Приказ Федеральной налоговой службы от 6 апреля 2021 г. N ЕД-7-24/298@ “О внесении изменений в Концепцию информационной безопасности Федеральной налоговой службы”
В целях реализации положений Федеральных законов от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", связанных с указанными федеральными законами нормативными правовыми актами Российской Федерации и обеспечения безопасности информации в налоговых органах приказываю:
1. Утвердить Концепцию информационной безопасности Федеральной налоговой службы (далее - Концепция) в редакции согласно приложению к настоящему приказу.
2. Начальникам (исполняющим обязанности начальника) структурных подразделений центрального аппарата ФНС России, руководителям (исполняющим обязанности руководителя) территориальных органов ФНС России и организаций, находящихся в ведении ФНС России, обеспечить соблюдение её требований в практической работе.
3. Признать утратившими силу приказы ФНС России от 13.01.2012 N ММВ-7-4/6@ "Об утверждении Концепции информационной безопасности Федеральной налоговой службы" и от 26.05.2015 N ПА-7-6/213@ "О внесении изменений в Концепцию информационной безопасности Федеральной налоговой службы".
4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя Федеральной налоговой службы, координирующего вопросы организации обеспечения мероприятий и работ по комплексной защите информации на всех этапах технологических циклов её создания, переноса на носитель, обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности, контроля за эффективностью предусмотренных мер защиты конфиденциальной информации в налоговых органах, а также обеспечения работы ведомственного Удостоверяющего центра.
Руководитель Федеральной налоговой службы |
Д.В. Егоров |
УТВЕРЖДЕНА
приказом ФНС России
от "___" _________2021 г.
N__________________
Концепция информационной безопасности ФНС России
Термины и сокращения
Аудит, Аудит ИБ | - | документированный процесс получения свидетельств аудита и объективной оценки с целью определить степень выполнения в организации установленных требований по обеспечению информационной безопасности |
---|---|---|
Аутсорсинг | - | деятельность по обслуживанию ИС ФНС России, передаваемая для выполнения другой организации |
ВЦ ФНС России | - | Ведомственный центр ФНС России |
Защита информации | - | деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию |
ИБ | - | информационная безопасность |
ИС | - | информационная система; совокупность содержащейся в базах данных информации и обеспечивающих её обработку информационных технологий и технических средств, зарегистрированные в соответствии с законодательством Российской Федерации |
ИР | - | информационный ресурс; совокупность информации, в отношении которой организационно-распорядительными документами установлен определённый режим, включающий порядок включения информации в состав информационного ресурса, а также порядок и условия её использования (предоставления, распространения) |
Компонент ИС | - | элемент информационной системы, представляющий собой законченное изделие |
НАС | - | неавтоматизированные системы |
Несанкционированное воздействие | воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации | |
Риск, Риск ИБ | - | возможность того, что угроза может быть реализована в отношении актива или группы активов и тем самым нанесёт ущерб ФНС России |
СиЗИ | - | система защиты информации |
Средство защиты информации | - | техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации |
СОБИ | - | система обеспечения безопасности информации |
СУИБ | - | система управления информационной безопасностью |
ТЗ | - | техническое задание |
Требование, Требование ИБ | - | установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации |
Угроза, Угроза ИБ | - | совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации |
Уязвимость | - | свойство информационной системы, обусловливающее возможность реализации угроз безопасности, обрабатываемой в ней информации |
ФГИС "ЕГР ЗАГС" | - | федеральная государственная информационная система ведения Единого государственного реестра записей актов гражданского состояния |
ФИАС | - | федеральная информационная адресная система |
ЦОД | - | центр обработки данных |
ЦУБИ | - | Центр управления безопасностью информации |
I. Общие положения
I.1. Назначение Концепции
Настоящая Концепция информационной безопасности ФНС России определяет систему взглядов на вопросы обеспечения безопасности информации в ФНС России, в том числе при осуществлении информационного взаимодействия налоговых органов между собой, с федеральными органами государственной власти, при оказании государственных услуг юридическим и физическим лицам. Концепция представляет собой систематизированное изложение целей, задач, принципов построения, организационных и технических аспектов обеспечения информационной безопасности.
Нормативные и организационно-распорядительные документы ФНС России, затрагивающие вопросы ИБ ФНС России, должны разрабатываться с учётом положений настоящей Концепции и не противоречить им.
I.2. Область применения Концепции
Положения Концепции предназначены для использования в практической деятельности должностных лиц, ответственных за создание, обеспечение функционирования и использование информационных систем ФНС России, в том числе ИС, для которых ФНС России определён как оператор в соответствии с федеральным законодательством или постановлениями Правительства Российской Федерации.
Положения Концепции должны учитываться при обеспечении электронного взаимодействия со сторонними организациями. Дополнительные или взаимно оговорённые сторонами требования по защите не должны ослаблять уровень ИБ ИС ФНС России.
Концепция является методологической основой:
- при формировании политики ИБ ФНС России;
- при разработке и совершенствовании документов методического и организационного обеспечения безопасности информации;
- при выработке лицами, ответственными за реализацию политики ИБ, взаимосвязанных и согласованных мер защиты организационного и технического характера;
- при разработке уполномоченными лицами ФНС России и проектными организациями предложений по созданию и развитию ИС ФНС России;
- при принятии должностными лицами ФНС России управленческих решений по реализации выработанной политики ИБ;
- при определении функций и обязанностей сотрудников ФНС России в сфере обеспечения безопасности информации;
- при координации деятельности налоговых органов, учреждений и организаций, подведомственных ФНС России, по созданию, развитию и эксплуатации ИС налоговых органов;
- при разработке замысла защиты информации в ИС налоговых органов, архитектуры системы обеспечения безопасности информации;
- при разработке технических заданий на создание (модернизацию) ИС и объектов информатизации ФНС России;
- при разработке Моделей угроз и нарушителей информационной безопасности ИС и их отдельных сегментов и компонент.
I.3. Правовая основа обеспечения ИБ ФНС России
Правовой основой обеспечения ИБ являются положения Конституции Российской Федерации, федеральных законов, указов Президента Российской Федерации, постановлений и распоряжений Правительства Российской Федерации, нормативных правовых актов и методических документов ФСТЭК России и ФСБ России по вопросам защиты информации.
Базовыми законами в области обеспечения ИБ являются:
- Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации",
- Закон Российской Федерации от 21.07.1993 N 5485-1 "О государственной тайне",
- Налоговый кодекс Российской Федерации (далее - НК РФ),
- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных",
устанавливающие необходимость защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
Особое место в правовой основе обеспечения ИБ занимают:
- постановление Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (далее - Постановление N 1119);
- приказ ФСТЭК России от 11.02.2013 N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" (далее - приказ ФСТЭК N 17);
- приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - приказ ФСТЭК N 21);
- постановление Правительства Российской Федерации от 03.11.1994 N 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности";
- Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи".
Необходимо так же учитывать, что одним из направлений государственной политики в сфере информатизации является формирование и защита информационных ресурсов государства, как национального достояния.
I.4. Ответственность за реализацию положений Концепции
За реализацию положений Концепции отвечают лица, входящие в организационную структуру системы обеспечения безопасности информации ФНС России, в том числе (но не ограничиваясь):
- структурные подразделения центрального аппарата ФНС России (далее - ЦА ФНС России)
- налоговые органы и подведомственные организации ФНС России;
- разработчики ИС и объектов информатизации ФНС России.
Ответственность за реализацию положений Концепции конкретизируется в правовых и организационно-распорядительных документах ФНС России, а также должностных регламентах (инструкциях).
II. Цели и задачи Концепции
II.1. Цели обеспечения безопасности информации
Современный этап развития систем обеспечения информационной безопасности государства и общества основан на принципе гарантированной защиты информации для обеспечения:
- защиты прав и законных интересов физических и юридических лиц, общества и государства;
- необходимого уровня безопасности информации, подлежащей защите;
- защищённости систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи информации).
Ключевым моментом политики государства в данной области является вывод о необходимости защиты информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу.
Таким образом, главной целью обеспечения безопасности информации в ФНС России является предотвращение или минимизация ущерба (прямого или косвенного, материального, репутационного или иного) субъектам правоотношений посредством деструктивного воздействия на информацию, обрабатываемую в ФНС России, её носителям и технологическим процессам обработки информации.
Основными целями обеспечения безопасности информации являются:
- выполнение требований законодательства в сфере обеспечения безопасности информации, в том числе нормативных правовых актов ФСТЭК России и ФСБ России;
- предотвращение несанкционированного доступа к информации и техническим средствам, используемым для её обработки;
- обеспечение доступности информации и предотвращение последствий нарушения порядка доступа к ней;
- предотвращение нарушений прав субъектов при обработке информации;
- недопущение деструктивного воздействия на информацию.
II.2. Основные задачи обеспечения безопасности информации
Основными задачами, вытекающими из целей обеспечения безопасности информации в ФНС России, являются:
- выявление угроз ИБ и определение вероятности их реализации (актуальности), управление рисками ИБ;
- совершенствование политики ИБ ФНС России при создании и внедрении ИС ФНС России;
- обеспечение соответствия мер и средств защиты информации в налоговых органах и подведомственных организациях ФНС России положениям нормативных документов по безопасности информации;
- совершенствование нормативных правовых актов и организационно-распорядительных документов ФНС России в области обеспечения ИБ, координация деятельности налоговых органов по защите информации;
- информационная поддержка принятия управленческих решений по вопросам информационной безопасности ЦА ФНС России, создание системы управления информационной безопасностью;
- защита от вмешательства в процесс функционирования информационных систем ФНС России посторонних лиц, совершенствование СОБИ, её организации, форм и методов предотвращения и нейтрализации угроз ИБ, ликвидации последствий их реализации;
- предотвращение, в том числе с использованием организационно-правовых мер и технических средств защиты информации, несанкционированных действий и незаконных посягательств на активы информационной безопасности налоговых органов и подведомственных организаций ФНС России со стороны посторонних лиц и пользователей ИС ФНС России, не имеющих соответствующих полномочий;
- регистрация событий, влияющих на безопасность информации, оперативный анализ информации о таких событиях и своевременное выявление инцидентов ИБ и реагирование на них, обеспечение полной подконтрольности и подотчётности выполнения всех операций, совершаемых в ИС налоговых органов;
- обеспечение возможности восстановления актуального состояния ИС ФНС России при нарушении ИБ.
II.3. Принципы обеспечения информационной безопасности
1. Принцип законности:
Проведение защитных мероприятий должно соответствовать требованиям законодательства Российской Федерации в области информации, информационных технологий и защиты информации, с применением всех законных методов обнаружения и пресечения нарушений при работе с информацией. Принятые меры защиты не должны препятствовать законному доступу граждан и организаций к информации о деятельности ФНС России.
