Ваш город Москва?

Защита информации в государственных и муниципальных ИС

Поделиться:

На основании определения, данного Федеральным законом от 27 июля 2006 г. №149-ФЗ "Об информации, информационных технологиях и о защите информации", информационные системы включают в себя:

– Государственные информационные системы (ГИС) – это федеральные информационные системы и региональные информационные системы, созданные на основании соответствующих федеральных законов, законов субъектов Российской Федерации, на основании правовых актов государственных органов;

– Муниципальные информационные системы (МИС) – информационные системы, созданные на основании решений органов местного самоуправления.

– Иные информационные системы.

Требования, предъявляемые к защите информации в ГИС и МИС, регламентируются Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и Приказом ФСТЭК России от 11.02.2013 №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Класс защищенности информационной системы определяется в соответствии с таблицей:

В случае, если корпоративная ИС взаимодействует с ГИС, она, согласно Приказу ФСТЭК №17, должна иметь аттестацию и использовать только средства защиты информации (СЗИ), которые имеют действующие сертификаты ФСТЭК или ФСБ.

Согласно п.13 Приказа №17 ФСТЭК, для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:

– формирование требований к защите информации, содержащейся в информационной системе;

– разработка системы защиты информации информационной системы;

– внедрение системы защиты информации информационной системы;

– аттестация информационной системы по требованиям защиты информации (далее – аттестация информационной системы) и ввод ее в действие;

– обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;

– обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

Вариант расположения рабочих мест в одном из подразделений государственного учреждения

Этап формирования требований к защите информации включает в себя выполнение следующих задач:

– Исследование и сбор исходных сведений об информационной системе, ее характеристиках, структуре, составе, организационно-распорядительной и эксплуатационно-технической документации, а также о реализуемых мероприятиях по обеспечению безопасности информации.

– Классификация информационной системы. В соответствии с требованиями Приказа ФСТЭК России от 11.02.2013 № 17, оценивается степень возможного ущерба от нарушения безопасности информации (конфиденциальности, целостности, доступности), уровень значимости информации, масштаб системы.

– Разработка модели нарушителя и угроз безопасности информации ГИС.

– Определение перечня мер обеспечения безопасности, которые должны быть реализованы.

На основании проведённого аудита предполагается проведение работ по проектированию системы защиты информации ГИС, внедрение разработанной системы защиты информации и последующая аттестация информационной системы на предмет её соответствия Национальному стандарту РФ ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения».

Хочется отметить, что ещё в процессе проектирования информационных систем подчас недооценивается фактор важности защиты рабочих мест сотрудников. А ведь именно рабочее место является «точкой входа» в информационную систему, и, по статистике, около 60% инцидентов связано именно с компрометацией рабочих мест. Формально, навесив сертифицированные СЗИ на обычный персональный компьютер, все требования нормативных документов можно выполнить, однако стоит ли говорить о правильности такого подхода?

В ГИС, если она, конечно, не вновь созданная, уже имеется парк компьютеров сотрудников, приобретённых в разное время и являющий собой разнообразие различных аппаратных платформ. Кто и когда должным образом проводил тестирование ВСЕХ типов рабочих станций со ВСЕМИ аппаратными и программными СЗИ, которые планируется применять в проекте? Знаем по опыту, что даже заработавшая с ходу на пилотном тестировании пара новой модели ТОНК и (к примеру) АПМДЗ, может через некоторое время потребовать дополнительных работ по взаимной адаптации. То же касается и программных решений.

На каком стандартном системном блоке можно обеспечить физическую целостность доверенной среды внутри компьютера? Датчик вскрытия корпуса собственной разработки ТОНК решает эту задачу, будучи интегрирован в устройство уже на стадии производства.

На сегодняшний день в качестве не формального, а именно необходимого подхода к защите рабочих мест в ГИС видится закладка уже на стадии проектирования программно-аппаратных комплексов (ПАК) на основе защищённых тонких клиентов или высокопроизводительных рабочих станций, содержащих необходимый функционал по защите информации в соответствии с классом защиты ГИС, в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС.

В приведённых нами на сайте примерах решений для защиты рабочих мест информационных систем могут применяться сертифицированные ПАК на основе различных моделей ТОНК, в зависимости от требований, основанных на применяемом программном обеспечении, реализуемых задачах, используемых внешних устройствах и других факторах. Такие устройства как ТОНК SB300 в некоторых случаях и вовсе являются безальтернативными.

Наиболее показательным примером создания рабочих мест для ГИС может служить разработка ПАК для ФГИС ЕГР ЗАГС на основе терминальных компьютеров ТОНК 1400S с датчиком вскрытия.

Многообразие аппаратных платформ, производимых ТОНК, позволяет создавать ПАК для защиты информации в ГИС любого класса защищённости. Если вам необходимо выполнить все требования регуляторов и Федерального законодательства по защите рабочих мест в ГИС или взаимодействующей с ней информационной системой, требования по защите персональных данных, обратитесь к нам по адресу sales@tonk.ru или телефонам, указанным на сайте. Наши специалисты в кратчайшие сроки предложат вам верное решение.

Поделиться:

Последние статьи

Проект «Лаборатории будущего», развёрнутый в МАИ
Проект «Лаборатории будущего», развёрнутый в МАИ
В рамках перехода на электронное образование и как следствие совершенствование инфраструктуры ИТ, в МАИ был реализован проект по оборудованию рабочих мест студентов в учебных аудиториях компьютерами ТОНК.
Терминальный доступ
Терминальный доступ
Характеристики терминального доступа как одного из основных способов взаимодействия клиентских устройств и серверной части.
Как мы делали видеотрансляцию для Медведева или «где ТОНКо – там НЕ рвётся»
Как мы делали видеотрансляцию для Медведева или «где ТОНКо – там НЕ рвётся»
24 апреля 2018 года на территории Технопарка «Слава» под руководством Дмитрия Медведева проходило заседание Президиума Совета при Президенте по модернизации экономики.
Вопросы терминологии и общего подхода к информационной безопасности
Вопросы терминологии и общего подхода к информационной безопасности
Сегодня на каждом шагу, можно услышать такие понятия, как «система защиты информации», «кибербезопасность». За этой терминологией скрывается довольно разносторонний подход к информационной безопасности (ИБ).