Для регистрации инцидентов нарушения информационной безопасности следует создавать журналы аудита и хранить их в течение согласованного периода времени. Для обеспечения контроля правомерности действий пользователей ИВС Росстата необходимо определить процедуры мониторинга использования средств обработки информации.
Результаты мониторинга следует регулярно анализировать и доводить до сведения руководства Росстата.
Приобретение, разработка и обслуживание информационных систем
Требования к безопасности информационных систем
Требования к безопасности информационных систем Росстата следует формулировать на стадии определения задач проекта, а также обосновывать, согласовывать и документировать в рамках общего проекта по внедрению информационной системы.
В Росстате должно быть обеспечено использование сертифицированных по требованиям безопасности СЗИ.
Планирование мероприятий по обеспечению информационной безопасности на стадии проектирования системы позволяет существенно снизить затраты на их внедрение и поддержку по сравнению с разработкой соответствующих мероприятий во время или после внедрения системы.
Управление СКЗИ и ключами ЭЦП
Применение криптографических методов защиты информации ИВС Росстата обеспечивает решение основных задач информационной безопасности.
В Росстате должен быть установлен порядок использования СКЗИ, средств ЭЦП и управления ключами шифрования.
В ИВС Росстата должны применяться лицензионные СКЗИ отечественного производства, сертифицированные по требованиям безопасности информации.
В ИВС Росстата СКЗИ применяются для:
· шифрования всего информационного трафика, передающегося по открытым каналам передачи данных;
· шифрования информации, представленной в виде файлов или хранящейся в базе данных.
Средства ЭЦП обеспечивают юридическую значимость, целостность и достоверность документов:
· в системе электронного документооборота Росстата;
· в системах сбора статистической отчетности в электронном виде;
· в системах криптографической аутентификации пользователей ИВС Росстата.
При обращении с ключами ЭЦП пользователи ИВС Росстата должны соблюдать установленный порядок их безопасного хранения и использования.
С целью упорядочения обращения с ключами ЭЦП в ЦА Росстата и ТОГС решением руководства функции удостоверяющего центра Росстата возложены на УЦ ГМЦ Росстата. Основными функциями УЦ Росстата являются:
Для управления ключами ЭЦП в системе сбора статистической отчетности в электронном виде организуется сеть доверенных УЦ Росстата.
Безопасность в процессах разработки и поддержки
Работники подведомственных организаций Росстата, сопровождающие работу прикладных систем, должны проводить анализ всех предложенных изменений ИВС Росстата и исключать возможность компрометации системы безопасности и среды промышленной эксплуатации.
Чтобы свести к минимуму повреждения ИВС Росстата, следует строго контролировать внедрение изменений.
В Росстате должна использоваться среда, в которой пользователи тестируют новое программное обеспечение и которая отделена от среды разработки и среды промышленной эксплуатации. При этом обеспечивается возможность контроля нового программного обеспечения и дополнительная защита информации, используемой в процессе тестирования.
Управление инцидентами информационной безопасности
Обнаружение пользователями событий и слабых мест информационной безопасности, связанных с информационными системами, должно гарантировать возможность принятия своевременных корректирующих действий.
В Росстате внедряется формальный порядок сообщения о событиях и порядок их эскалации. Всех пользователей ИВС Росстата (сотрудников Росстата, контрагентов и пользователей внешних организаций) следует проинформировать о порядке сообщений о различных типах событий, которые могут иметь воздействие на безопасность информационных ресурсов Росстата. Пользователи ИВС Росстата обязаны незамедлительно сообщать о любых событиях информационной безопасности, используя определенную точку контакта.
В Росстате необходимо обеспечить применение последовательного и эффективного подхода к управлению инцидентами информационной безопасности.
Следует внедрить обязанности и порядок эффективной безотлагательной обработки событий и уязвимостей информационной безопасности. В качестве реакции на них следует применять процесс непрерывного улучшения, отслеживания, оценки и управления инцидентами информационной безопасности.
