Для полноценного выполнения требований законодательства Российской Федерации по защите государственных информационных систем (ГИС) помимо технических средств защиты информации, необходимо иметь в наличии комплект организационно-распорядительной документации (ОРД) регламентирующий процедуру обработки информации и действия пользователей ГИС.

Комплект ОРД должен включать в себя все уровни документов:

1. Концепцию информационной безопасности;
2. Регламенты, инструкции, положения;
3. Акты классификации, категорирования;
4. Проекты приказов о назначении ответственных и комиссий;
5. Формы согласий, ответов на запросы;
6. Модели угроз безопасности информации;
7. Технические проекты и задания на систему защиты (в соответствии с Приказом ФСТЭК России №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
8. И другие необходимые дополнительно документы.

Немаловажным этапом при разработке ОРД является моделирование угроз безопасности информации и создание технического задания на систему защиты.
В соответствии с Постановлением Правительства № 555 «О внесении изменений в требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» модель угроз безопасности информации должна быть согласована с федеральным органом исполнительной власти в области обеспечения безопасности (ФСТЭК России) и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации (ФСБ России).
Наша компания уже имеет опыт согласования таких документов и подготовит для Вас документы, которые успешно пройдут проверку в контролирующем органе.

Наш подход к защите ГИС
Мы реализуем защиту как проект полного цикла — от обследования до подтверждения соответствия.

1. Обследование и классификация ГИС
На первом этапе выполняется:

• анализ архитектуры системы;
• определение обрабатываемой информации;
• выявление критичных бизнес-процессов;
• определение класса защищённости ГИС;
• анализ угроз безопасности информации.

Результат: акт классификации и исходные данные для проектирования системы защиты.

2. Разработка модели угроз и проектной документации

• определение актуальных угроз и формирование модели угроз безопасности информации;
• разработка технического задания на создание системы защиты;
• формирование перечня организационных и технических мер.

Документация разрабатывается в строгом соответствии с требованиями регуляторов.

3. Разработка организационно-распорядительной документации
Подготавливаем комплект документов:

• политика безопасности информации ГИС;
• положение о защите информации;
• регламент управления доступом;
• регламент администрирования;
• регламент регистрации и анализа событий безопасности;
• порядок реагирования на инциденты;
• приказы о назначении ответственных лиц;
• журналы учёта и формы актов.

Документы формируются с учётом структуры учреждения.

4. Внедрение системы защиты информации
В зависимости от класса защищённости внедряются:

• межсетевые экраны;
• системы обнаружения и предотвращения вторжений;
• средства антивирусной защиты;
• системы централизованного управления безопасностью;
• средства криптографической защиты (при необходимости);
• механизмы разграничения доступа;
• сегментация сети;
• резервное копирование и обеспечение отказоустойчивости.

Все средства защиты подбираются с учётом требований регуляторов, архитектуры системы и актуальных угроз.

5. Аттестационные испытания и ввод ГИС в эксплуатацию
После реализации организационных и технических мер защиты проводится подтверждение соответствия государственной информационной системы требованиям безопасности информации в соответствии с требованиями
(Приказ ФСТЭК России № 77 / Приказ ФСТЭК России № 117).
В рамках этапа выполняются:

• аттестационные испытания ГИС;
• проверка реализации обязательных мер защиты;
• контроль корректности настройки средств защиты информации;
• проверка разграничения прав доступа;
• анализ регистрации событий безопасности;
• оценка защищённости;
• контроль выполнения организационных мер.

По результатам оформляется комплект аттестационной документации:

• программа и методика аттестационных испытаний;
• протоколы проверок;
• аттестат соответствия требованиям безопасности информации.

После получения аттестата система допускается к промышленной эксплуатации.
Результат этапа — аттестованная ГИС, допущенная к эксплуатации в соответствии с требованиями ФСТЭК.

Стоимость
Стоимость зависит от:

• масштаба системы;
• класса защищённости;
• количества пользователей;
• распределённости инфраструктуры;
• необходимости внедрения технических средств защиты.

Примерный диапазон:

• Аудит ГИС — от 100 000 ₽
• Разработка комплекта документации — от 150 000 ₽
• Комплексное внедрение системы защиты и аттестация — от 350 000 ₽

Итоговая стоимость определяется после обследования.