таблицами № 3 и № 4 приложения 2 к настоящему методическому документу.
4.4.2. Разработка системы защиты ГИС организуется обладателем информации (заказчиком). При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие
с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
Порядок разработки системы защиты информации ГИС регламентирован Приказом ФСТЭК России № 17. Данный порядок рекомендуется применять
и в отношении ИСПДн.
Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы
и в включает в себя:
проектирование системы защиты информации информационной системы. Результаты проектирования отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы). Проектная документация на информационную систему и (или) ее систему защиты информации подлежат согласованию с оператором информационной системы
в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования системы защиты информации информационной системы и не является заказчиком данной информационной системы.
Типовая форма оформления результатов проектирования системы защиты информации приведена в техническом проекте системы защиты приложения 4 к настоящему методическому документу;
разработку эксплуатационной документации на систему защиты информации информационной системы. Эксплуатационная документация на систему защиты информации информационной системы должна содержать описание структуры системы защиты информации информационной системы; состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств; правил эксплуатации системы защиты информации информационной системы.
Типовая формы оформления эксплуатационной документации на систему защиты информации приведена в приложения 5 к настоящему методическому документу;
макетирование и тестирование системы защиты информации информационной системы (при необходимости).
Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы
и ее функционированию.
Разработку проектной и эксплуатационной документации необходимо осуществлять с учетом ГОСТ 34.201, ГОСТ 34.601, ГОСТ Р 51583
и ГОСТ Р 51624, что значительно улучшает их качество и облегчает процесс
их приемки.
В ходе разработки проектной документации выбор предполагаемых
к применению средств защиты информации необходимо сверить с таблицей № 5, приложения 2 к настоящему методическому документу.
4.4.3. Внедрение системы защиты информации информационной системы осуществляется обладателем информации (заказчиком) в соответствии
с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:
установку и настройку средств защиты информации в информационной системе в соответствии с эксплуатационной документацией на них;
разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе
в ходе ее эксплуатации (далее – организационно-распорядительные документы
по защите информации), именно:
управление (администрирование) системой защиты информации информационной системы;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности информации (далее – инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты информации информационной системы;
контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе;
защиту информации при выводе из эксплуатации информационной системы или после принятия решения об окончании обработки информации;
внедрение организационных мер защиты информации, а именно:
реализацию правил разграничения доступа, регламентирующих права доступа субъектов доступа к объектам доступа, и введение ограничений на действия пользователей, а также на изменение условий эксплуатации, состава и конфигурации технических средств и программного обеспечения;
проверку полноты и детальности описания в организационно-распорядительных документах по защите информации действий пользователей
и администраторов информационной системы по реализации организационных мер защиты информации;
отработку действий должностных лиц и подразделений, ответственных за реализацию мер защиты информации;
предварительные испытания СЗИ ИС (проводятся с учетом ГОСТ 34.603
и включают проверку работоспособности СЗИ ИС, а также принятие решения
о возможности ее опытной эксплуатации);
опытную эксплуатацию СЗИ ИС (проводится с учетом ГОСТ 34.603
и включает проверку функционирования СЗИ ИС, в том числе реализованных мер защиты информации, а также готовность пользователей и администраторов
к эксплуатации СЗИ ИС);
анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению, в ходе которых проверяется отсутствие известных уязвимостей СЗИ, технических средств и программного обеспечения, правильность установки и настройки средств защиты СЗИ, технических средств
и программного обеспечения, корректность работы СЗИ при их взаимодействии
с техническими средствами и программным обеспечением (В случае выявления уязвимостей, приводящих к возникновению дополнительных угроз безопасности информации, проводится уточнение модели угроз безопасности информации
и при необходимости принимаются дополнительные меры защиты информации, направленные на устранение выявленных уязвимостей или исключающие возможность использования нарушителем выявленных уязвимостей.);
приемочные испытания системы защиты информации информационной системы (проводятся с учетом ГОСТ 34.603 и включают проверку выполнения требований к СЗИ ИС в соответствии с техническим заданием).
4.4.4. В соответствии с законодательством Российской Федерации обеспечение безопасности ПДн при их обработке в ИСПДн достигается
в частности оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн.
Оценка эффективности реализованных в рамках системы защиты ПДн мер проводится оператором самостоятельно или с привлечением организаций-лицензиатов. При этом форма оценки эффективности, а также форма
и содержание документов, разрабатываемых по результатам (в процессе) оценки, не установлены (указанная оценка проводится не реже одного раза в 3 года).
Таким образом, решение по форме оценки эффективности и документов, разрабатываемых по результатам (в процессе) оценки эффективности, принимается оператором самостоятельно и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер
по обеспечению безопасности ПДн.
Оценка эффективности реализованных мер по обеспечению безопасности ПДн при их обработке в ИСПДн может быть проведена в рамках работ
по аттестации ИСПДн по требованиям защиты информации.
В части ГИС, в которых обрабатываются ПДн, оценка эффективности принимаемых мер по обеспечению безопасности ПДн проводится в рамках обязательной аттестации ГИС по требованиям защиты информации.
Аттестация ГИС, в которых обрабатываются ПДн, проводится организациями-лицензиатами, имеющей лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации, в соответствии со схемой, выбираемой организацией-лицензиатом на этапе подготовки к аттестации.
Работы по аттестации проводятся на основании договора, заключаемого между организацией-лицензиатом и оператором.
Расходы по проведению работ по аттестации оплачивает оператор за счет финансовых средств, выделяемых на разработку и введение в действие информационных систем.
Организация-лицензиат, проводившая аттестационные испытания, несет ответственность за полноту и качество выполненных работ, а также
за сохранность полученных в ходе испытаний сведений ограниченного доступа.
