ФЕДЕРАЛЬНАЯ НАЛОГОВАЯ СЛУЖБА
ПРИКАЗ
от 25 февраля 2014 года N ММВ-7-6/66@
Об утверждении Концепции системы управления информационной безопасностью ФНС России
(с изменениями на 19 июня 2018 года)
____________________________________________________________________
Документ с изменениями, внесенными:
приказом ФНС России от 19 июня 2018 года N ММВ-7-6/399@.
____________________________________________________________________
В целях реализации пункта 6.2.6 "Концепции информационной безопасности ФНС России", утвержденной приказом ФНС России от 13.01.2012 N ММВ-7-4/6@, и повышения эффективности управления информационной безопасностью
приказываю:
1. Утвердить Концепцию системы управления информационной безопасностью ФНС России согласно приложению к настоящему приказу.
2. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы А.С.Петрушина.
Руководитель Федеральной
налоговой службы
М.В.Мишустин
УТВЕРЖДЕНА
приказом ФНС России
от 25 февраля 2014 года N ММВ-7-6/66@
(В редакции, введенной в действие
приказом ФНС России
от 19 июня 2018 года N ММВ-7-6/399@. -
См. предыдущую редакцию)
Концепция системы управления информационной безопасностью ФНС России
Перечень нормативных документов
1. ГОСТ Р ИСО/МЭК 27001-2013 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования;
3. Федеральный закон от 27 июля 2006 года N 152-ФЗ "О персональных данных";
4. РД.ФСТЭК России. "Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры", 2007 года;
7. "Концепция информационной безопасности Федеральной налоговой службы", утвержденная приказом ФНС России от 13 января 2012 года N ММВ-7-4/6@;
8. "Положение по информатизации Федеральной налоговой службы", утвержденное приказом ФНС России от 23 января 2006 года N САЭ-3-13/31@;
9. "Модель угроз и нарушителя безопасности информации во внешних и внутренних каналах обмена данными АИС ФНС России"; утвержденная приказом ФНС России от 28.05.2015 N ММВ-7-6/220@;
10. "Модель угроз и нарушителя информационной безопасности объекта информатизации ФНС России", утвержденная приказом ФНС России от 23.05.2013 N ММВ-7-4/181@;
11. "Концепция построения системы управления информационной безопасностью Федеральной налоговой службы", утвержденная приказом от 10 июня 2008 года N ВЕ-4-6/24дсп@;
12. "Руководство по организации информационной безопасности на объектах информатизации Федеральной налоговой службы", утвержденное приказом от 23 октября 2007 года N ММ-4-27/29дсп@.
Обозначения и сокращения
АЦ ЦУБИ - Аналитический центр ЦУБИ;
ГИС - государственная информационная система;
ИА - информационный актив;
ИБ - информационная безопасность;
ИКД - информационная карточка документов;
ИКСИБ - информационная карточка сотрудника ИБ;
ИКТС - информационная карточка третьей стороны;
ИКИ - информационная карта инцидентов;
ИКР - информационная карта рисков;
ИТ - информационные технологии;
КИИ - критическая информационная инфраструктура;
ИЛП ОИ - Информационно-логический паспорт объекта информатизации;
МИ ФНС России по ЦОД - Межрегиональная инспекция ФНС России по централизованной обработке данных;
МИ ФНС России по КН - Межрегиональная инспекция ФНС России по крупнейшим налогоплательщикам;
МИ ФНС России по ФО - Межрегиональная инспекция ФНС России по Федеральному округу;
СМЭВ - Система межведомственного электронного взаимодействия.
СОБИ ФНС России - Система обеспечения безопасности информации ФНС России;
СУИБ - Система управления информационной безопасностью;
ТОРМ ФНС России - Территориально-обособленное рабочее место ФНС России.
ПДн - персональные данные;
ПО - программное обеспечение;
МЭДО - Межведомственный Электронный Документооборот;
ТС - техническое средство;
УФНС России - Управление ФНС России по субъекту Российской Федерации;
ФКУ ФНС России - Федеральное казенное учреждение "Налог-Сервис" ФНС России;
ЦУБИ ФНС России - Центр управления безопасностью информации ФНС России.
1. Общие положения
Настоящая концепция управления информационной безопасностью (ИБ) определяет систему взглядов на проблему регулирования и координации при управлении информационной безопасностью в Федеральной налоговой службе, ее территориальных органах и подведомственных организациях, а также при взаимодействии налоговых органов между собой, с Федеральными органами государственной власти и при оказании государственных услуг.
Под управлением информационной безопасностью в ФНС России понимается подмножество взаимоувязанных, циклических процессов, направленных на достижение заданных параметров ИБ.
