II. Факторы, влияющие на состояние защиты информации, содержащейся в информационных системах

2.1. Повышение уровня цифровой зрелости органов (организаций), усиленная цифровизация производственных, промышленных, бизнес-процессов привела к критической зависимости реализуемых полномочий (функций), проводимых работ (оказываемых услуг) от устойчивости функционирования информационных систем и защищенности содержащейся в них информации. Определение негативных последствий (событий) от нарушения функционирования информационных систем вследствие реализации (возникновения) угроз безопасности информации является необходимым условием эффективной деятельности по защите информации, содержащейся в информационных системах. Таким образом, определяемые в соответствии с требованиями по защите информации (обеспечению безопасности) цели защиты информации, содержащейся в информационных системах, должны предусматривать исключение наступления событий, повлекших возникновение негативных последствий (ущерба). Для определения недопустимых событий используются исходные данные, содержащиеся в банке данных угроз безопасности информации ФСТЭК России.

2.2. Деятельность по защите информации, содержащейся в информационных системах, должна осуществляться непрерывно наряду с основными видами деятельности оператора, для обеспечения которых применяются информационные системы и содержащаяся в них информация. Эффективность защиты информации зависит от реализации оператором мероприятий (процессов) по защите информации.

2.3. Уровень реализации мероприятий (процессов) по защите информации, содержащейся в информационных системах, определяется степенью внедрения каждого мероприятия (процесса), компетенцией специалистов по защите информации, эффективностью и качеством применяемых ими средств, а также полнотой документирования мероприятий (процессов) по защите информации.

Назначаемые на должности ответственных за защиту информации лица должны обладать соответствующими компетенциями. Кроме того, требуется осуществлять периодическое повышение их квалификации по разным направлениям защиты информации и непрерывное информирование о новых способах реализации угроз безопасности информации, методах и средствах противодействия им.

В случае отсутствия у оператора собственных квалифицированных специалистов целесообразно привлекать к проведению мероприятий (процессов) по защите информации организации, имеющие необходимые лицензии на деятельность в области защиты информации, и квалифицированных специалистов по требуемым направлениям деятельности. При этом требуется однозначное задокументированное разграничение полномочий (функций) и ответственности между работниками заказчика и специалистами привлекаемой для оказания услуг подрядной организации.

2.4. Программные, программно-аппаратные средства, применяемые специалистами по защите информации, должны обеспечивать реализацию мероприятий (процессов) по защите информации и соответствовать требованиям по защите информации (обеспечению безопасности). К таким средствам относятся в том числе средства выявления и анализа угроз безопасности информации, обнаружения и предотвращения вторжений, проведения контроля уровня защищенности информации, мониторинга информационной безопасности информационных систем, выявления уязвимостей, контроля настроек и конфигураций информационных систем, системы, предназначенные для автоматизации и аналитической поддержки деятельности по защите информации. Применяемые специалистами по защите информации средства не должны создавать угрозы безопасности информации.

В случае отсутствия у оператора собственных программных, программно-аппаратных средств или недостаточной квалификации специалистов к проведению мероприятий (процессов) по защите информации следует привлекать организации, имеющие необходимые средства защиты информации, управления и контроля. При этом требуется однозначное задокументированное определение мероприятий (процессов) по защите информации, для которых применяются средства подрядной организации, и порядка их подключения к информационным системам оператора для оказания услуг или их применения.

2.5. Регламенты, стандарты по защите информации, разрабатываемые оператором, должны в соответствии с требованиями по защите информации (обеспечению безопасности) определять порядок реализации мероприятий (процессов) и устанавливать меры по защите информации с учетом особенностей деятельности органа (организации) и функционирования информационных систем. Регламенты, стандарты по защите информации должны быть направлены на недопущение возникновения организационных и архитектурных уязвимостей.

Эксплуатационная документация разрабатывается на каждую информационную систему и (или) отдельные программные, программно-аппаратные средства.

2.6. При организации деятельности по защите информации и управлении данной деятельностью требуется предусмотреть информирование работников об утвержденных в органе (организации) политике защиты информации и иных документах по защите информации (стандартах, регламентах), содержащих цели защиты информации и требования по защите информации (обеспечению безопасности), а также исключить осуществление полномочий (функций), проведение работ (оказание услуг) без учета требований по защите информации (обеспечению безопасности). Фактором, оказывающим существенное негативное влияние на состояние защиты информации, содержащейся в информационных системах, является отсутствие у оператора персональной ответственности работников, закрепленной в соответствующих должностных регламентах (инструкциях), за нарушение положений политики защиты информации, внутренних стандартов и регламентов по защите информации.

