Контроль защищенности информационных систем
Одним из важных параметров для обеспечения устойчивости информационных систем к современным угрозам безопасности является поддержание заданных и неизменных показателей конфиденциальности, целостности и доступности данных. Немаловажную роль в данном процессе играет эффективно действующая подсистема информационной безопасности. Критерием эффективности выступает выполнение подсистемой всех заложенных и подтвержденных при аттестационных испытаниях функций. Фактически подсистема информационной безопасности, являясь вспомогательной по отношению к защищаемой с ее помощью информационной системе, нуждается в контроле и поддержании работоспособности, равно как и основная система.
В современных АСУ ТП, MES, ИСПДн, ГИС, АС системах основная информационная система и ее подсистема информационной безопасности функционируют по принципу сообщающихся сосудов.
Любая подсистема информационной безопасности нуждается в периодическом контроле своего целевого состояния и, как следствие, состояния защищенности основной (защищаемой) системы. Оценка целевых параметров подсистемы информационной безопасности называется контролем защищенности. Контроль защищенности необходимо выполнять периодически для аттестованных информационных систем (систем, имеющих аттестат, доказывающий защищенность информационной системы по требованиям безопасности конфиденциальной информации).
Для каких систем может быть актуален контроль защищенности:
В современных АСУ ТП, MES, ИСПДн, ГИС, АС системах основная информационная система и ее подсистема информационной безопасности функционируют по принципу сообщающихся сосудов.
Любая подсистема информационной безопасности нуждается в периодическом контроле своего целевого состояния и, как следствие, состояния защищенности основной (защищаемой) системы. Оценка целевых параметров подсистемы информационной безопасности называется контролем защищенности. Контроль защищенности необходимо выполнять периодически для аттестованных информационных систем (систем, имеющих аттестат, доказывающий защищенность информационной системы по требованиям безопасности конфиденциальной информации).
Для каких систем может быть актуален контроль защищенности:
- автоматизированные системы управления технологическими процессами (АСУ ТП);
- системы управления производственными процессами (MES);
- информационные системы персональных данных (ИСПДн);
- государственные информационные системы (ГИС);
- иные автоматизированных системы (АС);
- информационные системы, являющиеся объектами критической информационной инфраструктуры (ОКИИ).
- анализ и подтверждение заданного уровня защищенности систем, аттестованных по требованиям ФСТЭК для конфиденциальной информации.
- анализ текущего состояния системы информационной безопасности (включая программно-технические средства из состава информационной системы, средства защиты информации, организационно-распорядительные документы);
- проверка соответствия условий функционирования системы защиты информации условиям, заданным в аттестационных документах;
- формирование отчетных документов, содержащих в себе результат оценки соответствия защищенности и необходимые рекомендации.
- подтверждение соответствия защищенности информационных систем требованиям безопасности конфиденциальной информации.
- имеет лицензию ФСТЭК на техническую защиту конфиденциальной информации;
- обладает ресурсами для выполнения работ по информационной безопасности:
- создано и функционирует подразделение, укомплектованное сотрудниками с профильным образованием и опытом работы в области информационной безопасности;
- имеются необходимые технические условия для проведения работ: САПР, аттестованные по требованиям безопасности автоматизированное рабочее место и защищаемое помещение;
- налажены рабочие контакты с производителями телекоммуникационного оборудования и средств защиты информации.
- Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
- Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
- Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
- Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
- Приказ ФСТЭК России от 25.12.2017 №21 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Будьте в курсе новостей!