ПРАВИТЕЛЬСТВО КЫРГЫЗСКОЙ РЕСПУБЛИКИ
ПОСТАНОВЛЕНИЕ
от 21 ноября 2017 года № 762
Об утверждении Требований к защите информации, содержащейся в базах данных государственных информационных систем
В соответствии со статьей 19 Закона Кыргызской Республики «Об электронном управлении», статьями 10 и 17 конституционного Закона Кыргызской Республики «О Правительстве Кыргызской Республики» Правительство Кыргызской Республики
ПОСТАНОВЛЯЕТ:
1. Утвердить Требования к защите информации, содержащейся в базах данных государственных информационных систем (далее — Требования).
2. Государственному комитету информационных технологий и связи Кыргызской Республики совместно с Государственным комитетом национальной безопасности Кыргызской Республики до 1 апреля 2018 года внести в Правительство Кыргызской Республики предложения по организации исполнения Требований, утвержденных настоящим постановлением.
3. Министерствам, государственным комитетам, административным ведомствам, иным государственным органам (по согласованию), органам местного самоуправления (по согласованию), государственным и муниципальным предприятиям, организациям и учреждениям, финансируемым из республиканского и/или местных бюджетов, являющимся владельцами и/или операторами государственных/муниципальных информационных систем, в срок до 1 июля 2018 года принять меры, вытекающие из Требований, утвержденных настоящим постановлением.
4. Установить, что контроль за соблюдением Требований осуществляет Государственный комитет информационных технологий и связи Кыргызской Республики.
5. Рекомендовать органам местного самоуправления, создающим и эксплуатирующим информационные системы, подлежащие включению в Реестр государственной инфраструктуры электронного управления, с 1 июля 2018 года ежегодно представлять соответствующую информацию о выполнении Требований, утвержденных настоящим постановлением, в Государственный комитет информационных технологий и связи Кыргызской Республики.
6. Контроль за исполнением настоящего постановления возложить на отдел строительства, транспорта и коммуникаций Аппарата Правительства Кыргызской Республики.
7. Настоящее постановление вступает в силу по истечении пятнадцати дней со дня официального опубликования.
Премьер-министр |
С. Исаков |
ТРЕБОВАНИЯ
к защите информации, содержащейся в базах данных государственных информационных систем
1. Требования к защите информации, содержащейся в базах данных государственных информационных систем (далее — Требования), разработаны в соответствии с Законом Кыргызской Республики «Об электронном управлении» и определяют меры по защите информации, а также требования к использованию информационных технологий в государственных информационных системах и обеспечения безопасности информации, содержащейся в их базах данных.
2. Положения настоящих Требований обязательны для применения государственными органами, органами местного самоуправления, государственными и муниципальными предприятиями, организациями и учреждениями, финансируемыми из республиканского и/или местных бюджетов, являющимися владельцами и/или операторами государственных/муниципальных информационных систем.
3. Положения настоящих Требований не распространяются на государственные информационные системы, содержащие в своих базах данных информацию, отнесенную к государственным секретам в соответствии с законодательством Кыргызской Республики о государственных секретах, на сети телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи, информационные системы, не входящие в состав государственной инфраструктуры электронного управления.
4. В настоящих Требованиях используются следующие определения:
активы, связанные со средствами обработки информации (далее -информационный актив) — материальный или нематериальный объект, который является информацией или содержит информацию, или служит для обработки, хранения, передачи информации и имеющий ценность для организации;
внутренний аудит информационной безопасности — объективный, документированный процесс контроля качественных и количественных характеристик текущего состояния информационной безопасности элементов государственной инфраструктуры электронного управления, осуществляемый самой организацией (владельцем/оператором информационной системы) в своих интересах;
журналирование событий — процесс записи информации о происходящих программных или аппаратных событиях в электронный журнал регистрации событий;
засекреченная связь — защищенная связь с использованием засекречивающей аппаратуры;
инфраструктура источника времени — иерархически связанное серверное оборудование, использующее сетевой протокол синхронизации времени, выполняющее задачу синхронизации внутренних часов серверов, рабочих станций и телекоммуникационного оборудования;
кибербезопасность — сохранение свойств целостности (которая может включать аутентичность и отказоустойчивость), доступности и конфиденциальности информации в объектах информационной инфраструктуры, обеспечиваемое за счет использования совокупности средств, стратегий, принципов обеспечения безопасности, гарантий безопасности, подходов к управлению рисками и страхования, профессиональной подготовки, практического опыта и технологий;
критически важное оборудование — оборудование, сбои в работе которого или отказ которого имеют существенное значение для выполнения государственным органом, его территориальным подразделением, осуществляющим полномочия владельца и/или оператора информационной системы, органов местного самоуправления, организацией своих основных функций и приведут к невозможности выполнения (прекращению) возложенных на них функций. Перечень такого оборудования определяется государственным органом, его территориальным подразделением, осуществляющим полномочия владельца и/или оператора информационной системы, органами местного самоуправления, организацией самостоятельно;
критическая информационная инфраструктура — совокупность объектов критической информационной инфраструктуры Кыргызской Республики, функционирующих в секторе государственного управления и государственных электронных услуг, в области здравоохранения, транспорта, телекоммуникаций и связи, кредитно-финансовой сфере, оборонном секторе, топливной промышленности, отрасли генерации и распределения электроэнергии, пищевой промышленности и горнодобывающей промышленности;
кодированная связь — защищенная связь с использованием документов и техники кодирования;
локальная сеть внутреннего контура — локальная сеть государственного органа, отнесенная к внутреннему контуру телекоммуникационной сети государственного органа, его территориального подразделения, осуществляющего полномочия владельца и/или оператора информационной системы, имеющая соединение с единой транспортной средой государственных органов;
локальная сеть внешнего контура — локальная сеть государственного органа, отнесенная к внешнему контуру телекоммуникационной сети государственного органа, его территориального подразделения, осуществляющего полномочия владельца и/или оператора информационной системы, имеющая соединение с Интернетом, доступ к которому для государственного органа предоставляется операторами связи только через единый шлюз доступа к Интернету;
маркировка актива, связанного со средствами обработки информации, — нанесение условных знаков, букв, цифр, графических знаков или надписей на актив с целью его дальнейшей идентификации (узнавания), указания его свойств и характеристик;
масштабируемость — способность элемента государственной инфраструктуры электронного управления обеспечивать увеличение своей производительности по мере роста объема обрабатываемой информации и (или) количества одновременно работающих пользователей;
многофакторная аутентификация — способ проверки подлинности пользователя при помощи комбинации различных параметров, в том числе генерации и ввода паролей или аутентификационных признаков (цифровых сертификатов, токенов, смарт-карт, генераторов одноразовых паролей, средств биометрической идентификации);
объекты информационной инфраструктуры — информационные центры, подсистемы, банки и/или базы данных и знаний, систем связи, центров управления, аппаратно-программных средств и технологии сбора, хранения, обработки и передачи информации;
прикладное программное обеспечение — комплекс программного обеспечения для решения прикладной задачи определенного класса предметной области;
рабочая станция — стационарный или портативный компьютер в составе локальной сети, предназначенный для решения прикладных задач;
серверное помещение — помещение, предназначенное для размещения серверного, активного и пассивного сетевого (телекоммуникационного) оборудования и оборудования структурированных кабельных систем;
системное программное обеспечение — совокупность программного обеспечения для обеспечения работы вычислительного оборудования;
средство криптографической защиты информации — программное обеспечение или аппаратно-программный комплекс, реализующий алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;
система электронного межведомственного взаимодействия «Тундук» — программно-аппаратное решение и организационная среда, обеспечивающая безопасный обмен данными в электронном формате между информационными системами и базами данных государственных органов и органов местного самоуправления при оказании электронных государственных и муниципальных услуг, выполнении государственных и муниципальных функций;
техническая документация по кибербезопасности — документация, устанавливающая политику, правила, защитные меры, касающиеся процессов обеспечения целостности (включая аутентичность и отказоустойчивость), доступности и конфиденциальности информации, содержащейся в базах данных государственных информационных систем;
терминальная система — тонкий или нулевой клиент для работы с приложениями в терминальной среде либо программами — тонкими клиентами в клиент-серверной архитектуре;
шифрованная связь — защищенная связь с использованием ручных шифров, шифровальных машин, аппаратуры линейного шифрования и специальных средств вычислительной техники.
Другие термины и определения используются в значениях, приведенных в законах Кыргызской Республики «Об электронном управлении«, «Об электронной подписи«, «О защите государственных секретов«.
Глава 2. Требования к использованию информационных технологий в государственных органах, органах местного самоуправления и организациях
5. Использование информационных технологий в государственных органах, органах местного самоуправления, организациях осуществляется в соответствии с Законом Кыргызской Республики «Об электронном управлении» с учетом требований к технико-экономическим обоснованиям, техническим спецификациям, техническим заданиям на закупку (модернизацию) информационной системы и информационных технологий для государственных и муниципальных органов, предприятий, учреждений, а также Перечня технологий, изложенных в международных стандартах, для государственных информационных систем, использующих системы шифрования и средства криптографической защиты информации, за исключением информации, отнесенной к государственным секретам, приведенного в приложении 2 к настоящим Требованиям.
Требования к технико-экономическим обоснованиям, техническим спецификациям, техническим заданиям на закупку (модернизацию) информационной системы и информационных технологий для государственных органов, органов местного самоуправления, организаций утверждается уполномоченным государственным органом в сфере информационных технологий и электронного управления (далее — уполномоченный государственный орган).
6. Реализацию задач в сфере электронного управления в соответствии с Законом Кыргызской Республики «Об электронном управлении», в государственном органе, органе местного самоуправления, организации обеспечивает соответствующее подразделение, компетентное в вопросах информационных технологий, осуществляющее:
— учет и анализ активов информационно-коммуникационных технологий;
— координацию работ по созданию, сопровождению и развитию элементов государственной инфраструктуры электронного управления;
— регистрацию информационной системы в Реестре государственной инфраструктуры электронного управления;
— контроль за сохранностью эталонных копий программного обеспечения, исходных программных кодов (при их наличии), комплекса настроек лицензионного программного обеспечения, электронных копий технической документации элементов государственной инфраструктуры электронного управления;
— взаимодействие с уполномоченным государственным органом, операторами информационных систем, другими государственными органами, органами местного самоуправления, организациями, в части реализации проектов в сфере электронного управления.
7. Рабочее место служащего государственного органа, органа местного самоуправления, организации оснащается с учетом его функциональных обязанностей и включает:
— рабочую станцию, унифицированное рабочее место или терминальную систему с подключением к локальной сети внутреннего контура государственного органа, органа местного самоуправления, организации.
