Создание СЗИ ИС в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17

Построение системы защиты информации информационной системы (СЗИ ИС) основывается на предпосылке, что невозможно обеспечить требуемую безопасность информационных ресурсов (класс защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы) не только с помощью одного отдельного средства защиты информации (или мероприятия по защите информации), но и с помощью их простой совокупности.

При построении СЗИ требуется системное согласование средств и способов защиты информации и создание единой системы управления ими. СЗИ ИС направлено на достижение требуемого уровня доверия:

  • к окружению ИС;
  • к субъектам отношений;
  • к правилам и процедурам;
  • к аппаратной и программной платформе ИС;
  • к каналам передачи информации.

Создание СЗИ невозможно без выполнения работ по:

  • обследованию защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
  • разработке Модели угроз Модели нарушителей для ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
  • выбору класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы,
  • выбору мер защиты информации по Приказу ФСТЭК России № 17.

По результатам перечисленных работ (реализованных либо НТЦ «Вулкан», либо другими подрядчиками) НТЦ «Вулкан» выполняет в интересах заказчика комплекс работ по созданию СЗИ ИС, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17.

Состав работ

  • Разработка системы защиты информации ИС, осуществляемая в соответствии с техническим заданием:
    • Техническое проектирование системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы (разработку проектной документации).
    • Разработку эксплуатационной документации на систему защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
    • Макетирование и тестирование системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы (при необходимости).
  • Внедрение СЗИ ИС, обрабатывающих государственные и муниципальные информационные ресурсы, в соответствии с разработанной проектной и эксплуатационной документацией:
    • установка и настройка средств защиты информации;
    • внедрение организационных мер защиты информации;
    • предварительные испытания системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы;
    • опытная эксплуатация системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы;
    • анализ уязвимостей информационной системы и принятие мер по их устранению;
    • приемочные испытания системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
    • разработка документов, определяющих правила и процедуры, реализуемые для обеспечения безопасности информации.

Создание СЗИ ИС предусматривает принятие организационно-правовых мер, предусматривающих назначение лиц, ответственных за обеспечение защиты информации, а также разработку и утверждение оператором ИС, обрабатывающих государственные и муниципальные информационные ресурсы, документа, определяющего политику обеспечения безопасности информации. НТЦ «Вулкан» разрабатывает организационно-распорядительные документы по обеспечению безопасности информации, определяющие следующие правила и процедуры:

  • Обеспечение безопасности информации на объекте заказчика.
  • Управление (администрирование) системой защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
  • Выявление инцидентов, которые могут привести к сбоям или нарушению функционирования ИС или к возникновению угроз безопасности информации.
  • Реагирование на инциденты.
  • Управление конфигурацией ИС, обрабатывающей государственные и муниципальные информационные ресурсы, и системы защиты информации ИС.
  • Контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
  • Защита информации при выводе из эксплуатации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, или после принятия решения об окончании обработки информации.
  • Архивирование информации, содержащейся в ИС, обрабатывающих государственные и муниципальные информационные ресурсы.
  • Уничтожение (стирание) данных и остаточной информации с машинных носителей информации.

Преимущества

При разработке системы защиты информации ИС, обрабатывающих государственные и муниципальные информационные ресурсы, учитывается ее информационное взаимодействие с иными ИС и информационно-телекоммуникационными сетями.

Внедрение СЗИ ИС позволит повысить обеспечить заданный класс защищенности ИС путем концентрации усилий соответствующих должностных лиц, а также повышения их персональной ответственности за обеспечение защиты информации.