Регуляторика РБПО. Часть 4 – Требования к ГИС, ИСПДн, отраслевые требования
Привет, эксперты!
Сегодня переходим к 4-ой части нашего обзора регуляторики практик разработки безопасного ПО (РБПО). На повестке у нас требования к государственным информационным системам (ГИС) и информационным системам обработки персональных данных (ИСПДн), а также немного отраслевых требований.
Что было ранее
Синхронизируемся!
Что такое ГИС?
Ст.13 ФЗ № 149-ФЗ
Государственные информационные системы — федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.
Они создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.
Например, единый государственный реестр недвижимости (ФГИС ЕГРН) — это федеральная государственная система, предназначенная для обеспечения ведения, качества и достоверности данных реестра недвижимости и т.д. Это единый государственный реестр/источник данных о правах на недвижимость.
Региональные информационные системы действуют на уровне субъектов РФ.
Что такое ИСПДн?
Ст.3 ФЗ № 152-ФЗ
Информационные системы персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
По сути, любая ИС, содержащая ПДн (даже если это просто архивное хранение (т.е. «обработка ПДн» в случае этого регулирования)).
Уточнение
Система может быть в одном лице и ИСПДн, и ГИС, и, возвращаясь к прошлым статьям, КИИ, и Финтех. В целом, если речь про ИТ, то, как писала в 1-й статье, она попадает под общее регулирование в ИТ.
Так что при выборе набора требований надо учитывать не только отрасль, для/в которой эксплуатируется ИС (или приложение), но и тип этой ИС (ГИС/не ГИС, ИСПДн/не ИСПДн).
Итак, обзор
Для ГИС
Обязательные требования:
Федеральный закон от 27.07.2006 № 149-ФЗ Об информации, информационных технологиях и о защите информации.
Среди прочих положений он регулирует отношения, связанные с защитой информации, в т.ч. для ГИСов.
Что тут из практик безопасной разработки ПО?
Требования из статьи 16 «Защита информации»:
ч.4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2) своевременное обнаружение фактов несанкционированного доступа к информации;
3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6) постоянный контроль за обеспечением уровня защищенности информации.
Кстати, стоит обратить внимание, что с 8 августа 2024 года требования по защите в ФЗ № 149-ФЗ теперь относятся не только к системам в статусе ГИС, но и:
Статья 16
ч.5. Требования о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений применяемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.
(в ред. Федерального закона от 08.08.2024 N 216-ФЗ)
Приказ ФСТЭК России от 11.02.2013 № 17 Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Приказ устанавливает требования к защите информации в государственных информационных системах (пока что, но скоро приказ будет меняться и с учетом изменений в части 5 статьи 16, о чем написала чуть выше, и с учетом новых вызовов, в т.ч. будет безопасная разработка, но об этом поговорим в 5-й статье).
Документ обязателен к исполнению компаниями, являющимися владельцами ГИС (обычно это органы власти, но зачастую разработкой занимаются подрядчики на контрактной основе, и тогда владелец ГИС может делегировать выполнение требований ИБ (и РБПО) на подрядчика).
Требование по безопасной разработке встречаются в:
п.18. Обеспечение защиты информации в ходе эксплуатации информационной системы должно осуществляться оператором в соответствии с эксплуатационной документацией и организационно-распорядительными документами по защите информации и включать следующие мероприятия (выдержка):
— анализ угроз безопасности информации в информационной системе (выявление, анализ и устранение уязвимостей информационной системы; выявление, анализ и устранение уязвимостей информационной системы; оценка возможных последствий реализации угроз безопасности информации в информационной системе);
— управление (администрирование) системой защиты информации информационной системы (управление обновлениями программных и программно-аппаратных средств, в том числе средств защиты информации, с учетом особенностей функционирования информационной системы; мониторинг и анализ зарегистрированных событий в информационной системе, связанных с обеспечением безопасности);
— управление конфигурацией информационной системы и ее системой защиты информации (определение компонентов информационной системы и ее системы защиты информации, подлежащих изменению в рамках управления конфигурацией (идентификация объектов управления конфигурацией): программно-аппаратные, программные средства, включая средства защиты информации, их настройки и программный код, эксплуатационная документация, интерфейсы, файлы и иные компоненты, подлежащие изменению и контролю; управление изменениями информационной системы и ее системы защиты информации: разработка параметров настройки, обеспечивающих защиту информации, анализ потенциального воздействия планируемых изменений на обеспечение защиты информации, санкционирование внесения изменений в информационную систему и ее систему защиты информации, документирование действий по внесению изменений в информационную систему и сохранение данных об изменениях конфигурации; контроль действий по внесению изменений в информационную систему и ее систему защиты информации);
— реагирование на инциденты (реагирование на инциденты обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов; анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий; планирование и принятие мер по устранению инцидентов);
— контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе (анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы; документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе).