2. Принцип системности и комплексности:
Системный подход к обеспечению информационной безопасности предполагает учёт всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, внешних и внутренних условий и факторов, значимых для понимания и решения задач обеспечения безопасности информационных ресурсов ФНС России. Должны учитываться все слабые и наиболее уязвимые места объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России. Комплексное использование методов и средств защиты предполагает их согласованное применение, перекрывающие возможность реализации всех актуальных угроз.
3. Принцип максимальной дружественности:
Противодействие угрозам информационной безопасности всегда носит недружественный характер по отношению к пользователям и обслуживающему персоналу объекта информатизации, так как всегда налагает ограничения организационного и технического характера. Средства обеспечения ИБ должны быть максимально совместимы с используемыми программными и аппаратными платформами информационных систем ФНС России и, по возможности, учитывать сложившиеся правила и принципы обмена информационными потоками.
4. Принцип превентивности:
Обеспечение ИБ в первую очередь должно быть нацелено на предупреждение реализации угроз информационной безопасности, а не на обнаружение последствий их проявления, которое может потребовать значительных финансовых и временных затрат.
5. Принцип адекватности и непрерывности:
Методы защиты должны быть дифференцированы в зависимости от важности, частоты и вероятности возникновения угроз информационной безопасности и степени конфиденциальности информации. Обеспечение защиты информации должно осуществляться непрерывно и целенаправленно, начиная от стадии проектирования, и на протяжении всего жизненного цикла объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России.
6. Принцип адаптивности:
ИБ должна обеспечиваться с учётом возможного изменения конфигурации информационных систем ФНС России, числа пользователей, степени конфиденциальности и ценности информации. При этом введение каждого нового элемента информационной системы или изменение действующих условий не должно снижать достигнутый уровень защищённости в целом.
7. Принцип доказательности и своевременности контроля:
Должны соблюдаться организационные меры защиты и применяться специальные аппаратно-программные средства идентификации, аутентификации и подтверждения подлинности информации. Необходимо обеспечивать обязательность и своевременность выявления, сигнализации и пресечения попыток нарушения установленных правил защиты.
8. Принцип самозащиты и конфиденциальности:
Должна соблюдаться конфиденциальность реализованных механизмов защиты информации. Указанный принцип требует реализацию контроля целостности информационных систем налоговых органов, управления безопасностью через администратора безопасности, реализации возможности восстановления средств защиты информации.
9. Принцип нескольких уровней защиты:
Необходимо реализовывать защиту информации на всех уровнях реализации угроз. Защита должна строиться эшелонировано, и иметь несколько последовательных, взаимно перекрывающихся рубежей так, чтобы наиболее важная зона безопасности находилась внутри других зон. Все рубежи защиты должны быть равнопрочными к реализации угрозы.
10. Принцип простоты применения:
Необходимо использовать защитные средства, для которых формально или неформально возможно доказать корректность исполнения защитных функций, проверить согласованность конфигурации различных компонентов и осуществить централизованное администрирование. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано с выполнением действий, требующих значительных трудозатрат или малопонятных для пользователя действий (операций).
11. Принцип преемственности и совершенствования:
Обеспечение ИБ необходимо постоянно совершенствовать на основе преемственности принятых ранее решений, анализа функционирования с учётом лучшего опыта в области защиты информации.
12. Принцип персональной ответственности и минимизации прав:
Необходимо определение прав и ответственности каждого пользователя (в пределах полномочий) за обеспечение информационной безопасности. Распределение прав и ответственности должно в случае любого нарушения позволять определить круг виновных. Средства защиты должны иметь возможность выделять пользователям и администраторам те права доступа, которые необходимы им для выполнения служебных обязанностей.
13. Принцип разделения обязанностей:
Необходимо обеспечивать разделение обязанностей и ответственности между сотрудниками ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, исключающее возможность нарушения критически важных для ФНС России процессов или создания уязвимости в защите одним пользователем.
14. Принцип разумной достаточности:
Необходимо соблюсти соответствие требуемого уровня затрат на обеспечение информационной безопасности, ценности информационных ресурсов и величины возможного ущерба субъектам, интересы которых затрагиваются в результате нарушения конфиденциальности, целостности и доступности информации. Необходимо правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.
15. Принцип централизации:
Функции по защите информации и компоненты систем защиты информации должны быть максимально централизованы, то есть в случае необходимости для обеспечения решения конкретных задач должны использоваться минимальные ресурсы (как человеческие, так и инфраструктурные).
III. Объекты защиты
III.1. Информация, как объект права
ФНС России обеспечивает в пределах своей компетенции защиту сведений, составляющих охраняемую законом тайну, а также контроль и координацию деятельности по защите таких сведений в налоговых органах и подведомственных организациях ФНС России.
ИР ФНС России, а также иные имеющиеся в распоряжении ФНС России сведения и документы являются государственными ИР. Они формируются в процессе деятельности ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России.
III.2. Информация, как объект защиты
III.2.1. Классификация информации
Под информацией ФНС России подразумевается информация (в том числе документированная), созданная ФНС России в пределах её полномочий, либо поступившая в ФНС России. К информации о деятельности ФНС России относятся также законы и иные нормативные правовые акты.
В силу своих полномочий, определённых НК РФ (части 1 и 2), Федеральным законом от 08.08.2001 N 129-ФЗ "О государственной регистрации юридических лиц и индивидуальных предпринимателей", Федеральным законом от 15.11.1997 N 143-ФЗ "Об актах гражданского состояния" ФНС России имеет право на:
- получение информации от налогоплательщиков, органов государственной власти;
- получение информации от органов записи актов гражданского состояния о регистрации актов гражданского состояния в отношении граждан Российской Федерации и иных лиц;
- получение сведений о населении Российской Федерации, формируемых органами государственной власти Российской Федерации, органами управления государственными внебюджетными фондами в соответствии с их полномочиями, установленными федеральными законами, в государственных информационных системах;
- ведение сведений об адресах и о реквизитах документов о присвоении, об изменении, аннулировании адресов;
- ведение реестров и баз данных, как на бумажных носителях, так и в электронном виде;
- обработку и анализ полученной информации;
- архивное хранение информации, собранной от различных источников;
- передачу и распространение информации.
Информация Службы подразделяется (Рисунок 1. Классификация информации):
- на общедоступную;
- на информацию ограниченного доступа и распространения, то есть. информацию, доступ к которой ограничен федеральными законами.
Рисунок 1. Классификация информации
III.2.2. Общедоступная информация
В соответствии с Федеральным законом от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации" к общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. В частности, к общедоступной информации относятся:
- нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение и полномочия ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России в форме государственных учреждений либо унитарных предприятий;
- информация о деятельности ФНС России, а также об использовании бюджетных средств (за исключением сведений, составляющих государственную тайну, или иную охраняемую федеральным законом информацию);
- информация, накапливаемая в открытых информационных системах ФНС России, в том числе сети "Интернет", созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой информацией, размещаемая в целях информирования налогоплательщиков;
- иная информация, недопустимость ограничения доступа к которой установлена федеральными законами.
В соответствии с законодательством Российской Федерации общедоступная информация ЦА ФНС России, налоговых органов и подведомственных ФНС России организаций в зависимости от порядка её предоставления или распространения подразделяется:
- на информацию, свободно распространяемую (публичная);
- на информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях (служебная общедоступная информация).
К свободно распространяемой информации относится:
- обнародованная (опубликованная) ФНС России информация о своей деятельности в средствах массовой информации;
- размещённая ФНС России информация о своей деятельности в сети "Интернет";
- размещённая ФНС России информация о своей деятельности в помещениях, занимаемых Службой, и в иных отведённых для этих целей местах;
- информация, доведённая до присутствующих граждан (физических лиц), в том числе представителей организаций (юридических лиц), общественных объединений, государственных органов и органов местного самоуправления, на заседаниях коллегиальных государственных (местного самоуправления) органов.
К служебной общедоступной информации ФНС России относятся сведения, содержащиеся в документах, образующихся и используемых в делопроизводстве ЦА ФНС России, налоговых органов и подведомственных ФНС России организаций всех уровней системы управления и подведомственных организаций в форме государственных учреждений либо унитарных предприятий (приказы, положения, правила, инструкции, регламенты, постановления (коллегии федерального органа исполнительной власти), протоколы заседаний (совещательных, координационных, экспертных и других органов), акты, аналитические справки, докладные и служебные записки, договоры (контракты, соглашения), деловая (служебная) переписка, решения и др.), не относящиеся к информации ограниченного распространения или информации ограниченного доступа.
В соответствии с Методическими рекомендациями по разработке инструкций по делопроизводству в государственных органах, органах местного самоуправления, утверждённых приказом Росархива от 24.12.2020 N 199, приказом Росархива от 22.05.2019 N 71 "Об утверждении Правил делопроизводства в государственных органах, органах местного самоуправления" (зарегистрирован Министерством юстиции Российской Федерации 27.12.2019, регистрационный N 57023), содержание служебных документов (проектов документов) не подлежит разглашению, передача служебных документов, их копий, проектов сторонним организациям допускается только с разрешения руководителя государственного органа.
Передача служебных документов сторонним организациям и физическим лицам, а также перевод служебной общедоступной информации в категорию публичной, допускается только с разрешения должностного лица подписавшего (утвердившего) документ, руководителя налогового органа или подведомственной организации (лица его замещающего).
III.2.3. Информация ограниченного распространения и информация ограниченного доступа
В соответствии с Законом Российской Федерации от 21.07.1993 N 5485-1 "О государственной тайне" (далее - Закон N 5485-1) к сведениям, составляющим государственную тайну, относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации (государственная тайна).
В соответствии с Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, уполномоченном органе управления использованием атомной энергии и уполномоченном органе по космической деятельности, утверждённым постановлением Правительства Российской Федерации от 03.11.1994 N 1233, к служебной информации ограниченного распространения относится несекретная информация, касающаяся деятельности ФНС России, ограничения на распространение которой диктуются служебной необходимостью (служебная тайна), а также поступившая в ФНС России несекретная информация, доступ к которой ограничен в соответствии с федеральными законами:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в установленных федеральными законами случаях;
- сведения, составляющие тайну следствия и судопроизводства, сведения о лицах, в отношении которых в соответствии с федеральными законами от 20.04.1995 N 45-ФЗ "О государственной защите судей, должностных лиц правоохранительных и контролирующих органов" и от 20.08.2004 N 119-ФЗ "О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства", другими нормативными правовыми актами Российской Федерации принято решение о применении мер государственной защиты, а также сведения о мерах государственной защиты указанных лиц, если законодательством Российской Федерации такие сведения не отнесены к сведениям, составляющим государственную тайну (тайна государственной защиты);
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (налоговая тайна, банковская тайна, тайна усыновления и др.);
- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
В соответствии с Инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, утверждённой приказом ФАПСИ России от 13.06.2001 N 152 (зарегистрирован Министерством юстиции Российской Федерации 06.08.2001, регистрационный N 2848), сведения, раскрывающие значение (содержание) ключевых данных средств шифрования информации и электронной цифровой подписи, систему, средства и методы защиты конфиденциальной информации от несанкционированного доступа и утечки её по каналам связи (технические паспорта автоматизированных систем (АС), защищаемых помещений (ЗП), проектно-конструкторская документация на средства защиты информации), а также значения действующих кодов и паролей относятся к информации ограниченного распространения.
