Вы здесь:  / Юридические справки / Методический документ фстэк меры защиты информации

Методический документ фстэк меры защиты информации

Приложение 1. к Мерам защиты информации в государственных информационных системах | ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ПРИМЕНЯЕМЫЕ ДЛЯ ЦЕЛЕЙ НАСТОЯЩЕГО МЕТОДИЧЕСКОГО ДОКУМЕНТА

Приложение N 1
к Мерам защиты информации
в государственных
информационных системах

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ,
ПРИМЕНЯЕМЫЕ ДЛЯ ЦЕЛЕЙ НАСТОЯЩЕГО МЕТОДИЧЕСКОГО ДОКУМЕНТА

Администратор [системный, безопасности]: пользователь, уполномоченный выполнять некоторые действия (имеющий полномочия) по администрированию (управлению) информационной системы (администратор системный) и (или) ее системы защиты информации (администратор безопасности) в соответствии с установленной ролью.

Анализ уязвимостей: мероприятия по выявлению, идентификации и оценке уязвимостей информационной системы в интересах определения возможности реализации угроз безопасности информации и способов предотвращения ущерба.

Аутентификационная информация [информация аутентификации]: информация, используемая для установления подлинности (верификации) субъекта доступа в информационной системе.

Аутентификация: проверка принадлежности субъекту доступа предъявленного им идентификатора (подтверждение подлинности субъекта доступа в информационной системе).

Базовый набор мер защиты информации: минимальный набор мер защиты информации, установленный для соответствующего класса защищенности информационной системы.

Виртуализация: технология преобразование формата или параметров программных или сетевых запросов к компьютерным ресурсам с целью обеспечения независимости процессов обработки информации от программной или аппаратной платформы информационной системы.

Виртуальная машина: вычислительная система, эмулируемая с помощью технологии виртуализации, в которой установлена гостевая операционная система и обеспечивается выполнение прикладного программного обеспечения.

Внешняя информационная система: информационная система, взаимодействующая с информационной системой оператора из-за пределов границ информационной системы оператора.

Внешняя информационно-телекоммуникационная сеть: информационно-телекоммуникационная сеть, взаимодействующая с информационной системой оператора из-за пределов границ информационной системы оператора.

Временный файл: файл, создаваемый операционной системой или иным программным обеспечением для сохранения промежуточных результатов в процессе функционирования или передачи данных другому программному обеспечению.

Гипервизор: программа (программное обеспечение), создающая среду функционирования других программ (в том числе других гипервизоров) за счет имитации аппаратных средств вычислительной техники, управления данными средствами и гостевыми операционными системами, функционирующими в данной среде.

Гостевая операционная система: операционная система, установленная на виртуальной машине.

Демилитаризованная зона: экранированный сегмент информационной системы, размещенный на ее внешней границе и выполняющий функции "нейтральной зоны" (буферной зоны безопасности) между защищаемой информационной системой оператора и внешней информационной системой или информационно-телекоммуникационной сетью.

Доверенная загрузка: загрузка операционной системы средства вычислительной техники с заранее определенных постоянных машинных носителей при обязательном успешном прохождении процедур проверки целостности программной и аппаратной среды и идентификации и аутентификации.

Доверенный канал: механизм взаимодействия между средствами защиты информационной системы или между средством защиты информации и программным обеспечением информационной системы.

Доверенный маршрут: механизм взаимодействия между субъектом доступа и средством защиты информации информационной системы.

Доступность информации: свойство безопасности информации, при котором субъекты доступа, имеющие права доступа, могут беспрепятственно их реализовать.

Защищенные линии связи: линии (каналы) связи, при передаче информации по которым обеспечивается требуемый уровень ее защищенности (конфиденциальность, целостность и (или) доступность информации).

Читать дальше:  На сколько лет выдается водительское удостоверение

Идентификатор: представление (строка символов), однозначно идентифицирующее субъект и (или) объект доступа в информационной системе.

Идентификация: присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.

Информационная система: совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Инцидент: непредвиденное или нежелательное событие (группа событий) безопасности, которое привело (могут привести) к нарушению функционирования информационной системы или возникновению угроз безопасности информации (нарушению конфиденциальности, целостности, доступности).

Компонент программного обеспечения: составная часть (программный модуль) программного обеспечения, выполняющая определенную функцию.

Компонент информационной системы: часть информационной системы, включающая некоторую совокупность информации и обеспечивающих ее обработку отдельных информационных технологий и технических средств.

Контролируемая зона: пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, а также транспортных, технических или иных средств.

Конфиденциальность информации: свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право.

Локальный доступ: доступ субъектов доступа к объектам доступа, осуществляемый непосредственно через подключение (доступ) к компоненту информационной системы или через локальную вычислительную сеть (без использования информационно-телекоммуникационной сети).

Многофакторная аутентификация: аутентификация с использованием двух (двухфакторная) или более различных факторов аутентификации.

Мобильный код: несамостоятельное программное обеспечение или компонент программного обеспечения (скрипты, макросы, иные компоненты) получаемые из мест распространения мобильного кода, передаваемые по сети и выполняемые на компонентах информационной системы (в местах использования мобильного кода) без предварительной установки (инсталляции) пользователем для расширения возможностей системного и (или) прикладного программного обеспечения.

Непривилегированная учетная запись: учетная запись пользователя (процесса, выполняемого от его имени) информационной системы.

Объект доступа: единица информационного ресурса информационной системы (файл, техническое средство, узел сети, линия (канал) связи, мобильное устройство, программа, том, каталог, запись, поле записей и иные объекты), доступ к которой регламентируется правилами разграничения доступа и по отношению к которой субъекты доступа выполняют операции.

