Zip File, мамкины хаЦкеры. Как я уже упоминал в прошлом видео, для ряда специализированных информационных систем предъявляются особые требования касательно аттестации. Речь идёт о таких системах, как ГИС, ИСПДн, ИСОП, АСУ ТП, а также касается объектов критической информационной инфраструктуры. Под аббревиатурой ГИС, которую вы наверняка слышали 100500 раз понимают Государственные информационные системы аля Госуслуги и Госзакупки.
Согласно действующему законодательству, государственные органы обязаны обеспечить защиту информации на этих ресурсах от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
Для этого ФСТЭК ввёл 17й приказ, исходя из которого должны регулярно проводиться определённые регламентированные мероприятия. В этом приказе помимо прочего есть отсылки на ГОСТы 51583 и 51624. Так что можно гуглить их параллельно.
Классификация ИС всегда отталкивается от её масштаба и значимости обрабатываемой инфы. Т.е. чем больше размер и чем значимее информация – тем более надёжная защита требуется вашей системе.
Под уровнем значимости принято понимать степень ущерба по параметрам: конфиденциальность + целостность + доступность. Степень возможного ущерба определяется обладателем информации и может быть высокой.
Если в результате нарушения одного из свойств безопасности информации возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных значимых областях.
Средней, когда негативные последствия умерены, и ИС не может выполнить хотя бы одну из возложенных функций. И низкий. Это незначительные негативные последствия, но с отсутствием возможности выполнить большую часть возложенного функционала.
Само собой есть совершенно конкретный перечень мер расписанный на многотомных таблицах. И меры эти, надо каким-то образом выполнять. А вот как это делать, вопрос уже скорее риторический и в какой-то мере весьма творческий.
В частности, в методическом документе «Меры защиты информации в ГИС» все меры перечисленные в 17 приказе более подробно раскрываются и конкретизируются. Так что к ознакомлению обязательно. Не пожалеете. Эдакая трактовка заповедей к библии матёрого безопасника.
Также, если вы любите реальную практику, а не просто сухую теорию по IT, рекомендую посетить сайт моих корешей CyberYozh.
Ребята активно занимаются переводом популярных зарубежных курсов на русский язык и продвигают свои авторские наработки.
В частности тут, вы сможете прокачать такие скиллы, как анонимность и безопасность, научитесь программировать на языке Python и ломать антифрод системы, как заправдовский хаЦкер.
Так что если вы до сих пор ищите место, где собрана вся база для начинающего и уже опытного айтишника от А до Я, КиберЁж – это то самое место.
У команды CyberYozh куча потрясающих бесплатных курсов, но, если вам понравился какой-то из платных – ловите промокод на скидку 10% (ITKURETS).
Ссылка на проект также продублирована в описании под видосом. Переходите и прокачивайте себя, как специалиста, обладающего сокральными знаниями, которые пока что не ведомы конкурентам.
Информационные системы персональный данных (ИСПДн)
Для информационных систем персональных данных существует 152 федеральный закон и ПП РФ 1119. Последний позволяет классифицировать ПДн в зависимости от их типа.
Они как мы помним бывают специальные, биометрические, общедоступные и иные. Т.е. не относящиеся ни к одной из перечисленных категорий. Там же упомянуты 3 существующих типа угроз.
Под непонятной аббревиатурой НДВ скрываются Недекларированные возможности. Они же функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности.
Реализацией недекларированных возможностей, в частности, также являются программные закладки. Т.е. преднамеренно внесенные в ПО функциональные объекты, которые при определенных условиях инициируют выполнение не описанных в документации функций ПО.
Например в системе есть неописанный универсальный пароль, который позволяет "залогиниться" в любую учётную запись, зная только логин. Разработчики частенько оставляют такую дыру, чтобы иметь возможность зайти и посмотреть, что именно не работает.
Информационные системы общего пользования
С ИСПДн вроде разобрались. Теперь давайте затронем вопрос общедоступных систем. Согласно 424 посланию, операторы федеральных ГИС должны обеспечить и защиту, и постоянный доступ и восстановление инфы в течении 8 часов.
Только вот о конфиденциальности ни слова не сказано. Так что никто вам её обеспечивать на законодательном уровне в этих системах по умолчанию не обязан.
Классификация ИСОП определяется совместным приказом ФСБ и ФСТЭК. В зависимости от значимости содержащихся в них информации выделяют первый и второй класс.