Необходимость проставления грифа ограничения доступа к документу "Для служебного пользования" (реквизит, свидетельствующий об особом характере информации документа и ограничивающий доступ к нему - ГОСТ Р 7.0.8-2013) на документах и изданиях, содержащих служебную тайну, определяется исполнителем и должностным лицом, подписывающим или утверждающим документ.
В соответствии с положениями Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и защите информации" к информации ограниченного доступа относятся сведения, ограничение доступа к которым устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. На документах (на их проектах), до включения в них информации ограниченного доступа, проставляется гриф ограничения доступа (секретно; для служебного пользования и т.д.).
Перечень сведений ограниченного распространения и ограниченного доступа утверждается приказом ФНС России на основании Указа Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении Перечня сведений конфиденциального характера", приказа Минфина России от 17.06.2014 N 162 "Об утверждении Перечня сведений ограниченного доступа, не содержащих сведений, составляющих государственную тайну, (конфиденциального характера) Министерства финансов Российской Федерации и организаций, находящихся в его ведении" и настоящей Концепции.
III.3. Инфраструктура ИС ФНС России
ИС ФНС России в общем случае строятся на базе централизованной сегментированной ИТ-инфраструктуры, то есть централизованной системы с обменом данными между приложениями с использованием общей базы данных, и централизованной сегментированной инфраструктурой с использованием маршрутизации запросов к требуемому сегменту. Централизованная сегментированная инфраструктура подразумевает обеспечение автоматизации технологических процессов централизованными и децентрализованными компонентами ИС ФНС России.
Централизованные компоненты ИС ФНС России (централизованная база данных), размещённые в центрах обработки данных, обеспечивают централизованное выполнение технологических процессов ИС ФНС России, связанных с обработкой данных, поступающих централизованно на федеральном уровне и содержащих сведения, предназначенные для всех пользователей ИС ФНС России, а также внешнее взаимодействие. Централизованные компоненты ИС ФНС России, а также отдельных подсистем ФНС России, образуют отдельные объекты защиты - сегменты (зоны).
Децентрализованные компоненты ИС ФНС России (рабочие места пользователей), размещённые на объектах информатизации ИС ФНС России (в настоящий момент налоговые органы и органы ЗАГС), обеспечивают выполнение децентрализованных процессов ИС ФНС России. Работа с централизованными компонентами обеспечивается через защищённые каналы связи и соответствующее прикладное программное обеспечение, устанавливаемое на объектах автоматизации территориальных налоговых органов и обеспечивающее подключение к региональным и местным базам данных.
IV. Анализ текущей ситуации
IV.1. Характеристика объектов информатизации ИС ФНС России
Система налоговых органов построена в соответствии с административным и территориальным делением, а управление налоговым администрированием представляет собой единую централизованную систему, построенную по принципу многоуровневой иерархической организации.
Инфраструктура ИС ФНС России развёрнута и эксплуатируется в:
- Центральном аппарате ФНС России (ЦА ФНС России);
- Управлениях Федеральной налоговой службы по субъектам Российской Федерации (УФНС России);
- Межрегиональных инспекциях Федеральной налоговой службы по централизованной обработке данных (МИ ФНС России по ЦОД);
- Межрегиональных инспекциях Федеральной налоговой службы по крупнейшим налогоплательщикам (МИ ФНС России по КН);
- Межрегиональной инспекции Федеральной налоговой службы по ценообразованию для целей налогообложения (МИ ФНС России по ценам);
- Межрегиональной инспекции Федеральной налоговой службы по камеральному контролю (МИ ФНС России по камеральному контролю);
- Межрегиональных инспекциях Федеральной налоговой службы по федеральным округам (МИ ФНС России по ФО);
- Инспекциях Федеральной налоговой службы (ИФНС России) и территориально-обособленных рабочих местах (ТОРМ);
- ФКУ "Налог-Сервис" ФНС России и его филиалах;
- организациях, которым в соответствии с пунктом 1 Правил ведения Единого государственного реестра записей актов гражданского состояния, утверждённых постановлением Правительства Российской Федерации от 27.06.2018 г. N 738, предоставляется доступ к федеральной государственной информационно системы ведения Единого государственного реестра записей актов гражданского состояния.
Информационное взаимодействие осуществляется:
- с Федеральным центром обработки данных (ФЦОД) и резервным центрами обработки данных (РЦОД) Системы ЦОД Минфина России;
- между структурными подразделениями в пределах одного налогового органа;
- между налоговыми органами ФНС России;
- между налоговым органом и другими организациями и ведомствами, включая налогоплательщиков.
Архитектура ИС ФНС России определяет централизацию вычислительных ресурсов и ресурсов хранения данных. В данной архитектуре каждый объект информатизации напрямую обращается к централизованным сервисам ИС, расположенным в Филиале ФКУ "Налог-Сервис" ФНС России по ЦОД в г. Дубне и в Филиале ФКУ "Налог-Сервис" ФНС России по ЦОД в г. Городец.
ФНС России также взаимодействует с налогоплательщиками, органами государственной власти и государственного управления, с регистрирующими органами, финансово-кредитными и другими организациями всех уровней.
Информационный обмен с внешними организациями и ведомствами организуется по каналам связи, в том числе с использованием СМЭВ, и/или на электронных или бумажных носителях в соответствии с соглашениями, регламентами и протоколами по обмену информацией и с учётом готовности этих органов к обмену с применением современных средств вычислительной техники.
В настоящий момент ИС ФНС России включают в себя: ИТ-инфраструктура ФНС России, состоящую из АИС "Налог-3", Федеральной информационной адресной системы и федеральной государственной информационно системы ведения Единого государственного реестра записей актов гражданского состояния.
При этом развитие систем защиты информации предусматривало объектовый подход, а именно реализацию предусмотренных мер защиты информации на конкретных объектах защиты. Для различных ИС создавались отдельные системы защиты информации.
IV.2. Планируемые изменения в ИС ФНС России
Федеральная налоговая служба с момента утверждения предыдущей Концепции ИБ наделена следующими функциями:
- администрирование налогов, сборов и страховых взносов;
- построение и администрирование централизованной информационной системы обеспечения регистрации актов гражданского состояния и формирование единого реестра населения;
- расширение информационного пространства за счёт более тесной интеграции с данными ФТС России;
- повышения уровня валютного контроля;
- формирование единого реестра субъектов малого и среднего предпринимательства;
- создание единого реестра записей актов гражданского состояния;
- создание единого регистра населения.
Ввод в эксплуатацию прикладной подсистемы "Оперативный контроль" АИС "Налог-3" также существенно расширяет информационное поле ФНС России за счёт получения фискальных данных контрольно-кассовой техники в онлайн режиме.
Появление новых функций привело к изменению информационного ландшафта ФНС России, появлению новых комплексов и функциональному расширению имеющихся систем, что служит одной из главных предпосылок необходимости дополнительной модернизации и унификации централизованной архитектуры.
При автоматизации новых функций, связанных с делегированием ФНС России дополнительных полномочий, руководствовались рядом принципов, основные из которых перечислены ниже:
Тиражируемость решений. При разработке новых систем обеспечивается максимально возможное обеспечение унификации в части вычислительной и сетевой инфраструктуры, системной архитектуры, используемых технологий, включая решения по обеспечению информационной безопасности. При этом принимается во внимание особенности системы, целевая аудитория пользователей и требования, выдвигаемые к системе, такие как: отчуждаемость, уровень доступности и дополнительные специфичные требования, продиктованные законодательством или ключевыми особенностями автоматизируемых процессов.
Единое информационное поле. Соблюдение данного принципа позволит воспользоваться преимуществом роли ФНС России как единого администратора смежных систем и обеспечит их взаимное обогащение данными. Это позволит не только обеспечить более качественную операционную деятельность, но и существенно повысит возможности аналитической работы.
Кроме того, на выбор подходов построения решений по автоматизации существенное влияние могут оказывать дополнительные требования, выдвигаемые к системам:
Требования отчуждаемости. Данное требование диктует при проектировании и разработке систем обеспечение дополнительных мер, которые с одной стороны позволят воспользоваться преимуществами унификации и единого информационного поля, с другой стороны позволят сделать систему легко отчуждаемой без потери функциональных возможностей. Особое внимание при обеспечении отчуждаемости следует уделить точкам интеграции со смежными системами. Среди основных архитектурных подходов при обеспечении отчуждаемости можно перечислить:
- выделение абстрактного слоя интеграции,
- обеспечение чётких границ при использовании общих ресурсов.
Требования доступности. Данное требование подразумевает обеспечение катастрофоустойчивости (обеспечение доступности сервиса в случае выхода из строя отдельного объекта информатизации) и отказоустойчивости (обеспечение доступности сервиса в случае выхода из строя компонент системы) выполнения функций.
Требование импортозамещения. Данное требование подразумевает использование преимущественно компонент информационной системы Российского производства.
Появление новых функций, ведущих в том числе к созданию новых информационных систем, требует модернизации текущих СОБИ в сторону максимальной централизации отдельных решений СОБИ, в том числе предусматривающих дифференциацию подходов в проектировании в случае необходимости.
IV.3. Геораспределённый режим функционирования информационных систем ФНС России
В 2017 году начаты работы по обеспечению функционирования компонент ИС ФНС России в геораспределенном режиме между основной и резервными площадками системы ЦОД. Требования к обеспечению катастрофоустойчивости ИС ФНС России сформулированы следующим образом: обеспечение работы системы в геораспределенном режиме и "бесшовного" переключения пользователей ИС ФНС России между основным (ФЦОД г. Дубна, Московская область) и резервным (РЦОД г. Городец, Нижегородская область) центрами обработки данных со временем переключения (простоя системы и недоступности для пользователей, RTO) - не более 24 часов и допустимой потерей данных (RPO) - не более 1 часа.
Выбор архитектуры построения геораспределённого решения для информационной системы ФНС России базируется на следующих исходных условиях:
Существует 2 центра обработки данных: в г. Дубна (основной ЦОД) и в г. Городец (резервный ЦОД), обладающие вычислительными мощностями, достаточными для функционирования ИС ФНС России.
Между площадками ЦОД поддерживается высокоскоростной канал связи.
Площадки могут быть неравнозначны, и в резервном ЦОД могут размещаться не все компоненты системы. В этой ситуации часть компонентов/подсистем будет присутствовать только на одной из площадок и, таким образом, не будет удовлетворять требованиям катастрофоустойчивости. В то же время каждая площадка размещает все ключевые компоненты системы, достаточные для обеспечения работоспособности основных функций системы (в пределах заданных ограничений).
