Защита государственных информационных систем (ГИС)

Основные законодательные документы в области защиты государственных информационных систем (ГИС):

• Федеральный закон от 27.07.2006 г. № 149 «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 27.07.2006 г. № 152 «О персональных данных»;
• Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• Приказ ФСТЭК России от 15.02.2017 г. № 27 «О внесении изменений в Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденные приказом Федеральной службы по техническому и экспортному контролю от 11.02.2013 г. № 17».

В рамках оказываемых услуг выполняются следующие работы:

1. Проведение обследования информационной системы;
2. Проведение классификации ГИС по требованиям защиты информации;
3. Разработка частной модели актуальных угроз нарушения безопасности в ГИС;
4. Разработка технического задания на создание системы защиты;
5. Проектирование системы защиты в составе следующих решений в зависимости от выбранных технических мер:
   • Идентификация и аутентификация субъектов доступа и объектов доступа;
   • Управление доступом субъектов доступа к объектам доступа;
   • Ограничение программной среды;
   • Защита машинных носителей информации;
   • Регистрация событий безопасности;
   • Антивирусная защита;
   • Обнаружение вторжений;
   • Контроль (анализ) защищенности информации;
   • Обеспечение целостности информационной системы и информации;
   • Обеспечение доступности информации;
   • Защита среды виртуализации;
   • Защита технических средств;
   • Защита информационной системы, ее средств, систем связи и передачи данных.
6. Выбор и обоснование организационных и технических мер, необходимых для защиты ГИС;
7. Разработка организационно-распорядительной документации;
8. Поставка, внедрение и сервисное обслуживание технических средств защиты;
9. Инструктаж, обучение персонала и повышение уровня грамотности в сфере информационной безопасности;
10. Разработка программы и методики аттестационных испытаний;
11. Проведение аттестационных испытаний;
12. Введение информационной системы в эксплуатацию.

В рамках оказываемых услуг Заказчик получает следующие отчетные документы:

1. Перечень и характеристики ГИС и данных, подлежащих защите;
2. Проекты приказов:
   • о назначении должностных лиц;
   • о границе контролируемой зоны;
   • об утверждении перечня конфиденциальной информации;
   • об описании технологического процесса;
   • об утверждении положения по обработке конфиденциальной информации;
   • об утверждении положения по организации и ведению работ по обеспечению безопасности конфиденциальных данных.
3. Инструкции для должностных лиц;
4. Инструкция по допуску в помещения;
5. Инструкция по эксплуатации средств защиты;
6. Журналы учета;
7. Акт установки средств защиты;
8. Частная модель актуальных угроз безопасности информационной системы;
9. Техническое задание на создание системы защиты в ГИС;
10. Технический паспорт информационной системы;
11. Программа аттестационных испытаний на соответствие требованиям по безопасности информации;
12. Методика аттестационных испытаний на соответствие требованиям по безопасности информации;
13. Протокол аттестационных испытаний на соответствие требованиям по защите информации от несанкционированного доступа;
14. Заключение по результатам аттестационных испытаний на соответствие требованиям по безопасности информации;
15. Аттестат соответствия требованиям по безопасности информации;
16. Проект Приказа о вводе в эксплуатацию.

При проектировании системы защиты, наши специалисты оптимизируют затраты на внедрение системы защиты в рамках требований законодательства.

Результатом работ по защите ГИС является полное соответствие информационной системы требованиям законодательства по защите информации.