Профилактика кибербезопаности
ПРОФИЛАКТИКА И ПРОТИВОДЕЙСТВИЕ КИБЕРПРЕСТУПНОСТИ
Информационная безопасность является одним из приоритетных направлений деятельности ГИАЦ Минобразования. Основой стратегии в этом направлении является создание комплексных решений для государственных организаций, подведомственных Министерству образования, а также подразделений и филиалов, входящих в их структуру, участие в подготовке нормативной базы для аттестации систем безопасности организаций, участие в национальных программах.
Проектирование системы защиты информации, включающее
- классификацию обрабатываемой информации;
- анализ организационной структуры информационной системы и информационных потоков;
- присвоение информационной системе класса типового объекта информатизации в порядке, установленном СТБ 34.101.30;
- определение требований к системе защиты информации в задании по безопасности на или в техническом задании;
- разработка частного технического задания на систему защиты информации (при необходимости);
- разработка задания по безопасности объекта защиты.
Создание системы защиты информации, включающее в себя следующие этапы
- разработка организационной и функциональной структуры системы защиты информации;
- разработка политики безопасности и необходимых организационных документов по обеспечению безопасности объекта защиты;
- разработка проектной документации на систему защиты информации;
- реализация системы защиты информации на объекте защиты и в его среде;
- разработка программы и методики испытаний объекта защиты на соответствие требованиям безопасности;
- проведение испытаний системы защиты информации;
- доработка системы защиты информации по результатам испытаний и ввод ее в опытную эксплуатацию;
- доработка системы защиты информации по результатам опытной эксплуатации и внесение необходимых изменений в документацию;
- оценка задания по безопасности;
- проведение приемо-сдаточных испытаний системы защиты информации;
- подготовка пакета документов на систему защиты информации и объект защиты для аттестации.
Список мероприятий, которые выполняются при проведении аттестации системы защиты информации
- анализ исходных данных по аттестуемой системе защиты информации;
- разработка программы аттестации;
- предварительное ознакомление с информационной системой и системой защиты информации;
- проведение обследования информационной системы и системы защиты информации;
- анализ состава и структуры комплекса технических средств и программного обеспечения информационной системы, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения системы защиты информации;
- анализ разработанной документации по защите информации на соответствие требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
- проведение испытаний средств защиты информации и оценка системы защиты информации в реальных условиях эксплуатации информационной системы (проводится аккредитованной независимой испытательной лабораторией компании Ih5A или аккредитованной лабораторией третьей стороны);
- проверку отсутствия либо невозможности использования нарушителем свойств программного обеспечения и (или) технических средств информационной системы (в том числе средств защиты информации), которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств;
- анализ результатов испытаний средств защиты информации и системы защиты информации, принятие решения о выдаче аттестата соответствия;
- выдача аттестата соответствия.
Разработка документации в области информационной безопасности
- разработка документации по информационной безопасности, включая концепцию, политику информационной безопасности, инструкции, регламенты и другие организационно-распорядительные документы.