Руководство предназначено для администраторов изделия "Программноаппаратный комплекс квалифицированной электронной подписи "


Download 367.52 Kb.
bet10/12
Sana03.05.2023
Hajmi367.52 Kb.
#1423645
TuriРуководство
1   ...   4   5   6   7   8   9   10   11   12
Bog'liq
rodichkin krsach

Это ГИС. Что делать?


Приказ ФСТЭК 17 предписывает проведение следующих мероприятий по защите информации к операторам ГИС:

  • формирование требований к защите информации, содержащейся в информационной системе;

  • разработка системы защиты информации информационной системы;

  • внедрение системы защиты информации информационной системы;

  • аттестация информационной системы по требованиям защиты информации (далее — аттестация ИСПДн) и ввод ее в действие;

  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;

  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Организации, которые подключены к государственным информационным системам, должны выполнить следующие действия:

  1. Провести классификацию ИС и определить угрозы безопасности.

Классификация ИС проводится в соответствии с пунктом 14.2 17 приказа ФСТЭК.

    • Угрозы безопасности информации определяются по результатам

    • оценки возможностей нарушителей;

    • анализа возможных уязвимостей информационной системы;

    • анализа (или моделирования) возможных способов реализации угроз безопасности информации;

    • оценки последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).

  1. Сформировать требования к системе обработки информации.

Требования к системе должны содержать:

    • цель и задачи обеспечения защиты информации в информационной системе;

    • класс защищенности информационной системы;

    • перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;

    • перечень объектов защиты информационной системы;

    • требования к мерам и средствам защиты информации, применяемым в информационной системе.

  1. Разработать систему защиты информации информационной системы.

Для этого необходимо провести:

    • проектирование системы защиты информации информационной системы;

    • разработку эксплуатационной документации на систему защиты информации информационной системы;

    • макетирование и тестирование системы защиты информации информационной системы.

  1. Провести внедрение системы защиты информации информационной системы, а именно:

    • установку и настройку средств защиты информации в информационной системе;

    • разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее — организационно-распорядительные документы по защите информации);

    • внедрение организационных мер защиты информации;

    • предварительные испытания системы защиты информации информационной системы;

    • опытную эксплуатацию системы защиты информации информационной системы;

    • проверку построенной системы защиты информации на уязвимость;

    • приемочные испытания системы защиты информации информационной системы.

  1. Аттестовать ИСПДн:

    • провести аттестационные испытания;

    • получить на руки аттестат соответствия.

Существует распространенное мнение, что для прохождения проверки контролирующих органов достаточно наличия организационно-распорядительных документов, поэтому операторы ГИС зачастую пренебрегают внедрением средств защиты. Действительно, Роскомнадзор уделяет пристальное внимание именно документам и реализации организационно-распорядительных мер по защите ПДн в организации. Однако в случае возникновения вопросов к проверке могут быть привлечены специалисты из ФСТЭК и ФСБ. При этом ФСТЭК очень внимательно смотрит на состав технической защиты информации и проверяет правильность составления модели угроз, а ФСБ проверяет реализацию требований, касающихся использования средств криптографической защиты информации.

Download 367.52 Kb.

Do'stlaringiz bilan baham:
1   ...   4   5   6   7   8   9   10   11   12




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling