техническое задание на
создание Государственной информационной системы миграционного учета
(ГИСМУ)
− Руководящий
документ. «СВТ. Межсетевые экраны.
Защита от НСД
к информации.
Показатели защищенности от НСД к
информации». Москва.
Гостехкомиссия России.
1997 г.;
− Руководящий документ.
«Временное положение по организации разработки,
изготовления и
эксплуатации программных и технических средств защиты информации
от несанкционированного
доступа в автоматизированных системах и
средствах
вычислительной
техники». Москва. Гостехкомиссия России. 1992 г.;
− ГОСТ Р 50739-95
«Средства вычислительной техники. Защита от
несанкционированного
доступа к информации. Общие технические требования»;
− ГОСТ Р 50922-96
«Защита информации. Основные термины и определения»;
− ГОСТ Р 51275-99
«Защита информации. Объект информатизации. Факторы,
воздействующие на
информацию. Общие положения»;
− РД 50-34.698-90. РД
по стандартизации «Автоматизированные системы.
Требования к содержанию
документов»;
− ГОСТ Р 51583-2000
«Защита информации. Порядок создания
автоматизированных
систем в защищенном исполнении»;
− ГОСТ Р 51624-2000
«Защита информации. Автоматизированные системы
в защищенном
исполнении»;
− Положения о
разработке, производстве, реализации и эксплуатации
шифровальных (криптографических)
средств защиты информации (Положение ПКЗ-
2005)" от 03.03.2005 г. № 6382т.
|