ПРИКАЗ
от 7 июля 2014 года N 208
В целях совершенствования подходов, правил, процедур обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации, предотвращения ущерба в результате противоправных действий, приводящих к разглашению, уничтожению, искажению, блокированию или незаконному использованию информации, нарушению работы информационных систем и информационно-телекоммуникационной инфраструктуры Министерства финансов Российской Федерации,
приказываю:
1. Утвердить прилагаемую Концепцию обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации.
2. Департаменту информационных технологий в сфере управления государственными и муниципальными финансами и информационного обеспечения бюджетного процесса (Е.Е.Чернякова) совместно с департаментами Министерства финансов Российской Федерации обеспечить реализацию Концепции обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации.
3. Контроль за исполнением настоящего приказа возложить на первого заместителя Министра финансов Российской Федерации Т.Г.Нестеренко.
Министр
А.Г.Силуанов
Концепция обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации
Настоящая Концепция обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации (далее - Концепция) разработана в целях реализации Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и защите информации".
В Концепции определяются цель, задачи, принципы, основные направления и этапы совершенствования обеспечения безопасности информации в информационных системах Министерства финансов Российской Федерации (далее - Министерство).
Концепция не распространяется на информационные системы Министерства, в которых содержатся сведения, составляющие государственную тайну.
В настоящее время в Министерстве в целях реализации функций и полномочий, определенных Положением о Министерстве финансов Российской Федерации, утвержденным постановлением Правительства Российской Федерации от 30 июня 2004 года N 329, и иными нормативно-правовыми актами, осуществляется автоматизированная и неавтоматизированная обработка различных видов информации: общедоступной информации, информации ограниченного доступа (служебная тайна, коммерческая тайна, банковская тайна, персональные данные и др.).
Для обеспечения выполнения требований по защите информации в информационно-телекоммуникационной инфраструктуре Министерства выделено два контура:
закрытый контур внутренней локальной вычислительной сети (далее - ЗКВС), в котором обрабатывается информация, содержащая сведения конфиденциального характера;
открытый контур внутренней локальной вычислительной сети (далее - ОКВС), в котором размещены доступные из информационно-телекоммуникационной сети "Интернет" сервисы Министерства, в том числе официальный сайт Министерства.
Ключевой системой информационной инфраструктуры Министерства является автоматизированная информационная система Министерства финансов Российской Федерации "Финансы" (далее - АИС "Финансы"), которая представляет собой совокупность аппаратных, программных и организационных средств. В состав АИС "Финансы" входит прикладное программное обеспечение, информационные сервисы, официальный сайт, порталы, а также информационно-телекоммуникационная инфраструктура Министерства.
В соответствии с законодательством Российской Федерации в Министерстве организована работа по обеспечению безопасности информации.
Требования к организации защиты информации в Министерстве в первую очередь определяют:
Деятельность по защите информации в Министерстве осуществляется в связи с наличием актуальных угроз безопасности информации, реализация которых может привести к раскрытию (компрометации), искажению (нарушению целостности), блокированию (недоступности), уничтожению (утрате) информации Министерства. Реализация угроз может повлечь репутационные, материальные, финансовые, правовые и иные последствия.
Источниками угроз могут выступать как юридические и физические лица, так и объективные явления.
Среди актуальных уязвимостей для АИС "Финансы" можно выделить:
недостатки в организации физической безопасности аппаратных, программных и организационных средств АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;
нарушение режима эксплуатации технических средств, входящих в информационно-технологическую инфраструктуру Министерства;
сбои и отказы технических средств;
ошибки в проектировании и построении, уязвимости (умышленные или случайные) АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;
уязвимости в средствах защиты информации;
несоответствующая утвержденной документации настройка конфигурации программного и аппаратного обеспечения, в том числе средств защиты информации, отсутствие контроля конфигураций, некомпетентные действия работников Министерства;
недостаточный контроль действий подрядчиков;
неактуальность процедур и регламентов деятельности работников Министерства текущему состоянию АИС "Финансы", неисполнение этих регламентов работниками Министерства, отсутствие контроля за действиями работников Министерства.
В качестве внутренних потенциальных нарушителей безопасности информации Министерства выступают сами работники Министерства, имеющие санкционированный доступ на территорию зданий и сооружений Министерства или к АИС "Финансы". В качестве внешних нарушителей выступают все остальные лица.
Текущее состояние безопасности информации в Министерстве характеризуется фрагментарным характером реализации как организационных, так и технических мер защиты информации.
В целях защиты сведений конфиденциального характера в Министерстве обеспечено использование средств криптографической защиты информации при взаимодействии с другими юридическими и физическими лицами, средств антивирусной защиты, межсетевого экранирования, усиленная аутентификация пользователей, разработан ряд организационно-распорядительных документов, регламентирующих вопросы защиты информации.
Указанные меры позволяют осуществлять изоляцию контуров ОКВС и ЗКВС, осуществлять борьбу с "вирусными эпидемиями" и противостоять отдельным угрозам сетевого характера.
Правовыми актами Министерства определены правила и порядок получения, обработки, хранения, передачи и любого другого использования персональных данных федеральных государственных гражданских служащих Министерства, заместителей руководителей федеральных служб, находящихся в ведении Министерства, руководителей их территориальных органов, назначаемых на должность Министром финансов Российской Федерации, в Министерстве, перечень лиц, уполномоченных на обработку персональных данных в Министерстве.