Под системой управления информационной безопасностью (СУИБ) в ФНС России понимается часть общей системы управления, основанной на оценке рисков, которая предназначена для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности.
СУИБ ФНС России включает в себя политики, действия по планированию, распределение ответственности, практики, процедуры, процессы и ресурсы.
Создание централизованной СУИБ является стратегическим решением ФНС России.
Целями создания СУИБ ФНС России являются:
- повышение доверия к ФНС России со стороны граждан Российской Федерации;
- повышение стабильности функционирования отдельных налоговых органов и, как следствие, всей Службы в целом;
- предотвращение и/или снижение до приемлемого уровня ущерба от инцидентов ИБ;
- снижение затрат на ИБ в ФНС России за счет оптимизации СУИБ;
- достижение адекватности мер по защите в зависимости от реальности угроз ИБ и допустимых рисков;
- информационная поддержка 8-го Центра ФСБ России по вопросам сетевых атак на ресурсы АИС ФНС России;
- информационная поддержка служб собственной безопасности при обеспечении превентивных мер и проведении расследований.
Основными задачами СУИБ ФНС являются:
- управление политиками информационной безопасности и поддержание документации информационной безопасности в актуальном состоянии;
- управление угрозами информационной безопасности и рисками;
- управление активами информационной безопасности и поддержание информационной безопасности в актуальном состоянии;
- управление персоналом информационной безопасности и организациями-подрядчиками;
- управление процессами информационного обеспечения подразделений собственной безопасности налоговых органов и "специальными" вопросами;
- управление инцидентами информационной безопасности;
- управление системой криптографической защиты информации;
- оперативное управление и мониторинг состояния информационной безопасности в налоговых органах;
- техническое сопровождение и эксплуатация средств СОБИ
Решение задач управления организуется и обеспечивается центром управления безопасностью информации ФНС России.
Под Центром управления безопасностью информации (ЦУБИ) ФНС России понимается организационно-функциональная структура ЦА ФНС России и подчиненного ему аналитического центра (АЦ).
Под филиалами ЦУБИ понимаются подразделения ИБ в составе УФНС России и Межрегиональных инспекций ФНС России.
Вопросы управления информационной безопасностью тесно взаимоувязаны с вопросами управления ИТ структурой и собственной безопасностью. Средства автоматизированной поддержки управления ИБ и ИТ структурой могут строиться на базе единой платформы. Вместе с тем управление ИБ имеет свою специфику и должно организовываться как самостоятельная и независимая система.
Действующие нормативные документы по ИБ определяют необходимость построения СУИБ и, как следствие, ЦУБИ как самостоятельной системы.
Процесс управления ИБ в ФНС России организуется с помощью множества правил, представляющих сложную иерархическую систему технологических, инструктивных и организационно-распорядительных документов, предназначенных для исполнения различными категориями сотрудников ФНС России. Совокупность таких правил формирует Политику управления ИБ в ФНС России. Концепция СУИБ является документом общей Политики ИБ ФНС России, отражающей официально принятую в ФНС России систему взглядов на СУИБ и пути ее решения.
Концепция СУИБ определяет пути достижения требуемого уровня управления ИБ (при проектировании и внедрении, обеспечении функционирования (эксплуатации) и контроле) в ходе оказания государственных информационных услуг и при повседневной деятельности подразделений ФНС России через создание продуманной, централизованной системы управления ИБ.
Концепция дает возможность выработки стратегической линии, долгосрочных подходов к комплексному решению задач управления ИБ, учитывающих прогнозы развития информационных технологий, появления новых угроз информационной безопасности, тенденций развития методов и средств защиты информации и позволяющих адаптировать СУИБ к любой достаточно сложной и изменчивой ситуации.
Внутренние документы ФНС России по управлению, затрагивающие вопросы ИБ, должны разрабатываться с учетом положений Концепции СУИБ и не противоречить им.
Настоящая Концепция определяет основные принципы построения СУИБ и ЦУБИ с точки зрения реализации единой политики ИБ ФНС России.
В первом разделе приведено общее описание структуры СУИБ, определено место ЦУБИ в этой структуре.
Во втором разделе концепции определяются процессы регулирования при управлении информационной безопасностью. Приводится описание каждого из процессов в обобщенном виде.
В третьем разделе концепции представлено описание функций ЦУБИ, являющегося механизмом реализации эффективного управления ИБ в ФНС России. Для информационной поддержки ЦУБИ создается аналитический центр ФНС России. В разделе определены основные функции и задачи автоматизированной поддержки СУИБ.
В четвертом разделе схематично определена обобщенная организационно-функциональная структура ЦУБИ и аналитического центра, а также определены основные функции филиала ЦУБИ в УФНС России или МИ ФНС России по КН.
