О "бумажной" защите ГИС

На прошедшем недавно форуме «Технологии безопасности» представители ФСТЭК пояснили, что при аттестации ГИС должна быть подтверждена, в том числе, и разработка оператором системы документов, регламентирующих процедуры защиты информации в ходе эксплуатации ИС. Возникает вопрос, сколько и каких документов должен разработать оператор и от чего это зависит?

В методическом  документе «Меры защитыинформации в государственных информационных системах» характеристика многих мер заканчивается словами: «Правила и процедуры … регламентируются в организационно-распорядительных документах оператора».

Сколько таких мер? Это зависит от класса ГИС. Например, в ГИС класса К3 я насчитал ни много, ни мало 34 меры, требующие описания правил и процедур своей реализации в ОРД оператора. Возможно, что-то упустил, но список все равно внушительный. Если кому не лень – читайте (в список не включены меры из группы «ЗСВ»).

-        Правила и процедуры идентификации и аутентификации внутренних и внешних пользователей.

-        Правила и процедуры идентификации и аутентификации  устройств.

-        Правила и процедуры управления идентификаторами.

-        Правила и процедуры управления средствами аутентификации (в том числе определение должностного лица, ответственного за хранение, выдачу, инициализацию, блокирование средств аутентификации).

-        Правила и процедуры управления учетными записями пользователей.

-        Правила разграничения доступа.

-        Правила и процедуры управления информационными потоками.

-        Полномочия, права и привилегии пользователей, администраторов и запускаемых от их имени процессов, а так же лиц, обеспечивающих функционирование ИС.

-        Роли или должностные обязанности, а также объекты доступа, в отношении которых установлен наименьший уровень привилегий.

-        Правила и процедуры блокирования сеансов доступа пользователя после установленного оператором времени его бездействия в ИС.

-        Перечень действий пользователей, разрешенных до прохождения ими процедур идентификации и аутентификации.

-        Правила и процедуры применения удаленного доступа.

-        Правила и процедуры применения технологий беспроводного доступа.

-        Правила и процедуры применения мобильных технических средств.

-        Правила и процедуры управления взаимодействием с внешними ИС.

-        Правила и процедуры управления установкой компонентов программного обеспечения (в том числе состав и конфигурация подлежащих установке компонентов, параметры установки, параметры настройки компонентов программного обеспечения).

-        Документ по учету носителей информации (например, журнал).

-        Правила и процедуры доступа к машинным носителям информации (в т.ч. перечень должностных лиц, имеющих право такого доступа).

-        Процедуры уничтожения (стирания) информации на машинных носителях.

-        Состав и содержание событий безопасности, подлежащих регистрации в ИС (вход/выход субъектов доступа в ИС, подключение МНИ и вывод на них  информации,  запуск/завершение программ и процессов, и др).

-        Состав и содержание информации о событиях безопасности, подлежащих регистрации в ИС (тип события, даты и время, идентификационная информации источника события и др.).

-        Правила и процедуры сбора, записи и хранения информации о событиях безопасности (время хранения информации о событиях, объем памяти для хранения и др.).

-        Правила и процедуры реагирования на сбои при регистрации событий безопасности

-        Правила и процедуры мониторинга результатов регистрации событий безопасности (в том числе периодичность просмотра событий безопасности и реагирование на инциденты ИБ).

-        Правила и процедуры защиты информации о событиях безопасности.

-        Правила и процедуры антивирусной защиты ИС и обновления базы данных признаков вредоносных компьютерных программ.

-        Правила и процедуры выявления, анализа и устранения уязвимостей.

-        Правила и процедуры контроля установки обновлений программного обеспечения.

-        Правила и процедуры восстановления ПО (в т.ч. планы по действиям персонала и порядок применения компенсирующих мер).

-        Границы контролируемой зоны.

-        Правила и процедуры контроля и управления физическим доступом к техническим средствам, СЗИ, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены.

-        Перечень периферийных устройств, для которых допускается возможность удаленной активации.

-        Правила и процедуры применения беспроводных соединений в ИС.

-        Правила и процедуры защиты мобильных технических средств.

Конечно, при отсутствии каких-то технологий (например, беспроводного доступа) документов получится немножко меньше, но поработать все же придется. Разумеется, в классе К1 этот список получится гораздо больше, а уж что писать в этих самых «правилах и процедурах» и как правильно называть эти документы – зависит от особенностей конкретной ИС и потребностей оператора. А лицензиаты смогут неплохо заработать на «бумажной защите».