Выбор мер защиты информации и разработка ТЗ на проектирование СЗИ государственных ИС

Деятельности любой организации свойственен риск, связанный с нарушением безопасности информации, что является объективной реальностью, и понизить этот риск можно лишь до определенного остаточного уровня.

Снижение риска организации, связанного с нарушением безопасности информации, обеспечивается путем надлежащего выбора, повышения полноты и качества применения соответствующих мер защиты информации. Согласно внесенному в Госдуму законопроекту, требования Приказа ФСТЭК России от 11.02.2013 г. № 17 становятся обязательными не только для госорганов, но и для всех ФГУП, коммерческих ЦОД, и других организаций, которым поручена обработка и хранение информации, обладателем которой выступают государственные и муниципальные органы. Выбор мер защиты информации требует глубокого знания нормативной базы, правильной оценки угроз безопасности информации (Модели угроз и Модели нарушителя) и определения требуемого уровня защищенности ИС организации.

НТЦ «Вулкан» выполняет в интересах заказчика разработку рекомендаций по выбору мер защиты информации в соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 г. № 17 и Методического документа «Меры защиты информации в государственных информационных системах», утвержденного ФСТЭК России 11.02.1014 г. (Для выполнения работ необходимо наличие в организации Модели угроз и Модели нарушителя, а также определение класса защищенности ИС, обрабатывающих государственные и муниципальные информационные ресурсы).

Состав работ

  • Идентификация объекта информатизации.
  • Выбор базового состава мер защиты информации согласно Приказа ФСТЭК России от 11.02.2013 г. № 17 и Методического документа «Меры защиты информации в государственных информационных системах».
  • Адаптация выбранного состава мер защиты информации с учетом структурно-функциональных характеристик ИС, применяемых информационных технологий, особенностей функционирования ИС.
  • Уточнение выбранного состава мер защиты информации с учетом Модели угроз и Модели нарушителей.
  • Дополнение адаптированного состава мер защиты информации мерами, установленными иными нормативными актами в области обеспечения безопасности и защиты информации (если актуально для заказчика).
  • Формирование требований к защите информации, содержащейся в ИС.
  • Формирование требований к системе защиты информации ИС, обрабатывающей государственные и муниципальные информационные ресурсы, предполагает разработку технического задания на создание системы защиты информации ИС, которое включает:
    • цель и задачи обеспечения защиты информации в ИС обрабатывающей государственные и муниципальные информационные ресурсы;
    • класс защищенности ИС, обрабатывающей государственные и муниципальные информационные ресурсы;
    • перечень объектов защиты ИС, обрабатывающей государственные и муниципальные информационные ресурсы;
    • требования к применяемым мерам и средствам защиты информации;
    • требования к определению угроз безопасности информации и оценке рисков;
    • стадии (этапы работ) создания системы защиты ИС, обрабатывающей государственные и муниципальные информационные ресурсы;
    • требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
    • требования к защите средств и систем, обеспечивающих функционирование ИС, обрабатывающей государственные и муниципальные информационные ресурсы, (обеспечивающей инфраструктуре);
    • требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями.

При идентификации объектов информатизации, осуществляется:

  • Анализ целей создания ИС, обрабатывающих государственные и муниципальные информационные ресурсы, и решаемых ею задач.
  • Определение информации, подлежащей обработке в ИС.
  • Определение целей и задач защиты информации в ИС.
  • Определение обладателя информации и оператора ИС обрабатывающей государственные и муниципальные информационные ресурсы.

Работы по выбору базового состава мер защиты информации выполняются в строгом соответствии с рекомендациями Методического документа «Меры защиты информации в государственных информационных системах». Требования к системе защиты информации ИС определяются в зависимости от выбранного класса защищенности ИС и угроз безопасности информации, включенных в Модель угроз. Полученный в результате работы базовый состав организационных и технических мер защиты информации охватывает основные направления защиты информации в ИС, обрабатывающей государственные и муниципальные информационные ресурсы, в том числе:

  • Идентификацию и аутентификацию субъектов доступа и объектов доступа.
  • Управление доступом субъектов доступа к объектам доступа.
  • Ограничение программной среды.
  • Защиту машинных носителей информации.
  • Регистрацию событий безопасности.
  • Антивирусную защиту.
  • Обнаружение (предотвращение) вторжений.
  • Контроль (анализ) защищенности информации.
  • Целостность информационной системы и информации.
  • Доступность информации.
  • Защиту среды виртуализации.
  • Защиту технических средств.
  • Защиту информационной системы, ее средств, систем связи и передачи данных.

Преимущества

Полученный состав мер защиты информации позволяет сформировать Техническое задание на создание системы защиты информации ИС, обрабатывающей государственные и муниципальные информационные ресурсы, с учетом требований ГОСТ и методических документов ФСТЭК России.