Требования ФСТЭК по защите информации и информационная безопасность

Цели регулирования 

ФСТЭК устанавливает правила, вырабатывает методики и стандарты, которые должны соблюдать все, кто работает с данными или создает ПО для их защиты, а также регулирует использование облачных сервисов, мобильных приложений и интернета вещей.

Чтобы противостоять киберугрозам, ведомство регулярно обновляет данные об уязвимостях, проводит экспертизы и разрабатывает новые рекомендации для аттестации и сертификации оборудования, программ и средств защиты информации (СЗИ).

Соблюдать требования регулятора обязаны все, кто:

• собирает и обрабатывает ПД;

• работает с секретной информацией;

• оказывает услуги ИБ и хочет получить лицензию на техсредства;

• занимается передачей данных через интернет.

Несоблюдение требований противозаконно.

Нормативно-правовая база

ФСТЭК опирается на Конституцию РФ и руководствуется законами. В первую очередь это Федеральный закон «О защите информации», который определяет основные принципы и методы безопасности данных.

Организация действует на основании Указа Президента № 1085, который определяет ее обязанности и границы полномочий. Ведомство разрабатывает и выпускает собственные правовые документы: обязательные или рекомендательного характера.

Приказы и методические документы ФСТЭК по защите информации

Федеральная служба разрабатывает приказы и методички, которые регулируют практическое применение мер по ИБ. Например, Приказ № 17 определяет правила работы с данными в государственных ИС, если они не содержат гостайну.

Методика, разработанная ведомством для выявления актуальных угроз безопасности персональных данных, и Приказ № 21 применимы к операторам персональных данных. А Приказ о порядке проведения аттестации СЗИ определяет условия получения сертификата и процедуры, которым нужно следовать.

Существует множество руководящих документов, инструкций и методик. Все они регулярно обновляются и публикуются на официальном сайте ФСТЭК, и их необходимо строго соблюдать как частным, так и государственным организациям.

Рекомендации по технической защите данных

Для организации безопасности данных ФСТЭК рекомендует использование:

• межсетевых экранов, которые фильтруют информацию в соответствии с заданными параметрами;

• системы обнаружения, предотвращения и анализа вторжений для защиты сетей от несанкционированного доступа;

• антивирусные программы, которые обнаруживают, блокируют и нейтрализуют вредоносное ПО;

• средств доверенной загрузки для запуска операционной системы только с доверенных носителей информации;

• контроль за съемными носителями, чтобы избежать утечки данных через USB-флешки, карты памяти, внешние жесткие диски.

Сюда же относится необходимость шифрования данных, применение средств контроля доступа и систем аутентификации; регулярное обновление ПО.

Классы средств защиты данных от ФСТЭК

Чтобы упростить выбор СЗИ и определить, какие из них подходят для конкретной системы, их классифицируют по уровням защиты. Ведомство выделяет семь классов защищенности.

Первый класс — самый высокий уровень, предназначен для госучреждений и крупных компаний с конфиденциальными данными. СЗИ включают многоуровневую систему безопасности, состоящую из физических и технических мер.

Седьмой класс (третий класс для госструктур) — минимальный уровень. Эти СЗИ обеспечивают базовую защиту данных и подходят для небольших организаций с незначительными объемами данных.

Класс защищенности подтверждается сертификатом ФСТЭК.

Требования и меры ФСТЭК по защите информации

Ведомство устанавливает ряд требований к организациям в области ИБ, которые касаются как технических, так и организационных мер.

О том, на какие устройства и на кого из сотрудников компании распространяются регламенты, мы рассказывали в этой статье.

Федеральная служба предлагает явный и неявный контроль доступа. Явный контроль подразумевает установку паролей и аутентификацию, неявный — мониторинг системных журналов и анализ поведения пользователей.

Нужно проводить регулярные оценки рисков и аттестацию СЗИ. Это позволяет своевременно выявлять уязвимости и принимать меры по их устранению.

В каждой компании должна быть четкая политика безопасности с инструкциями и процедурами обработки и хранения данных. Важно разделить информацию на категории, так проще определить уровень ее защищенности.

Еще одной ключевой мерой является обучение сотрудников основам информационной безопасности.