С 2013 года осуществлен переход на использование усиленных квалифицированных электронных подписей, выдаваемых аккредитованными в установленном порядке удостоверяющими центрами, для подписания (визирования) участниками электронного взаимодействия электронных документов в АИС "Финансы".
При этом существующая система защиты информации Министерства не удовлетворяет потребностям Министерства в предотвращении ущерба вследствие осуществления противоправных действий с информацией. Имеющиеся меры обеспечения безопасности информации имеют ряд недостатков, в частности:
не сформирована целостная система управления безопасностью информации, требуемые процессы обеспечения и управления безопасностью информации в информационных системах Министерства документированы и реализованы лишь частично;
не на всех уровнях технологического стека АИС "Финансы" реализованы функции защиты от несанкционированного доступа;
не обеспечивается анализ защищенности и обнаружение уязвимостей на различных уровнях технологического стека АИС "Финансы", а также мониторинг событий нарушения безопасности информации и расследование указанных инцидентов;
не в полной мере обеспечивается защита виртуальных сред, используемых для функционирования АИС "Финансы";
не выполнены в полной мере требования по обязательной сертификации средств защиты информации и механизмов управления доступом в прикладных системах;
реализация мер защиты от сетевых атак носит частичный фрагментарный характер.
Для повышения уровня безопасности информации в информационных системах Министерства должен быть выполнен комплекс мероприятий, обеспечивающий выполнение требуемого уровня безопасности информации и создающий условия к переходу на расширенный уровень безопасности информации.
Требуемый уровень обеспечения безопасности информации в информационных системах Министерства характеризуется выполнением нормативных требований к защите информации, а также наличием угроз безопасности информации. На требуемом уровне обеспечения безопасности информации должна обеспечиваться защита сведений конфиденциального характера и персональных данных Министерства, информационных систем общего пользования (в частности, официального сайта Министерства), а также должны выполняться требования по защите АИС "Финансы", как ключевой системы информационной инфраструктуры Министерства.
Кроме технических мер, для достижения требуемого уровня защиты информации должна быть разработана и утверждена необходимая организационно-распорядительная документация.
Подтверждением достижения требуемого уровня обеспечения безопасности информации является аттестации АИС "Финансы" по требованиям безопасности информации.
Расширенный уровень обеспечения информационной безопасности характеризуется тем, что в дополнение к мерам требуемого уровня, реализуется дополнительная функциональность системы обеспечения безопасности информации, которая:
обеспечивает противодействие современным угрозам, явно не предусмотренными требованиями законодательства Российской Федерации;
обеспечивает эффективную техническую реализацию процессов управления информационной безопасностью;
увеличивает скорость и эффективность реагирования на инциденты нарушения безопасности информации;
расширяет требуемый уровень информационной безопасности в части использования новых типов устройств и технологий (облачные вычисления, мобильный доступ, наличие социальных сетей, использование собственных мобильных устройств и прочее).
Основной целью обеспечения безопасности информации в информационных системах Министерства является предотвращение (минимизация) ущерба в результате противоправных действий с информацией, приводящих к ее разглашению, уничтожению, искажению, блокированию или незаконному использованию, либо нарушению работы АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства.
Для достижения поставленной цели необходимо решение следующих задач:
своевременное выявление, оценка и прогнозирование источников угроз, причин и условий, способствующих нарушению нормального функционирования АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства;
создание условий для минимизации ущерба от деструктивных воздействий на информацию и информационно-технологическую инфраструктуру Министерства;
защита АИС "Финансы" и информационно-телекоммуникационной инфраструктуры Министерства от вмешательства в их функционирование неуполномоченных лиц;
обеспечение соответствия мер и средств защиты информации в Министерстве положениям нормативно-методических документов по вопросам безопасности информации;
своевременное выявление и расследование инцидентов нарушения безопасности информации, восстановление актуального состояния информации, информационных систем и информационно-телекоммуникационной инфраструктуры Министерства в случае подобных инцидентов.
Обеспечение безопасности информации в Министерстве строится на следующих принципах:
законность - обеспечение безопасности информации должно осуществляться в соответствии с законодательством Российской Федерации;
комплексность - предполагает функционирование в Министерстве взаимосвязанной совокупности организационных и технических мер обеспечения безопасности информации, компонентов системы обеспечения безопасности информации, а также их интеграцию с АИС "Финансы";
эшелонированность системы защиты - предполагает построение нескольких рубежей и уровней защиты информации в информационных системах Министерства, каждый из которых последовательно усиливает степень защищенности информационных систем Министерства;
непрерывность защиты - предполагает, что меры защиты информации предпринимаются на всех этапах жизненного цикла информационных систем Министерства, а также обеспечение непрерывного функционирования системы обеспечения безопасности информации, тестирования работоспособности и восстановления информационных систем Министерства в случае отказов;
своевременность - предполагает упреждающий характер мер обеспечения безопасности информации, достигающийся параллельной разработкой и развитием мер защиты информации и информационных систем Министерства, а также реагирование на инциденты нарушения безопасности информации в кратчайшие сроки, адекватно степени опасности инцидента;
простота применения средств защиты информации - означает, что механизмы и методы защиты информации должны быть интуитивно понятны пользователям информационных систем Министерства и просты в работе, не должны требовать специальных знаний.