г. Москва, ул. Мишина, 56, стр. 2, этаж 2.
Звонок бесплатный
Техподдержка 24/7

Создание защищенных информационных систем

АО «ИнфоТеКС Интернет Траст» обладает значительным опытом построения защищенных информационных систем, полностью соответствующих современным требованиям, предъявляемым к системам защиты информации, включая защиту и обеспечение безопасности персональных данных.

В ходе выполнения работ по созданию защищенных информационных систем АО «ИнфоТеКС Интернет Траст» опирается на положения международных и отечественных стандартов в области защиты информации.

Офисы по всей России
Круглосуточная поддержка
Программа для работы с электронной подписью ViPNet CSP – бесплатно
Запрос на консультацию по информационной безопасности
Комментарий

Проще говоря: кто владеет достоверной и полной информацией — тот владеет ситуацией, а кто владеет ситуацией — тот способен управлять ею в своих интересах, а кто способен управлять — тот способен побеждать. Вот простая формула успеха любой деятельности.

В современных условиях проблема защиты информации становится весьма актуальной для организаций любой формы собственности.

Широкомасштабное использование средств вычислительной техники и телекоммуникационных систем в рамках локальной или территориально-распределенной информационной системы, переход на этой основе к безбумажной технологии, увеличение объемов обрабатываемой информации и расширение круга пользователей — все это приводит к качественно новым возможностям по реализации несанкционированного доступа к ресурсам и данным информационной системы, к их высокой уязвимости.

Защищенная информационная система должна соответствовать трем базовым требованиям:

  • автоматизация процессов обработки защищаемой информации, включая все аспекты, связанные с обеспечением безопасности информации;
  • успешное противостояние угрозам безопасности информации;
  • соответствовие требованиям и критериям, определяемым организационно-распорядительными и иными документами политики информационной безопасности, включая требования нормативно-правовых актов и руководящих документов полномочных органов исполнительной власти Российской Федерации.

АО «ИнфоТеКС Интернет Траст» обладает значительным опытом построения защищенных информационных систем, полностью соответствующих современным требованиям, предъявляемым к системам защиты информации, включая защиту и обеспечение безопасности персональных данных.

В ходе выполнения работ по созданию защищенных информационных систем АО «ИнфоТеКС Интернет Траст» опирается на положения международных и отчественных стандартов в области защиты информации.

Базовый состав услуг, предоставляемых в ходе выполнения работ по созданию защищенной информационной системы, включает в себя:

  1. Формирование требований к защите обрабатываемой информации .
  2. Проектирование системы защиты информации .
  3. Внедрение системы защиты информации на объектах Заказчика .
  4. Выполнение работ в соответствии с гарантийными обязательствами .

Формирование требований к системе защиты информации

Формирование требований к системе защиты информации включает в себя:

  • обследование информационной системы Заказчика;
  • разработку технического задания на создание системы защиты информации.
  1. Обследование информационной системы Заказчика.
    При принятии решения о создании защищенной информационной системы организации необходимо определить основные требования, подлежащие реализации. Такие требования устанавливаются по результатам комплексного обследования информационной системы.
    АО «ИнфоТеКС Интернет Траст» предлагает выполнить следующий комплекс работ по обследованию информационной системы:

    1. Сбор исходных данных об информационной системе:

      • анализ данных о назначении, выполняемых функциях и условиях функционирования информационной системы;
      • определение перечня информации, подлежащей защите;
      • определение порядка обработки защищаемой информации и оценка степени участия персонала;
      • анализ структурно-функциональных характеристик, информационных потоков, а также иных характеристик информационной системы;
      • обоснование перечня нормативно-правовых документов, методических документов и отраслевых стандартов, требованиям которых должна соответствовать информационная система;
      • анализ применяемых мер по защите информации и уровня квалификации персонала;
    2. Формирование требований к созданию защищенной информационной системы:

      • определение требуемого класса (уровня) защищенности информационной системы;
      • определение актуальных угроз безопасности информации и разработка модели угроз безопасности информации применительно к процессам функционирования информационной системы;
      • разработка рекомендаций по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) актуальных угроз безопасности информации (при необходимости);
      • определение основных требований к системе защиты информации информационной системы на основании результатов классификации и моделирования угроз безопасности информации;
    3. Разработка отчета по результатам обследования:

      • раздел, содержащий сведения об информационной системе, полученные на этапе сбора исходных данных;
      • раздел, содержащий обоснование выбранного класса (уровня) защищенности информационной системы, а также результаты моделирования угроз безопасности информации;
      • раздел, содержащий описание существующих технологий защиты информации и рекомендации по их совершенствованию в соответствии с требованиями к системе защиты информации;
      • раздел, содержащий результаты анализа и рекомендации по совершенствованию организационно-распорядительной документации в области защиты информации и документации политики информационной безопасности;
      • раздел, содержащий заключение о необходимых и достаточных мерах по управлению персоналом и предложения по обучению персонала вопросам защиты информации;
      • раздел, содержащий общие выводы о состоянии защищенности информационной системы и план действий по приведению в соответствие с требованиями законодательства в области безопасности информации.

    По результатам обследования АО «ИнфоТеКС Интернет Траст» предоставляет Заказчику следующую отчетную документацию:

    • проект перечня защищаемой информации информационной системы;
    • проект акта классификации информационной системы (определения класса защищенности информационной системы/уровня защищенности персональных данных);
    • проект модели угроз безопасности информации информационной системы;
    • отчет по результатам обследования информационной системы.

    Полученные в результате обследования материалы позволяют Заказчику оценить требуемый объем работ по созданию защищенной информационной системы, приступить к разработке документов, определяющих политику информационной безопасности, а также служат основанием для разработки технического задания на создание системы защиты информации.