Требования к программным продуктам

Компании, которые собирают и обрабатывают персональные данные, должны использовать только сертифицированные СЗИ (Приказ № 21). Это же правило распространяется на государственные информационные системы (Приказ № 17).

ФСТЭК проводит сертификацию программного обеспечения, проверяя его на соответствие стандартам безопасности. Программные продукты должны соответствовать требуемому классу защищенности и иметь следующие функции:

• идентификация и проверка подлинности пользователей и мобильных устройств;

• шифрование данных — преобразование конфиденциальных сведений в закодированную форму, недоступную без специального ключа дешифрования;

• контроль доступа к информации и ее разграничение;

• контроль подключения съемных носителей;

• запрет на установку пользователями сторонних программ;

• ограничение программной среды — возможность запуска процессов и программ независимо друг от друга;

• сбор и анализ информации об инцидентах безопасности для формирования отчетов;

• предотвращение нежелательной электронной почты, мониторинг исходящего трафика;

• проверка корректности вводимых в систему сведений;

• реагирование на ошибки пользователей и отслеживание подозрительных действий;

• защита облачной среды.

Важным требованием является наличие регулярных обновлений с исправлениями безопасности. Программное обеспечение должно быть адаптировано к новым угрозам и уязвимостям, которые могут появляться со временем.

Сервис Staffcop Enterprise отслеживает и анализирует операции с данными на съемных устройствах. Регистрирует все действия пользователей и сигнализирует о подозрительной активности. Может фильтровать данные и отправлять уведомления по ключевым словам, а также полностью или частично блокировать использование USB-накопителей.

Лицензирование деятельности по технической защите информации

Организации, которые собираются разрабатывать, внедрять и обслуживать СЗИ, должны получить соответствующие лицензии ФСТЭК. Отказ от лицензии может повлечь проверки, а они, в свою очередь, станут основанием для приостановки работы, не говоря о штрафах.

Подробная информация содержится в нормативных документах ФСТЭК.

Сертифицированные средства защиты ФСТЭК

Сертификация подтверждает соответствие СЗИ требованиям безопасности, установленным нормативными актами (Приказ № 55 «Положения о системе сертификации СЗИ»). Тестирование и выдача экспертных заключений выполняются специальными испытательными лабораториями.

Процесс сертификационных испытаний включает в себя:

• оценку параметров и характеристик СЗИ на соответствие требованиям безопасности;

• проверку организации техподдержки при эксплуатации средства защиты;

• оценку соответствия производственных процессов для серийного производства СЗИ, подтверждающую неизменность параметров и характеристик;

• в ходе анализа разработки программно-технических решений по защите данных оценивается, насколько заявитель соблюдает установленные правила безопасной разработки ПО.

Сертификат действует не более пяти лет. По истечении этого срока нужно подать заявку на его продление.

Программный комплекс Staffcop Enterprise получил сертификат ФСТЭК № 4234 от 15 апреля 2020 года, переоформленный 4 июля 2022 года. Сервис может быть интегрирован в автоматизированные системы (АС) с уровнем защиты до 1Г, информационные системы персональных данных (ИСПДн) и государственные информационные системы (ГИС).

Госреестр средств защиты информации

Все программы, которые успешно прошли сертификацию ФСТЭК и получили необходимые лицензии, попадают в Государственный реестр средств защиты информации.

Этот реестр постоянно обновляется и находится в открытом доступе. В нем есть сведения о лицензиях, разрешениях, аккредитации и сертификатах. Компании, которым нужно выбрать подходящее СЗИ, могут им воспользоваться.

Заключение

Чтобы организовать безопасную работу с данными, избежать утечек и неправомерного доступа, нужно использовать средства защиты информации, которые соответствуют нормам ФСТЭК.

Staffcop Enterprise — это система, которая помогает обеспечить информационную безопасность и контроль над сотрудниками как в больших коммерческих компаниях, так и в государственных организациях. На нашем сайте вы можете бесплатно скачать и протестировать ознакомительную версию программы.

Мы предоставляем 15 дней на бесплатное тестирование. Оцените полный функционал Staffcop Enterprise прямо сейчас.