При необходимости допускается оснащение рабочего места дополнительным монитором;
— комплект мультимедийного оборудования (наушники, микрофон и веб-камера), при необходимости;
— аппарат телефонной связи или IP-телефонии.
8. Для обеспечения кибербезопасности государственных информационных систем:
1) в технической документации по кибербезопасности определяются:
— способы размещения рабочих станций служащих государственного органа или органа местного самоуправления, организации;
— способы защиты рабочих станций от отказов в системе электроснабжения и других нарушений, вызываемых сбоями в работе коммунальных служб;
— процедуры и периодичность технического обслуживания рабочих станций для обеспечения непрерывной доступности и целостности;
— способы защиты рабочих станций мобильных пользователей, находящихся за пределами государственного органа или органа местного самоуправления, организации, с учетом различных внешних рисков;
— способы гарантированного уничтожения информации при повторном использовании рабочих станций или выводе из эксплуатации носителей информации;
— правила выноса рабочих станций за пределы рабочего места;
2) на регулярной основе проводится учет рабочих станций подразделением, компетентным в вопросах информационных технологий, с проверкой конфигураций;
3) установка и применение на рабочих станциях программных или аппаратных средств удаленного управления извне локальной сетью внутреннего контура исключается. Удаленное управление внутри локальной сети внутреннего контура допускается в случаях, прямо предусмотренных ведомственным актом государственного органа или органа местного самоуправления, организации, определяющим условия и порядок предоставления такого удаленного доступа (приказе, распоряжении, инструкции);
4) неиспользуемые порты ввода-вывода рабочих станций и мобильных компьютеров служащих государственного органа, органа местного самоуправления, организации отключаются или блокируются, за исключением рабочих станций служащих подразделения кибербезопасности.
9. Вопрос операций ввода-вывода с применением внешних электронных носителей информации на рабочих станциях служащих государственного органа, органа местного самоуправления, организации регулируется в соответствии с ведомственной политикой кибербезопасности, принятой в государственном органе или органе местного самоуправления, организации.
10. Для оптимизации размещения оборудования на рабочем месте служащего государственного органа, органа местного самоуправления, организации допускается применение специализированного оборудования, обеспечивающего использование одной единицы монитора, ручного манипулятора (мышь) и клавиатуры для нескольких рабочих станций, без применения сетевых интерфейсов.
11. Для использования сервисов системы электронного межведомственного взаимодействия «Тундук» рабочая станция, подключенная к локальной сети внутреннего контура государственного органа, органа местного самоуправления, организации, обеспечивается сетевым подключением к инфраструктуре системы электронного межведомственного взаимодействия «Тундук».
12. Обработка и хранение информации для служебного пользования государственного органа, органа местного самоуправления, организации осуществляются на рабочих станциях, подключенных к локальной сети внутреннего контура государственного органа или органа местного самоуправления, организации и не имеющих подключения к Интернету.
13. Доступ к Интернету служащим государственного органа, органа местного самоуправления, организации предоставляется с рабочих станций, подключенных к локальной сети внешнего контура государственного органа, органа местного самоуправления, организации, размещенных за пределами режимных помещений, определяемых в соответствии с нормативным актом по обеспечению режима секретности в министерствах, административных ведомствах, на предприятиях, в учреждениях и организациях Кыргызской Республики.
14. Телефонная связь государственного органа, органа местного самоуправления, организации:
1) реализуется как на базе цифровых телефонных сетей общего пользования, так и с применением технологии IP-телефонии;
2) обеспечивает коммутацию пользователя с абонентами телефонных сетей по следующим каналам:
— использование соединений абонентов через существующую локальную вычислительную сеть внутреннего и внешнего контура и ведомственную сеть передачи данных;
— использование услуг связи оператора телефонной связи общего пользования по потоку Е1;
— использование операторов сотовой связи;
— использование услуг междугородной и международной связи.
15. Для проведения конференций, презентаций, совещаний, телемостов помещение (конференцзал) государственного органа, органа местного самоуправления, организации оснащается:
— конференцсистемой звукового усиления, включающей размещение на месте участника микрофона, громкоговорителя и светового индикатора запроса и выступления участника;
— устройством ввода-вывода информации.
Для организации «телемоста» с географически распределенными участниками, находящимися в других городах или странах, конференцсистема по необходимости дополняется системой аудио- и видеоконференцсвязи.
16. Организация печати документов в государственном органе и/или органе местного самоуправления, организации:
1) реализуется посредством печатающего, копирующего и сканирующего оборудования, подключенного к локальной сети внутреннего контура государственного органа, органа местного самоуправления и организации, с использованием сетевого интерфейса либо прямого подключения к серверу печати;
2) обеспечивается программным обеспечением, реализующим:
— централизованное управление пользователями и устройствами;
— учет распечатываемых документов, а также копий, факсов, отправленных электронной почтой и сканирований по идентификационным номерам пользователей, с возможностью распределения затрат между подразделениями и пользователями;
— систему отчетов, графически иллюстрирующих активность печати, копирования и сканирования;
— идентификацию пользователя до начала использования сервиса печати;
— авторизацию служащего государственного органа на устройстве печати способами, регламентированными в технической документации по кибербезопасности;
— формирование очереди печати, посредством которой осуществляется печать, с возможностью получения распечатанных документов.
Глава 3. Требования к организации кибербезопасности в государственном органе, органе местного самоуправления, организации
17. В целях разграничения ответственности и функций в сфере обеспечения кибербезопасности подразделение кибербезопасности, являющееся структурным подразделением государственного органа или органа местного самоуправления, организации, осуществляет:
— контроль исполнения требований технической документации по кибербезопасности;
— контроль за документальным оформлением кибербезопасности;
— контроль за управлением активами в части обеспечения кибербезопасности;
— контроль правомерности использования программного обеспечения;
— контроль за управлением рисками в сфере информационно-коммуникационных технологий;
— контроль за регистрацией событий кибербезопасности;
— проведение внутреннего аудита кибербезопасности;
— контроль за организацией внешнего аудита кибербезопасности;
— контроль соблюдения требований кибербезопасности при управлении персоналом;
— контроль состояния кибербезопасности элемента государственной инфраструктуры электронного управления.
18. Допускается привлечение компетентных сторонних органов/организаций к обеспечению кибербезопасности в государственном органе и/или органе местного самоуправления, организации на основании соглашений с владельцем информационной системы, в которых устанавливаются условия работы, доступа или использования объектов, а также ответственность за нарушения.
19. Техническая документация по кибербезопасности создается в виде четырехуровневой системы документированных правил, процедур, практических приемов или руководящих принципов, которыми руководствуется государственный орган, орган местного самоуправления, организация в своей деятельности.
Техническая документация по кибербезопасности утверждается решением государственного органа, органа местного самоуправления, организации и доводится до сведения всех служащих государственного органа, органа местного самоуправления, работников организации.
Техническая документация по кибербезопасности пересматривается с целью анализа и актуализации изложенной в ней информации не реже одного раза в два года.
20. Ведомственная политика кибербезопасности государственного органа, органа местного самоуправления, организации определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения кибербезопасности.
21. В перечень документов в области обеспечения кибербезопасности входят документы, детализирующие требования ведомственной политики кибербезопасности государственного органа, органа местного самоуправления, организации, рабочие формы, журналы, заявки, протоколы и другие документы, включая электронные, используемые для регистрации и подтверждения выполненных процедур и работ, в том числе:
— методику оценки рисков кибербезопасности;
— правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
— правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
— правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
— правила проведения внутреннего аудита кибербезопасности;
— правила использования средств криптографической защиты информации;
— правила разграничения прав доступа к информационным ресурсам;
— правила использования Интернета и электронной почты;
— правила организации процедуры аутентификации;
— правила организации антивирусного контроля;
— правила использования мобильных устройств и носителей информации;
— правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов;
— каталог (перечень) угроз (рисков) кибербезопасности;
— план обработки угроз (рисков) кибербезопасности;
— регламент резервного копирования и восстановления информации;
— план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
— руководство администратора по сопровождению объекта государственной инфраструктуры электронного управления/информационной инфраструктуры;
— инструкцию о порядке действий пользователей по реагированию на инциденты кибербезопасности и во внештатных (кризисных) ситуациях;
— журнал регистрации инцидентов кибербезопасности;
— журнал учета внештатных ситуаций;
— журнал регистрации посещения серверных помещений;
— отчет о проведении оценки уязвимости сетевых ресурсов;
— журнал регистрации и устранения уязвимостей программного обеспечения;
— журнал учета кабельных соединений;
— журнал учета резервных копий;
— журнал учета тестирования резервных копий;
— журнал учета изменений конфигурации оборудования;
— журнал учета тестирования и учета изменений системного программного обеспечения и прикладного программного обеспечения информационной системы;
— журнал учета тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;
— журнал учета тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.
22. Для обеспечения защиты информационных активов подразделением, компетентным в вопросах информационных технологий, проводятся:
— инвентаризация активов;
— классификация и маркировка активов в соответствии с системой классификации, принятой в государственном органе, органе местного самоуправления, организации;
— закрепление активов за должностными лицами и определение меры их ответственности за реализацию мероприятий по управлению активов кибербезопасности;
— регламентация в технической документации по кибербезопасности порядка:
использования и возврата активов;
идентификации, классификации и маркировки активов.
23. С целью управления рисками/угрозами в сфере кибербезопасности в государственном органе, органе местного самоуправления, организации осуществляются:
1) определение перечня угроз кибербезопасности в информационных системах при осуществлении государственным органом или органом местного самоуправления, организацией соответствующих видов деятельности;
2) идентификация рисков в отношении перечня идентифицированных и классифицированных активов, включающая:
— выявление угроз кибербезопасности и их источников;
— выявление уязвимостей, которые могут привести к реализации угроз;
— определение каналов утечки информации;
— формирование модели нарушителя;
3) выбор критериев принятия идентифицированных рисков;
4) формирование каталога угроз (рисков) кибербезопасности, включая оценку (переоценку) угроз (рисков), определение потенциального ущерба;
5) разработка и утверждение мероприятия по нейтрализации или снижению угроз (рисков) кибербезопасности.