Для обеспечения высокой степени надёжности и доступности системы её ключевые компоненты, ранее размещавшиеся на одной площадке в ЦОД г. Дубны, масштабируются на площадки двух ЦОД: в Дубне и в Городце, тем самым формируется единый географически распределённый информационно-вычислительный комплекс - гео-кластер, обладающий следующими свойствами:
- компоненты системы продублированы на обеих площадках и одновременно активно задействуются в текущей работе системы в форме отказоустойчивых и высоко доступных кластерных решений;
- внешняя (пользовательская) и внутренняя (серверная) нагрузка балансируется на мощности обеих ЦОД, обеспечивая более высокую пропускную способность системы.
Для пользователей гео-кластер выступает в роли единого ЦОД и не требует каких-либо действий с их стороны по переключению между отдельными его площадками.
Данный подход значительно сокращает время и усилия по восстановлению работоспособности системы в различных сценариях катастроф, а также позволяет перенести ряд сценариев из разряда катастроф в разряд предусмотренных отказов и, таким образом, исключить простои системы или потерю данных в результате возникновения данных отказов.
На момент утверждения настоящей Концепции значительная часть средств обеспечения безопасности информации не способна функционировать в геораспределенном режиме и нуждается в соответствующей доработке по обеспечению отказоустойчивости и катастрофоустойчивости. Необходимо доработать проектные решения на соответствующие подсистемы СОБИ. При этом в ходе адаптации решений необходимо учитывать, что за счёт дублирования средств защиты увеличивается лицензионная нагрузка и системные требования к используемому серверному оборудованию.
V. Основные направления и этапы модернизации обеспечения информационной безопасности
V.1. Общие походы к созданию Систем обеспечения безопасности информации
Проведённые в соответствии с предыдущей Концепцией информационной безопасности ФНС России мероприятия позволили обеспечить высокий уровень информационной безопасности, выполнение требований законодательства в сфере обеспечения безопасности информации, в том числе нормативных правовых актов ФСТЭК России и ФСБ России, повысить уровень доступности ИС ФНС России. В связи с этим, целесообразно сохранить подходы к созданию СОБИ, дополнив их следующими направлениями:
- необходимость оптимизации расходов на информационную безопасность;
- появление новых видов угроз информационной безопасности и новых типов объектов защиты;
- наличие нескольких информационных систем ФНС России с различной архитектурой, а также значительная многообразность АИС "Налог-3", требующее рассмотрение АИС "Налог-3" как несколько информационных систем с точки зрения защиты информации;
- модернизация средств защиты информации;
- образование угроз технологически процессов.
V.2. Система обеспечения безопасности информации
V.2.1. Парадигма построения СОБИ
Обеспечение информационной безопасности, достижение требуемого уровня защищённости, оперативное реагирование на возникающие угрозы и негативные тенденции, реализуются через создание СОБИ. СОБИ представляет собой комплекс мер и средств, направленных на выявление, противодействие и ликвидацию угроз безопасности информации, реализацию предусмотренных законодательством Российской Федерации в области защиты информации мер защиты информации, а также выполнение иных функций, предусмотренных на этапе проектирования СОБИ.
СОБИ может создаваться, как для одной ИС ФНС России, так и для нескольких ИС при условии частичного разделения исполнительного механизма и механизма поддержки в соответствии с требованиями законодательства Российской Федерации. Приоритетным направлением реализации СОБИ для создаваемых ИС или компонент ИС является масштабирование:
- СОБИ ИТ-инфраструктуры Центра обработки данных на централизованные сегменты ИС;
- СОБИ АИС "Налог-3" на децентрализованные сегменты создаваемых ИР и ИС ФНС России.
V.2.2. Состав и структура СОБИ
СОБИ не является только технической системой, а объединяет три равнозначные составляющие:
- организационная база - система организационно-распорядительных документов, определяющих Политику информационной безопасности, и персонал, выполняющий установленные правила защиты (объектом воздействия этой составляющей СОБИ является персонал ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России);
- исполнительный механизм - совокупность технических, программных и программно-аппаратных средств защиты информации, реализующих, независимо от места их установки, необходимые механизмы защиты (объектом воздействия этой составляющей СОБИ являются технические, программные и программно-аппаратные средства, непосредственно реализующие механизмы (функции) защиты информации при её обработке в ИС ФНС России);
- механизм поддержки - комплекс организационных и технических мер противодействия угрозам, осуществляемый различными структурными подразделениями ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, и обеспечивающий поддержку исполнения установленных правил, а также реализацию механизмов защиты (объектом воздействия этой составляющей СОБИ являются организационные меры и вспомогательные средства объектов информатизации налоговых органов).
В целом СОБИ создаётся как многоуровневая, иерархическая система, при этом каждый уровень может иметь несколько слоёв. Деление на уровни обусловлено тем, что в пределах каждого уровня выделяются разные группы задач обеспечения ИБ на объектах информатизации, решаемые относительно самостоятельно, но при условии использования результатов, достигнутых на остальных уровнях.
V.2.3. Организационная база СОБИ и рекомендации по её формированию
Организационную базу СОБИ составляют работники ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России (ФКУ "Налог-Сервис" ФНС России), а также иных организаций, которые реализуют и контролируют выполнение Политики ИБ и иных распорядительных документов, применяя комплекс организационных и инженерно-технических мер противодействия угрозам в совокупности с техническими, программными и программно-аппаратными средствами защиты.
В организационную базу СОБИ ФНС России включаются:
общее руководство СОБИ и принятие всех решений по вопросам её функционирования осуществляет руководитель Федеральной налоговой службы. Методологическое руководство СОБИ, формирование Политики ИБ и координацию мероприятий СОБИ осуществляет Управление информационной безопасности ФНС России;
основным элементом организационной базы СОБИ является администратор информационной безопасности. Администраторы информационной безопасности непосредственно реализуют мероприятия по защите ИР, применяют средства защиты, обеспечивают сопровождение объектов защиты, осуществляют контроль за ходом информационных процессов и разграничением доступа к объектам защиты (комплексное администрирование).
Важным элементом организационной базы СОБИ также являются работники структурных подразделений ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, входящих в систему управления информационной безопасности, осуществляющие мониторинг состояния информационной безопасности и контроль выполнения процессов ИБ.
Работники ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, при координирующей роли подразделений ИБ, непосредственно реализуют комплекс организационных и технических мер противодействия угрозам, направленный на достижение требуемого уровня защищённости информации.
Пользователи ИС ФНС России, независимо от их подчинённости, непосредственно руководствуются положениями Политики ИБ, соблюдают установленные режимы защиты ИР, обеспечивают строгое исполнение предписанных правил безопасности информации.
Общая схема работы персонала ИБ отражена на Рисунок 2.
Рисунок 2. Общая схема Персонала ИБ ФНС России
Управление информационной безопасности ФНС России является ядром составляющей "Персонал" организационной базы СОБИ. Управление информационной безопасности осуществляет методологическое обеспечение деятельности подразделениями ИБ налоговых органов и подведомственных организаций ФНС России.
Подразделения информационной безопасности в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России осуществляют функции администраторов информационной безопасности, осуществляющих управление СОБИ в соответствующем налоговом органе или подведомственной организации ФНС России, а также осуществляющими иные функции. При администрировании безопасности информации в ИС ФНС России должно обеспечиваться сопряжение функций администрирования безопасности информации с функциями системы администрирования процесса обработки информации (комплексное администрирование).
Совершенствование и развитие составляющей "Персонал" организационной базы СОБИ ФНС России должно быть направлено на:
- увеличение штата работников подразделений ИБ ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России;
- повышение квалификации и профессионализма работников ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, непосредственно задействованных в решении вопросов обеспечения ИБ;
- централизация функций защиты информации.
Подготовка и переподготовка пользователей и специалистов ФНС России по защите информации требует создания системы повышения уровня технической грамотности и информированности в области ИБ, а также переподготовки специалистов по защите информации. Для этого необходимо в соответствии с приказом ФСТЭК N 17 регулярно проводить тренинги для персонала и контроль готовности новых работников по применению правил информационной защиты, а также периодически осуществлять переподготовку специалистов подразделений защиты информации. Особенно важно проводить тренинги при изменении конфигурации ИС ФНС России (внедрении новых технологий и прикладных систем, смены оборудования, ключевых приложений, новых правил и инструкций).
Организационно-распорядительные документы, включённые в организационную базу СОБИ, должны представлять собой перечень документов (Рисунок 3. Схема организационно-распорядительных документов), включающих настоящую Концепцию, разработанных в развитие и поддержку настоящей Концепции:
1) политика ИБ - совокупность документов, определяющих цели и задачи ФНС России в области обеспечения ИБ (в конкретной информационной системе, или сегменте ИС, или в ФНС России в целом), реализуемые в соответствии с законодательством Российской Федерации и настоящей Концепцией;
2) положения - организационно-распорядительные документы, определяющие общий порядок выполнения комплексной деятельности по реализации мер защиты информации;
3) регламент - организационно-распорядительный документ, определяющий конкретную последовательность действий (этапов, шагов) по реализации мер защиты информации;
4) инструкции и руководства - технический и/или методологический документ описывающий конкретные действия.
Рисунок 3. Схема организационно-распорядительных документов
На объектах информатизации могут действовать отдельные организационно-распорядительные документы, не противоречащие Политике ИБ ФНС России.
V.2.4. Исполнительный механизм СОБИ и рекомендации по его построению
Создание исполнительного механизма СОБИ подразумевает разработку системы защиты информации и системы активной защиты (при необходимости) на основе требований законодательства Российской Федерации, анализа имеющихся угроз безопасности информации и выбора функций безопасности из числа стандартизированных, а также выполнения рекомендаций стандартов и руководящих документов, позволяющих устранить выявленные уязвимости. При проектировании исполнительного механизма СОБИ, должно быть явно показано противодействие той или иной угрозе (уязвимости) выбранными функциями безопасности.
Исполнительным механизмом СОБИ являются системы защиты информации ИС, в состав которых включаются:
- встроенные в общесистемное программное обеспечение ИС ФНС России и телекоммуникационной инфраструктуры ФНС России функции защиты информации (декларированные функции защиты операционных систем - ОС, систем управления баз данных - СУБД, программного обеспечения - ПО средств телекоммуникационного и маршрутизирующего оборудования, прикладного ПО);
- специальные программные и программно-аппаратные средства защиты, используемые в ИС ФНС России и телекоммуникационной инфраструктуры ФНС России (средства защиты от НСД к информации, средства повышенной аутентификации, межсетевые экраны, средства криптографической защиты информации, средства создания доверенных каналов связи, антивирусные средства и т.п.);
- средства контроля (мониторинга) состояния ИС ФНС России, телекоммуникационной инфраструктуры ФНС России и действий пользователей (сканеры сети, сканеры системы, средства контекстного анализа сообщений, средства контроля нежелательной активности пользователей, датчики технических средств охраны, противопожарной сигнализации и т.п.);
- средства управления ИБ в ИС ФНС России и телекоммуникационной инфраструктуре ФНС России (агенты управления, консоли администратора управления, средства регистрации и хранения данных контроля и т.п.).
СиЗИ обеспечивает реализацию практических правил ИБ в ходе процесса обработки защищаемых ИР ФНС России и может эффективно выполнять свои функции только при условии выполнения мер противодействия угрозам, реализуемых механизмом поддержки.
