+7 (812) 33-33-121
Mail

QR-код

Проектирование и модернизация систем защиты информации

Увеличение масштаба информатизации промышленных производств и общее расширение автоматизированных сервисов является очевидным трендом и приводит к необходимости обеспечивать устойчивость конкретных информационных систем в общей информационной среде. Одним из способов повышения устойчивости информационных систем является внедрение в среду основной системы комплекса технических средств и организационных мер, обеспечивающих выполнение этой системой заданных функций в условиях общей глобальной информационной среды. Фактически для обеспечения нормального функционирования любой информационной системы необходимо предусматривать дополнительный компонент - подсистему, обеспечивающую информационную безопасность.
Подсистема информационной безопасности представляет собой комплекс организационных мер, внешних программно-аппаратных средств защиты информации, включая при необходимости средства криптографической защиты информации, и специальных решений в области сетевой архитектуры, направленных на исключение или минимизацию актуальных угроз безопасности.

Процесс создания подсистемы информационной безопасности строится на основе следующих итераций:
  • классификация (категорирование) информационной системы – необходима для определения требований к уровню защищенности, нормативной базы для построения будущей системы защиты информации;
  • определение угроз безопасности информации – для уточнения перечня необходимых функций защиты информации и определения технических параметров будущей системы защиты информации;
  • проектирование подсистемы информационной безопасности – разработка комплекса решений, необходимых для конкретной информационной системы, с учетом ее функций, особенностей, технических и архитектурных решений, экономических характеристик и имеющихся ограничений.
Для каких систем может быть актуально проектирование подсистемы защиты информации:
  • автоматизированные системы управления технологическими процессами (АСУ ТП);
  • системы управления производственными процессами (MES);
  • информационные системы персональных данных (ИСПДн);
  • государственные информационные системы (ГИС);
  • иные автоматизированные системы (АС);
  • информационные системы, являющиеся объектами критической информационной инфраструктуры (ОКИИ).
Цель проектирования подсистемы информационной безопасности:
  • обеспечение функционирования защищаемой информационной системы в заданном режиме;
  • противодействие нарушению устойчивости защищаемой информационной системы, защита от внешних и внутренних негативных воздействий в режиме реального времени;
  • доработка, модернизация, масштабирование компонентов подсистемы информационной безопасности в течение жизненного цикла (для совершенствования существующей системы и/или в случае изменения исходных данных, технологического процесса, функционала, архитектуры, технологии защищаемой системы);
  • реализация заданных нормативных требований по информационной безопасности, в том числе для объектов КИИ.
Процесс создания подсистемы информационной безопасности:
  • классификация (категорирование) информационной системы – для определения необходимых требований к уровню защищенности, определения нормативной базы для построения будущей системы защиты информации);
  • определение угроз безопасности информации – для уточнения перечня необходимых функций защиты информации и определения технических параметров будущей системы защиты информации;
  • анализ текущего состояния системы информационной безопасности (включая программно-технические средства из состава информационной системы, средства защиты информации, организационно-распорядительные документы) – если подсистема информационной безопасности существует и ей необходима модернизация;
  • проектирование подсистемы информационной безопасности – работы по созданию комплекса решений, необходимых для конкретной защищаемой системы, с учетом ее функций, особенностей, технических решений, архитектуры, экономических характеристик и имеющихся ограничений.
Целевой результат создания подсистемы информационной безопасности:
  • обеспечение защищенности информационной системы по требованиям безопасности информации за счет создания и развертывания комплексной подсистемы защиты информации, состоящей из программно-аппаратных средств защиты информации, комплекса организационных мер и иных необходимых решений и компонентов.
Компания «Сумма технологий» обладает необходимыми разрешениями, условиями и опытом в проведении работ по проектированию и модернизации подсистем защиты конфиденциальной информации информационных систем по требованиям безопасности конфиденциальной информации
  1. имеет лицензию ФСТЭК на техническую защиту конфиденциальной информации;
  2. обладает ресурсами для выполнения работ по информационной безопасности:
  • создано и функционирует подразделение, укомплектованное сотрудниками с профильным образованием и опытом работы в области информационной безопасности;
  • имеются необходимые технические условия для проведения работ: САПР, аттестованные по требованиям безопасности автоматизированное рабочее место и защищаемое помещение;
  • налажены рабочие контакты с производителями телекоммуникационного оборудования и средств защиты информации.
Основания для создания подсистемы информационной безопасности:
  • Федеральный закон от 27.07.2006 «Об информации, информационных технологиях и о защите информации» в актуальной редакции;
  • Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
  • Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
  • Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
  • Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
  • Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
  • Приказ ФСТЭК России от 25.12.2017 №21 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
  • Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».