24. С целью контроля событий нарушений кибербезопасности в государственном органе, органе местного самоуправления, организации:
1) проводится мониторинг событий, связанных с нарушением кибербезопасности, и анализ результатов мониторинга;
2) регистрируются события, связанные с состоянием кибербезопасности, и выявляются нарушения путем анализа журналов регистрации событий, в том числе:
— журналов регистрации событий операционных систем;
— журналов регистрации событий систем управления базами данных;
— журналов регистрации событий антивирусной защиты;
— журналов регистрации событий прикладного программного обеспечения;
— журналов регистрации событий телекоммуникационного оборудования;
— журналов регистрации событий систем обнаружения и предотвращения атак;
— журналов регистрации событий системы управления контентом;
3) обеспечивается синхронизация времени журналов регистрации событий с инфраструктурой источника времени;
4) журналы регистрации событий хранятся в течение срока, указанного в технической документации по кибербезопасности, но не менее трех лет, и находятся в оперативном доступе не менее трех месяцев;
5) ведутся журналы регистрации событий создаваемого программного обеспечения в соответствии с форматами и типами записей, определенными в Правилах проведения мониторинга обеспечения кибербезопасности, защиты и безопасного функционирования элементов государственной инфраструктуры электронного управления, утверждаемых уполномоченным государственным органом;
6) обеспечивается защита журналов регистрации событий от вмешательства и неавторизированного доступа. Не допускается наличие у системных администраторов полномочий на изменение, удаление и отключение журналов. Для конфиденциальных информационных систем требуются создание и ведение резервного хранилища журналов;
7) обеспечивается внедрение формализованной процедуры информирования об инцидентах кибербезопасности и реагирования на инциденты кибербезопасности.
25. С целью защиты критически важных процессов в государственных информационных системах государственных органов, органов местного самоуправления, организаций от внутренних и внешних угроз:
— разрабатывается, тестируется и реализуется План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
— доводится до сведения служащих государственных органов, органов местного самоуправления, организаций Инструкция о порядке действий пользователей по реагированию на инциденты кибербезопасности и во внештатных (кризисных) ситуациях, утверждаемых ведомственным актом государственного органа, органа местного самоуправления, организации.
План мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации, подлежит регулярной актуализации.
26. Функциональные обязанности по обеспечению кибербезопасности и обязательства по исполнению требований технической документации по кибербезопасности служащих государственных органов, органов местного самоуправления, работников организации вносятся в должностные инструкции и/или условия трудового договора.
В технической документации по кибербезопасности также определяется содержание процедур при увольнении служащих государственных органов, органов местного самоуправления, работников организаций, имеющих обязательства в области обеспечения кибербезопасности.
При увольнении или внесении изменений в условия трудового договора права доступа служащего государственного органа, органа местного самоуправления, работника организации к информации и средствам обработки информации:
— включает физический и логический доступ, идентификаторы доступа, подписи, документации, которая идентифицирует его как действующего служащего государственного органа, органа местного самоуправления или работника организации;
— аннулируется после прекращения его трудового договора или изменяются при внесении изменений в условия трудового договора.
27. В целях обеспечения кибербезопасности при эксплуатации объектов электронного управления устанавливаются требования к:
— способам идентификации;
— применяемым средствам криптографической защиты информации;
— способам обеспечения доступности и отказоустойчивости;
— мониторингу обеспечения кибербезопасности, защиты и безопасного функционирования;
— применению средств и систем обеспечения кибербезопасности;
— регистрационным свидетельствам удостоверяющих центров.
28. С целью защиты информации для служебного пользования, конфиденциальной информации, специальных категорий персональных данных, содержащихся в базах данных информационных систем, применяются средства криптографической защиты информации (программные или аппаратные) с параметрами согласно Техническим требованиям к средствам криптографической защиты информации, соответствующего уровня безопасности, изложенным в приложении 1 к настоящим Требованиям.
29. Для обеспечения доступности и отказоустойчивости владельцами информационных систем обеспечивается:
— наличие резервного собственного или арендованного серверного помещения;
— резервирование аппаратно-программных средств обработки данных, систем хранения данных, компонентов сетей хранения данных и каналов передачи данных.
30. Государственные органы, органы местного самоуправления и организации осуществляют мониторинг:
— действий пользователей и персонала;
— использования средств обработки информации.
31. В государственных органах, органах местного самоуправления, организации в рамках осуществления мониторинга действий пользователей и персонала:
— при выявлении аномальной активности и злоумышленных действий пользователей эти действия регистрируются, блокируются и оперативно оповещается руководитель подразделения по кибербезопасности государственного органа, органа местного самоуправления, организации;
— действия обслуживающего персонала регистрируются и контролируются подразделением кибербезопасности.
32. События кибербезопасности, идентифицированные как критические для конфиденциальности, доступности и целостности, по результатам анализа мониторинга событий кибербезопасности и анализа журнала событий:
— определяются как инциденты кибербезопасности;
— учитываются в перечне угроз кибербезопасности;
— регистрируются в службе (подразделении) реагирования на компьютерные инциденты уполномоченного государственного органа в сфере информационных технологий и электронного управления и (или) уполномоченного государственного органа в сфере национальной безопасности.
33. На этапе опытной и промышленной эксплуатации элементов государственной инфраструктуры электронного управления используются средства и системы:
— обнаружения и предотвращения вредоносного кода;
— управления инцидентами и событиями кибербезопасности;
— обнаружения и предотвращения вторжений;
— мониторинга и управления информационной инфраструктурой электронного управления.
Глава 4. Требования к информационным системам государственных органов, органов местного самоуправления, организаций
34. Владельцы информационных систем:
— осуществляют идентификацию информационной системы, формируют и размещают описание метаданных (использования, описания, плана событий, хроники событий, отношений);
— регистрируют информационную систему, иной элемент государственной инфраструктуры электронного управления в Реестре государственной инфраструктуры электронного управления в соответствии с правилами и порядком, утвержденными уполномоченным государственным органом;
— поддерживают Реестр государственной инфраструктуры электронного управления в актуальном состоянии;
— осуществляют хранение информационных систем и метаданных. Форму и способ хранения определяют самостоятельно.
35. Создание, развитие и эксплуатация государственной инфраструктуры электронного управления осуществляются с учетом требований, предусмотренных законами Кыргызской Республики «О государственных закупках» и «Об электронном управлении«.
36. Создание, эксплуатация и поддержка сайтов государственных органов, органов местного самоуправления, организаций в сети Интернет осуществляются в соответствии с требованиями по созданию и поддержке веб-сайтов государственных органов и органов местного самоуправления установленными Правительством Кыргызской Республики.
37. При списании информационной системы, программного обеспечения или сервисного программного продукта владелец информационной системы обеспечивает сохранение структуры и содержания базы данных посредством встроенного функционала системы управления базы данных списываемой информационной системы с подготовкой инструкции по восстановлению информационной системы. Способ хранения структуры и содержания базы данных определяется собственником самостоятельно.
38. Государственный орган, орган местного самоуправления, организация при неиспользовании информационной системы обеспечивает ее передачу в архив в порядке, установленном Законом Кыргызской Республики «О Национальном архивном фонде Кыргызской Республики».
39. Перед началом опытной эксплуатации информационной системы разработчиком:
— для всех функциональных компонентов информационной системы разрабатываются набор тестов, сценариев тестирования и методика испытаний для проведения тестирования;
— осуществляются испытания информационной системы;
— для персонала государственного органа, органа местного самоуправления, организации осуществляются обязательное обучение, создание справочной системы и (или) инструкций по эксплуатации.
40. Опытная эксплуатация информационной системы государственного органа, органа местного самоуправления, организации включает:
— документирование процедур проведения опытной эксплуатации;
— испытание на соответствие требованиям кибербезопасности;
— оптимизацию и устранение выявленных дефектов и недоработок с последующим их исправлением;
— оформление акта о завершении опытной эксплуатации информационной системы.
41. Перед вводом в промышленную эксплуатацию информационной системы в государственном органе, органе местного самоуправления, организации определяются, согласовываются с уполномоченным органом, документально оформляются критерии приемки созданной информационной системы или новых версий и обновлений информационной системы.
42. Ввод в промышленную эксплуатацию информационной системы государственного органа, органа местного самоуправления, организации осуществляется в соответствии с требованиями технической документации при условии положительного завершения опытной эксплуатации, наличии акта с положительным результатом испытаний на соответствие требованиям кибербезопасности, документа о соответствии настоящим требованиям и подписания акта о вводе в промышленную эксплуатацию информационной системы приемочной комиссией с участием представителей уполномоченного органа, заинтересованных государственных органов, органов местного самоуправления, организаций.
43. Предоставление уполномоченному государственному органу для учета и хранения разработанного программного обеспечения, исходных программных кодов (при наличии) и комплекса настроек лицензионного программного обеспечения информационной системы государственного органа, органа местного самоуправления, организации является обязательным и осуществляется в соответствии с порядком, определенным уполномоченным государственным органом.
44. Модифицирование, разглашение и (или) использование исходных программных кодов, программных продуктов и программного обеспечения осуществляются по разрешению его собственника.
45. При промышленной эксплуатации информационной системы государственного органа, органа местного самоуправления, организации обеспечиваются:
— сохранность, защита, восстановление информационной системы в случае сбоя или повреждения;
— резервное копирование и контроль за своевременной актуализацией информационной системы;
— автоматизированный учет, сохранность и периодическое архивирование сведений об обращениях к информационным системам государственного органа, органа местного самоуправления, организации;
— мониторинг событий кибербезопасности информационной системы государственного органа, органа местного самоуправления, организации и передача его результатов в систему мониторинга обеспечения кибербезопасности службы (подразделения) реагирования на компьютерные инциденты уполномоченного государственного органа в сфере информационных технологий и электронного управления и (или) уполномоченного государственного органа в сфере кибербезопасности;
— фиксация изменений в конфигурационных настройках программного обеспечения, серверного и телекоммуникационного оборудования;
— контроль и регулирование функциональных характеристик производительности;
— сопровождение информационной системы;
— техническая поддержка используемого лицензионного программного обеспечения информационной системы;
— гарантийное обслуживание разработчиком информационной системы, включающее устранение ошибок и недочетов информационной системы, выявленных в период гарантийного срока. Гарантийное обслуживание обеспечивается сроком не менее года со дня введения в промышленную эксплуатацию информационной системы.
Подключение пользователей к информационной системе, а также взаимодействие информационной системы осуществляется с использованием доменных имен.
46. Гарантийное обслуживание информационной системы на этапе промышленной эксплуатации с привлечением сторонних организаций требует:
— регламентации вопросов кибербезопасности в соглашениях на гарантийное обслуживание;
— управления рисками информационно-коммуникационных технологий в процессе гарантийного обслуживания.
47. После снятия информационной системы с эксплуатации государственный орган, орган местного самоуправления, организация сдает в ведомственный архив электронные документы, техническую документацию, журналы и архивированную базу данных снятой с эксплуатации информационной системы в соответствии с правилами приема, хранения, учета и использования документов, установленными Законом Кыргызской Республики «О Национальном архивном фонде Кыргызской Республики», нормативными правовыми актами в сфере архивного дела.
48. При поступлении заявки на прекращение эксплуатации информационной системы государственного органа, органа местного самоуправления, организации уполномоченный государственный орган размещает соответствующие сведения в Реестре государственной инфраструктуры электронного управления, установленном в соответствии с Законом Кыргызской Республики «Об электронном управлении».
