Language switcher

Часто задаваемые вопросы

На этой странице приведены ответы на часто задаваемые вопросы по ISKE. Начиная с того, кто должен применять ISKE, и заканчивая определением подкласса безопасности в отношении доступности и ведением учета по мерам безопасности.

ISKE

ISKE и обязанность ее применения

Что такое ISKE?
ISKE – это трехступенчатая система эталонной безопасности инфосистем, цель которой заключается в обеспечении достаточной безопасности данных, обрабатываемых в инфосистемах и базах данных. Обязанность применения ISKE и ее аудита исходит из ч. 3 ст. 439 Закона о публичной информации ».
Что такое эталонная безопасность?
Эталонная безопасность – это набор мер безопасности, применение которого необходимо для достижения и сохранения надлежащего уровня безопасности данных.

Для кого обязательна ISKE?
Система ISKE обязательна для обеспечения безопасности инфосистем, используемых при держании баз данных государства и местных самоуправлений, и связанных с ними информационных ресурсов.

В Законе о публичной информации при определении местного самоуправления используются разные термины:

  • учреждение местного самоуправления;
  • единица местного самоуправления;
  • местное самоуправление.
В постановлении Правительства Республики от 20.12.2007 года № 252 "Система мер безопасности инфосистем" » этот термин не расширен и не уточнен. В связи с этим его следует толковать узко, т. е. как «местное самоуправление», а не как администрируемые учреждения, связанные с местным самоуправлением, или единицы местного самоуправления.

ISKE и базы данных

Что такое база данных?
Согласно ч. 1 ст. 431 Закона о публичной информации » база данных – это упорядоченная совокупность данных, обрабатываемых в информационной системе государства, местного самоуправления или иного публично-правового юридического лица или выполняющего публичные обязанности частноправового лица, которые помещаются и используются для выполнения задач, установленных законом или изданными на его основании правовыми актами или международными договорами. Упорядоченная совокупность данных, обрабатываемых в базе данных, может также состоять только из уникальных данных, содержащихся в других базах данных.

Базы данных делятся на базы данных, входящие в информационную систему государства (ст. 432 Закона о публичной информации »), и базы данных, не входящие в информационную систему государства (ч. 4 ст. 433 Закона о публичной информации »).
Для каких баз данных применение системы ISKE и аудит ее применения являются обязательными?

Применение ISKE является обязательным для обеспечения безопасности всех инфосистем, используемых при держании баз данных государства и местного самоуправления, и связанных с ними информационных ресурсов.

Применение происходит в соответствии с действующей версией инструкции по применению ISKE.

Ответственный обработчик государственной базы данных обязан заказывать по истечению периода согласно постановлению об ISKE аудит применения ISKE.

Для баз данных местного самоуправления аудит применения ISKE заказывается по мере необходимости. Министерство экономики и коммуникаций заказывает вышеупомянутый аудит с учетом условий и требований, установленных в частях 4–8 статьи 91.

Должен ли уполномоченный обработчик регистра применять в своем учреждении систему ISKE только с тем классом безопасности, который ответственный обработчик записал в RIHA?
Согласно Закону о публичной информации, уполномоченный обработчик обязан выполнять указания ответственного обработчика при обработке данных и размещении базы данных и обеспечить безопасность базы данных. Однако это не означает, что к местам обработки данных автоматически применяются те же требования, что и ко всей базе данных. Таким образом, ответственному обработчику базы данных следовало бы при определении требований обязательно проанализировать характер обработки данных на каждом рабочем месте отдельно, т. е. если чувствительные данные обрабатываются в конкретном учреждении.

Классы безопасности

Что такое классы безопасности, и для чего их определяют?
Класс безопасности – это требуемый уровень безопасности данных, исходящий из значимости данных и выраженный по четырехступенчатой шкале в виде трех компонентов, т. е. в виде совокупности трех подклассов безопасности. Классы безопасности определяются для данных, обрабатываемых в базе данных. При определении класса безопасности исходят из потребности защиты данных, которые больше всего нуждаются в защите.

Определение класса безопасности организует ответственный обработчик базы данных в результате анализа безопасности данных.

Более точное основание определения классов безопасности можно найти в статье 7 постановления «Система мер безопасности инфосистем» », принятого на основании пункта 4 части 1 статьи 439 Закона о публичной информации.