В соответствии с приказом ФСТЭК N 17 создание исполнительного механизма, кроме разработки СиЗИ, подразумевает также макетирование и тестирование СиЗИ, внедрение СиЗИ, её опытную эксплуатацию, приёмочные испытания и аттестацию ИС. Создание исполнительного механизма должно включать разработку (доработку) организационной базы СОБИ (в том числе разработка эксплуатационной документации).
Архитектура СиЗИ не должна накладывать жёстких ограничений на информационные технологии, используемые в ИС ФНС России и должна обеспечивать реализацию функций безопасности на всех этапах обработки информации, в том числе при техническом обслуживании и ремонте оборудования ИС ФНС России.
Архитектура СиЗИ должна максимально возможно предусматривать решения СиЗИ СОБИ ИТ-инфраструктуры центра обработки данных для централизованных сегментов ИС, при необходимости масштабируя их.
Архитектура СиЗИ для децентрализованных компонент ИС ФНС России должны максимально использовать решения СиЗИ СОБИ АИС "Налог-3", при этом архитектура СиЗИ децентрализованных компонент должна быть максимально централизована на базе ЦУБИ.
V.2.5. Механизм поддержки СОБИ и рекомендации по его построению
Создание механизма поддержки СОБИ осуществляется методом изучения и практического применения существующего передового опыта в области обеспечения безопасности информации, а также выбора необходимых мер защиты из числа рекомендованных, например, изложенных в ГОСТ Р ИСО/МЭК 27001-2006. "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования".
Инженерно-технические меры, предусмотренные механизмом поддержки, рассматриваются в ходе проектирования строительства (реконструкции) зданий и помещений ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России.
Механизм поддержки СОБИ составляет комплекс организационных, инженерно-технических и технических мер противодействия угрозам, осуществляемый различными подразделениями ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, действия которых координируются, управляются и контролируются. В состав механизма поддержки включают:
- комплекс организационных мероприятий: система экономического стимулирования, подбора и подготовки работников ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, система физической защиты объектов ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, разрешительная система допуска персонала, система учёта материальных средств, система учёта и реагирования на инциденты;
- комплекс инженерно-технических мер: система жизнеобеспечения объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, системы противопожарной защиты и охранной сигнализации;
- комплекс технических мер: системы резервирования каналов связи телекоммуникационной инфраструктуры ФНС России, критического оборудования ИС ФНС России, система резервного гарантированного и бесперебойного энергоснабжения объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России.
Комплекс мер, реализуемых механизмом поддержки, направлен на усиление мер, реализуемых исполнительным механизмом, поэтому механизм поддержки СОБИ строится по матричной структуре, аналогичной структуре исполнительного механизма СОБИ. Меры, реализуемые механизмом поддержки СОБИ, структурируются по трём функциональным компонентам: организационная, инженерно-техническая и техническая.
Комплекс организационных мер составляют меры, определяемые организационно-распорядительными документами ФНС России и направленные на поддержание установленного порядка обеспечения безопасности информации.
Комплекс инженерно-технических мер составляют меры, направленные на поддержание необходимых условий работы ИС ФНС России и обеспечение общей защиты объектов. Такие меры определяются нормативными документами, техническими условиями, конструкторской документацией на сооружения и системы жизнеобеспечения объекта информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России.
Комплекс технических мер составляют меры, направленные на создание и поддержание в постоянной готовности резервных мощностей, позволяющих обеспечить при необходимости быстрое устранение нештатных ситуаций при эксплуатации ИС ФНС России.
V.3. Центр управления безопасностью информации или Ведомственный центр ФНС России
Информационная безопасность достигается путём реализации механизмов СОБИ. Указанные механизмы необходимо создавать, реализовывать, подвергать мониторингу, анализировать и улучшать, если необходимо, для обеспечения уверенности в достаточности уровня безопасности.
Система управления информационной безопасности является компонентом СОБИ и формируется в соответствии с Концепцией управления информационной безопасностью с целью:
- координации и контроля действий по обеспечению ИБ;
- взаимодействия с компетентными органами по вопросам обеспечения ИБ;
- определения и управления рисками ИБ;
- контроля и аудита эффективности СОБИ;
- предъявления требований к модернизации СОБИ (в том числе пересмотра Политики ИБ);
- обеспечения анализа эффективности реализации Политики ИБ руководством ФНС России.
Основу СУИБ составляет организационная база СОБИ, которая обеспечивает единую вертикаль управления механизмами СОБИ из единого центра (принцип иерархичности управления) на всех жизненных циклах создания, передачи, обработки и хранения объектов защиты и эксплуатации ИС ФНС России (принцип непрерывности управления).
Иерархичность СОБИ предполагает создание в ФНС России вертикальной структуры СУИБ, обеспечивающей выполнение заявленных целей СУИБ и проведение единого замысла обеспечения безопасности объектов защиты и автоматизированное документирование всех событий, влияющих на обеспечение ИБ ФНС России с возможностью их последующего анализа.
Для обеспечения (и автоматизации) процессов Системы управления информационной безопасности, а также с целью максимальной централизации СиЗИ СОБИ и управления СиЗИ на базе Межрегиональной инспекции ФНС России по централизованной обработке данных создан Ведомственный центр ФНС России или Центр управления безопасностью информации.
ЦУБИ или ВЦ ФНС России, представляет собой выделенный сегмент СОБИ (включающий организационную базу, исполнительный механизм и механизм поддержки СОБИ), созданный с целью:
- обеспечения процессов СУИБ;
- мониторинга и контроля состояния информационной безопасности ИС ФНС России;
- централизованной реализации отдельных элементов СОБИ ИС ФНС России;
- мониторинга и реагирования на инциденты ИБ.
В качестве элементов СОБИ, подлежащих централизации в ЦУБИ в первую очередь следует рассматривать создание единой системы аутентификации и управления доступом пользователей ИС ФНС России.
V.4. Основные требования к СОБИ
СОБИ на физическом подуровне должны обеспечивать создание защищённой "оболочки" для объектов информатизации. Механизмы СОБИ на технологическом подуровне исполнительского уровня СОБИ должны обеспечивать создание защищённой программной и аппаратной оболочки для информационных систем ФНС России.
Исполнительный механизм в совокупности с механизмом поддержки СОБИ на пользовательском подуровне должны обеспечить допуск к работе в ИС ФНС России только авторизованных пользователей и создание защитной оболочки вокруг элементов ИС ФНС России (рабочие станции, серверы) и индивидуальной среды деятельности каждого пользователя.
Исполнительный механизм СОБИ в совокупности с механизмом поддержки СОБИ на сетевом (локальном) подуровне исполнительского уровня СОБИ должны обеспечивать разделение ИР ФНС России и средств их обработки на зоны и сегменты, создание надёжной защищённой оболочки по периметру зон и сегментов, организацию защищённого обмена информацией между сегментами и зонами, а также ограничение числа точек взаимодействия (точек входа/выхода) сегментов между собой.
Исполнительный механизм в совокупности с механизмом поддержки СОБИ на канальном подуровне должны обеспечивать создание надёжной защитной оболочки по внешнему периметру ИС ФНС России и организацию защищённого межведомственного обмена информацией с другими органам государственной власти, защищённого обмена информацией с удалёнными и мобильными пользователями и администраторами ИС ФНС России, а также с внешними пользователями (например, пользователями ФГИС "ЕГР ЗАГС").
Рекомендуемый состав мероприятий, подлежащих реализации в СОБИ, представлен в Приложение N 1.
V.5. Дополнительные требования использования криптографических средств
Средства криптографической защиты информации (СКЗИ) могут применяться для обеспечения конфиденциальности защищаемой информации, подтверждения подлинности передаваемых сообщений (придания юридической значимости электронным документам) или контроля целостности ИР.
Необходимость применения СКЗИ при защите ИР ФНС России определяется руководством ФНС России, как обладателем ИР.
Применяемые для защиты информации в ФНС России СКЗИ должны удовлетворять требованиям технических регламентов, оценка выполнения которых осуществляется в порядке, определяемом законодательством Российской Федерации. Применяемые СКЗИ должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правил работы с ней, а также обоснование необходимого организационно-штатного обеспечения, а также иметь строгий регламент использования ключей, предполагающий контроль со стороны администратора ИБ за действиями пользователей ИС ФНС России на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя).
СКЗИ, применяемые в ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, должны быть сертифицированы ФСБ России на соответствие требованиям безопасности информации.
Встраивание СКЗИ в прикладные системы необходимо осуществлять исключительно в соответствии с Техническим заданием, согласованным с ФСБ России, в том числе проводить оценку влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований.
Использование несертифицированных СКЗИ и программного обеспечения со встроенным СКЗИ, не имеющего заключения об оценке влияния среды функционирования СКЗИ на выполнение предъявленных к СКЗИ требований в ИС ФНС России, запрещено.
Применяемые в ФНС России СКЗИ должны обеспечивать:
- встраивание в действующую в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России технологическую схему обработки электронных сообщений;
- взаимодействие с прикладным программным обеспечением ИС ФНС России на уровне обработки запросов на криптографические преобразования и выдачи результатов;
- реализацию процедур сброса ключей в случаях отсутствия штатной активности пользователей в соответствии с регламентом использования ключей или при переходе ИС ФНС России в нештатный режим работы.
При применении СКЗИ в ИС ФНС России должны поддерживаться непрерывность процессов протоколирования работы СКЗИ и обеспечение целостности программного обеспечения для всех элементов ИС, имеющих в своём составе СКЗИ.
Все криптографические ключи должны быть защищены от несанкционированной модификации, кражи, разрушения и раскрытия. Используемое для генерации, сохранения и архивирования ключей оборудование (средства) должно быть физически защищено. Для уменьшения вероятности компрометации ключевого материала, необходимо, чтобы ключи имели определённые даты активации и деактивации, чтобы их могли использовать только ограниченный период времени.
Расширение применения электронной подписи для обеспечения целостности и подлинности сведений, обрабатываемых в ИР ФНС России, является одним из главных направлений развития СОБИ в ФНС России. При реализации электронной подписи необходимо предусматривать пользователей как потенциальных нарушителей.
VI. Обеспечение информационной безопасности в центрах обработки данных
В целях обеспечения централизованной обработки данных в ИС ФНС России создана система Центров обработки данных Минфина России и подведомственных ему федеральных исполнительных органов власти, в которую входят Федеральный центр обработки данных (ФЦОД) в г. Дубна Московской области, Резервный центр обработки данных (РЦОД) в г. Городец Нижегородской области.
Совокупность ФЦОД, РЦОД и при необходимости иных объектов информатизации, объединённых в единую систему, обеспечивающую их единую логическую структуру ("виртуальное" представление), представляет собой регионально-распределённый ЦОД.