49. Списание и (или) утилизация снятой с эксплуатации информационной системы государственного органа, органа местного самоуправления, организации осуществляются в соответствии с Законом Кыргызской Республики «О бухгалтерском учете». После списания информационная система государственным органом, органом местного самоуправления, организацией не используется.
50. Для обеспечения кибербезопасности государственных информационных систем:
1) на стадиях приемо-сдаточных испытаний и тестовой эксплуатации осуществляются:
— тестирование программного обеспечения информационной системы на основе разработанных комплексов тестов, настроенных на конкретные классы программ;
— натурные испытания программ при экстремальных нагрузках с имитацией воздействия активных дефектов (стресс-тестирование);
— тестирование программного обеспечения информационной системы с целью выявления возможных дефектов;
— стендовые испытания программного обеспечения информационной системы для определения непреднамеренных программных ошибок проектирования, выявления потенциальных проблем для производительности;
— выявление и устранение уязвимостей программного и аппаратного обеспечения;
— отработка средств защиты от несанкционированного воздействия;
2) перед вводом информационной системы в опытную эксплуатацию требуется предусмотреть:
— контроль неблагоприятного влияния новой информационной системы на функционирующие информационные системы и элементы государственной инфраструктуры электронного управления, в том числе во время максимальных нагрузок;
— анализ влияния новой информационной системы на состояние кибербезопасности государственной инфраструктуры электронного управления;
— организацию подготовки персонала к эксплуатации новой информационной системы;
3) осуществляется разделение сред опытной или промышленной эксплуатации информационной системы от сред разработки, тестирования или стендовых испытаний. При этом реализуются следующие требования:
— перевод информационной системы из фазы разработки в фазу тестирования, из фазы тестирования — в фазу опытной эксплуатации, из фазы опытной эксплуатации — в этап промышленной эксплуатации фиксируется и документально оформляется;
— инструментальные средства разработки и испытываемое программное обеспечение информационной системы размещаются в разных доменах;
— компиляторы, редакторы и другие инструментальные средства разработки в среде эксплуатации не размещаются или недоступны для использования из среды эксплуатации;
— среда испытаний информационной системы соответствует среде эксплуатации в части аппаратно-программного обеспечения и архитектуры;
— для испытываемых информационных систем не допускается использовать реальные учетные записи пользователей систем, находящихся в промышленной эксплуатации;
— не подлежат копированию данные из информационных систем, находящихся в промышленной эксплуатации, в испытательную среду;
4) при выводе из эксплуатации информационной системы обеспечиваются:
— архивирование информации, содержащейся в информационной системе;
— уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации. При выводе из эксплуатации машинных носителей информации, на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей с оформлением соответствующего акта.
Глава 5. Требования к разрабатываемому или приобретаемому государственным органом, органом местного самоуправления, организацией прикладному программному обеспечению
51. Требования к разрабатываемому или приобретаемому прикладному программному обеспечению информационной системы определяются государственным органом, органом местного самоуправления, организацией в техническом задании, создаваемом в соответствии с требованиями к технико-экономическим обоснованиям, техническим спецификациям, техническим заданиям на закупку (модернизацию) информационных систем и технологий для государственных и муниципальных органов, предприятий, учреждений, разрабатываемыми уполномоченным государственным органом.
52. Разрабатываемое или приобретаемое готовое прикладное программное обеспечение должно соответствовать следующим требованиям:
— обеспечивает интерфейс пользователя, ввод, обработку и вывод данных на государственном, официальном и/или других языках, при необходимости, с возможностью выбора пользователем языка интерфейса;
— учитывает требования: надежности; сопровождаемости; удобства использования; эффективности; универсальности; функциональности; кроссплатформенности;
— обеспечивает полнофункциональную поддержку технологии виртуализации;
— поддерживает кластеризацию;
— обеспечивается технической документацией по эксплуатации на государственном и официальном языках.
53. Создание (развитие) или приобретение программного обеспечения обеспечивается технической поддержкой и сопровождением. Планирование, осуществление и документирование технической поддержки и сопровождения программного обеспечения проводится в соответствии со спецификациями изготовителя, поставщика или требованиями технической документации кибербезопасности.
54. Процесс создания (развития) прикладного программного обеспечения должен:
1) предусматривать:
— создание информационной базы алгоритмов, исходных текстов и программных средств;
— испытание и тестирование программных модулей;
— типизацию алгоритмов, программ и средств кибербезопасности, обеспечивающих информационную, технологическую и программную совместимость;
— использование лицензионных инструментальных средств разработки;
2) включать процедуры приемки прикладного программного обеспечения, предусматривающие:
— передачу разработчиком исходных текстов программ и других объектов, необходимых для создания прикладного программного обеспечения собственнику и (или) владельцу;
— контрольную компиляцию переданных исходных текстов с созданием полностью работоспособной версии прикладного программного обеспечения;
— выполнение контрольного примера на данной версии программного обеспечения.
55. Контроль за авторизованными изменениями программного обеспечения и прав доступа к нему осуществляется с участием работников подразделения информационных технологий государственного органа, органа местного самоуправления, организации.
56. Разработка прикладного программного обеспечения требует:
— учета особенностей, предусмотренных правилами реализации сервисной модели государственной инфраструктуры электронного управления;
— регламентации вопросов кибербезопасности в соглашениях на разработку программного обеспечения;
— управления рисками в процессе разработки прикладного программного обеспечения.
57. Для обеспечения кибербезопасности государственных информационных систем предусматриваются:
1) требования к разрабатываемому или приобретаемому прикладному программному обеспечению предусматривают применение средств:
— идентификации и аутентификации пользователей, при необходимости электронной подписью, и регистрационных свидетельств;
— управления доступом;
— контроля целостности;
— журналирования действий пользователей, влияющих на кибербезопасность;
— защиты онлайновых транзакций;
— криптографической защиты информации с использованием средств криптографической защиты информации соответствующего уровня при хранении и обработке;
— журналирования критичных событий программного обеспечения;
2) в технической документации по кибербезопасности определяются и применяются при эксплуатации:
— правила установки, обновления и удаления программного обеспечения на серверах и рабочих станциях;
— процедуры управления изменениями и анализа прикладного программного обеспечения, в случае изменения системного программного обеспечения;
3) лицензируемое программное обеспечение используется и приобретается только при условии наличия лицензии.
58. Мероприятия по контролю правомерности использования программного обеспечения определяются в технической документации по кибербезопасности, проводятся подразделением кибербезопасности государственного органа, органа местного самоуправления, организации не реже одного раза в год и включают:
— определение фактически используемого программного обеспечения;
— определение прав на использование программного обеспечения;
— сравнение фактически используемого программного обеспечения и имеющихся лицензий.
Глава 6. Требования к технологической платформе для информационных систем государственных органов, органов местного самоуправления, организаций
59. Выбор технологической платформы осуществляется подразделением, компетентным в вопросах информационных технологий, с учетом приоритета оборудования, реализующего технологию виртуализации.
60. При выборе оборудования, реализующего технологию виртуализации, учитывается необходимость обеспечения следующей функциональности:
1) декомпозиции:
— вычислительные ресурсы распределяются между виртуальными машинами;
— множество приложений и операционных систем сосуществуют в одной физической вычислительной системе;
2) изоляции:
— виртуальные машины полностью изолированы друг от друга, а аварийный отказ одной из них не оказывает влияния на остальные;
— данные не передаются между виртуальными машинами и приложениями, за исключением случаев использования общих сетевых соединений или ресурсов;
3) совместимости:
— приложениям и операционным системам предоставляются вычислительные ресурсы оборудования, реализующего технологию виртуализации.
61. Информационные системы, включенные в Реестр государственной инфраструктуры электронного управления, размещается на оборудовании, расположенном в серверном центре государственного органа.
Государственная инфраструктура электронного управления обеспечивает:
— автоматизированное предоставление электронных услуг с единой точкой входа для их управления;
— виртуализацию вычислительных ресурсов серверного оборудования с использованием различных технологий;
— бесперебойное и отказоустойчивое функционирование предоставляемых электронных услуг, с коэффициентом использования не менее 98,7 процента;
— исключение единой точки отказа на логическом и физическом уровнях средствами используемого оборудования, телекоммуникаций и программного обеспечения;
— разделение вычислительных ресурсов на аппаратном и программном уровнях.
Надежность виртуальной инфраструктуры обеспечивается встроенными средствами программного обеспечения технологии виртуализации и управления виртуальной средой.
62. Для обеспечения кибербезопасности при использовании технологии виртуализации реализуются:
1) управление идентификацией, требующее:
— аутентификацию пользователей электронных услуг;
— идентификации пользователей в пределах одной технологической платформы;
— сохранения информации об аутентификации после удаления идентификатора пользователя;
— применения средств контроля процедур назначения профилей полномочий пользователя;
2) управление доступом, требующее:
— разделения полномочий администратора информационной системы и администратора среды виртуализации;
— ограничения прав доступа администратора среды виртуализации к данным пользователя электронной услуги. Права доступа ограничиваются конкретными процедурами, определенными в технической документации по кибербезопасности и сервисном соглашении об обслуживании, и подлежат регулярной актуализации;
— применения многофакторной аутентификации для привилегированных и критичных операций;
— ограничения использования ролей со всеми полномочиями. Настройки профиля администратора информационной системы исключают получение доступа к компонентам среды виртуализации;
— определения минимальных привилегий и реализацию модели ролевого управления доступом;
— удаленного доступа посредством защищенного шлюза или списка разрешенных сетевых адресов отправителей;
3) управление ключами шифрования, требующее:
— контроля ограничения доступа к данным о ключах шифрования средств криптографической защиты информации;
— контроля за организацией корневого каталога и подписки ключей;
— блокирования скомпрометированных ключей и их надежного уничтожения;
4) проведение аудита событий кибербезопасности, требующее:
— обязательности и регулярности процедур, определяемых в технической документации по кибербезопасности;
— проведения процедур аудита для всех операционных систем, клиентских виртуальных машин, инфраструктуры сетевых компонентов;
— ведения журнала регистрации событий и хранения их в недоступной для администратора системе хранения;
— проверки правильности работы системы ведения журнала регистрации событий;
— определения длительности хранения журналов регистрации событий в технической документации по кибербезопасности;
5) регистрация событий кибербезопасности, требующая:
— журналирования действий администраторов;
— применения системы мониторинга инцидентов и событий кибербезопасности;
— оповещения на основе автоматического распознавания критического события или инцидента кибербезопасности;
6) управление инцидентами кибербезопасности, требующее:
— определения формального процесса обнаружения, выявления, оценки и порядка реагирования на инциденты кибербезопасности с актуализацией раз в полугодие;
— составления отчетов с периодичностью, определенной в технической документации по кибербезопасности, по результатам обнаружения, выявления, оценки и реагирования на инциденты кибербезопасности;
— уведомления ответственных лиц государственного органа, органа местного самоуправления, организации об инцидентах кибербезопасности;
— регистрации инцидентов кибербезопасности в службе (подразделении) реагирования на компьютерные инциденты уполномоченного государственного органа в сфере информационных технологий и электронного управления и (или) уполномоченного государственного органа в сфере безопасности;
7) применение защитных мер аппаратных и программных компонентов инфраструктуры среды виртуализации, осуществляющих:
— физическое отключение или блокирование неиспользуемых физических устройств (съемных накопителей, сетевых интерфейсов);
— отключение неиспользуемых виртуальных устройств и сервисов;
— мониторинг взаимодействия между гостевыми операционными системами;
— контроль сопоставления виртуальных устройств физическим;
— применение гипервизоров;
— физическое разделение сред эксплуатации от сред разработки и тестирования;
— определение в технической документации по кибербезопасности процедур управления изменениями для объектов информатизации;
8) определение в технической документации по кибербезопасности процедур восстановления после сбоев и отказов оборудования и программного обеспечения;
9) исполнение процедур сетевого и системного администрирования, требующее:
— обеспечения сохранности образов виртуальных машин, контроля целостности операционной системы, приложений, сетевой конфигурации, программного обеспечения и данных государственного органа, органа местного самоуправления, организации на наличие вредоносных сигнатур;
— отделения аппаратной платформы от операционной системы виртуальной машины с целью исключения доступа внешних пользователей к аппаратной части;
— логической изоляции между различными функциональными областями инфраструктуры среды виртуализации;
— физической изоляции между средами виртуализации информационной системы по уровню кибербезопасности.
