Руководство предназначено для администраторов изделия "Программноаппаратный комплекс квалифицированной электронной подписи "
Download 367.52 Kb.
|
rodichkin krsach
Это ГИС. Что делать?Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС: формирование требований к защите информации, содержащейся в информационной системе; разработка системы защиты информации информационной системы; внедрение системы защиты информации информационной системы; аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие; обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы; обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации. Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия: Провести классификацию ИС и определить угрозы безопасности. Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК. Угрозы безопасности информации определяются по результатам оценки возможностей нарушителей; анализа возможных уязвимостей информационной системы; анализа (или моделирования) возможных способов реализации угроз безопасности информации; оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности). Сформировать требования к системе обработки информации. Требования к системе должны содержать: цель и задачи обеспечения защиты информации в информационной системе; класс защищенности информационной системы; перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система; перечень объектов защиты информационной системы; требования к мерам и средствам защиты информации, применяемым в информационной системе. Разработать систему защиты информации информационной системы. Для этого необходимо провести: проектирование системы защиты информации информационной системы; разработку эксплуатационной документации на систему защиты информации информационной системы; макетирование и тестирование системы защиты информации информационной системы. Провести внедрение системы защиты информации информационной системы, а именно: установку и настройку средств защиты информации в информационной системе; разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации); внедрение организационных мер защиты информации; предварительные испытания системы защиты информации информационной системы; опытную эксплуатацию системы защиты информации информационной системы; проверку построенной системы защиты информации на уязвимость; приемочные испытания системы защиты информации информационной системы. Аттестовать ИСПДн: провести аттестационные испытания; получить на руки аттестат соответствия. Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации. Download 367.52 Kb. Do'stlaringiz bilan baham: 
|