Регионально-распределённый ЦОД с целью создания на его базе информационных систем ФНС России (или отдельных сегментов ИС) должен быть аттестован не ниже 1 класса защищённости по требованиям Приказа ФСТЭК N 17 и не ниже 2 уровня защищённости по требованиям Приказа ФСТЭК N 21. При аттестации по требованиям безопасности информации ИС ФНС России, функционирование которых предполагается на базе ИТ-инфраструктуры ЦОД, должна использоваться аттестация инфраструктуры ЦОД. Выполнение задач информационной безопасности регионально-распределённого ЦОД обеспечивается созданием СОБИ ЦОД.
Наличие регионально-распределённого ЦОД подразумевает наличие распределённых (между ФЦОД и РЦОД) и выполняющихся в ИС технологических процессов (приложений). Соединение физических площадок осуществляется с использованием высокоскоростных средств криптографической защиты информации и логических каналов связи, организованных в соответствии с правилами стандарта Ethernet VPN (EVPN) (принципиальная сетевая схема единого виртуального ЦОД указана в Приложении N 2).
Для создания изолированных сегментов и зон ИС используются виртуальные распределённые локальные сети (VXLAN). Обмен трафика между зонами осуществляется с использованием межсетевых экранов уровня ядра сети, установленных в каждом объекте информатизации ЦОД. Системы межсетевого экранирования (обеспечивающие в том числе изоляцию ЦОД от сети общего пользования Интернет или ведомственных VPN-сетей) при этом должны быть построены как регионально-распределённые кластеры.
Регионально-распределённый ЦОД включает единую виртуальную инфраструктуру, в которой изоляция различных зон ИС и сегментов обеспечивается за счёт использования сертифицированных средств защиты виртуальной среды и средств защиты сетевого трафика платформы виртуализации.
Коммуникации между элементами ИС в регионально-распределённом ЦОД должны быть описаны профилями технологических процессов (приложений) - взамен текущей практики использования правил межсетевого экранирования.
VII. Противодействие утечкам информации
В целях достижения целей обеспечения информационной безопасности целесообразно реализовать перечень мероприятий, обеспечивающий противодействие утечкам сведений конфиденциального характера, а именно:
- контроль возможных каналов утечки информации;
- мониторинг запросов пользователей в ИС и ИР ФНС России;
- мониторинг информации отображаемой пользователю при работе с ИС и ИР ФНС России;
- выполнение процедур безопасной утилизации машинных носителей информации.
Контроль возможных каналов утечек информации должен предусматривать наличие в рамках СОБИ средств контроля и предотвращения утечки информации на всех точках взаимодействия ИС ФНС России с внешней средой: точки доступа в сеть Интернет, съёмные носители информации и другие. Также в случае установленной необходимости должны быть предусмотрены меры по защите информации передаваемой по техническим каналам, а также визуальной информации (установка средств видео-фиксации работы пользователей с информационными системами).
Снижение риска утечки информации также может быть достигнуто путём разделение информационной среды на "плоскости" безопасности, представляющие собой определённый вид сетевой деятельности, защищённой параметрами безопасности.
Мониторинг действий пользователей должен предусматривать регистрацию в качестве события безопасности:
- авторизации пользователя в отдельных режимах ИС ФНС России;
- запросов пользователей в ИС и ИР ФНС России;
- предоставление пользователю информации из ИС и ИР ФНС России;
- переноса информации из централизованных ИС и ИР ФНС России на локальные устройства хранения или вывод на печать;
- использование вычислительных ресурсов ИС ФНС России.
VIII. Обеспечение безопасности информации при привлечении внешних организаций
Для развития ИС ФНС России могут привлекаться внешние специализированные организации - поставщики услуг. Деятельность по обслуживанию ИС ФНС России, передаваемая для выполнения другой организации должна учитывать требования настоящей Концепции.
VIII.1. Требования, учитываемые при заключении контракта с поставщиком услуг
В случае аутсорсинга регламентация вопросов ИБ носит обязательный характер, поскольку зоны полномочий и ответственности должны быть определены заранее, и в случае инцидента нужно чётко идентифицировать ответственных и определить виновных.
Требования безопасности, в случае, когда ФНС России передаёт для управления и контроля все или некоторые из элементов ИТ-инфраструктуры ФНС России, должны быть указаны в контракте (или ином документе), согласованном между сторонами и учитывающем:
- наличие соглашения о неразглашении поставщиком услуг информации ограниченного доступа/распространения, ставшей известной ему в ходе исполнения договорных обязательств;
- выполнение требований по защите информации, установленные законодательством Российской Федерации;
- достижение зафиксированных договорённостей, обеспечивающих уверенность в том, что все стороны, включая субподрядчиков, осведомлены о своих обязанностях, касающихся безопасности;
- возможность обеспечения и тестирования параметров целостности, доступности и конфиденциальности ИР ФНС России;
- уровни физической безопасности, которые должны быть обеспечены в отношении оборудования, используемого в рамках аутсорсинга;
- соблюдение поставщиком услуг требований законодательства Российской Федерации о лицензировании, сертификации, а также требований трудового законодательства;
- право на проведение аудита деятельности поставщика услуг со стороны ФНС России;
- возможность расторжения договора с внешней организацией в одностороннем порядке;
- необходимость разработки регламента доступа ФНС России к арендуемым мощностям и каналам связи;
- необходимость разработки регламента информирования ФНС России о попытках НСД при использовании арендуемого оборудования и каналов связи;
- необходимость выполнения технических требований по защите информации, действующих в ФНС России;
- обеспечения отдельных правил информационной безопасности в случае приобретения, разработки и эксплуатации информационных систем (в соответствии с Разделом VIII.3).
VIII.2. Требования к поставщику услуг
Поставщик услуг (аутсорсинговая организация) должен удовлетворять требованиям, установленными Федеральным законом от 05.04.2013 N 44-ФЗ "О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд", Федеральным законом от 27.12.2002 N 184-ФЗ "О техническом регулировании" и нормативными правовыми актами Российской Федерации.
VIII.3. Правила обеспечения информационной безопасности в случае приобретения, разработки и эксплуатации информационных систем
Требования в отношении информационной безопасности и процессов реализации безопасности необходимо включать на ранних стадиях проектов, касающихся информационных систем и их компонент. В случае приобретения готовых компонент информационных систем необходимо соблюдение формального процесса приобретения и тестирования. В контрактах с поставщиками должны учитываться определённые требования безопасности.
Входные данные для прикладного программного обеспечения информационных систем ФНС России должны проходить процедуру подтверждения с целью обеспечения уверенности в их корректности и соответствии заданным параметрам входных данных. Разработка и реализация прикладного программного обеспечения информационных систем ФНС России должны обеспечивать уверенность в том, что риски обработки сбоев, ведущих к потере целостности, сведены к минимуму. Необходимо подготавливать соответствующую технологическую карту, действия документально оформлять и надёжно хранить результаты.
Прикладное программное обеспечение следует внедрять в эксплуатируемую систему только после всестороннего и успешного тестирования, которое должно выполняться на изолированных системах (контурах тестирования и разработки) и включать в себя тесты на пригодность к эксплуатации, безопасность, влияние на другие системы и удобство для пользователя.
В целях предотвращения введения несанкционированных функциональных возможностей и во избежание непреднамеренных изменений должен быть обеспечен строгий контроль доступа к исходным текстам программ и связанным с ними документам (например, проектам, спецификациям, планам верификации и планам валидации) прикладного программного обеспечения ИС ФНС России. В отношении исходных текстов программ это может быть достигнуто с помощью контролируемого централизованного хранения таких текстов, предпочтительнее в библиотеках исходных текстов программ. Всё разрабатываемое прикладное программное обеспечение должно проверяться на уязвимости с использованием специальных автоматизированных средств контроля программного кода.
IX. Обеспечение безопасности информации при неавтоматизированной обработке и обработке в неавтоматизированных системах
IX.1. Обеспечение безопасности информации в ФНС России при неавтоматизированной обработке
Обработка информации ограниченного доступа (конфиденциальной), в том числе извлечённой из ИТ-инфраструктуры ФНС России, считается осуществлённой без использования средств автоматизации (неавтоматизированной), если действия с информацией (использование, уточнение, распространение, уничтожение) осуществляются сотрудниками ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России без помощи средств вычислительной техники (СВТ). Обработка электронных копий бумажных конфиденциальных документов (сканы, цифровые фотоизображения) с применением СВТ относится к автоматизированной обработке.
При неавтоматизированной обработке информации ограниченного доступа в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России необходимо обеспечить специальные условия хранения, обработки и обращения документов, содержащих информацию ограниченного доступа, гарантирующие надёжную защиту как самих документов (материальных носителей), так и содержащейся в них конфиденциальной информации. Это обеспечивается:
- введением персональной ответственности сотрудников ЦА ФНС России, налоговых органов и подведомственных ФНС России организаций за учёт, сохранность конфиденциальных документов и порядок обращения с ними;
- разработкой в ФНС России регламентированной технологии издания и обработки конфиденциальных документов, в том числе на стадии подготовки черновиков и проектов документов, определением состава издаваемых документов и содержащейся в них конфиденциальной информации, включающей (но не ограничиваясь):
- определением порядка работы с документами ограниченного доступа в специально выделенных помещениях ЦА ФНС России, налоговых органов и подведомственных ФНС России организаций;
- определением порядка передачи документов ограниченного доступа в случае ухода сотрудника ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России в отпуск, командировку, при увольнении и т.д.;
- определением порядка пересылки документов ограниченного доступа, создание реестровой системы передачи конфиденциальных документов;
- созданием архивов документов ограниченного доступа, проведением регулярной экспертизы ценности документов и оценки возможности снятия отметки грифа конфиденциальности;
- определением порядка уничтожения документов ограниченного доступа;
- введением в ФНС России требований к условиям хранения документов ограниченного доступа и обращения с ними:
- организацией обязательного поэкземплярного и полистного учёта всех документов, содержащих сведения ограниченного доступа, а также проектов и черновиков таких документов;
- определением полного состава регистрационных данных о каждом документе, содержащем сведения ограниченного доступа (дата создания, получения, исполнения; регистрационный номер; фамилия, имя, отчество (при наличии) исполнителя, адресата; права доступа; степень конфиденциальности; количество листов и т.д.);
- организацией системы фиксации движения и местонахождения документов ограниченного доступа в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России;
- организацией хранения конфиденциальных документов на рабочих местах сотрудников ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России;
- организацией хранения документов ограниченного доступа в архивах ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России;
- созданием в ФНС Росси разрешительной системы доступа к документам ограниченного доступа и делам, обеспечивающей правомерное и санкционированное ознакомление с ними:
- разделение документов по степени конфиденциальности;
- присвоение каждому документу грифа конфиденциальности;
- разграничение права работы с документами ограниченного доступа;
- запрет несанкционированного выноса документов ограниченного доступа;
- - принятие организационных мер, исключающих необоснованное ознакомление с документами сотрудников ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, не имеющих полномочий.
- проведение руководителями подразделений ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России систематических проверок наличия конфиденциальных документов у исполнителей.