Глава 7. Требования к аппаратно-программному комплексу информационных систем государственных органов, органов местного самоуправления, организаций
63. Требования к конфигурации серверного оборудования аппаратно-программного комплекса определяются подразделением, компетентным в вопросах информационных технологий, в техническом задании на создание, закупку (модернизацию) информационных систем и технологий для государственных органов, органов местного самоуправления, организаций.
64. Выбор типовой конфигурации серверного оборудования аппаратно-программного комплекса осуществляется с учетом обеспечения приоритета серверов:
— с многопроцессорной архитектурой;
— позволяющих масштабировать ресурсы и увеличивать производительность;
— поддерживающих технологию виртуализации;
— включающих средства управления, изменения и перераспределения ресурсов;
— совместимых с используемой информационно-коммуникационной инфраструктурой.
65. Для обеспечения высокой доступности сервера применяются встроенные системы:
— горячей замены резервных вентиляторов, блоков питания, дисков и адаптеров ввода-вывода;
— динамической очистки и перераспределения страниц памяти;
— динамического перераспределения процессоров;
— оповещения о критических событиях;
— поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.
66. Приобретаемое серверное оборудование обеспечивается технической поддержкой от производителя. Снимаемое с производства серверное оборудование не подлежит приобретению.
67. С целью обеспечения кибербезопасности на регулярной основе, определенной в технической документации по кибербезопасности, осуществляется инвентаризация серверного оборудования с проверкой его конфигурации.
68. Для обеспечения безопасности и качества обслуживания серверное оборудование аппаратно-программного комплекса объектов государственной инфраструктуры электронного управления размещается только в серверном центре государственного органа, органа местного самоуправления, организации в соответствии с требованиями к серверным помещениям, установленными в настоящих Требованиях.
69. Требования к системам хранения данных определяются подразделением, компетентным в вопросах информационных технологий, в техническом задании на создание, закупку (модернизацию) информационных систем и технологий для государственных органов, органов местного самоуправления, организаций и (или) технической спецификации на приобретение товаров, работ и услуг в сфере электронного управления.
70. Система хранения данных обеспечивает поддержку:
— единых средств для репликации данных;
— масштабируемости по объему хранения данных.
71. Для высоконагруженных информационных систем, требующих высокой доступности, применяются:
— сети хранения данных;
— системы хранения данных, поддерживающие систему виртуализации и (или) ярусного хранения данных.
72. Для обеспечения высокой доступности системы хранения данных включают следующие встроенные системы:
— горячей замены резервных вентиляторов и блоков питания;
— горячей замены дисков и адаптеров ввода-вывода;
— оповещения о критических событиях;
— активных контроллеров (в количестве не менее двух);
— интерфейсов сети хранения данных (в количестве не менее двух портов на контроллер);
— поддержки непрерывного контроля состояния критичных компонентов и измерения контролируемых показателей.
73. Система хранения данных обеспечивается системой резервного копирования.
74. Для обеспечения кибербезопасности, надежного хранения и возможности восстановления данных:
— применяются средства криптографической защиты информации для хранимой служебной информации, конфиденциальной информации, специальных категорий персональных данных, содержащихся в базах данных информационной системы;
— используется выделенный сервер для защищенного хранения ключей шифрования по уровню безопасности не ниже уровня безопасности используемых средств криптографической защиты информации, установленного для криптографических ключей в Требованиях к средствам криптографической защиты информации;
— обеспечивается запись и испытание резервных копий в соответствии с регламентом резервного копирования, определенным в технической документации по кибербезопасности.
75. При выводе из эксплуатации носителей информации, используемых в информационной системе, содержащих в базах данных конфиденциальную информацию, специальные категории персональных данных, применяется программное и аппаратное обеспечение гарантированного уничтожения информации.
76. При выборе системного программного обеспечения серверного оборудования и рабочих станций учитываются:
— требования, предъявляемые в техническом задании на разработку (модернизацию) прикладного программного обеспечения информационной системы или задании на проектирование сервисного программного продукта;
— соответствие типу операционных систем (клиентской или серверной);
— совместимость с используемым прикладным программным обеспечением;
— поддержка сетевых сервисов, функционирующих в сети телекоммуникаций;
— поддержка многозадачности;
— наличие средств получения и установки критичных обновлений и обновлений безопасности, выпускаемых производителем операционных систем;
— наличие средств диагностики, аудита и ведение журнала событий;
— поддержка технологий виртуализации.
77. Приобретение системного программного обеспечения осуществляется с учетом приоритета:
— модели лицензирования, обеспечивающей снижение стоимости закупки, а также совокупной стоимости лицензии за период эксплуатации;
— программного обеспечения, обеспеченного технической поддержкой и сопровождением.
78. С целью обеспечения кибербезопасности системное программное обеспечение должно обеспечивать возможность:
1) контроля доступа с применением:
— идентификации, аутентификации и управления паролями пользователей;
— регистрации успешных и неудавшихся доступов;
— регистрации использования системных привилегий;
— ограничения времени соединения, при необходимости, и блокировки сеанса по превышению лимита времени;
2) исключения для пользователей и ограничения для администраторов использования системных утилит, способных обходить средства контроля операционной системы.
79. Системное программное обеспечение распространяется безвозмездно, без лицензионных ограничений, препятствующих использованию в государственном органе, органе местного самоуправления, организации, с соблюдением требований законодательства об авторском праве.
80. Системное программное обеспечение предоставляется с открытым исходным кодом.
81. Используемое в государственном органе, органе местного самоуправления, организации системное программное обеспечение дорабатывается с учетом поддержки форматов информационного взаимодействия через систему электронного межведомственного взаимодействия «Тундук».
82. Для обеспечения кибербезопасности государственных информационных систем при применении системного программного обеспечения:
— к использованию допускается системное программное обеспечение, поддерживаемое сообществом (ассоциацией) разработчиков системных программных обеспечений или прошедшее экспертизу и (или) сертификацию программного кода;
— сохраняются применявшиеся версии системного программного обеспечения.
Глава 8. Требования к сетям телекоммуникаций государственных органов, органов местного самоуправления, организаций
83. Ведомственные (корпоративные) сети телекоммуникаций организуются путем объединения локальных сетей посредством выделенных собственных или арендованных каналов связи.
Выделенные каналы связи, предназначенные для объединения локальных сетей, организовываются с использованием протоколов канального и сетевого уровней.
84. При организации ведомственной (корпоративной) сети путем объединения нескольких локальных сетей применяется радиальная или радиально-узловая топология сети. В узловых точках выделенные каналы подключаются к одному пограничному шлюзу. Каскадное (последовательное) подключение локальных сетей не используется.
85. При проектировании создается и при эксплуатации поддерживается в актуальном состоянии документированная схема ведомственной (корпоративной) сети телекоммуникаций.
86. Физический доступ к оборудованию для организации каналов связи имеет персонал, обслуживающий выделенный канал связи.
Управление оборудованием осуществляет оператор, предоставляющий выделенный канал.
В настройках оборудования неиспользуемые порты блокируются.
87. В целях кибербезопасности каналов связи:
1) при организации выделенного канала связи, объединяющего локальные сети, применяются программно-технические средства защиты информации, в том числе криптографического шифрования, с использованием средств криптографической защиты информации;
2) выделенный канал связи подключается к локальной сети посредством пограничного шлюза с прописанными правилами маршрутизации и политикой кибербезопасности. Пограничный шлюз обеспечивает следующий минимальный набор функций:
— централизованную авторизацию узлов сети;
— конфигурацию уровней привилегий администраторов;
— протоколирование действий администраторов;
— статическую трансляцию сетевых адресов;
— защиту от сетевых атак;
— контроль состояния физических и логических портов;
— фильтрацию входящих и исходящих пакетов на каждом интерфейсе;
— криптографическую защиту передаваемого трафика с использованием средств криптографической защиты информации;
3) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей государственного органа или органа местного самоуправления, организации между собой используются:
— средства разделения и изоляции информационных потоков;
— оборудование с компонентами, обеспечивающими кибербезопасность и безопасное управление;
— выделенные и интегрированные с оборудованием доступа межсетевые экраны, установленные в каждой точке подключения, с целью защиты периметра государственного органа, органа местного самоуправления, организации.
При подключении сервера к государственной инфраструктуре электронного управления государственного органа, органа местного самоуправления, организации локальной сети кибербезопасность обеспечивается посредством межсетевых экранов и отдельных шлюзов доступа, установленных в местах стыка информационной системы государственного органа, органа местного самоуправления, организации с локальной сетью;
4) при подключении ведомственной (корпоративной) сети телекоммуникаций и локальных сетей государственного органа или органа местного самоуправления, организации к Интернету используют услуги оператора связи, предоставившего подключение;
5) служащие государственного органа, органа местного самоуправления, работники организаций, а также владельцы стратегических объектов, объектов критической информационной инфраструктуры для осуществления оперативного информационного обмена (служебной переписки) в электронной форме при исполнении ими служебных обязанностей используют только ведомственные:
— электронную почту;
— систему мгновенного обмена сообщениями и иные сервисы.
Ведомственная электронная почта государственного органа, органа местного самоуправления размещается в доменных зонах gov.kg.
