КОНТАКТЫ

МЕНЮ

Cистемный интегратор

решений комплексной

информационной безопасности

(351) 734-95-00
Заказать обратный звонок

Законодательство

Государственные (муниципальные) информационные системы (ГИС) – информационные системы, созданные на основании федеральных законов, законов субъектов Российской Федерации, правовых актов государственных органов или решений органов местного самоуправления.

Ключевым документом, устанавливающим обязательные требования к обеспечению защиты информации ограниченного доступа при ее обработке в государственных (муниципальных) информационных системах, является Приказ ФСТЭК России от 11.02.2013 № 17.

Требования этого приказа распространяются, в том числе, и на ГИС, обрабатывающие персональные данные (государственные ИСПДн). По решению обладателя информации (заказчика) или оператора информационной системы требования Приказа № 17 могут применяться и для защиты информации, содержащейся в негосударственных информационных системах.

В соответствии с этими требованиями создание системы защиты информации ГИС осуществляется в следующей последовательности:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации и ввод ее в действие.

Кроме того, при обеспечении информационной безопасности ГИС можно дополнительно руководствоваться Специальными требованиями и рекомендациями по технической защите конфиденциальной информации (СТР-К), утвержденными приказом Гостехкомиссии России от 30.08.2002 № 282.

Следует отметить, что, помимо Приказа ФСТЭК № 17, при создании систем защиты информации государственных информационных систем должны быть учтены и другие нормативные документы, в том числе:

  • Постановление Правительства от 1 ноября 2012 г. № 1119;
  • Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К);
  • ПКЗ-2005, Приказ № 378 и другие документы ФСБ России;
  • национальные и отраслевые стандарты по безопасности информации.

Формирование требований к защите информации ГИС

На этапе формирования требований к защите информации ГИС решаются следующие задачи:

  • Проведение обследования и сбор исходных сведений об информационной системе, ее характеристиках, структуре, составе, организационно-распорядительной и эксплуатационно-технической документации, а также о реализуемых мероприятиях по обеспечению безопасности информации. Собранные сведения служат основой для дальнейших работ;
  • Классификация информационной системы,. В соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 № 17 оценивается степень возможного ущерба от нарушения безопасности информации (конфиденциальности, целостности, доступности), уровень значимости информации, масштаб системы. По этим характеристикам определяется требуемый класс защищенности государственной информационной системы;
  • Разработка модели нарушителя и угроз безопасности информации ГИС. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала, оснащенности и мотивации) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации;
  • Определение перечня мер обеспечения безопасности, которые должны быть реализованы. На этом шаге, в соответствии с требованиями ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, осуществляется разработка Технического задания на создание системы защиты информации ГИС, в котором осуществляется выбор, адаптация, уточнение и дополнение защитных мер, содержащихся в Приказе ФСТЭК России от 11.02.2013 № 17 и других нормативных документах по обеспечению безопасности информации ФСТЭК России и ФСБ России.

Результатом этапа служат следующие документы:

  • Отчет об обследовании и оценке защищенности информационной системы;
  • Перечень конфиденциальной информации, обрабатываемой в ГИС, Перечень должностных лиц, допущенных к работе в ГИС;
  • Акт классификации государственной информационной системы;
  • Модель нарушителя и угроз безопасности информации, обрабатываемой в ГИС;
  • Техническое задание на создание (модернизацию) системы защиты информации ГИС.

Разработка системы защиты информации информационной системы

Разработка системы защиты информации ГИС включает следующие шаги:

  • Разработка Технического проекта системы защиты информации, содержащего детальное описание конкретных программно-технических решений для создания системы защиты в соответствии с требованиями Технического задания. Более подробную информацию о проектировании систем защиты информации можно получить на странице «Разработка проектной документации на системы защиты информации»;
  • Разработка организационно-распорядительной и эксплуатационной документации на систему защиты информации. Перечень разрабатываемых документов определяется Техническим заданием и, как правило, включает Положения и Политики по защите конфиденциальной информации, Инструкции и Регламенты администраторам безопасности и пользователям ГИС, приказы о назначении ответственных лиц, дополнения в разделы должностных инструкций и другие документы.

Внедрение системы защиты информации информационной системы

Внедрение системы защиты информации осуществляется в соответствии с разработанной на предыдущем этапе пояснительной запиской к Техническому проекту. На данном этапе осуществляется:

  • поставка, установка и настройка средств защиты информации;
  • приемочные испытания системы защиты информации информационной системы.

Отчетными документами по данному этапу, как правило, служат:

  • документы на поставку средств защиты информации (лицензии, дистрибутивы, формуляры и документация на средства защиты);
  • программа и методики приемочных испытаний системы защиты ГИС;
  • протоколы и заключение по результатам приемочных испытаний;
  • акты внедрения средств защиты информации.

Аттестация информационной системы и ввод ее в действие

Согласно требованиям Приказа ФСТЭК России от 11.02.2013 № 17 ввод в действие информационной системы осуществляется только при наличии аттестата соответствия. Поэтому обязательным заключительным этапом создания систем защиты информации государственных информационных систем является проведение аттестации по требованиям безопасности информации.

Порядок проведения аттестации ИСПДн регламентируется:

  • Национальным стандартом РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
  • Положением по аттестации объектов информатизации по требованиям безопасности информации, утвержденным председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.

В соответствии с указанными нормативными документами организации, проводящие аттестацию объектов информатизации, несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав разработчиков аттестуемых объектов информатизации и их компонентов.

Для проведения аттестации разрабатываются:

  • Технический паспорт, Матрица доступа и Описание технологических процессов обработки и защиты информации в ГИС;
  • Программа и методики аттестационных испытаний ГИС;
  • Протоколы и Заключение по результатам аттестационных испытаний ГИС;
  • Аттестат соответствия.
Коммерческое предложение будет отправлено на Вашу почту после ввода данных
Скачать прайс