Сотрудники ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, осуществляющие неавтоматизированную обработку информации ограниченного доступа, должны быть проинформированы об особенностях и правилах осуществления такой обработки, установленных организационно-распорядительными документами ФНС России.
IX.2. Обеспечение защиты информации при обработке в неавтоматизированных системах
Обработка информации считается осуществляемой в неавтоматизированных системах с использованием СВТ, если действия с информацией (использование, уточнение, распространение, уничтожение) выполняются работниками ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, при помощи СВТ, но не в рамках:
- автоматизированных подсистем ИС ФНС России;
- отдельных подсистем, решающих информационно-справочные или технические задачи в интересах ФНС России и которые были для этого специально приобретены или созданы, имеют проектную или нормативную документацию, аттестованы по требованиям законодательства Российской Федерации.
В неавтоматизированных системах обрабатывается следующая информация (неодновременно):
- информация ограниченного доступа (распространения) на файловых (в том числе FTP) серверах и серверах отдельных баз данных, которые используются для действий с информацией, как в рамках одного подразделения, так и для действий с информацией в рамках ФНС России в целом;
- информация, которая не является конфиденциальной и доступ к которой предоставляется с помощью ресурсов, подключённых к сети Интернет.
Защиту информации в НАС ФНС России необходимо проводить в соответствии с требованиями Приказа ФСТЭК N 17, предъявляемым к государственным информационным системам 3-го класса защиты (в соответствии с классификацией Приказа ФСТЭК N 17).
X. Мониторинг и контроль состояния безопасности информации
X.1. Мониторинг состояния обеспечения безопасности информации
Мониторинг обеспечения безопасности информации проводится с целью объективного подтверждения реального состояния защищённости ИС ФНС России, а также с целью контроля работоспособности механизмов СОБИ, мониторинга сетевой топологии ИС и установленных сервисов, анализа трафика информационного обмена для обнаружения и протоколирования сетевых событий, сбора критичной информации и обнаружения уязвимостей для предотвращения инцидентов, обнаружения вторжений и аномальной активности пользователей ИС ФНС России.
Мониторинг осуществляется силами и средствами СУИБ ФНС России и его исполнительного механизма - ЦУБИ (ВЦ ФНС России). Процедуры мониторинга необходимы для создания гарантированной безопасной среды, в которой пользователи ИС ФНС России, выполняют только те действия, которые они уполномочены выполнять.
Мониторинг предполагает постоянное наблюдение за состоянием ИС ФНС России, анализа полученных данных и прогнозирования возможных критичных изменений состояния безопасности информации, возникновения инцидентов и нарушений режима защиты ИР ФНС России.
Для анализа трафика информационного обмена, обнаружения сетевых событий, сбора критичной информации, обнаружения аномальной активности пользователей ИС ФНС России, идентификации ошибок и нарушений, установленных режимов защиты информации, должны использоваться журналы мониторинга (журналы оператора, администратора, системный журнал и журнал регистрации ошибок, лог-файлы). Контроль (обзор) журналов мониторинга позволяет собирать статистику нарушений и/или отклонений в эксплуатации ИС ФНС России от заданного режима функционирования, определять способы локализации проблем и недопущения нарушений в дальнейшем.
Журналы мониторинга должны создаваться и сохраняться в течение установленного периода времени. Журналы мониторинга, содержащие записи пользовательских действий, регистрирующие исключения, ошибки и другие информационные события, в том числе и сообщения от СиЗИ и ППО, должны использоваться в ходе проводимых расследований инцидентов, нарушений правил доступа и использования ИТ-инфраструктуры ФНС России. Данные журналов мониторинга могут содержать конфиденциальную информацию и другие защищаемые сведения, как о легальных процессах и пользователях ИТ-инфраструктуры ФНС России, так и о нарушителях. Средства регистрации событий и ведения журналов мониторинга должны быть защищены от вмешательства в их работу и возможностей получения к ним несанкционированного доступа.
Попытки внешних атак на ИС ФНС России должны выявляться, регистрироваться и предупреждаться с использованием сертифицированных средств защиты, централизованно управляемых Ведомственным центром ФНС России. Сведения о зарегистрированных атаках на ИС ФНС России в рамках соответствующего соглашения с ФСБ России должны направляться в государственную систему обнаружения и предупреждения компьютерных атак (ГосСОПКА).
X.2. Контроль состояния обеспечения безопасности информации
Контроль состояния обеспечения безопасности информации в ходе эксплуатации объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России проводится с определённой в Политике ИБ периодичностью, с целью подтверждения состояния обеспечения ИБ и проверки выполнения пользователями ИС ФНС России и ответственными лицами структурных подразделений ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России исполнения положений Политики ИБ ФНС России и установленного режима защиты ИР ФНС России. Контроль проводится также в случаях нарушения ИБ с целью определения причин произошедших нарушений.
Контроль состояния обеспечения безопасности информации в ходе эксплуатации объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России проводится специалистами подразделений информационной безопасности ЦА ФНС России, налоговых органов, подведомственных организаций ФНС России в плановом порядке (в соответствии с политикой планирования мероприятий по обеспечению защиты информации) или вне плана, в случаях нарушения безопасности информации с целью определения причин произошедших нарушений.
Для проведения контроля могут привлекаться организации, имеющие лицензию ФСТЭК России на осуществление такой деятельности.
Основными задачами контроля являются:
- проверка соответствия организации работ по обеспечению ИБ в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России требованиям установленного режима защиты ИР ФНС России;
- проверка соответствия ИТ-инфраструктуры ФНС России установленному уровню защищённости;
- оценка обоснованности мер ИБ, применяемых в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России и соответствия их установленным требованиям;
- проверка своевременности и полноты выполнения сотрудниками ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России требований нормативных документов по обеспечению безопасности информации, в том числе положений настоящей Концепции.
В ходе контроля состояния обеспечения безопасности информации могут применяться специальные программные средства тестирования технических средств обработки информации. Тестовые испытания состояния безопасности информации проводятся в рабочих эксплуатационных режимах ИС ФНС России. При проведении контроля необходимо учитывать, что использование тестирующих средств недостаточно для объективного контроля защищённости ИС ФНС России. Перечень выявленных при тестировании уязвимостей не является исчерпывающим и не исключает присутствия иных, кроме обнаруженных уязвимостей. Результаты испытаний с помощью тестирующих средств подлежат обязательному дополнению результатами других исследований. Тестированию подвергаются:
- встроенные механизмы защиты общесистемного программного обеспечения ИС ФНС России и телекоммуникационного оборудования;
- программные и программно-аппаратные средства защиты, применяемые в ИС ФНС России;
- технические СЗИ, установленные на объектах информатизации налоговых органов, подведомственных организациях ФНС России;
- основные технические средства обработки информации ИС ФНС России и телекоммуникационной инфраструктуры ФНС России;
- вспомогательные технические средства обработки информации, установленные на объектах информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России.
По результатам контроля даётся оценка эффективности, принимаемых мер обеспечения безопасности информации. Защита считается эффективной, если принимаемые меры обеспечивают реализацию заданных целей и требований, а также соответствуют установленным нормам и требованиям настоящей Концепции.
Результаты контроля, установленные причины нарушений, рекомендации по их устранению отражаются в заключениях, актах, справках или отчётах, и докладываются Руководителю Федеральной налоговой службы.
X.3. Аудит (обследование) обеспечения безопасности информации
Аудит (обследование) обеспечения безопасности информации на объектах ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России проводится сторонними организациями, имеющими опыт проведения аудита безопасности информации (внешний аудит) и налоговым органом, в полномочия которого входит контроль уровня защищённости информационных систем ФНС России. Аудит проводится в соответствии с организационно-распорядительными документами ФНС России.
Аудит (обследование) представляет собой комплекс мероприятий, в которых помимо аудитора, задействованы сотрудники структурных подразделений ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России. Действия всех участников этого процесса должны быть скоординированы.
На этапе инициирования процедуры аудита (обследования) должны быть решены следующие организационные вопросы:
- права и обязанности аудитора должны быть чётко определены и документально закреплены;
- аудитор должен быть не заинтересован в результатах аудита (обеспечение выполнения основных принципов аудита - объективность, конфиденциальность (при необходимости в ИБ), независимость, беспристрастность, получение свидетельств аудита, основанных на фактах;
- аудитором должен быть подготовлен и согласован с руководством ФНС России план проведения аудита;
- руководством ФНС России должны быть определены общие границы объекта обследования (аудита);
- аудитором совместно с руководством ФНС России должен быть произведён выбор критериев оценки состояния ИБ;
- сотрудники ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России должны оказывать содействие аудитору и предоставлять всю необходимую для проведения аудита информацию.
Объектами аудита (обследования) в ФНС России могут быть:
- организационно-распорядительная, эксплуатационная и конструкторская документация, регламентирующая организацию и порядок обеспечения ИБ в ФНС России;
- компоненты ИС ФНС России;
- сотрудники ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России, привлекаемые к обработке защищаемых ИР ФНС России и обслуживанию технических средств обработки информации;
- выполняемые процессы, направленные на обеспечение информационной безопасности.
Для решения конкретных задач аудита (обследования) применяются установленные организационно-распорядительными документами ФНС России методики и критерии. В качестве критериев оценки определяются требования законодательства Российской Федерации, стандарты (национальные и международные), либо требования ФНС России.
Результатом проведения аудита (обследования) является отчёт о состоянии защищённости ИС ФНС России, в котором на основе анализа достигнутого уровня и динамики развития информационных технологий, ожидаемых угроз, источников этих угроз и уязвимостей (факторов), даются развёрнутые рекомендации по повышению уровня защищённости ИС ФНС России, на основе совершенствования механизмов (исполнительных и поддержки) СОБИ ФНС России.
Приложение N 1
Состав мероприятий, подлежащих реализации на исполнительском уровне СОБИ
Все мероприятия, направленные на обеспечение ИБ ИС ФНС России и реализуемые исполнительным механизмом и механизмом поддержки СОБИ структурируются по слоям исполнительского уровня СОБИ. Выполнение данных мероприятий в совокупности с применением специальных и встроенных в общесистемное ПО СЗИ, позволит обеспечить требуемый уровень защищённости ИР ФНС России.