88. В государственном органе, органе местного самоуправления, организации допускается применение устройств для организации беспроводного доступа только к общедоступным государственным информационным ресурсам в местах, разрешенных для пребывания посетителей государственного органа, органа местного самоуправления, организации.
89. Не допускается подключение к локальной сети, а также техническим средствам, входящим в состав локальной сети государственного органа, органа местного самоуправления, организации, устройств для организации удаленного доступа посредством беспроводных сетей, беспроводного доступа, модемов, радиомодемов, модемов сетей операторов сотовой связи и других беспроводных сетевых устройств.
90. Уполномоченный государственный орган/оператор государственной инфраструктуры электронного управления по заявкам государственного органа, органа местного самоуправления, организации осуществляет:
— распределение, регистрацию и перерегистрацию IP-адресов локальных сетей государственного органа или органа местного самоуправления, организации подключенных к государственной инфраструктуре электронного управления, по заявкам государственного органа, органа местного самоуправления, организации;
— регистрацию доменных имен в доменных зонах Интернета gov.kg по заявкам государственного органа, органа местного самоуправления, организации;
— регистрацию доменных имен в сети государственной инфраструктуры электронного управления по заявкам государственного органа, органа местного самоуправления, организации;
— предоставление сервиса DNS в сети государственной инфраструктуры электронного управления.
91. Государственные органы, органы местного самоуправления, организации ежегодно:
— запрашивают у уполномоченного государственного органа/оператора государственной инфраструктуры электронного управления перечень используемых на оборудовании государственной инфраструктуры электронного управления категорий интернет-ресурсов;
— выбирают из вышеуказанного перечня категории интернет-ресурсов, доступ к которым ограничивается для служащих государственных органов, органов местного самоуправления, работников организаций, и составляют их список;
— направляют в уполномоченный государственный орган/оператору государственной инфраструктуры электронного управления вышеуказанный список и списки сетевых адресов информационно-коммуникационных сетей государственных органов, органов местного самоуправления, организаций, получающих доступ к Интернету, для применения на оборудовании государственной инфраструктуры электронного управления.
92. Уполномоченный государственный орган/оператор государственной инфраструктуры электронного управления осуществляет делегирование (обслуживание) доменных зон gov.kg с предоставлением сервиса в Интернете.
93. Требования к создаваемой или развиваемой локальной сети определяются в технической спецификации на приобретение товаров, работ и услуг в сфере электронного управления.
94. При проектировании подразделением, компетентным в вопросах информационных технологий, создается документированная схема локальной сети, которая поддерживается в актуальном состоянии при эксплуатации.
95. Все элементы кабельной системы подлежат маркировке. Все кабельные соединения регистрируются в журнале учета кабельных соединений.
96. Активное оборудование локальных сетей обеспечивается электропитанием от источников бесперебойного питания.
97. Для кибербезопасности сети обеспечиваются следующие меры:
1) неиспользуемые порты кабельной системы локальной сети физически отключаются от активного оборудования;
2) разрабатывается и утверждается техническая документация по кибербезопасности, включающая правила:
— использования сетей и сетевых услуг;
— подключения к международным (территориальным) сетям передачи данных;
— подключения к Интернету и (или) сетям телекоммуникаций, сетям связи, имеющим выход в международные (территориальные) сети передачи данных;
— использования беспроводного доступа к сетевым ресурсам;
3) информация с пометкой «Для служебного пользования», информация конфиденциальных информационных систем, государственных информационных систем, содержащих специальные категории персональных данных, биометрические данные, не передается по незащищенным проводным каналам связи и радиоканалам, не оборудованным соответствующими средствами криптографической защиты информации. Передача информации с пометкой «Для служебного пользования» производится с соблюдением специальных требований по защите такой информации в соответствии с нормативными правовыми актами в данной сфере;
4) применяются средства:
— идентификации, аутентификации и управления доступом пользователей;
— идентификации оборудования;
— защиты диагностических и конфигурационных портов;
— физического сегментирования локальной сети;
— логического сегментирования локальной сети;
— управления сетевыми соединениями;
— межсетевого экранирования;
— сокрытия внутреннего адресного пространства локальной сети;
— контроля целостности данных, сообщений и конфигураций;
— криптографической защиты информации;
— физической защиты каналов передачи данных и сетевого оборудования;
— регистрации событий кибербезопасности;
— мониторинга и анализа сетевого трафика;
— управления сетью;
5) осуществляется взаимодействие локальных сетей государственного органа, органа местного самоуправления, организации между собой только через систему электронного межведомственного взаимодействия «Тундук», за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;
6) осуществляется взаимодействие локальных сетей государственного органа, органа местного самоуправления, организации между собой только через государственную инфраструктуру электронного управления, за исключением сетей телекоммуникаций специального назначения и/или правительственной, засекреченной, шифрованной и кодированной связи;
7) исключаются сопряжение локальной сети внутреннего контура и локальной сети внешнего контура государственного органа, органа местного самоуправления, организации между собой;
8) исключается подключение локальной сети внутреннего контура государственного органа, органа местного самоуправления, организации к Интернету;
9) осуществляется соединение локальной сети внешнего контура государственного органа, органа местного самоуправления, организации с Интернетом только через систему электронного межведомственного взаимодействия «Тундук». Подключение к Интернету иным способом не допускается, за исключением специальных и правоохранительных государственных органов в оперативных целях;
10) серверы инфраструктуры источника времени верхнего уровня синхронизируются с эталоном времени и частоты, воспроизводящим национальную шкалу всемирного координированного времени UTC (kg).
Серверы инфраструктуры точного времени синхронизируются с сервером инфраструктуры точного времени верхнего уровня. Серверы инфраструктуры точного времени предоставляют доступ клиентам для синхронизации времени.
Глава 9. Требования к системам бесперебойного функционирования технических средств серверного оборудования и к серверному помещению государственного органа, органа местного самоуправления, организации
98. Серверное оборудование аппаратно-программного комплекса и системы хранения данных размещаются в серверном помещении.
99. Серверное помещение располагается в отдельных, непроходных помещениях без оконных проемов. При наличии оконных проемов они закрываются или заделываются негорючими материалами.
Для поверхности стен, потолков и пола применяются материалы, не выделяющие и не накапливающие пыль. Для напольного покрытия применяются материалы с антистатическими свойствами. Серверное помещение защищается от проникновения загрязняющих веществ.
Стены, двери, потолок, пол и перегородки серверного помещения обеспечивают герметичность помещения. Двери серверного помещения составляют не менее 1,2 метра в ширину и 2,2 метра в высоту, открываются наружу или раздвигаются. Конструкция рамы двери не предусматривает порога и центральной стойки.
100. Серверное помещение оборудуется фальшполом и (или) фальшпотолком для размещения кабельных систем и инженерных коммуникаций.
101. Через серверное помещение исключается прохождение любых транзитных коммуникаций. Трассы обычного и пожарного водоснабжения, отопления и канализации выносятся за пределы серверного помещения и не размещаются над серверным помещением на верхних этажах.
102. Монтаж коммуникационных каналов для прокладки силовых и слаботочных кабельных сетей здания выполняется в отдельных или разделенных перегородками кабельных лотках, коробах или трубах, разнесенных между собой. Слаботочные и силовые шкафы устанавливаются раздельно и закрываются на замок.
Прокладка кабелей через перекрытия, стены, перегородки осуществляется в отрезках несгораемых труб с герметизацией негорючими материалами.
103. Серверное помещение надежно защищается от внешнего электромагнитного излучения.
104. При размещении оборудования в серверном помещении:
— обеспечивается исполнение правил технической эксплуатации электроустановок потребителей, утвержденных уполномоченным органом в сфере энергетики;
— обеспечивается исполнение требований поставщиков и (или) производителя оборудования к установке (монтажу), нагрузке на перекрытия и фальшпол, с учетом веса оборудования и коммуникаций;
— обеспечивается наличие свободных служебных проходов для обслуживания оборудования;
— учитывается организация воздушных потоков системы обеспечения микроклимата;
— учитывается организация системы фальшполов и фальшпотолков.
105. При техническом сопровождении оборудования, установленного в серверном помещении, подразделением компетентным в вопросах информационных технологий документируются:
— обслуживание оборудования;
— устранение проблем, возникающих при работе аппаратно-программного обеспечения;
— факты сбоев и отказов, а также результаты восстановительных работ;
— послегарантийное обслуживание критически важного оборудования по истечении гарантийного срока обслуживания.
Форма и способ документирования определяются самостоятельно государственным органом или органом местного самоуправления, организацией.
106. Обслуживание критически важного оборудования выполняется сертифицированным техническим персоналом.
107. В непосредственной близости от серверного помещения создается склад запасных частей для критически важного оборудования, содержащий запас комплектующих и оборудования для выполнения оперативной замены при проведении ремонтно-восстановительных работ.
108. Вмешательство в работу находящегося в эксплуатации оборудования возможно только с разрешения руководителя подразделения информационных технологий либо лица, его замещающего.
109. Основные и резервные серверные помещения располагаются на безопасном расстоянии в удаленных друг от друга зданиях. Требования к резервным серверным помещениям идентичны требованиям к основным серверным помещениям.
110. Для обеспечения кибербезопасности, отказоустойчивости и надежности функционирования:
1) в серверном помещении применяются способы расположения оборудования, обеспечивающие снижение рисков возникновения угроз, опасностей и возможностей несанкционированного доступа;
2) поддерживается в актуальном состоянии список лиц, авторизованных для осуществления сопровождения объектов критической информационной инфраструктуры, установленных в серверном помещении;
3) серверное помещение оборудуется системами:
— контроля и управления доступом;
— обеспечения микроклимата;
— охранной сигнализации;
— видеонаблюдения;
— пожарной сигнализации;
— пожаротушения;
— гарантированного электропитания;
— заземления;
4) отказоустойчивость инфраструктуры серверного помещения должна составлять не менее 99,7 процента.
111. Система контроля и управления доступом обеспечивает санкционированный вход в серверное помещение и санкционированный выход из него. Преграждающие устройства и конструкция входной двери должны предотвращать возможность передачи идентификаторов доступа в обратном направлении через тамбур входной двери.
Устройство центрального управления системы контроля и управления доступом устанавливается в защищенных от доступа посторонних лиц отдельных служебных помещениях, в том числе в помещении поста охраны.
Доступ персонала охраны к программным средствам системы контроля и управления доступом, влияющим на режимы работы системы, должен быть исключен.
Электроснабжение системы контроля и управления доступом осуществляется от свободной группы щита дежурного освещения. Система контроля и управления доступом обеспечивается резервным электропитанием.
112. Система обеспечения микроклимата должна включать системы кондиционирования, вентиляции и мониторинга микроклимата. Системы обеспечения микроклимата серверного помещения не должна объединяться с другими системами микроклимата, установленными в здании.
