Защита информации в ГИС
Государственные информационные системы (ГИС) — это федеральные и региональные информационные системы, созданные на основании соответствующих федеральных законов, законов субъектов Российской Федерации, правовых актов государственных органов.
Согласно п.5 статьи 16, федерального закона от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации" при создании и эксплуатации ГИС должна быть обеспечена защита информации от несанкционированного доступа, а также от действий, направленных на её искажение, добывание, уничтожение или блокирование, система должна соответствовать требованиям безопасности информации ФСТЭК России.
Согласно п.5 статьи 16, федерального закона от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации" при создании и эксплуатации ГИС должна быть обеспечена защита информации от несанкционированного доступа, а также от действий, направленных на её искажение, добывание, уничтожение или блокирование, система должна соответствовать требованиям безопасности информации ФСТЭК России.
Комплекс работ по защите информации в ГИС в соответствии с требованиями нормативных правовых актов включает в себя:
-
обследование ГИС и её системы защиты информации (СЗИ) на соответствие требованиям регуляторов в сфере информационной безопасности; -
определение угроз безопасности информации в ГИС с разработкой модели угроз безопасности информации; -
разработку требований к СЗИ с разработкой технического задания на создание либо модернизацию СЗИ; -
проектирование СЗИ, включающее разработку организационных и технических мер по обеспечению безопасности информации в ГИС в соответствии с требованиями ФСТЭК и ФСБ России, в рамках которой осуществляется выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз безопасности информации; -
разработку проектов организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации в СЗИ и её эксплуатации; -
поставку и внедрение сертифицированных средств защиты информации; -
сканирование ГИС на наличие уязвимостей с подготовкой отчётной документации по результатам анализа; -
проведение аттестационных испытаний СЗИ согласно приказу ФСТЭК №77 на соответствие следующим требованиям:- Приказа ФСТЭК №17;
- Приказа ФСТЭК №21 (в случае обработки персональных данных в ГИС);
-
анализ результатов экспертного обследования и комплексных испытаний и утверждение заключения по результатам аттестации, выдачу аттестата соответствия при положительном заключении.
При выборе и реализации в ГИС мер защиты информации ООО "МАСКОМ-Техлайн" использует наиболее эффективные решения в соответствии с индивидуальными особенностями деятельности заказчика и его ИТ-инфраструктуры.
В случае, если в ГИС соблюдены не все требования по обеспечению безопасности информации, заказчику предлагаются рекомендации по приведению системы защиты информации в соответствие с требованиями законодательства.
К таким рекомендациям относятся:
Контроль защиты информации на аттестованном объекте информатизации
На основании Приказа ФСТЭК России №77 оператор аттестованного объекта информатизации обязан не реже одного раза в два года представлять во ФСТЭК России протоколы контроля. Если протоколы контроля защиты информации не будут представлены вовремя, ФСТЭК России может приостановить действие аттестата соответствия.
В случае, если в ГИС соблюдены не все требования по обеспечению безопасности информации, заказчику предлагаются рекомендации по приведению системы защиты информации в соответствие с требованиями законодательства.
К таким рекомендациям относятся:
- обновление ПО в случае обнаружения уязвимостей;
- разработка и актуализация организационно-распорядительной документации;
- приведение настроек средств защиты информации в соответствие с требованиями законодательства в сфере защиты информации;
- настройка сетевого оборудования и организация каналов связи в соответствии с требованиями безопасности.
Контроль защиты информации на аттестованном объекте информатизации
На основании Приказа ФСТЭК России №77 оператор аттестованного объекта информатизации обязан не реже одного раза в два года представлять во ФСТЭК России протоколы контроля. Если протоколы контроля защиты информации не будут представлены вовремя, ФСТЭК России может приостановить действие аттестата соответствия.
ООО "МАСКОМ-Техлайн" обладает необходимыми компетенциями для проведения экспертного обследования объекта информатизации заказчика на соответствие требованиям по защите информации и вправе выдать протокол контроля защиты при положительном заключении.
По итогам проведённых работ заказчик приобретает систему защиты информации, соответствующую требованиям законодательства Российской Федерации, защиту от возможных угроз, а также уверенность в готовности к проверке контролирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор).