Что такое подкласс безопасности?
Подкласс безопасности – это требуемый уровень достижения цели информационной безопасности, исходящий из значимости данных и выраженный по четырехступенчатой шкале (0–3).
Что такое анализ безопасности данных?
Анализ безопасности данных – это оценивание значимости данных, проводимое для определения класса безопасности, а также оценивание ущерба, исходящего из недостаточной безопасности данных.
Кто отвечает, если в отношении базы данных не выполнено предусмотренное законом требование (ISKE не применяется и/или не был проведен в срок аудит применения ISKE)?
За отказ от применения ISKE и/или отказ от проведения своевременного аудита применения ISKE отвечает ответственный обработчик базы данных.
К какому сроку система ISKE должна быть применена к базам данных?
Если имеется обязанность применения ISKE, то система ISKE должна быть применена до начала использования базы данных. Поскольку такие базы данных должны быть зарегистрированы в системе управления государственной инфосистемой (RIHA) », то, например, в случае новых баз данных система ISKE должна быть применена до окончательной регистрации базы данных (т. е. когда база данных получает в RIHA отметку «в использовании»).
Как передавать касающуюся ISKE информацию в систему управления государственной инфосистемой (RIHA)?
Администратор инфосистемы вводит в систему RIHA подклассы безопасности базы данных и статус применения ISKE а вместе с другими данными, касающимися базы данных. Администратора для каждой инфосистемы определяет в RIHA управляющий учреждением RIHA.
К какому сроку применение ISKE должно пройти аудиторскую проверку в случае тех баз данных, для которых аудит ISKE является обязательным?
Период аудиторской проверки применения ISKE зависит от уровня безопасности, определенного для базы данных, и от времени начала использования базы данных.
Например, если база данных начинает использоваться с 1 января 2017 года или к этому числу был составлен предыдущий отчет по аудиторской проверке применения ISKE, то следующий аудит ISKE должен быть проведен:
  • для базы данных с уровнем безопасности H — до 1 января 2019 г.;
  • для базы данных с уровнем безопасности M — до 1 января 2020 г.;
  • для базы данных с уровнем безопасности L — до 1 января 2021 г.
Что такое типовые модули?
Типовые модули – это виды информационных ресурсов, у которых имеются особые свойства и своя специфика безопасности.
Модули сгруппированы на основании функциональных и специфических в отношение безопасности общих свойств.
Как следует определять подкласс безопасности в отношении доступности?
В ISKE доступ определен следующим образом:

Доступность данных – предварительно согласованная, своевременная и простая возможность получения данных, пригодных для использования в необходимое/требуемое рабочее время (т. е. в необходимый/требуемый момент времени и в течение необходимого/требуемого периода времени), для уполномоченных на это потребителей (лиц или технических средств).

Таким образом, в первую очередь следовало бы, учитывая пользователей конкретной базы данных, согласовать рабочее время, когда нужно обеспечить пользователям данных доступ к этой базе данных.

Например, рабочее время может быть по рабочим дням 9:00–17:00 (или 5x8), по рабочим дням и в субботу 8:00–18:00 (или 6x8), каждый день 24 часа (или 7x24). Если рабочее время установлено, то следовало бы, исходя из определений подклассов безопасности в отношении доступности, определить для доступности подкласс безопасности (K0, K1, K2 или K3). При определении класса доступности следует учитывать максимально разрешенное время простоя и максимально разрешенный рост времени реакции в предварительно согласованное рабочее время.
Как рассчитать доступность?
Доступность рассчитывается, поделив время, в течение которого услуга реально работает, на заданное рабочее время.
Valem: Käideldavus = tegelik töösoleku aeg / kokkulepitud tööaeg * 100%
Какой подкласс безопасности в отношении конфиденциальности должен быть определен в случае деликатных личных данных и информации AK (ametialaseks kasutamiseks, для внутреннего использования)?
В случае деликатных личных данных и информации AK, которая внутри учреждения предусмотрена для использования только определенными лицами (группами, отделами), подкласс безопасности для конфиденциальности должен быть как минимум S2.

Меры безопасности

Что такое меры безопасности?
Меры безопасности – это организационные действия и средства, технические процессы и применение технических средств с целью достижения и сохранения защищенности данных и инфосистем.
Что такое эталонные меры?
Эталонные меры – это типичные упорядоченные по каталогу меры безопасности, снабженные методикой выбора. Производимый из их числа выбор зависит от класса безопасности и состава инфосистемы, обрабатывающей данные.
Сколько уровней безопасности в ISKE?
В ISKE три уровня безопасности:

L (Low) – низкий уровень безопасности
M (Medium) – средний уровень безопасности
H (High) – высокий уровень безопасности
Что означает, что достигнута безопасность данных? В чем заключается подцель безопасности?
Безопасность данных как общая цель — многомерная и состоит из подцелей. ISKE основывается на трех подцелях, на обеспечении трех свойств данных – доступности (K, käideldavus), целостности (T, terviklus) и конфиденциальности (S, konfidentsiaalsus).
Что такое уровень безопасности?