Температура в серверном помещении поддерживается в диапазоне от 20 ºС до 25 ºС при относительной влажности от 45 до 55 процентов.
Мощность системы кондиционирования воздуха должна превышать суммарное тепловыделение всего оборудования и систем. Система кондиционирования воздуха обеспечивается резервированием. Электропитание кондиционеров серверного помещения осуществляется от системы гарантированного электропитания или системы бесперебойного электропитания.
Система вентиляции обеспечивает приток свежего воздуха с фильтрацией и подогревом поступающего воздуха в зимний период. В серверном помещении давление создается избыточным для предотвращения поступления загрязненного воздуха из соседних помещений. На воздуховодах приточной и вытяжной вентиляции устанавливаются защитные клапаны, управляемые системой пожаротушения. Системы кондиционирования и вентиляции отключаются автоматически по сигналу пожарной сигнализации.
Система мониторинга микроклимата контролирует климатические параметры в серверных шкафах и телекоммуникационных стойках:
— температуру воздуха;
— влажность воздуха;
— запыленность воздуха;
— скорость потока воздуха;
— задымленность воздуха;
— открытие (закрытие) дверей шкафов.
113. Система охранной сигнализации серверного помещения выполняется отдельно от систем безопасности здания. Сигналы оповещения выводятся в помещение круглосуточной охраны в виде отдельного пульта. Контролю и охране подлежат все входы и выходы серверного помещения, а также внутренний объем серверного помещения. Система охранной сигнализации имеет собственный источник резервированного питания.
114. Расположение камер системы видеонаблюдения выбирается с учетом обеспечения контроля всех входов и выходов в серверное помещение, пространства и проходов возле оборудования. Угол обзора и разрешение камер должны обеспечить распознавание лиц. Изображение с камер выводится на отдельный пульт в помещение круглосуточной охраны.
115. Система пожарной сигнализации серверного помещения выполняется отдельно от пожарной сигнализации здания. В серверном помещении устанавливаются два типа датчиков: температурные и дымовые.
Датчиками контролируются общее пространство серверного помещения и объемы, образованные фальшполом и (или) фальшпотолком. Сигналы оповещения системы пожарной сигнализации выводятся на пульт в помещение круглосуточной охраны.
116. Система пожаротушения серверного помещения оборудуется автоматической установкой пожаротушения, независимой от системы пожаротушения здания.
Установка пожаротушения размещается непосредственно в серверном помещении или вблизи него в специально оборудованном для этого шкафу. Запуск системы пожаротушения производится от датчиков раннего обнаружения пожара, реагирующих на появление дыма, а также ручных датчиков, расположенных у выхода из помещения. Время задержки выпуска огнегасителя составляет не более 30 секунд. Оповещение о срабатывании системы пожаротушения выводится на табло, размещаемые внутри и снаружи помещения.
Система пожаротушения выдает команды на закрытие защитных клапанов системы вентиляции и отключение питания оборудования. Серверное помещение, оборудованное системой пожаротушения, оснащается вытяжной вентиляцией.
117. Система гарантированного электропитания предусматривает наличие двух вводов электропитания от разных источников внешнего электропитания на напряжение ~400/230 В, частотой 50 Гц и автономного генератора. Все источники электроэнергии подаются на автомат ввода резерва, осуществляющий автоматическое переключение на резервный ввод электропитания при прекращении, перерыве подачи электропитания на основном вводе. Параметры линий электропитания и сечение жил определяются исходя из планируемой суммарной потребляемой мощности оборудования и подсистем серверного помещения. Линии электропитания выполняются по пятипроводной схеме.
Система гарантированного электропитания предусматривает электроснабжение оборудования и систем серверного помещения через источники бесперебойного питания. Мощность и конфигурация источников бесперебойного питания рассчитываются с учетом всего запитываемого оборудования и запаса для перспективного развития. Время автономной работы от источников бесперебойного питания рассчитывается с учетом потребностей, а также необходимого времени для перехода на резервные линии и времени запуска генератора в рабочий режим.
118. Система заземления серверного помещения выполняется отдельно от защитного заземления здания. Все металлические части и конструкции серверного помещения заземляются с общей шиной заземления. Каждый шкаф (стойка) с оборудованием заземляется отдельным проводником, соединяемым с общей шиной заземления. Открытые токопроводящие части оборудования обработки информации должны быть соединены с главным заземляющим зажимом электроустановки. Заземляющие проводники, соединяющие устройства защиты от перенапряжения с главной заземляющей шиной, должны быть самыми короткими и прямыми (без углов).
|
Приложение 1 |
ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ
к средствам криптографической защиты информации
Глава 1. Общие положения
1. Настоящие Требования устанавливают общие технические требования к средствам криптографической защиты информации как к технологически завершенным аппаратным, программным или аппаратно-программным средствам независимо от страны производства и/или реализованных в средствах криптографической защиты информации алгоритмов криптографических преобразований, за исключением средств криптографической защиты информации, предназначенных для защиты сведений, составляющих государственные секреты Кыргызской Республики.
2. Настоящие Требования применяются для целей оценки соответствия средств криптографической защиты информации в порядке, установленном настоящими Требованиями.
3. Средства криптографической защиты информации предназначены для:
— сохранения конфиденциальности данных при помощи технологий криптографической защиты информации;
— аутентификации, в том числе контроля целостности данных, при помощи имитовставки и (или) электронной подписи;
— генерации, формирования, распределения ключей и (или) управления ключами.
4. В настоящих Требованиях применяются следующие термины:
алгоритм криптографического преобразования — набор конечного числа простых и однозначно определенных правил, зависящих от изменяемого параметра (ключа) и задающих последовательность выполнения операций для решения задачи криптографического преобразования;
асимметричный алгоритм криптографического преобразования — алгоритм криптографического преобразования, в котором прямое и обратное преобразования используют открытый и секретный ключи, взаимосвязанные таким образом, что вычислительно сложно определить секретный ключ из открытого ключа;
аутентификация — установление подлинности одного или нескольких аспектов информационного взаимодействия: сеанса связи, его времени, связывающихся сторон, передаваемых сообщений, источника данных, времени создания данных, содержания данных;
доступность информации — свойство безопасности информации, при котором субъекты доступа, имеющие право на доступ, могут беспрепятственно их реализовать;
имитовставка — строка бит фиксированной длины, полученная по определенному правилу из данных и ключа, добавленная к данным для обеспечения имитозащиты;
имитозащита — защита системы связи от навязывания ложных сообщений;
информация — сведения (сообщения, данные) независимо от формы их представления;
ключ средств криптографической защиты информации — конкретное секретное или открытое (если специально указано) состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований;
конфиденциальность информации — свойство безопасности информации, при котором доступ к ней осуществляют только субъекты доступа, имеющие на него право;
криптографическая стойкость средств криптографической защиты информации — вычислительная сложность метода (алгоритма) вскрытия криптографической защиты, наилучшего для данного средства криптографической защиты информации;
криптографическое преобразование — преобразование данных при помощи шифрования, выработки (проверки) имитовставки или формирования (проверки) электронной подписи;
предварительное шифрование — шифрование, технически реализованное отдельно от передачи зашифрованных данных по каналам связи;
симметричный алгоритм криптографического преобразования — алгоритм криптографического преобразования, в котором прямое и обратное преобразования используют один и тот же ключ или два ключа, каждый из которых легко вычисляется из другого;
средство криптографической защиты информации — программное обеспечение или аппаратно-программный комплекс, реализующий алгоритмы криптографических преобразований, генерацию, формирование, распределение или управление ключами шифрования;
электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме и (или) логически связана с ней и которая используется для определения лица, от имени которого подписана информация;
целостность информации — свойство безопасности информации, при котором отсутствует любое ее изменение либо изменение субъектами доступа, имеющими на него право.
Глава 2. Уровни безопасности средств криптографической защиты информации
5. В зависимости от криптографической стойкости для средств криптографической защиты информации устанавливаются четыре уровня безопасности:
первый: средства криптографической защиты информации первого уровня безопасности предназначены для защиты информации, вред от разглашения которой или нарушения конфиденциальности, целостности, доступности информации, защищенной с использованием одного и того же средства криптографической защиты информации (одних и тех же средств криптографической защиты информации) не может быть причинен (не влечет негативных последствий в социальной, политической, международной, экономической, финансовой или иных областях деятельности) (коэффициент 0);
второй: средства криптографической защиты информации второго уровня безопасности предназначены для защиты информации, вред от изменения которой или конфиденциальности, целостности, доступности информации, защищенной с использованием одного и того же средства криптографической защиты информации (одних и тех же средств криптографической защиты информации) незначителен — менее 1000 расчетных показателей (влечет незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности), легко компенсируем оператором информационной системы и/или обладателем информации, которые могут выполнять возложенные на них функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств (коэффициент 1);
третий: средства криптографической защиты информации третьего уровня безопасности предназначены для защиты информации, вред от изменения которой или конфиденциальности, целостности, доступности информации, защищенной с использованием одного и того же средства криптографической защиты информации (одних и тех же средств криптографической защиты информации) значителен — от 1000 до 5000 расчетных показателей (влечет умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности), который может быть компенсирован оператором информационной системы и/или обладателем информации, которые могут выполнять хотя бы одну из возложенных на них функций (коэффициент 2);
четвертый: средства криптографической защиты информации четвертого уровня безопасности предназначены для защиты информации, вред от изменения которой или конфиденциальности, целостности, доступности информации, защищенной с использованием одного и того же средства криптографической защиты информации (одних и тех же средств криптографической защиты информации) является критическим — более 5000 расчетных показателей (влечет существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности), не может быть компенсирован оператором информационной системы и/или обладателем информации, которые не могут выполнять возложенные на них функции (коэффициент 3).
6. Средства криптографической защиты информации не могут быть признаны соответствующими первому, второму, третьему или четвертому уровню безопасности, если вычислительная сложность существующих алгоритмов вскрытия криптографической защиты, обеспечиваемой ими, составляет менее 250, 280, 2120 или 2160 возможных комбинаций для перебора соответственно.
Глава 3. Общие технические требования к средствам криптографической защиты информации по уровням безопасности
7. Генерируемые ключи средств криптографической защиты информации (кроме открытых ключей) должны представлять собой последовательности случайных чисел, формируемые с помощью физических генераторов шума (например, тепловых, диодных, радиационных, импульсных) либо последовательности псевдослучайных чисел, формируемые с использованием случайных событий (например, системных параметров электронно-вычислительной машины, движений мыши, нажатий клавиатуры, состояния таймера).
8. Средства криптографической защиты информации, использующие распределение ключей по незащищенным каналам связи, должны обеспечивать криптографическую защиту ключей в целях предотвращения разглашения и несанкционированного изменения этих ключей (кроме разглашения открытых ключей), а также навязывания ложных ключей.
