Деятельности любой организации свойственен риск, связанный с нарушением безопасности информации, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня.
Снижение риска организации, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Согласно внесенному в Госдуму законопроекту, требования Приказа ФСТЭК России от 11.02.2013 г. № 17 становятся обязательными не только для госорганов, но и для всех ФГУП, коммерческих ЦОД, и других организаций, которым поручена обработка и хранение информации, обладателем которой выступают государственные и муниципальные органы. Выбор мер защиты информации требует глубокого знания нормативной базы, правильной оценки угроз безопасности информации (Модели угроз и Модели нарушителя) и определения требуемого уровня защищенности ИС организации.
НТЦ «Вулкан» выполняет в интересах заказчика разработку рекомендаций по выбору мер защиты информации в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17 и Методического документа «Меры защиты информации в государственных информационных системах», утвержденного ФСТЭК России 11.02.1014 г. (Для выполнения работ необходимо наличие в организации Модели угроз и Модели нарушителя, а также определение класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы).
Состав работ
- Идентификация объекта информатизации.
- Выбор базового состава мер защиты информации согласно Приказа ФСТЭК России от 11.02.2013 г. № 17 и Методического документа «Меры защиты информации в государственных информационных системах».
- Адаптация выбранного состава мер защиты информации с учетом структурно-функциональных характеристик ИС, применяемых информационных технологий, особенностей функционирования ИС.
- Уточнение выбранного состава мер защиты информации с учетом Модели угроз и Модели нарушителей.
- Дополнение адаптированного состава мер защиты информации мерами, установленными иными нормативными актами в области обеспечения безопасности и защиты информации (если актуально для заказчика).
- Формирование требований к защите информации, содержащейся в ИС.
- Формирование требований к системе защиты информации ИС, обрабатывающей государственные и муниципальные информационные ресурсы, предполагает разработку технического задания на создание системы защиты информации ИС, которое включает:
- цель и задачи обеспечения защиты информации в ИС обрабатывающей государственные и муниципальные информационные ресурсы;
- класс защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы;
- перечень объектов защиты ИС, обрабатывающей государственные и муниципальные информационные ресурсы;
- требования к применяемым мерам и средствам защиты информации;
- требования к определению угроз безопасности информации и оценке рисков;
- стадии (этапы работ) создания системы защиты ИС, обрабатывающей государственные и муниципальные информационные ресурсы;
- требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
- требования к защите средств и систем, обеспечивающих функционирование ИС, обрабатывающей государственные и муниципальные информационные ресурсы, (обеспечивающей инфраструктуре);
- требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.
При идентификации объектов информатизации, осуществляется:
- Анализ целей создания ИС, обрабатывающих государственные и муниципальные информационные ресурсы, и решаемых ею задач.
- Определение информации, подлежащей обработке в ИС.
- Определение целей и задач защиты информации в ИС.
- Определение обладателя информации и оператора ИС обрабатывающей государственные и муниципальные информационные ресурсы.
Работы по выбору базового состава мер защиты информации выполняются в строгом соответствии с рекомендациями Методического документа «Меры защиты информации в государственных информационных системах». Требования к системе защиты информации ИС определяются в зависимости от выбранного класса защищенности ИС и угроз безопасности информации, включенных в Модель угроз. Полученный в результате работы базовый состав организационных и технических мер защиты информации охватывает основные направления защиты информации в ИС, обрабатывающей государственные и муниципальные информационные ресурсы, в том числе:
- Идентификацию и аутентификацию субъектов доступа и объектов доступа.
- Управление доступом субъектов доступа к объектам доступа.
- Ограничение программной среды.
- Защиту машинных носителей информации.
- Регистрацию событий безопасности.
- Антивирусную защиту.
- Обнаружение (предотвращение) вторжений.
- Контроль (анализ) защищенности информации.
- Целостность информационной системы и информации.
- Доступность информации.
- Защиту среды виртуализации.
- Защиту технических средств.
- Защиту информационной системы, ее средств, систем связи и передачи данных.
Преимущества
Полученный состав мер защиты информации позволяет сформировать Техническое задание на создание системы защиты информации ИС, обрабатывающей государственные и муниципальные информационные ресурсы, с учетом требований ГОСТ и методических документов ФСТЭК России.