Для обеспечения соответствия юридическим требованиям следует собирать доказательства.
Управление непрерывностью деятельности
В ИВС Росстата следует обеспечить противодействие прерываниям деятельности и защиту критичных процессов от воздействия сбоев информационных систем и аварий, а также гарантирование своевременного возобновления работы данных систем.
Для минимизации отрицательного воздействия на ИВС Росстата и восстановления потерь информационных ресурсов (потери могут быть результатом, например, стихийных бедствий, несчастных случаев, отказа оборудования и умышленных действий) до приемлемого уровня, следует внедрить процесс управления непрерывностью деятельности, сочетая профилактические и восстановительные средства управления. В этом процессе следует установить критичные процессы и объединить требования непрерывности по управлению информационной безопасностью с другими требованиями непрерывности, касающимися таких вопросов, как операции, персонал, материалы, транспорт и оборудование.
Последствия бедствий, сбоев безопасности, потеря обслуживания и доступности обслуживания подлежат анализу. Для гарантирования своевременного возобновления основных операций следует разработать и внедрить планы обеспечения непрерывности. Информационная безопасность должна быть неотъемлемой частью общего процесса обеспечения непрерывности деятельности и других процессов управления в Росстате.
Управление непрерывностью деятельности Росстата должно включать средства управления, устанавливающие и снижающие риски, в дополнение к общему процессу определения рисков, ограничивать последствия ущерба инцидентов и гарантировать доступность информации, требуемой для процессов бизнеса.
Организация в ИВС Росстата защищенных сетей передачи данных и защиты информационных систем персональных данных предусматривает:
· развертывание защищенных сетей на основе существующей инфраструктуры ведомственной сети Росстата и внедрения сертифицированных средств защиты ViPNet при информационном обмене между Центральным аппаратом (далее - ЦА) Росстата, Главным межрегиональным центром обработки и распространения статистической информации Росстата (далее – ГМЦ Росстата) и территориальными органами государственной статистики (далее - ТОГС);
· повышение производительности и надежности функционирования шлюзов защищенной сети на основе внедрения новых программно-аппаратных комплексов защиты информации по открытым каналам связи (далее - ПАК), а также интеграция ПАК с имеющимся программным обеспечением ViPNet Coordinator, ViPNet Client;
· формирование в ЦА, ГМЦ Росстата и ТОГС Росстата выделенных защищенных сетей, внутри которых будет осуществляться передача конфиденциальной информации, в том числе персональных данных.
Рис. 4. Схема организации защищенных сетей Росстата
В рамках развертывания защищенной сети федерального уровня проводится следующие работы:
1. Установку оборудования и настройку параметров двух ПАК федерального уровня в ЦА и ГМЦ Росстата вместо установленных программных комплексов ViPNet Coordinator 2.8, в том числе:
· Установку ПАК и настройку параметров IP- адресации;
· Настройку ПАК федерального уровня в качестве криптошлюзов в существующей ViPNet-сети № 355 для защиты информации при передаче данных в корпоративной сети Росстата.
2. Обновление версии существующего программного обеспечения ViPNet Coordinator до версии 3.х[1] в восьмидесяти двух ТОГС Росстата.
3. Установку и настройку ста (100) комплектов ПО ViPNet Client версии 3.x в ЦА, ГМЦ Росстата.
4. Обновление ПО ViPNet Client до версии 3.x на АРМ Администратора безопасности в ЦА Росстата.
5. Конфигурирование ViPNet-сети № 355, в том числе настройку взаимодействия восьмидесяти двух ViPNet Coordinator 3.х. в ТОГС Росстата с ПАК федерального уровня в ЦА и ГМЦ Росстата в соответствии с требованиями Заказчика.
В рамках развертывания ViPNet-сетей регионального уровня, расположенных в восьмидесяти двух (82) ТОГС, проводятся следующие работы:
1. Установка (обновление) нового ПО ViPNet Coordinator версии 3.x – 82 (восемьдесят два) комплекта в ТОГС Росстата.