9. Любой используемый ключ средств криптографической защиты информации должен применяться только одним алгоритмом криптографического преобразования, например, только для шифрования или только для формирования электронной подписи.
10. Должна обеспечиваться защита от несанкционированного изменения средств криптографической защиты информации, в том числе от модификации или подмены их элементов и модулей, с целью исключения влияния на криптографическую стойкость средств криптографической защиты информации.
11. Техническая документация (конструкторская, технологическая и программная документация, в зависимости от вида средств криптографической защиты информации) должна содержать полное описание реализованных в средствах криптографической защиты информации алгоритмов криптографических преобразований, генерации, формирования, распределения и управления ключами.
12. Если в средствах криптографической защиты информации реализованы алгоритмы криптографических преобразований, определенные государственными и межгосударственными стандартами или другими документами, действующими или применяемыми в Кыргызской Республике в установленном порядке, то в технической документации вместо их полного описания допускается делать ссылки на данные документы.
13. Средства криптографической защиты информации должны реализовывать алгоритмы криптографических преобразований в точном соответствии с их описанием, приведенным в технической документации.
14. В каждый комплект средств криптографической защиты информации должна входить эксплуатационная документация, которая полно и адекватно описывает все возможные режимы их использования и содержит перечень всех организационных и технических мер, необходимых для обеспечения безопасности обрабатываемой информации, включая порядок и частоту смены ключей, порядок технического обслуживания средств криптографической защиты информации и действия, которые необходимо предпринять для устранения ошибок оператора и других нештатных ситуаций, возможных во время эксплуатации, а также их последствий.
15. Требования к средствам криптографической защиты информации первого уровня безопасности:
1) длина ключа реализуемых средств криптографической защиты информации симметричных алгоритмов криптографического преобразования должна быть не менее 60 бит;
2) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования должна быть не менее 120 бит;
3) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования, криптографическая стойкость которых основана на вычислительной сложности задачи разложения составного числа на множители или задачи дискретного логарифмирования в конечном поле, должна быть не менее 500 бит;
4) длина вычисляемого хэш-кода средств криптографической защиты информации должна быть не менее 120 бит;
5) длина формируемой электронной подписи средств криптографической защиты информации должна быть не менее 120 бит;
6) реализуемый принцип генерации средств криптографической защиты информации и формирования ключей должен обеспечивать принятие каждым битом ключа единичного значения с вероятностью из интервала (0,50 ± 0,03).
16. Требования к средствам криптографической защиты информации второго уровня безопасности:
1) длина ключа реализуемых средств криптографической защиты информации симметричных алгоритмов криптографического преобразования должна быть не менее 100 бит;
2) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования должна быть не менее 160 бит;
3) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования, криптографическая стойкость которых основана на вычислительной сложности задачи разложения составного числа на множители или задачи дискретного логарифмирования в конечном поле, должна быть не менее 1500 бит;
4) длина вычисляемого хэш-кода средств криптографической защиты информации должна быть не менее 160 бит;
5) длина формируемой электронной подписи средств криптографической защиты информации должна быть не менее 200 бит;
6) реализуемый принцип генерации средств криптографической защиты информации и формирования ключей должен обеспечивать принятие каждым битом ключа единичного значения с вероятностью из интервала (0,50 ± 0,01);
7) средства криптографической защиты информации должны реализовывать процедуры вычисления и проверки контрольной информации о ключах в целях предотвращения использования случайно искаженных на этапе распределения и загрузки ключей с вероятностью не менее 0,9999;
8) при предварительном шифровании средств криптографической защиты информации должны реализовывать процедуры вычисления и проверки контрольной информации о шифруемых данных в целях выявления случайно искаженных зашифрованных данных с вероятностью не менее 0,9999;
9) средства криптографической защиты информации должны информировать оператора об установлении, сбросе, а также о невозможности установления режима шифрования.
17. Требования к средствам криптографической защиты информации третьего уровня безопасности:
1) длина ключа реализуемых средств криптографической защиты информации симметричных алгоритмов криптографического преобразования должна быть не менее 150 бит;
2) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования должна быть не менее 250 бит;
3) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования, криптографическая стойкость которых основана на вычислительной сложности задачи разложения составного числа на множители или задачи дискретного логарифмирования в конечном поле, должна быть не менее 4000 бит;
4) длина вычисляемого хэш-кода средств криптографической защиты информации должна быть не менее 250 бит;
5) длина формируемой электронной подписи средств криптографической защиты информации должна быть не менее 300 бит;
6) реализуемый принцип генерации средств криптографической защиты информации и формирования ключей должен обеспечивать принятие каждым битом ключа единичного значения с вероятностью из интервала (0,500 ± 0,003), при этом ключи должны быть последовательностями случайных чисел и формироваться с помощью физических генераторов шума;
7) средства криптографической защиты информации должны реализовывать процедуры формирования и проверки имитовставок или электронных подписей для ключей в целях предотвращения использования случайно или умышленно искаженных на этапе распределения и загрузки ключей с вероятностью не менее 0,999999;
8) при предварительном шифровании средства криптографической защиты информации должны реализовывать процедуры формирования и проверки имитовставок или электронных подписей для шифруемых данных в целях выявления случайно или умышленно искаженных зашифрованных данных с вероятностью не менее 0,999999;
9) средства криптографической защиты информации должны информировать оператора об установлении, сбросе, а также о невозможности установления режима шифрования и других нештатных ситуациях;
10) средства криптографической защиты информации должны обеспечивать иерархическую криптографическую защиту ключей на этапе их распределения и управления в целях предотвращения разглашения и несанкционированного изменения этих ключей (кроме разглашения открытых ключей), а также навязывания ложных ключей, или эксплуатационная документация средств криптографической защиты информации должна содержать организационные и технические меры по обеспечению защиты от данных угроз;
11) реализуемые штатные процедуры удаления (уничтожения) ключей средств криптографической защиты информации должны гарантировать невозможность их восстановления.
18. Требования к средствам криптографической защиты информации четвертого уровня безопасности:
1) длина ключа реализуемых средств криптографической защиты информации симметричных алгоритмов криптографического преобразования должна быть не менее 200 бит;
2) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования должна быть не менее 400 бит;
3) длина ключа реализуемых средств криптографической защиты информации асимметричных алгоритмов криптографического преобразования, криптографическая стойкость которых основана на вычислительной сложности задачи разложения составного числа на множители или задачи дискретного логарифмирования в конечном поле, должна быть не менее 8000 бит;
4) длина вычисляемого хэш-кода средств криптографической защиты информации должна быть не менее 400 бит;
5) длина формируемой электронной подписи средств криптографической защиты информации должна быть не менее 400 бит;
6) реализуемый принцип генерации средств криптографической защиты информации и формирования ключей должен обеспечивать принятие каждым битом ключа единичного значения с вероятностью из интервала (0,500 ± 0,001), при этом ключи должны быть последовательностями случайных чисел и формироваться с помощью физических генераторов шума;
7) средства криптографической защиты информации должны реализовывать процедуры формирования и проверки имитовставок или электронных подписей для ключей в целях предотвращения использования случайно или умышленно искаженных на этапе распределения и загрузки ключей, с вероятностью не менее 0,999999999;
8) средства криптографической защиты информации должны реализовывать процедуры формирования и проверки имитовставок или электронных подписей для шифруемых данных в целях выявления случайно или умышленно искаженных зашифрованных данных с вероятностью не менее 0,999999999;
9) средства криптографической защиты информации должны информировать оператора об установлении, сбросе, а также о невозможности установления режима шифрования и других нештатных ситуациях, предотвращать транзит через себя открытых данных в область хранения, распределения и последующей обработки зашифрованных данных;
10) средства криптографической защиты информации должны обеспечивать иерархическую криптографическую защиту ключей на этапе их распределения и управления в целях предотвращения разглашения и несанкционированного изменения этих ключей (кроме разглашения открытых ключей), а также от навязывания ложных ключей;
11) реализуемые штатные процедуры удаления (уничтожения) ключей средств криптографической защиты информации должны гарантировать невозможность их восстановления. Если средства криптографической защиты информации не реализуют указанных процедур, то эти процедуры гарантированного удаления (уничтожения) ключей (кроме открытых ключей) должны быть реализованы техническими средствами, поставляемыми в комплекте со средствами криптографической защиты информации.
|
Приложение 2 |
ПЕРЕЧЕНЬ
технологий, изложенных в международных стандартах, для государственных информационных систем, использующих системы шифрования и средства криптографической защиты информации, за исключением информации, отнесенной к государственным секретам
1) ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;
2) ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки ЭЦП»;
3) ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
4) ГОСТ Р 34.12-2015 «Информационная технология. Криптографическая защита информации. Блочные шифры»;
5) ГОСТ Р 34.13-2015 «Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров»;
6) ГОСТ 34.310-2004 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;
7) ГОСТ 34.311-2004 «Информационная технология. Криптографическая защита информации. Функция хеширования«;
8) RFC 3647 Certificate Policy and Certification Practices Framework (серии международных стандартов IETF);
9) RFC 5280 из серии международных стандартов IETF (регулирующий требования к структуре регистрационных свидетельств и списку отозванных регистрационных свидетельств);
10) RFC 3280 из серии международных стандартов IETF (Certificate and Certificate Revocation List (CRL) Profile);
11) RFC 1422 из серии международных стандартов IETF;
12) RFC 3029 Data Validation and Certification Server Protocols серии международных стандартов IETF;
13) Серия стандартов ITU-T X.500 версии 3 (ITU-T X.509, ITU-T X.501);
14) RFC 3161 — Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP);
15) RFC 5816 — update of RFC 3161;
16) RFC 6960 — X.509 Internet Public Key Infrastructure Online Certificate Status Protocol — OCSP;
17) RFC 5246 — The Transport Layer Security (TLS) Protocol Version 1.2;
18) RFC 4346 — The Transport Layer Security (TLS) Protocol Version 1.1;
19) (RFC 4033, RFC 4034, RFC 4035) DNSSEC;
20) Associated Signature Containers (ASiC) (ETSI EN 319 162-1 V1.1.1 (2016-04);
21) XML Advanced Electronic Signatures ETSI EN 319 132-1 V1.1.0;
22) RFC 4253 SSH;
23) RFC 3447 — (PKCS) #1: RSA Cryptography Specifications Version 2.1;
24) ISO/IEC 18033-3:2005 для AES;
25)ISO/IES 10118-3 для SHA-1, SHA-256, SHA-384, SHA-512;
26) RFC 2104 HMAC (для имитовставок);
27) ISO/IEC 9797-1 СМАС, CBC-MAC (для имитовставок);
28) ISO/IEC 14888-3:2016.