2.7. Защита информации, содержащейся в информационных системах, определяется защищенностью этих информационных систем. Меры по защите информационных систем принимаются на всех стадиях их жизненного цикла: создание, развитие, ввод в эксплуатацию, эксплуатация, вывод из эксплуатации. Защита информационных систем является неотъемлемой частью их создания и эксплуатации. Эффективность защиты информационных систем зависит от закладываемых на этапе создания проектных решений и возможности этих проектных решений за счет специально спроектированной архитектуры информационных систем уменьшить ширину и глубину поверхности компьютерных атак, снижая тем самым возможности нарушителей по реализации угроз безопасности информации.

2.8. Выбор архитектурных решений информационных систем на этапе их проектирования должен осуществляться на основе результатов моделирования угроз безопасности информации и описания поверхности компьютерных атак. Создание информационных систем в защищенном исполнении, в основе которых лежат национальные стандарты конструктивной безопасности, существенно повышают эффективность защиты информационных систем и содержащейся в них информации.

Организационные меры и наложенные средства защиты информации должны быть направлены на блокирование (нейтрализацию) угроз безопасности информации, сохранивших свою актуальность после применения безопасных архитектурных решений.

2.9. Основными принципами создания информационных систем в защищенном исполнении являются:

дифференциация уровней значимости защищаемых информационных ресурсов в зависимости от их влияния на цели защиты информации и предоставление доступа к ним на основе проверок уровня доступа субъектов доступа;

установление минимальных прав доступа к соответствующему уровню значимости информационных ресурсов;

минимизация интерфейсов информационных систем, доступных для субъектов доступа, в соответствии с функциями информационной системы;

сегментация (микросегментация) информационных систем с учетом уровней значимости защищаемых информационных ресурсов (разбиение на сегменты безопасности) и контроль доступа в выделенные сегменты на основе уровня доступа субъектов доступа;

регистрация и анализ действий субъектов при доступе к сегментам информационной системы и к информационным ресурсам.

Указанные критерии подлежат учету в ходе проектирования информационных систем, проверке реализации в ходе аттестации на соответствие требованиям по защите информации (обеспечению безопасности) и контролю в ходе эксплуатации информационных систем.

2.10. Следствием все большей доступности в сети "Интернет" вредоносного программного обеспечения, средств его разработки является постоянное усложнение тактик и техник проведения компьютерных атак на информационные системы. В этих условиях выявление и оценка угроз безопасности информации не должны заключаться только в разработке модели угроз безопасности информации, а должны предусматривать организацию процессов по поиску, анализу и принятию мер, направленных на блокирование угроз безопасности информации. При анализе угроз безопасности информации подлежат оценке тактики, техники и инструменты, используемые для осуществления компьютерных атак, а также уязвимости информационных систем.

2.11. Рост числа сервисов, предоставляемых информационными системами, неразрывно связан с увеличением количества требуемых для их функционирования интерфейсов, что ведет к расширению поверхности компьютерных атак на информационные системы.

Уменьшение поверхности компьютерных атак является одной из важнейших задач по защите информационных систем и содержащейся в них информации. Решению данной задачи способствуют унификация применяемых программных, программно-аппаратных средств и контроль их использования. Контроль интерфейсов информационных систем, прежде всего доступных из сети "Интернет", и недопущение их несанкционированного ввода в действие и эксплуатации обеспечивают снижение возможности нарушителей по реализации угроз безопасности информации.

2.12. Развитие функций (полномочий), проводимых работ (оказываемых услуг) с использованием информационных систем приводят к постоянным изменениям состава объектов и субъектов доступа и их полномочий. Зафиксировать конфигурацию информационных систем в базовых состояниях, в большинстве случаев, не представляется возможным. В этих условиях следует осуществлять мониторинг информационной безопасности информационных систем с учетом изменяющихся состава объектов и субъектов доступа и их полномочий.

2.13. Функционирование разных информационных систем и взаимодействие между ними может осуществляться на основе программно-технических комплексов и средств, выполняющих общие технологические функции и обеспечивающих основу функционирования указанных информационных систем. При этом информационно-телекоммуникационная инфраструктура <2> может принадлежать оператору или предоставляться как услуга сторонней организацией.

