Проектирование и модернизация систем защиты информации
Увеличение масштаба информатизации промышленных производств и общее расширение автоматизированных сервисов является очевидным трендом и приводит к необходимости обеспечивать устойчивость конкретных информационных систем в общей информационной среде. Одним из способов повышения устойчивости информационных систем является внедрение в среду основной системы комплекса технических средств и организационных мер, обеспечивающих выполнение этой системой заданных функций в условиях общей глобальной информационной среды. Фактически для обеспечения нормального функционирования любой информационной системы необходимо предусматривать дополнительный компонент - подсистему, обеспечивающую информационную безопасность.
Подсистема информационной безопасности представляет собой комплекс организационных мер, внешних программно-аппаратных средств защиты информации, включая при необходимости средства криптографической защиты информации, и специальных решений в области сетевой архитектуры, направленных на исключение или минимизацию актуальных угроз безопасности.
Процесс создания подсистемы информационной безопасности строится на основе следующих итераций:
Подсистема информационной безопасности представляет собой комплекс организационных мер, внешних программно-аппаратных средств защиты информации, включая при необходимости средства криптографической защиты информации, и специальных решений в области сетевой архитектуры, направленных на исключение или минимизацию актуальных угроз безопасности.
Процесс создания подсистемы информационной безопасности строится на основе следующих итераций:
- классификация (категорирование) информационной системы – необходима для определения требований к уровню защищенности, нормативной базы для построения будущей системы защиты информации;
- определение угроз безопасности информации – для уточнения перечня необходимых функций защиты информации и определения технических параметров будущей системы защиты информации;
- проектирование подсистемы информационной безопасности – разработка комплекса решений, необходимых для конкретной информационной системы, с учетом ее функций, особенностей, технических и архитектурных решений, экономических характеристик и имеющихся ограничений.
- автоматизированные системы управления технологическими процессами (АСУ ТП);
- системы управления производственными процессами (MES);
- информационные системы персональных данных (ИСПДн);
- государственные информационные системы (ГИС);
- иные автоматизированные системы (АС);
- информационные системы, являющиеся объектами критической информационной инфраструктуры (ОКИИ).
- обеспечение функционирования защищаемой информационной системы в заданном режиме;
- противодействие нарушению устойчивости защищаемой информационной системы, защита от внешних и внутренних негативных воздействий в режиме реального времени;
- доработка, модернизация, масштабирование компонентов подсистемы информационной безопасности в течение жизненного цикла (для совершенствования существующей системы и/или в случае изменения исходных данных, технологического процесса, функционала, архитектуры, технологии защищаемой системы);
- реализация заданных нормативных требований по информационной безопасности, в том числе для объектов КИИ.
- классификация (категорирование) информационной системы – для определения необходимых требований к уровню защищенности, определения нормативной базы для построения будущей системы защиты информации);
- определение угроз безопасности информации – для уточнения перечня необходимых функций защиты информации и определения технических параметров будущей системы защиты информации;
- анализ текущего состояния системы информационной безопасности (включая программно-технические средства из состава информационной системы, средства защиты информации, организационно-распорядительные документы) – если подсистема информационной безопасности существует и ей необходима модернизация;
- проектирование подсистемы информационной безопасности – работы по созданию комплекса решений, необходимых для конкретной защищаемой системы, с учетом ее функций, особенностей, технических решений, архитектуры, экономических характеристик и имеющихся ограничений.
- обеспечение защищенности информационной системы по требованиям безопасности информации за счет создания и развертывания комплексной подсистемы защиты информации, состоящей из программно-аппаратных средств защиты информации, комплекса организационных мер и иных необходимых решений и компонентов.
- имеет лицензию ФСТЭК на техническую защиту конфиденциальной информации;
- обладает ресурсами для выполнения работ по информационной безопасности:
- создано и функционирует подразделение, укомплектованное сотрудниками с профильным образованием и опытом работы в области информационной безопасности;
- имеются необходимые технические условия для проведения работ: САПР, аттестованные по требованиям безопасности автоматизированное рабочее место и защищаемое помещение;
- налажены рабочие контакты с производителями телекоммуникационного оборудования и средств защиты информации.
- Федеральный закон от 27.07.2006 «Об информации, информационных технологиях и о защите информации» в актуальной редакции;
- Федеральный закон от 26.07.2017 №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
- Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;
- Постановление Правительства Российской Федерации от 08.02.2018 №127 «Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений»;
- Приказ ФСТЭК России от 21.12.2017 №235 «Об утверждении требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования»;
- Приказ ФСТЭК России от 25.12.2017 №239 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»;
- Приказ ФСТЭК России от 25.12.2017 №21 «Об утверждении требований к обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»;
- Приказ ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
Будьте в курсе новостей!