К первому относятся информационные системы общего пользования Правительства РФ и иные информационные системы общего пользования в случае, если нарушение целостности и доступности информации, содержащейся в них, может привести к возникновению угроз безопасности для нашей страны.
Ну а ко второму относятся все остальные системы. Кстати, в этом же документе содержится перечень требований, необходимых для выполнения в зависимости от класса ИСОП.
187 ФЗ
Федеральный закон о безопасности критичной информационной инфраструктуры регулирует отношения в области обеспечения безопасности КИИ в целях её устойчивого функционирования при проведении внешних атак.
К такой инфраструктуре относятся объекты критической информационной инфраструктуры, а также сети электросвязи, используемые для организации взаимодействия таких объектов.
Под объектами подразумеваются информационные системы, телекоммуникационные сети и автоматизированные системы управления субъектов КИИ.
Кстати, забавное наблюдение по поводу телекоммуникационных сетей. На многих серьёзных предприятиях сетевиков, админов, и всё что с ними связано, до сих пор относят к телекоммуникациям.
Отдел телекоммуникаций, стойки называют телекоммуникационными шкафами, у меня даже текущая должность звучит как «Эксперт по телекоммуникациям».
Ну эт так. К сведению. В отдельный класс выделяются значимые объекты КИИ. Помимо объектов, есть ещё субъекты. К ним относятся гос. учреждения, юр. лица, ИПшники которым на праве собственности или аренды принадлежат те или иные системы из вот этих вот сфер.
Как видите сфер этих, в которых имеет место быть КИИ, довольно таки дофига. В зависимости от значимости устанавливаются три категории объектов КИИ. Все они опять же связаны с потенциальным ущербом.
Ну и в соответствии с 239 приказом у нас есть определённые требования, которые должен исполнять субъект КИИ для своего непосредственного объекта. Также настоятельно рекомендую к ознакомлению.
АСУ ТП
АСУ ТП расшифровывается, как автоматизированные системы управления технологическими процессами. Помнится три года назад, я работал ведущим инженером-программистом в отделе АСУ ТП.
Основные требования этой истории направлены на работу в штатном режиме, при котором обеспечивается соблюдение проектных пределов значений параметров выполнения целевых функций в условиях воздействия угроз безопасности информации.
Но если всё таки угрозу предотвратить не удалось и атака прошла успешно, необходимо обеспечить снижение рисков незаконного вмешательства в процессы функционирования. Эти требования направлены на объекты, которые перечислены на следующем слайде.
Речь идёт о потенциально опасных объектах и объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, в том числе опасных объектов, безопасность которых обеспечивается в соответствии с законодательством.
А именно 31 приказом ФСТЭКа об утверждении требований к обеспечению защиты информации в АСУ ТП на критически важных объектах. За исключением тех, что относятся к значимым объектам КИИ.
Уровень защиты тут, как обычно, определяется по параметрам: конфиденциальность + целостность + доступность. А степень возможного ущерба определяется заказчиком и может быть высокой, средней и низкой.
Помимо этого, тут также присутствуют уровни значимости. Чем важнее система и информация обрабатываемая с её помощью – тем серьёзнее этот уровень и класс защищённости. С полным перечнем мер вы также можете ознакомиться в 31 приказе.
Окей, друзья. Нынче мы познакомились с классификацией специализированных информационных систем на основании циркулирующей в них информации. Уверен, что у многих из вас сейчас в голове полнейшая каша.
Поэтому, запомните ключевую идею. Ваша задача не зазубрить всё, а уловить основную суть. А она заключается в том, что сначала определяется, какой ущерб мы можем понести, ну а затем, уже исходя из этого, выбираются адекватные меры реагирования.
Напоминаю, что к каждому ролику из цикла «информационная безопасность с нуля до джуна» есть домашнее задание составленное и проверяемое мной лично на сайте академии матёрых IT-спецов.
Ссылочка будет в описании. Переходите, учитесь. Курс пока что бесплатный. Но со временем, вполне вероятно, что буду транслировать его исключительно за монеты. Так что рекомендую вписаться в учёбу, пока есть возможность халявы.
Если понравилось видео – не забудьте отблагодарить меня лайком и оформить подписку на данный канал. Ведь таким образом вы внесёте вклад в популяризацию тематики отечественного инфобеза в информационном пространстве.
На сим всё. С вами, «как обычно», был Денчик. В заключении, по традиции, всем досмотревшим ролик до этой минуты желаю удачи, успеха и самое главное, отличного настроения. До новых встреч, мои кайфные друже. Всем пока.