--------------------------------

<2> Пункт 3 Положения об учете ИТ-активов, используемых для осуществления деятельности по цифровой трансформации системы государственного (муниципального) управления, утвержденного постановлением Правительства Российской Федерации от 1 июля 2024 г. N 900.

Использование общих программно-технических комплексов и средств для функционирования информационных систем, в том числе для хранения информации, передачи данных, осуществления вычислений, функционирования программных средств, предоставления доступа к сети "Интернет", приводит к необходимости отнесения к объектам защиты не только отдельных информационных систем и содержащейся в них информации, но и информационно-телекоммуникационной инфраструктуры, на основе которой они функционируют.

2.14. Применение в информационных системах зарубежных программных и программно-аппаратных средств создает угрозу использования недекларированных возможностей и закладок в программных, программно-аппаратных средствах для информационно-технического воздействия на информационные системы. Зарубежная электронная компонентная база создает риск внедрения в интегральные схемы логических уязвимостей. При этом возможности контроля производственного процесса и цепочек поставок программно-аппаратных средств, электронной компонентной базы и телекоммуникационного оборудования в соответствии с требованиями по защите информации (обеспечению безопасности) отсутствуют. Подконтрольность иностранным государствам разработчиков зарубежных программных и программно-аппаратных средств существенно снижает уровень доверия к такой продукции. Для прекращения или нарушения функционирования информационных систем возможно использование каналов удаленного контроля и управления этими средствами и оборудованием.

В ходе проектирования информационных систем должен проводиться анализ доступных отечественных программных, программно-аппаратных и технических средств, должна быть предусмотрена возможность их применения в информационных системах или, как минимум, в сегментах, в которых хранится и обрабатывается наиболее значимая информация (данные). Это позволит снизить риски использования недекларированных возможностей для получения несанкционированного доступа и (или) воздействия на информацию.

2.15. В условиях большого количества субъектов и объектов доступа в распределенных информационных системах требуется обеспечение доверия при их взаимодействии. Обеспечение доверия может предусматривать:

первичную идентификацию пользователей и устройств, к которым осуществляется доступ пользователей для выполнения своих обязанностей (функций);

строгую аутентификацию пользователей, осуществляющих доступ для исполнения своих обязанностей (функций), и их устройств, к которым осуществляется доступ, с использованием сертификатов безопасности;

проверку подлинности и целостности устанавливаемого программного обеспечения и его обновлений с использованием сертификатов безопасности;

доверенную загрузку программного обеспечения устройств, страной происхождения которых является Российская Федерация, с использованием модулей безопасности этих средств, обеспечивающих в том числе безопасное хранение закрытых ключей и сертификатов безопасности.

Средства вычислительной техники и операционные системы, используемые в информационных системах, должны включать программное обеспечение, обеспечивающее функционирование модулей безопасности и осуществляющее проверку сертификатов безопасности устанавливаемого и запускаемого в их среде программного обеспечения.

2.16. Эффективность мероприятий по защите информации в органе (организации) и мер по защите информационных систем и содержащейся в них информации изменяется во времени под действием различных факторов, основными из которых являются изменение функций и процессов, изменение состава и полномочий субъектов и объектов доступа, изменение конфигураций информационных технологий.

Для поддержки требуемой эффективности реализации мероприятий по защите информации, а также сохранения уровня защищенности информационных систем и содержащейся в них информации целесообразно проводить периодическую оценку как эффективности реализуемых мероприятий, так и достаточности принимаемых мер.

Оценка текущего состояния защиты информации проводится по результатам расчета показателя защищенности информационных систем (К_зи).

2.17. В основе качественной оценки текущего состояния защиты информации лежат результаты контроля уровня защищенности информации, содержащейся в информационных системах. Контроль уровня защищенности информации должен проводиться одним или совокупностью следующих методов:

автоматизированное и (или) ручное выявление уязвимостей информационных систем с последующей экспертной оценкой возможности их использования нарушителем для нарушения безопасности информации и (или) нарушения функционирования информационных систем;

выявление несанкционированных подключений устройств к информационным системам;

тестирование информационных систем путем моделирования реализации актуальных угроз с целью оценки возможностей несанкционированного доступа к ним (воздействий на них) или повышения привилегий с учетом реализованных мер и применяемых средств защиты информации;

проведение в соответствии с едиными замыслом и планом тренировок по отработке мероприятий и мер по обеспечению требуемого уровня защищенности информации, содержащейся в информационных системах, в условиях реализации актуальных угроз.