Оператор несет ответственность за выполнение установленных условий функционирования ГИС ПДн, технологии обработки ПДн и требований
по обеспечению их безопасности.
В случае изменения условий и технологии обработки ПДн оператор обязан известить об этом организацию-лицензиата, проводившую аттестацию информационных систем. На основании этого организация-лицензиат принимает решение о необходимости проведения дополнительной проверки эффективности системы защиты ГИС ПДн.
Аттестация информационной системы включает в себя проведение комплекса организационных и технических мероприятий (аттестационных испытаний), в результате которых подтверждается соответствие системы защиты информации информационной системы требованиям безопасности информации.. Организацию и проведение аттестации целесообразно осуществлять
в соответствии с положениями национальных стандартов ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» и ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».
В общем виде аттестация информационной системы по требованиям безопасности информации включает в себя следующие этапы:
анализ исходных данных по аттестуемой информационной системе;
предварительное ознакомление с аттестуемой информационной системой;
проведение экспертного обследования информационной системы и анализ разработанной документации по обеспечению безопасности ПДн на соответствие требованиям нормативных и методических документов;
проведение комплексных аттестационных испытаний информационной системы в реальных условиях эксплуатации с использованием специальной аппаратуры контроля и программных средств контроля защищенности от несанкционированного доступа;
анализ результатов комплексных аттестационных испытаний, оформление
и утверждение заключения по результатам аттестации.
На этапе подготовки к аттестации оператором осуществляется подготовка
и оформление акта классификации информационной системе, модели угроз безопасности ПДн, обрабатываемых в информационной системе, а также других организационно-распорядительных документов, приведенных в Рекомендациях. В случае необходимости указанные выше документы могут быть разработаны организацией-лицензиатом на договорной основе. По результатам предварительного ознакомления с аттестуемой информационной системой организацией-лицензиатом составляется акт обследования ИС.
На основании акта обследования организацией-лицензиатом определяется объем предстоящих аттестационных испытаний, перечень необходимых технических и программных средств зашиты, виды специальной аппаратуры контроля и программных средств контроля защищенности от НСД, а также разрабатываются программа и методика аттестационных испытаний.
Программа и методика аттестационных испытаний должна обеспечивать проверку соответствия созданной системы защиты ПДн требованиям
по обеспечению безопасности ПДн при их обработке в информационной системе, а также в ней должны определяться порядок, содержание, сроки, условия, используемые средства контроля и методы испытаний для оценки характеристик и показателей, проверяемых при аттестации, соответствие их установленным требованиям. Программа и методика аттестационных испытаний утверждается организацией-лицензиатом и согласовывается с оператором.
В соответствии с утвержденной программой и методикой проводятся аттестационные испытания, по результатам которых оформляются протоколы аттестационных испытаний, подтверждающие полученные при испытаниях результаты и заключение по результатам аттестационных испытаний. Протоколы аттестационных испытаний подписываются экспертами, проводившими испытания. Заключение подписывается членами аттестационной комиссии, утверждается организацией-лицензиатом и доводится до оператора.
К заключению по результатам аттестационных испытаний прилагается описание системы защиты ПДн.
Типовая форма заключения приведена в приложении 6 к настоящему методическому документу.
После утверждения заключения организацией-лицензиатом оформляется
и выдается оператору аттестат соответствия (действует не более чем 3 года).
Типовая форма Аттестата соответствия приведена в приложении 7 к настоящему методическому документу.
Оператор обеспечивает неизменность условий функционирования информационной системы и технологии обработки ПДн, влияющих
на характеристики безопасности, в течение срока действия аттестата соответствия.
При несоответствии аттестуемой ИСПДн требованиям по обеспечению безопасности ПДн и невозможности оперативно устранить выявленные недостатки, организация-лицензиат принимает решение об отказе в выдаче аттестата соответствия. При этом может быть предложен срок повторной аттестации при условии устранения недостатков.
Повторная аттестация информационной системы также осуществляется
в случае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы или уровня значимости ПДн. При увеличении состава угроз безопасности информации или изменения проектных решений, реализованных при создании системы защиты информации информационной системы, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.
Ввод в действие ГИС (ИСПДн) осуществляется в соответствии
с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия (положительных результатах оценки эффективности реализованных в рамках системы защиты персональных данных мер
по обеспечению безопасности персональных данных).
4.4.5. Обеспечение защиты информации в ходе эксплуатации информационной системы осуществляется оператором в соответствии
с эксплуатационной документацией на систему защиты информации
и организационно-распорядительными документами по защите информации и
в том числе включает:
управление (администрирование) системой защиты информации информационной системы;
выявление инцидентов и реагирование на них;
управление конфигурацией информационной системы и ее системы защиты информации;
контроль (мониторинг) за обеспечением уровня защищенности информации, содержащейся в информационной системе.
4.4.6. Обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения
об окончании обработки информации осуществляется оператором в соответствии с эксплуатационной документацией на систему защиты информации информационной системы и организационно-распорядительными документами
по защите информации и включает:
архивирование информации, содержащейся в информационной системе;
уничтожение (стирание) данных и остаточной информации с машинных носителей информации и (или) уничтожение машинных носителей информации.
Архивирование информации, содержащейся в информационной системе, должно осуществляться при необходимости дальнейшего использования информации в деятельности оператора.
Уничтожение (стирание) данных и остаточной информации с машинных носителей информации производится при необходимости передачи машинного носителя информации другому пользователю информационной системы или
в сторонние организации для ремонта, технического обслуживания или дальнейшего уничтожения.
При выводе из эксплуатации машинных носителей информации,
на которых осуществлялись хранение и обработка информации, осуществляется физическое уничтожение этих машинных носителей информации.
|
