Услуги и решения

Защита информации в государственных информационных системах (ГИС)

МАСКОМ Восток оказывает услуги по обеспечению защиты информации, содержащейся в государственных информационных системах (ГИС).

Государственные информационные системы (ГИС) — это федеральные информационные системы и региональные информационные системы, созданные на основании соответствующих федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов.

Муниципальные информационные системы (МИС) —информационные системы, созданные на основании решений органов местного самоуправления.

Информация в ГИС и МИС должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования

Нормативная база

Необходимость защиты информации, содержащейся в ГИС, устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия  правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16).

Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах (МИС).

Информация должна быть защищена от несанкционированного доступа, а также от специальных воздействий в целях ее добывания, уничтожения, искажения или блокирования доступа к ней.

Мероприятия по защите информации в ГИС и МИС

Мероприятия, проводимые для обеспечения защиты информации, содержащейся в информационной системе:

  • формирование требований к защите информации, содержащейся в информационной системе;
  • разработка системы защиты информации информационной системы;
  • внедрение системы защиты информации информационной системы;
  • аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие;
  • обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
  • обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Формирование требований к защите информации включает:

  • принятие решения о необходимости защиты информации;
  • классификацию ГИС по требованиям защиты информации;
  • определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
  • определение требований к СЗИ.

Этапы создания системы защиты информации в ГИС и МИС

Создание системы защиты информации в ГИС и МИС можно разделить на последовательные этапы:

  • аудит информационной системы;
  • классификация информационной системы;
  • моделирование угроз безопасности;
  • проектирование и разработка системы защиты информации;
  • реализация проекта системы защиты информации;
  • мероприятие по контролю соответствия системы защиты информации требованиям законодательства в сфере защиты информации (персональных данных).

Первостепенной задачей при создании системы защиты информации и контроле ее функционирования является определение класса информационной системы, так как выбранный класс устанавливает набор требований к системе защиты информации.

Классификация необходима для более детальной, дифференцированной разработки требований по защите информации с учетом специфических особенностей этих систем. Требование к классу защищенности изначально включается в техническое задание на создание информационной системы или системы защиты информации.

Для определения класса защищенности ГИС необходимы два параметра – уровень значимости информации и масштаб ГИС.

Классификация ГИС по четырем установленным классам защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Уровень

значимости

информации

Масштаб информационной системы
Федеральный Региональный Объектовый
УЗ 1 К1 К1 К1
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3
УЗ 4 К3 К3 К4

Уровень значимости информации определяется степенью возможного ущерба от нарушения конфиденциальности (неправомерные доступ, копирование, предоставление или распространение), целостности (неправомерные уничтожение или модифицирование) или доступности (неправомерное блокирование) информации.

Актуальные угрозы безопасности информации определяются с учетом структурно-функциональных характеристик ГИС по результатам оценки возможностей нарушителей, анализа возможных уязвимостей, способов реализации угроз и последствий.

Разработка СЗИ осуществляется в соответствии с ГОСТ и включает:

  • проектирование СЗИ;
  • разработку эксплуатационной документации;
  • макетирование и тестирование СЗИ (при необходимости).

В соответствии с Требованиями обеспечивается, чтобы СЗИ не препятствовала достижению целей создания ГИС и ее функционированию.

Целью создания СЗИ является выполнение обязанностей Заказчика по применению правовых, организационных и технических мер обеспечения безопасности информации в соответствии с ФЗ-149 и принятыми в соответствии с ним нормативными правовыми актами.

Внедрение СЗИ осуществляется в соответствии с разработанной документацией и включает:

  • установку и настройку средств защиты информации;
  • разработку организационно-распорядительных документов, определяющих правила и процедуры обеспечения защиты в ходе эксплуатации ГИС;
  • внедрение организационных мер защиты информации;
  • предварительные испытания СЗИ;
  • опытную эксплуатацию СЗИ;
  • анализ уязвимостей ГИС и принятие мер по их устранению;
  • приемочные испытания СЗИ.

Анализ уязвимостей проводится в целях оценки возможности преодоления нарушителем СЗИ и предотвращения реализации угроз безопасности информации.

В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.

Аттестация ГИС

Для государственных информационных систем мероприятием по контролю соответствия системы защиты информации требованиям является аттестация, регламентированная «Положением по аттестации объектов информатизации», рядом ГОСТов и руководящими документами ФСТЭК.

Аттестация ГИС включает проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие СЗИ установленным Требованиям безопасности.

По результатам аттестационных испытаний оформляются протоколы, заключение о соответствии и аттестат соответствия в случае положительных результатов.

Допускается аттестация на основе результатов аттестационных испытаний выделенного набора сегментов ГИС, реализующих полную технологию обработки информации.

Ввод в действие ГИС осуществляется при наличии аттестата соответствия.

Мы успешно реализуем весь комплекс работ по защите информации в ГИС в соответствии с требованиями нормативных правовых актов:

  • обследование и классификация ГИС по требованиям защиты информации;
  • разработка частной модели актуальных угроз нарушения безопасности информации в ГИС;
  • выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации в ГИС;
  • разработка технического задания и проектирование систем защиты информации;
  • разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
  • поставка и внедрение сертифицированных технических средств защиты информации;
  • обучение персонала в авторизованных учебных центрах;
  • оценка соответствия выполнения требований к защите информации в форме аттестации ГИС;
  • техническое сопровождение и сервисное обслуживание СЗИ.

При выборе и реализации необходимых мер защиты информации мы руководствуемся требованиями использования наиболее эффективных решений, в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Выполненный проект по Аттестации ГИС Камчатского края «Сетевой город»

Ваше сообщение
успешно отправлено!
Мы свяжемся с вами в ближайшее время.
Ваша регистрация
прошла успешно!
В ближайшее врем на вашу почту будет
направлено письмо.