10.4.2 Классификаторы информации в составе ПСК ИССО должны обеспечивать:
- понятийно-терминологическое единство, определяющее сопоставимость информации ПСК ИССО на всех уровнях ее сбора, обработки и использования;
- систематизацию информации по единым классификационным правилам;
- совместимость информационных ресурсов в рамках ИТС.
10.4.3 Применяемая система классификации должна обеспечивать:
- полноту классифицируемого множества;
- возможность изменения и расширения классификаторов в связи с включением новых объектов и изменением глубины классификации;
- простоту ведения классификаторов;
- увязку содержания и назначения различных классификаторов.
10.4.4 При построении системы классификации и кодирования ПСК ИССО, создаваемой в рамках ИТС, рекомендуется следующее функциональное деление классификаторов (справочников):
- общесистемные, в том числе общероссийские и отраслевые классификаторы технико-экономической и социальной информации, обеспечивающие функционирование ПСК ИССО в составе ИТС и используемые смежными (внешними) системами;
- внешние (импортируемые), обеспечивающие получение необходимых для функционирования ПСК ИССО данных от смежных (внешних) систем;
- локальные, используемые только в ПСК ИССО.
Примечание - В соответствии с [35] общероссийские классификаторы технико-экономической и социальной информации являются обязательными для применения в государственных информационных системах и при межведомственном обмене информацией в порядке, установленном федеральными законами и иными нормативными правовыми актами Российской Федерации. Применение общероссийских классификаторов следует обеспечивать в соответствиями с правилами [36].
10.4.5 При формировании системы классификации и кодирования ПСК ИССО рекомендуется выполнение следующих требований:
- независимость от особенностей отдельных прикладных задач;
- базирование на единой отраслевой системе понятий и терминологии;
- разделение понятий "идентификация" и "классификация";
- разделение классификаторов и НСИ, содержащих различные характеристики объектов классификации;
- обеспечение совместимости с общероссийскими классификаторами и международными стандартами;
- централизованное администрирование.
Примечание - При определении классификационных свойств (признаков) следует учитывать нормативные правовые акты, документы по стандартизации и методические документы, содержащие классификационные разделы.
11 Рекомендации по обеспечению информационной безопасности
11.1 Средства обеспечения безопасности персональных данных и информации
11.1.1 Обеспечение безопасности персональных данных и информации ограниченного доступа в процессе электронного взаимодействия и информационного обмена между компонентами ПСК ИССО, как правило, осуществляется с использованием сертифицированных криптографических средств.
11.1.2 Шифрование (криптографическое преобразование) данных обеспечивает конфиденциальность либо данных, либо информации о параметрах трафика, и может быть использовано в дополнении к другим механизмам защиты согласно ГОСТ Р ИСО 7498-2.
11.1.3 Наличие механизма шифрования предполагает использование механизма административного управления ключом, за исключением случаев применения некоторых алгоритмов необратимого шифрования.
11.1.4 Криптографическая защита информации (при необходимости) на всем тракте ее прохождения между компонентами ПСК ИССО обеспечивается за счет применения средств канального шифрования в соответствии с ГОСТ 28147.
11.1.5 Цифровая подпись согласно ГОСТ Р ИСО 7498-2 является одним из механизмов защиты обеспечения аутентификации. ЭЦП согласно ГОСТ 34.10 предназначена для аутентификации лица, подписавшего электронное сообщение. Использование ЭЦП предоставляет возможность обеспечить следующие свойства при передаче в системе подписанного сообщения:
- осуществление контроля целостности передаваемого подписанного сообщения;
- доказательное подтверждение авторства лица, подписавшего сообщение;
- защита сообщения от возможной подделки.
11.2 Рекомендации по выбору устройства для хранения электронной цифровой подписи
11.2.1 Устройство для хранения ЭЦП может быть аппаратным, программным, аппаратно-программным.
11.2.2 Электронный идентификатор с аппаратной реализацией ЭЦП, шифрования и хеширования должен соответствовать ГОСТ 34.10.
11.2.3 Форм-фактор устройства для хранения ЭЦП: USB-токен, Micro-токен, смарт-карта, внешнее устройство, подключаемое по Bluetooth* [37] или USB.
11.2.4 На устройства для хранения ЭЦП, произведенные на территории Российской Федерации, должны быть сертификаты Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю.
11.3 Рекомендации по защите информации ПСК ИССО
11.3.1 Защита информации ограниченного доступа, не содержащей сведения, составляющие государственную тайну, от утечки по техническим каналам, несанкционированного доступа, специальных воздействий на такую информацию в целях ее добывания, уничтожения, искажения или блокирования доступа к ней при обработке указанной информации в государственных информационных системах обеспечивается в соответствии с требованиями [38]. По решению обладателя информации (заказчика) ПСК ИССО требования [38] также могут применяться для защиты информации, содержащейся в негосударственных информационных системах.
11.3.2 Формирование требований к защите информации, содержащейся в ПСК ИССО, осуществляется обладателем информации (заказчиком) с учетом требований [38] и ГОСТ Р 51583. Выбор класса автоматизированной системы производится заказчиком и разработчиком ПСК ИССО с привлечением специалистов по защите информации.
11.3.3 В ПСК ИССО при отсутствии требований заказчика к защите информации рекомендуется обеспечивать защиту от НСД на уровне не ниже установленного требованиями [39], предъявляемыми к классу защищенности 1Д.
11.3.4 Для средств вычислительной техники ПСК ИССО, обрабатывающих конфиденциальную информацию, рекомендуется уровень защищённости от НСД, соответствующий требованиям к классу защищённости 6 согласно [40].
11.3.5 Задачи защиты информации в ПСК ИССО определяются угрозами, которые потенциально возможны в процессе функционирования ПСК ИССО и состоят в разработке практических мер, направленных на выявление, отражение и ликвидацию последствий различных видов угроз информационной безопасности.
11.3.6 Средства защиты информации повышают стоимость системы и могут усложнить ее использование. Перед разработкой ПСК ИССО следует определить (оценить) конкретные угрозы, от которых требуется защита. Первичный перечень угроз формируется комбинацией различных факторов, воздействующих на защищаемую информацию (по ГОСТ Р 51275), категориями средств защиты и уровнями воздействия нарушителей. Возможные угрозы безопасности информации:
- хищение, удаление или потеря информации и (или) других ресурсов;
- разрушение информации и (или) других ресурсов;
- модификация или искажение информации;
- нарушение доступности (блокирование) информации (прерывание обслуживания);
- обман (отрицание подлинности, навязывание ложной информации);
- раскрытие информации.