п.20. Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать (далее выдержки):
— ограничение программной среды (мера «ОПС»; установка и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключить возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения);
— контроль (анализ) защищенности информации (мера «АНЗ»; проведения мероприятий по анализу защищенности информационной системы и тестированию ее системы защиты информации);
— целостность информационной системы и информации (мера «ОЦЛ»; обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащейся в ней информации, а также возможность восстановления информационной системы и содержащейся в ней информации);
— защита информационной системы, ее средств, систем связи и передачи данных (мера «ЗИС»; защита информации при взаимодействии информационной системы или ее отдельных сегментов с иными информационными системами и информационно-телекоммуникационными сетями посредством применения архитектуры информационной системы, проектных решений по ее системе защиты информации, направленных на обеспечение защиты информации).
Важно, ФСТЭК недавно опубликовала на своем сайте проект изменений в этот приказ, и судя по проекту — под РБПО будет выделен целевой раздел, близкий по духу к ГОСТ 56939. Но изменения и тренды мы подробно рассмотрим в следующей, завершающей, статье.
Опциональный требования
Методические рекомендации по обеспечению безопасности при разработке программного обеспечения с использованием компонентов Единой цифровой платформы «ГосТех» (Утверждено протоколом Президиума Правительственной комиссии от 08.12.2022 № 54)
Методические рекомендации направлены на обеспечение защиты информации, обрабатываемой гос.системой на Платформе «ГосТех».
Подробнее почитать про проект ГосТех можно тут.
Методические рекомендации предназначены для использования Заказчиками при разработке технических заданий, на создание, развитие, эксплуатацию ГИС на Платформе «ГосТех» и Разработчиками ПО, выполняющими работы по созданию, развитию и эксплуатации ПО ГИС на Платформе «ГосТех» в рамках заключенных государственных контрактов (договоров, соглашений).
Требование по безопасной разработке
Документ содержит рекомендации по реализации требований по разработке безопасного ПО на Платформе «ГосТех», установленных ГОСТ Р 56939–2016.
Так как ГОСТ сейчас вышел в новой редакции, скорее всего и метод.рекомендации будут пересмотрены.
На всякий случай оставляю ссылку на всю базу документации по ГосТех.
Концепция разработки безопасного ПО на платформе ГосТех (Утверждено протоколом Президиума Правительственной комиссии от 04.05.2023 № 20)
Еще один документ ГосТеха, по логике он первее метод.рекомендаций должен располагаться в обзоре, но концепция издана позднее, поэтому сохраним хронологию.
Концепция определяет основные подходы и перечень мер по разработке безопасного ПО необходимых для обеспечения и поддержания высокого уровня защищенности платформы «ГосТех» и государственных информационных систем, размещаемых на платформе «ГосТех».
Меры, предусмотренные концепцией, применяются к следующим субъектам и объектам платформы «ГосТех»:
Субъекты платформы «ГосТех»:
— разработчики ПО в составе ГИС на платформе «ГосТех»;
— поставщики сервисов платформы «ГосТех»;
— экспертные организации в области разработки безопасного ПО.
Объекты платформы «ГосТех»:
— государственные информационные системы (ГИС);
— базовые сервисы платформы «ГосТех»;
— дополнительные сервисы платформы «ГосТех»;
— сервисы защиты информации;
— инфраструктурные технологические сервисы.
Требование по безопасной разработке (т.к. это Концепция, тот тут описание больше декларативного характера)
Основной состав процессов управления разработкой безопасного ПО Оператора платформы «ГосТех» включает процессы:
— управления требованиями по разработке безопасного ПО в составе ГИС на платформе «ГосТех»;
— управления недостатками и уязвимостями компонентов сторонних разработчиков в системе управления конфигурацией ПО платформы «ГосТех;
— инструментального исследования ПО ГИС на платформе «ГосТех»;
— управления недостатками и уязвимостями ПО в составе ГИС на платформе «ГосТех»;
— проведения технической экспертизы сервисов платформы «ГосТех»;
— контроля соблюдения поставщиками платформы «ГосТех» требований по разработке безопасного ПО, описанных в требованиях по разработке безопасного программного обеспечения, определенными национальным стандартом ГОСТ Р 56939–2016 «Защита информации. Разработка безопасного программного обеспечения. Общие требования», а также методических документов платформы «ГосТех»;
— обучения поставщиков платформы «ГосТех» по разработке безопасного ПО на платформе «ГосТех».
Требования по разработке безопасного программного обеспечения также определены в утвержденных методических документах на платформу «ГосТех» и применяются с учетом типа субъекта платформы «ГосТех»:
Для ИСПДн
Обязательные требования
Федеральный закон от 27.07.2006 № 152-ФЗ О персональных данных
Законом регулируются отношения, связанные с обработкой персональных данных, с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств.