1. Мероприятия, реализуемые СОБИ на физическом подуровне
Поставленные задачи защиты информации на физическом подуровне исполнительского уровня СОБИ достигаются:
- выделением контролируемой зоны для объектов информатизации, в которой исключено бесконтрольное пребывание посторонних лиц и транспортных средств, обеспечением соблюдения пропускного режима и физической защиты объектов информатизации;
- применением искусственных препятствий, затрудняющих проникновение на объекты информатизации (ворота, шлагбаумы, тамбуры и т.д.);
- ознакомлением работников ЦА ФНС России, налоговых органов, организаций подведомственных ФНС России и других пользователей ИС ФНС России с процедурой уведомления о различных нарушениях ИБ, вменением им в обязанности без промедления сообщать обо всех наблюдаемых или подозрительных случаях такого рода, установлением процедуры реагирования на нарушения информационной безопасности;
- оборудованием объектов ЦА ФНС России, налоговых органов, организаций подведомственных ФНС России средствами противопожарной защиты, а особо ответственных помещений, предназначенных для хранения носителей защищаемых информационных ресурсов ФНС России - средствами пожаротушения, исключающими возможность физического уничтожения носителей в результате пожара;
- обеспечением электрозащиты и грозозащиты объектов налоговых органов, подведомственных организаций ФНС России;
- оборудованием помещений, где размещаются критичные элементы информационных систем ФНС России многоконтурными техническими средствами охраны, а также созданием нескольких рубежей контроля входов в отдельные важнейшие помещения;
- использованием для круглосуточного контроля электронных средств сигнализации, передающих на пульты службы охраны информацию о состоянии дверей, окон, стен, оград зданий, перемещении транспорта и людей по территории объектов ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России;
- ограничением доступа в конкретные помещения лиц, не имеющих специального разрешения, на основе применения устройств аутентификации (магнитные карты, коды, индукционные карточки и т.п.);
- опечатыванием (пломбированием) уполномоченными лицами узлов и блоков информационных систем ФНС России участвующих в обработке защищаемых информационных ресурсов ФНС России, и к которым имеется доступ обслуживающего персонала при осуществлении ремонтных, наладочных и иных работ; осуществлением периодического контроля за опечатыванием данных устройств;
- организацией учёта технических средств обработки информации, носителей информации (в том числе дистрибутивов программного обеспечения), оборудованием помещений объектов ЦА ФНС России, налоговых органов, подведомственных организаций ФНС России специальными хранилищами для носителей информации, в том числе несгораемыми сейфами, металлическими шкафами, созданием стабильных климатических условий для хранения носителей информации;
- проверкой перед утилизацией элементов информационных систем ФНС России всех компонент, включая носители информации (жёсткие диски, дискеты, CD-диски и др.) на отсутствие защищаемой информации и лицензионного программного обеспечения;
- страхованием технических средств обработки информации от физического разрушения технических средств и носителей информации от стихийных бедствий и форс-мажорных обстоятельств, недобросовестных действий работников ЦА ФНС России, налоговых органов, подведомственных организаций ФНС России, приводящих к полной или частичной утрате (уничтожению) защищаемых информационных ресурсов ФНС России;
- организацией взаимодействия ФНС России с федеральными уполномоченными органами исполнительной власти по вопросам обеспечения защиты объектов ЦА ФНС России, налоговых органов, подведомственных организаций ФНС России, осуществлением контроля выполнения установленных требований по обеспечению режима защиты информационных ресурсов ФНС России.
2. Мероприятия, реализуемые СОБИ на технологическом подуровне
Поставленные задачи защиты информации на технологическом подуровне исполнительского уровня СОБИ достигаются:
- использованием в информационных системах ФНС России лицензионного программного обеспечения, принятием мер по соблюдению авторских прав на программное обеспечение, запретом исследования и копирования программного обеспечения;
- созданием фонда алгоритмов и программ; проведением тестирования, учёта и хранения копии всего программного обеспечения (разработанного или приобретённого), применяемого в информационных системах ФНС России запретом использования в информационных системах ФНС России неучтённых копий программного обеспечения;
- использованием в информационных системах ФНС России общесистемного, специального и прикладного программного обеспечения (в том числе программного обеспечения средств защиты информации), потребительские и специальные функции которых подтверждены сертификационными испытаниями;
- использованием в информационных системах ФНС России общесистемного, прикладного и специального программного обеспечения (в том числе средств защиты информации), не содержащих технологических ошибок и недекларированных возможностей;
- использованием специальных технологий программирования прикладного программного обеспечения, минимизирующих вероятность наличия дополнительных функциональных возможностей, используемых в дальнейшем для несанкционированного доступа к информации;
- предупреждением внесения несанкционированных изменений в прикладное программное обеспечение в процессе разработки и эксплуатации; периодической сверкой программного обеспечения с эталонными копиями, хранимыми отдельно в фонде алгоритмов и программ;
- применением специальных сертифицированных антивирусных средств тестирования и восстановления программного обеспечения, программ контроля и обеспечения целостности и неизменности программного обеспечения при его загрузке и использовании, алгоритмов самотестирования и самовосстановления исполняемого кода программного обеспечения;
- выполнением на объектах ЦА ФНС России, налоговых органов и подведомственных организациях ФНС России установленных требований по размещению технических средств обработки информации, организации их бесперебойного и гарантированного электропитания, заземления;
- размещением технических средств обработки информации (средств отображения и изготовления документов) в местах, исключающих возможность визуального просмотра выводимой на них информации лицами, не имеющими к ней доступа;
- резервированием технических средств обработки информации информационных систем ФНС России используемых на наиболее ответственных участках информационных систем ФНС России или для обработки оперативной информации;
- применением защищённых (в том числе сертифицированных) вспомогательных технических средств и систем, не создающих технических каналов утечки защищаемой информации;
- обеспечением надёжного сервисного обслуживания технических средств обработки информации информационных систем ФНС России с привлечением (по необходимости) организаций, имеющих соответствующие лицензии.
3. Мероприятия, реализуемые СОБИ на пользовательском подуровне
Поставленные задачи защиты информации на пользовательском подуровне исполнительского уровня СОБИ достигаются:
- созданием в ИС ФНС России разрешительной системы допуска пользователей к обработке защищаемой информации, установлением персональной ответственности пользователей ИС ФНС России за нарушения установленного порядка применения информационных технологий при обработке информации, правил хранения и передачи защищаемой информации, организацией инструктажа пользователей;
- присвоением пользователям идентификационных меток (идентификаторов) и применением средств идентификации; проверкой принадлежности идентификаторов к пользователю и подтверждению его подлинности (аутентификация); ограничения прав пользователей информационных систем ФНС России по доступу к средствам обработки информации;
- разграничением полномочий пользователей информационных систем ФНС России, использованием средств адресации по полномочиям, проверкой полномочий с помощью программно-аппаратных средств защиты информации;
- изоляцией пользователей информационных систем ФНС России от возможности управления и изменения параметров программно-аппаратных средств защиты информации, в том числе средств криптографической защиты информации;
- организацией управления потоками информации между пользователями ИС ФНС России, исключением возможности несанкционированного перенаправления потоков информации и изменения правил доступа к информационным ресурсам ФНС России и сервисам;
- регистрацией попыток несанкционированного обращения к информационным ресурсам ФНС России, сервисам информационных систем ФНС России и последующим анализом попыток и аномальной активности пользователей по обращению к информационным ресурсам ФНС России;
- применением специальных средств блокировки сессии при работе в ИС ФНС России без выключения технических средств обработки информации в случае временного оставления рабочего места пользователем;
- уничтожением фрагментов данных в оперативном запоминающем устройстве, регистрах процессора и запоминающего устройства принтера по окончании работы с данными, применением защиты данных на файловом уровне, на жёстком диске, съёмных носителях;
- локализацией в отдельном автономном сегменте технологических рабочих станций, предназначенных для разработки и отладки прикладного программного обеспечения;
- разнесением возможности использования (запуска) программных средств разработки и рабочих программ (запретом совместного хранения компиляторов, редакторов и других системных утилит с рабочими системами), использованием разных процедур входа в рабочие и тестируемые системы.
4. Мероприятия, реализуемые СОБИ на сетевом (локальном) подуровне
Поставленные задачи защиты информации на сетевом (локальном) подуровне исполнительского уровня СОБИ достигаются:
- созданием защищённой оболочки (периметра) вокруг информационных систем ФНС России в целом, и отдельных их сегментов с применением средств защиты информации от несанкционированных действий со стороны пользователей открытых сетей общего пользования, в том числе глобальной информационной сети Интернет;
- созданием сегментов и зон обработки и хранения информационных ресурсов ФНС России, объединённых функциональной необходимостью, степенью конфиденциальности информации и местоположением рабочих станций пользователей, специальных технологических сегментов, выделением в обособленный сегмент средств и Инфраструктурных ИР, обеспечением взаимной устойчивости защиты одних сегментов к компрометации средств защиты других сегментов;
- созданием зон повышенной безопасности для информационных ресурсов ФНС России, имеющих более высокий уровень защищённости;
- разграничением полномочий групп пользователей информационных систем ФНС России (в том числе внешних) по доступу к информационным ресурсам ФНС России по степени конфиденциальности и по функциональной необходимости обращения к защищаемым информационным ресурсам;
- исключением возможности несанкционированного перенаправления потоков информации и изменения правил доступа к информационным ресурсам ФНС России;
- исключение возможности несанкционированного перенаправления потоков информации, циркулирующих во вспомогательных средствах и системах (информация системы охраны, видеонаблюдения, телефонии, управления и пр.) и изменения правил доступа к ним;
- регистрацией аномальной активности пользователей информационных систем ФНС России при обращении к информационным ресурсам ФНС России;
- реализацией заданной дисциплины взаимодействия (аутентификация и/или защита канала) для каждого защищённого соединения, доступом в заданном защищённом режиме только для зарегистрированных (в том числе и для мобильных и внешних) пользователей информационных систем ФНС России;
- резервированием основных хранилищ информационных ресурсов ФНС России и Инфраструктурных ИР вспомогательных средств и систем (системы охраны, видеонаблюдения, управления, диспетчерской связи), использованием средств архивации данных;
- организацией буферного сегмента для размещения общедоступных информационных ресурсов ФНС России.
5. Мероприятия, реализуемые СОБИ на канальном подуровне
Поставленные задачи защиты информации на канальном подуровне исполнительского уровня СОБИ достигаются:
- созданием защищённого от несанкционированных действий виртуального канала для обращения удалённых (мобильных) пользователей (сегментов) информационных систем ФНС России к информационным ресурсам ФНС России через внешние телекоммуникационные сети, в том числе глобальную информационную сеть Интернет, контролем списка партнёров по защищённому/незащищённому взаимодействию независимо на каждом физическом интерфейсе;
- применением специальных выделенных каналов обмена информацией для связи с удалёнными пользователями (сегментами) информационных систем ФНС России;
- реализацией заданной дисциплины взаимодействия (аутентификация и/или защита канала) для каждого защищённого соединения, доступом в заданном защищённом режиме только зарегистрированных (в том числе и мобильных, и внешних) пользователей информационных систем ФНС России;
- созданием систем защиты информации ИС ФНС России и управления информационной безопасностью ФНС России;
- поддержкой защищённых сетевых соединений только с зарегистрированными пользователями информационных систем налоговых органов (в том числе внешних) и с установленными параметрами (атрибутами) защиты соединения для каждого конкретного пользователя.
Приложение N 2
Обзор документа
ФНС утвердила новую редакцию Концепции информационной безопасности.
ФНС России обеспечивает в пределах своей компетенции защиту сведений, составляющих охраняемую законом тайну, а также контроль и координацию деятельности по защите таких сведений в налоговых органах и подведомственных организациях.
Прежняя Концепция информационной безопасности ФНС с учетом изменений утрачивает силу.