  2. Разработка технического задания на создание системы защиты информации.
    Техническое задание, разрабатываемое АО «ИнфоТеКС Интернет Траст» в рамках проекта на создание защищенной информационной системы, включает в себя последние достижения в области защиты информации, а также учитывает специфику защищаемой системы с учетом требований федерального законодательства и полномочных органов исполнительной власти. Например, требования, предъявляемые к государственным информационным системам или требования, предъявляемые к информационным системам персональных данных.
    В качестве основы технического задания на создание системы защиты информации используются данные, полученные в ходе обследования информационной системы Заказчика, а также требования и иные положения, представленные в принятых к исполнению документах политики информационной безопасности.
    Состав и содержание разрабатываемого технического задания на создание системы защиты информации соответствует требованиям ГОСТ 34.602-89 и включает в себя:

    1. Общие сведения;
    2. Назначение и цели создания (развития) системы;
    3. Характеристика объектов автоматизации;
    4. Требования к системе;
    5. Состав и содержание работ по созданию системы;
    6. Порядок контроля и приемки системы;
    7. Требования к составу и содержанию работ по подготовке объекта автоматизации к вводу системы в действие;
    8. Требования к документированию;
    9. Источники разработки.

Проектирование систем защиты информации

Современная информационная система — это большое количество разнородных компонентов, объединенных в сложную систему, обеспечивающую достижение стоящих перед организаций целей, которые в процессе функционирования могут и, как правило, модифицируются.

Основными особенностями современной информационной системы являются:

  • сложная организационная структура;
  • многоаспектность функционирования;
  • высокая техническая оснащенность;
  • широкие связи по кооперации;
  • необходимость расширения доступа к информации;
  • всевозрастающий удельный вес безбумажной технологии обработки информации;
  • возрастающий удельный вес автоматизированных процедур в общем объеме процессов обработки данных;
  • важность и ответственность решений, принимаемых в автоматизированном режиме, на основе автоматизированной обработки информации;
  • высокая концентрация в автоматизированных системах информационных ресурсов;
  • большая территориальная распределенность компонентов автоматизированных систем;
  • накопление на технических носителях огромных объемов информации;
  • интеграция в единых базах данных информации различного назначения и различной принадлежности;
  • долговременное хранение больших объемов информации на машинных носителях;
  • непосредственный и одновременный доступ к ресурсам (в том числе и к информации) автоматизированных систем большого числа пользователей различных категорий и различных учреждений;
  • интенсивная циркуляция информации между компонентами автоматизированных систем, в том числе и удаленных друг от друга.

Учитывая приведенные особенности, можно с уверенностью утверждать, что создание систем защиты информации современных информационных систем является сложной многоуровневой задачей, требующей от разработчиков решения целого комплекса проектных задач, от экспертной оценки и макетирования внедряемых решений до проведения аттестационных испытаний созданной системы защиты информации.

В части разработки проектной и эксплуатационной документации на систему защиты информации АО «ИнфоТеКС Интернет Траст» осуществляет:

  • разработку общих решений по системе защиты информации в целом, по ее функциональной и организационной структуре, используемым техническим и программно-техническим средствам защиты и обеспечения их функционирования, алгоритмам функционирования и применяемым конфигурациям средств защиты, функциям персонала, обслуживающего систему защиты информации;
  • разработку и оформление проектной и эксплуатационной документации в соответствии с требованиями ГОСТ 34.201-89 и ГОСТ Р 51583-2014;
  • макетирование согласованных и принятых к исполнению технических решений.

Базовый состав разрабатываемых специалистами АО «ИнфоТеКС Интернет Траст» проектной и эксплуатационной документации на систему защиты информации включает в себя:

  1. Ведомость технического проекта;
  2. Ведомость покупных изделий;
  3. Пояснительная записка к техническому проекту;
  4. Описание комплекса технических средств;
  5. Описание программного обеспечения;
  6. Схема структурная комплекса технических средств;
  7. Схема функциональной структуры;
  8. Схема организационной структуры;
  9. Спецификация оборудования;
  10. Руководство администратора безопасности;
  11. Руководство пользователя (при необходимости);
  12. Формуляр;
  13. Технический паспорт;
  14. Программа и методика испытаний.

Результатом выполненных работ являются: пакет проектной и эксплуатационной документации на систему защиты информации, а также отчетные рабочие материалы по результатам проведенного макетирования технических решений, предлагаемых к использованию.

Внедрение систем защиты информации

В ходе выполнения работ по внедрению системы защиты информации в защищаемую информационную систему АО «ИнфоТеКС Интернет Траст» выполняет следующие виды работ:

  • комплектация информационной системы средствами защиты информации;
  • установка и настройка средств защиты информации;
  • проведение предварительных испытаний системы защиты информации;
  • проведение опытной эксплуатации и доработку системы защиты информации, в случае необходимости;
  • проведение приемо-сдаточных испытаний системы защиты информации.

Результами выполненных работ являются протоколы испытаний внедренных средств защиты и акт проведения опытной эксплуатации системы защиты информации в целом.

Гарантийные обязательства

В соответствии с гарантийными обязательствами АО «ИнфоТеКС Интернет Траст»:

  • устраняет недостатки в системе защиты информации, выявленные в процессе ее эксплуатации, и осуществляет последующий контроль за стабильностью заданных характеристик системы защиты, влияющих на эффективность выполнения требований документов политики информационной безопасности, в течение установленного гарантийного срока;
  • вносит изменения в документацию на систему защиты информации, а при необходимости и в документы политики информационной безопасности Заказчика в соответствии с договором, заключенным между АО «ИнфоТеКС Интернет Траст» и Заказчиком.