Оператор информационной системы: гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Отказ в обслуживании: препятствие санкционированному доступу к ресурсам информационной системы или задержка операций и функций информационной системы.

Периметр информационной системы: физическая и (или) логическая граница информационной системы (сегмента информационной системы), в пределах которой оператором обеспечивается защита информации в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации.

Пользователь: лицо, которому разрешено выполнять некоторые действия (операции) по обработке информации в информационной системе или использующее результаты ее функционирования.

Потенциал нарушителя: мера усилий, затрачиваемых нарушителем при реализации угроз безопасности информации в информационной системе.

Привилегированная учетная запись: учетная запись администратора информационной системы.

Программная среда: совокупность программного обеспечения, используемого в информационной системе для решения одной или нескольких задач.

Читать дальше:  Лишение свободы без ограничения свободы это как

Роль: предопределенная совокупность правил, устанавливающих допустимое взаимодействие между пользователем и информационной системой.

Сегмент информационной системы: совокупность нескольких компонентов информационной системы, использующих общую (в том числе разделяемую) среду передачи и объединенных для единства решения функциональных задач.

Событие безопасности (информационной): идентифицированное возникновение состояния информационной системы (сегмента, компонента информационной системы), сервиса или сети, указывающее на возможное нарушение безопасности информации, или сбой средств защиты информации, или ранее неизвестную ситуацию, которая может быть значимой для безопасности информации.

Субъект доступа: пользователь, процесс, выполняющие операции (действия) над объектами доступа и действия которых регламентируются правилами разграничения доступа.

Техническое средство: аппаратное или программно-аппаратное устройство, осуществляющее формирование, обработку, передачу или прием информации в информационной системе.

Технологии мобильного кода: реализованные в программном обеспечении процессы создания и использования мобильного кода (в частности технологии Java, JavaScript, ActiveX, VBScript).

Удаленный доступ: процесс получения доступа (через внешнюю сеть) к объектам доступа информационной системы из другой информационной системы (сети) или со средства вычислительной техники, не являющегося постоянно (непосредственно) соединенным физически или логически с информационной системой, к которой он получает доступ.

Управление доступом: ограничение и контроль доступа субъектов доступа к объектам доступа в информационной системе в соответствии с установленными правилами разграничения доступа.

Устройство: конструктивно законченный технический элемент, имеющий определенное функциональное назначение в информационной системе.

Уязвимость "нулевого дня": уязвимость, которая становится известной до момента выпуска разработчиком программного обеспечения информационной системы мер защиты информации по ее устранению, исправлений ошибок или соответствующих обновлений.

Уязвимость информационной системы: недостаток (слабость) информационной системы, который (которая) создает потенциальные или реально существующие условия для реализации или проявления угроз безопасности информации.

Хостовая операционная система: операционная система, в среде которой функционирует гипервизор.

Целостность информации: свойство безопасности информации, при котором отсутствует любое ее изменение либо изменение субъектами доступа, имеющими на него право.

Меры по защите информации на объекте информатизации. Использование средств защиты информации. Реестр ФСТЭК России.

Цель: получение навыка формирования оптимального набора мер по защите информации на объекте информатизации и использования реестра сертифицированных средств защиты информации.

Защита информации , обрабатываемой на объекте информатизации, является составной частью работ по созданию и эксплуатации объекта информатизации и должна обеспечиваться на всех стадиях жизненного цикла : от создания до вывода из эксплуатации с учетом требований нормативно-правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов в области защиты информации. Защита информации осуществляется путем принятия организационных и технических мер по защите информации, направленных на блокирование (нейтрализацию) угроз безопасности информации.

Организационные и технические меры по защите информации должны быть направлены на исключение :

  • неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • неправомерного блокирования информации (обеспечение доступности информации).
Читать дальше:  Налоговый вычет при продаже квартиры пенсионером

На основании методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11.02.2014, выбор мер защиты информации осуществляется исходя из класса защищенности автоматизированной системы и угроз безопасности информации, включенных в модель угроз, а также с учетом структурно-функциональных характеристик объекта информатизации, к которым относятся структура и состав объекта информатизации, физические, логические, функциональные и технологические взаимосвязи между элементами объекта информатизации, либо его сегментами, взаимосвязи с другими объектами информатизации и информационными системами, а также информационно — телекоммуникационными сетями, режимы обработки информации на объекте информатизации, применяемые информационные технологии и особенности его функционирования. Меры защиты информации, выбираемые для реализации, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз безопасности информации.

Выбор мер защиты информации для их реализации в государственной информационной системе включает:

  1. Определение базового набора мер защиты информации для установленного класса защищенности информационной системы.
  2. Адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы.
  3. Уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в модель угроз безопасности информации.
  4. Дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.

При невозможности реализации в государственной информационной системе в рамках ее системы защиты информации отдельных выбранных мер по защите информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации, что определено в методическом документе "Меры защиты информации в государственных информационных системах", утвержденном ФСТЭК России 11.02.2014.

11.02.2014 00:00 Методический документ "Меры защиты информации в государственных информационных системах" (утв. ФСТЭК РФ 11 февраля 2014 г.)

Методический документ детализирует организационные и технические меры защиты информации (далее — меры защиты информации), принимаемые в государственных информационных системах (далее — информационные системы) в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. N 17 (зарегистрирован Минюстом России 31 мая 2013 г., рег. N 28608), а также определяет содержание мер защиты информации и правила их реализации

Добавить комментарий

Your email address will not be published. Required fields are marked ( Обязательно )

Adblock detector