Уровень безопасности – это шкала оценивания целей безопасности данных по четырехбалльной системе.

Система ISKE основывается на четырехбалльной шкале и трех целях безопасности – доступности (K, käideldavus), целостности (T, terviklus) и конфиденциальности (S, konfidentsiaalsus).  Применяя к трем целям безопасности четырехбалльную шкалу, определяются подклассы безопасности (напр., K1T3S2). Обозначение подкласса безопасности состоит из обозначения цели безопасности и значения уровня безопасности.

Следует ли применять все меры безопасности, относящиеся к конкретному уровню безопасности?
Из мер безопасности, относящихся к конкретному уровню безопасности, следует применять меры безопасности тех модулей, с которыми связана конкретная база данных.

В некоторых модулях меры безопасности обозначены буквами «Z» и «W». Обозначение «Z» означает рекомендательный характер, а обозначение «W» указывает на информативный характер (применять необязательно, предлагает необходимые сведения в данной сфере).

На уровне безопасности «H» меры безопасности делятся на обязательные (HG) и условные (HT, HK, HS). Условные меры безопасности – это дополнительные меры, специфицированные по цели. Из них являются обязательными те, у которых из требуемого уровня безопасности вытекает требования применения высшего уровня безопасности. Например, если требование применения уровня безопасности (H) исходит из конфиденциальности данных (база данных x с классом безопасности K1T2S3), то следует применять обязательные (HG) и связанные с конфиденциальностью (HS) меры безопасности.

Обязательно ли вести учет по применению задействованных мер безопасности (напр., в таблице Excel или в другой программе)?
Напрямую такой обязанности нет, но ведение учета такого рода позволит получить обзор состояния применяемости ISKE в учреждении и во всех отношениях служит помощью людям, занимающимся применением ISKE.
Следует ли, ведя учет мер безопасности, например, в таблице excel, отмечать, в каком пункте какого документа урегулировано обстоятельство, связанное с конкретной организационной мерой безопасности?
Отмечать не нужно, но можно. Руководитель/специалист по информационной безопасности, ИТ руководитель должен знать, в каком документе урегулировано обстоятельство, связанное с конкретной организационной мерой безопасности. Такая отметка сэкономит помимо прочего время проверяющего при проведении аудита.
 
Следует ли после конкретного пункта в документации по политике информационной безопасности отмечать или указывать, какая мера безопасности требует соответствующей регуляции/фразы?
Отмечать не нужно, но можно.
В чем заключается разница между BSI IT Grundschutz Handbuch и ISKE?

Существует несколько отличий, здесь приведены наиболее существенные из них:

В руководстве по применению ISKE имеется уровень безопасности «H», разработанный в Эстонии.

Уровни безопасности в руководстве BSI: A – Entry level, B – Higher level, C – Certificate level, Z – optional, W – know how. Все меры безопасности перечисленных уровней размещены на уровнях безопасности ISKE «L» и «M».

В руководстве BSI отсутствует идеология классов безопасности и разделение на уровни безопасности исходя из классов безопасности.

Регулирует ли ISKE аспекты, связанные с уровнями услуги?
ISKE рассматривает доступность в качестве одной из целей безопасности. В ISKE подклассы безопасности в отношении доступности определены следующим образом:

K0 – надежность – низкая, допустимое суммарное время простоя более одних суток в неделю;
K1 – надежность – допустимое суммарное время простоя сутки в неделю;
K2 – надежность – допустимое суммарное время простоя 2 часа в неделю;
K3 – надежность – допустимое суммарное время простоя 10 минут в неделю.

ISKE определяет доступность через относительно большие промежутки. ISKE не определяет и рассматривает большинство обстоятельств, связанных с договорами об уровне услуги, и большинство параметров, определяющих уровень услуги (время ответа на запрос, число обслуживаемых пользователей, время выполнения сервисных работ и т. п.).

Последний измененный: 21.06.2021

Вы получили ответ на свой вопрос?


We thank you for your feedback.