В современном обществе информационные системы общего пользования или ИСОП играют ключевую роль во многих сферах деятельности, таких как государственное управление, банковское дело, здравоохранение и другие. Однако, с ростом сложности и объема данных в информационных системах возникает необходимость в их защите от злоумышленников.

Согласно исследованию Positive Technologies общее количество инцидентов в 2022 году увеличилось более чем на 20 %. Под инцидентом в данном исследовании понимается успешная атака, которая привела к негативным последствиям для организаций или физических лиц.
Тем временем в связи с массовыми утечками данных появляется возможность проведения атак с использованием скомпрометированной информации о пользователях.

Примеры ИСОП

Уже из названия «информационные системы общего пользования» (далее – ИСОП) понятно, что это такие ресурсы, доступ к которым не ограничен. К ИСОП можно отнести:

• • официальные сайты органов власти;
  • ресурсы, разработанные специально для информирования граждан;
  • федеральные порталы;
  • информационные системы в абсолютно разных областях – транспорт, финансы, социальная сфера.

 
Наиболее известные примеры таких информационных систем: портал Госуслуг, сайт Федеральной налоговой службы, сайт фонда социального и пенсионного страхования РФ и т.д.
Во всех таких системах помимо общедоступного раздела в сети Интернет есть еще и закрытая часть – та, которая доступна администраторам ресурса, сотрудникам, которые отвечаютщим за наполнение портала, а также разделы, где хранятся персональные данные граждан.
Типичной архитектурой для такой информационной сети будет совокупность компьютеров администраторов ИСОП и серверов баз данных, обрабатывающих информацию, полученную от пользователей информационной системы. Разделена эта внутренняя локальная сеть от внешней интернет-сети межсетевым экраном.

Рисунок 1. Примерная схема ИСОП

Информационные системы общего пользования — это основная точка доступа злоумышленника, поэтому размещаться такие системы должны в так называемой DMZ – демилитаризованной зоне без доступа или со строго регламентированным и контролируемым доступом к внутренним ресурсам организации.

Последствия атак

К основным последствиям после успешной реализации атак можно отнести:

• • дефейс сайтов (тип хакерской атаки, при которой главная или другая важная страница веб-сайта заменяется на страницу, как правило, вызывающего вида: реклама, предупреждение, угроза, интернет-мем);
  • удаление и искажение информации;
  • нарушение доступности, когда система становится полностью неработоспособна.

 
Искажение информации является серьезной угрозой в плане информационной войны, публикация и распространение фейков вызывает дестабилизацию общественного мнения.
Атаки также могут привести к серьезным последствиям, таким как утечка конфиденциальных данных, нарушение работоспособности системы, финансовые потери и ущерб репутации организации.

Требования к системе защиты ИСОП

В первую очередь стоит обратиться к нормативно-правовым актам регуляторов, дающих рекомендации по защите систем общего пользования:

• • приказ ФСБ и ФСТЭК России от 31 августа 2010 года № 416/489 соответственно «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования» — который позволяет получить некоторое понимание о процессе защиты ИСОП.
  • Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — который позволит понять принципы необходимости защиты информации.
  • Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных» — закон, который показывает, как нужно проводить и защищать персональные данные и другие.

 
При этом в приказе № 416/489 не указана обязанность аттестации ИСОП, поэтому в нашей практике мы рекомендуем и опираемся сами на 17 приказ ФСТЭК России в части формирования требований, 21 приказ ФСТЭК в части защиты ПДн а также на 77 приказ ФСТЭК при проведении аттестации.

Обеспечение защищенности ИСОП

При создании системы защиты информации для ИСОП, весь процесс можно разделить на две основные части: организационная и техническая защита информации.

Организационная защита информации включает в себя набор политик, процедур и правил, разработанных и реализованных организацией для обеспечения безопасности информации. Она ориентирована на управление людьми, процессами и структурами в организации для того, чтобы минимизировать риски и угрозы информационной безопасности. К организационной защите относятся:

1. Политики безопасности информации — классификация и маркировка информации, управление доступом, обучение сотрудников, допуск к системам, управление рисками и. т.д.

2. Управление доступом — определение процессов и процедур для управления доступом к информации, идентификация и аутентификация пользователей и администраторов в системе, установка прав доступа, мониторинг и регистрацию активности пользователей.

3. Обучение и повышение знаний и квалификации сотрудников в вопросах информационной безопасности.

4. Управление рисками — идентификация угроз и уязвимостей, оценка их воздействия на информационную систему, разработка мер противодействия и устранения данных уязвимостей.

5. Управление инцидентами — обнаружение, регистрация, анализ и реагирование на инциденты информационной безопасности.

6. Физическая безопасность — контроль доступа в помещения с серверами и сетевым оборудованием, установку систем видеонаблюдения, охранных и противопожарных систем и т.д.

Техническая защита информации включает в себя использование технических средств и механизмов для обеспечения безопасности информационных систем и данных.
Вот некоторые ключевые аспекты технической защиты информации:

1. Защита от несанкционированного доступа — аутентификация пользователей и установка их прав доступа.

2. Шифрование данных для защиты конфиденциальности данных.

3. Межсетевые экраны и сетевая безопасность. К сетевой безопасности можно отнести выполнение рекомендаций ФСТЭК и ФСБ России по блокированию сетевых адресов.

4. Межсетевые экраны уровня приложений – средство защиты информации, которое отслеживает аномалии в поведении пользователей веб-ресурсов, и блокирует их при срабатывании правил безопасности, заданных сетевыми администраторами безопасности.

5. Антивирусная защита и обновление программного обеспечения.

6. Резервное копирование и восстановление информации в случае ее частичной или полной потери.

7. Система обнаружения вторжений, для обнаружения некоторых типов вредоносной активности, которая может нарушить безопасность системы (сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного ПО (компьютерных вирусов, троянов и червей).

8. Мониторинг и журналирование активности систем и пользователей для обнаружения аномальной активности, инцидентов безопасности и для анализа событий безопасности, с целью предотвращения в будущем подобных инцидентов. За это отвечают решения класса SIEM.

9. Средства защиты от DDoS-атак.

 
Технические и организационные меры обеспечивают комплексный подход к защите информации.

Значение аттестации ИСОП в ИБ

Аттестация информационных систем, как способ оценки соответствия системы требованиям, имеет огромное значение для обеспечения их безопасности и надежности. Она позволяет оценить общий уровень защищенности ИТ-инфраструктуры, обнаружить уязвимости, а также убедиться в соответствии системы нормам и требованиям, установленным регуляторами в области защиты информации.

Важным аспектом аттестации ИСОП является защита персональных данных, хранящихся в них. В современном цифровом мире, где информация становится все более ценной и уязвимой, необходимо убедиться, что системы, которые обрабатывают и хранят персональные данные, соответствуют необходимому уровню безопасности.

Аттестация информационных систем общего пользования имеет огромное значение для обеспечения их безопасности, надежности и соответствия установленным стандартам. Она помогает выявить уязвимости и проблемы безопасности, установить стандарты качества и эффективности, а также повысить доверие пользователей и улучшить репутацию систем и организаций.