Под обработкой понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Требования по безопасной разработке следуют (прямо или косвенно) из:
статьи 19 «Меры по обеспечению безопасности персональных данных при их обработке», а именно:
ч.1. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
ч.2. Обеспечение безопасности персональных данных достигается, в частности:
пп.1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
пп.2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
пп.3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
пп.4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
пп.6. обнаружением фактов несанкционированного доступа к персональным данным;
пп.9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Приказ ФСТЭК России от 18.02.2013 № 21 Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
Приказ устанавливает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Документ распространяется на любые компании, являющиеся оператором ПДн.
Требования по безопасной разработке следуют из:
п.8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят (выдержка):
— ограничение программной среды (мера «ОПС»; установка и (или) запуск только разрешенного к использованию в информационной системе программного обеспечения или исключить возможность установки и (или) запуска запрещенного к использованию в информационной системе программного обеспечения);
— контроль (анализ) защищенности персональных данных (мера «АНЗ»; проведение систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных);
— обеспечение целостности информационной системы (мера «ОЦЛ»; обнаружение фактов несанкционированного нарушения целостности информационной системы и содержащихся в ней персональных данных, а также возможность восстановления информационной системы и содержащихся в ней персональных данных);
— выявление инцидентов (мера «ИНЦ»; выявление одного события или группы событий, которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них (обнаружение, идентификация, анализ инцидентов в информационной системе, а также принятие мер по устранению и предупреждению инцидентов);
— управление конфигурацией информационной системы и системы защиты персональных данных (мера «УКФ»; управление изменениями конфигурации информационной системы и системы защиты персональных данных, анализ потенциального воздействия планируемых изменений на обеспечение безопасности персональных данных, а также документирование этих изменений).
п.11. В случае определения в соответствии с Требованиями к защите персональных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119, в качестве актуальных угроз безопасности персональных данных 1-го и 2-го типов дополнительно к мерам по обеспечению безопасности персональных данных, указанным в пункте 8 настоящего документа, могут применяться следующие меры (выдержка):
— проверка системного и (или) прикладного программного обеспечения, включая программный код, на отсутствие недекларированных возможностей с использованием автоматизированных средств и (или) без использования таковых;
— тестирование информационной системы на проникновения;
— использование в информационной системе системного и (или) прикладного программного обеспечения, разработанного с использованием методов защищенного программирования.
Что по отраслевым обязательным требованиям?
В прошлой статье про КИИ уже писала об этом требовании:
Приказ Минэнерго России от 26.12.2023 № 1215 Об утверждении дополнительных требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры, функционирующих в сфере электроэнергетики, при организации и осуществлении дистанционного управления технологическими режимами работы и эксплуатационным состоянием объектов электроэнергетики из диспетчерских центров субъекта оперативно-диспетчерского управления в электроэнергетике.
Приказ вступил в силу с 1 сентября 2024 года.
По РБПО:
П.12. В отношении программного обеспечения, используемого для реализации дистанционного управления из диспетчерских центров, должны быть выполнены следующие требования поддержки безопасности программного обеспечения:
а) наличие процедур отслеживания, исправления обнаруженных ошибок и уязвимостей программного обеспечения;
б) определение способов и сроков доведения организациями — разработчиками и (или) производителями программного обеспечения до его пользователей следующей информации:
об уязвимостях программного обеспечения;
о компенсирующих мерах по защите информации или ограничениях по применению программного обеспечения;
о способах получения пользователями программного обеспечения его обновлений, проверки их целостности и подлинности.
Вот такой быстрый обзор, но он завершающий именно по регулированию РБПО (по состоянию на дату публикации статьи).
Мы закончили рассматривать требования в разрезе отраслей и в разрезе типов информационных систем.
В следующий раз поговорим про ответственность, тренды и майндкарты.
Что хочу отдельно отметить
Про мобильные приложения редко где говорится как о самостоятельной сущности, требующей не меньше внимания, чем классические ИС.
Но это ровно потому, что мобильные приложения в регуляторике не выделяют как отдельный класс систем. Все требования к информационных технологиям/информационным системам ровно так же применимы и к мобильным приложениям, если функциональность реализована именно таким способом.
Подробно разбор регуляторики по мобилкам можно почитать в статье моего коллеги-эксперта по мобильной безопасности Юры Шабалина. Там мы делали разбор «быть или не быть» защите ПДн в мобильных приложениях и пришли к выводу, что логика справедлива для любого вида обработки информации, подлежащей защите в соответствии с законодательством. Если интересны факты и примеры нарушения защиты данных в мобилках, забегайте почитать.
Из полезной визуализации
сегодня будут столпы внедрения DevSecOps-культуры в организации:
Источник: «Альбом РБПО 2025», ООО «Свордфиш Секьюрити» 2024
и вариант построения центра компетенции по РБПО:
Источник: «Альбом РБПО 2025», ООО «Свордфиш Секьюрити» 2024
До встречи в завершающей статье!
