Комплексные системы обеспечения информационной безопасности

Защита данных
на базе системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ»ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Организации часто должны соблюдать требования различных регуляторов в сфере информационной безопасности. Поэтому в компаниях внедряют комплексные системы обеспечения информационной безопасности (КСОИ), задачей которых становится ответ на все вопросы регуляторов.

Задачи КСОИ

Комплексные системы защиты информации наиболее востребованы в государственных структурах, которые из-за специфики закупок с большей охотой приобретут одну систему, чем несколько продуктов разного класса и назначения. Часто КСОИ разрабатываются под задачи конкретной системы государственных органов, например, для финансовых органов субъектов РФ.

В архитектуре КСОИ должны быть учтены:

  • требования специализированных нормативных актов, регулирующих деятельность государственной организации. Для финансовых органов главным нормативным актом является Регламент создания общей архитектуры государственной интегрированной информационной системы управления общественными финансами «Электронный бюджет», подготовленный Минфином РФ;
  • требования нормативных актов, регламентирующих защиту персональных данных;
  • требования Приказа ФСТЭК № 17, определяющего правила защиты информации в государственных информационных системах (ГИС), если эти данные не относятся к категории государственной тайны;
  • требования по обеспечению безопасности данных в ключевых системах информационной инфраструктуры (КСИИ);
  • требования по защите данных в информационных системах общего пользования.

Для различных видов КСОИ будет меняться только первый пункт перечня, остальные останутся неизменными.

Принципы создания КСОИ:

  • выбор из предусмотренных нормативными актами наиболее эффективных и неизбыточных мер по защите информационной инфраструктуры;
  • возможность беспрепятственной интеграции в систему межведомственного электронного взаимодействия (СМЭВ);
  • оптимизация расходов бюджетов всех уровней на организацию системы обеспечения информационной безопасности.

КСОИ не может реализовываться как готовое решение, она создается на заказ под задачи конкретной государственной организации или предприятия.

Этапы создания КСОИ

После определения задач и формулировки технического задания разработчик переходит к созданию КСОИ.

Первым этапом становится проектирование, в рамках которого решаются следующие задачи:

  • постановка проблемы. ТЗ формулируется по правилам, предусмотренным ГОСТ 34-602.89;
  • исследование текущего состояния информационной системы заказчика;
  • определение заинтересованных и согласующих лиц и подразделений;
  • обследование объекта;
  • настройка критериев эффективности КСОИ.

Этапы создания КСОИ выглядят следующим образом:

  • разработка технико-экономического обоснования. В нем обосновывается целесообразность создания системы, определяются сроки и порядок работ, в сметной документации указывается стоимость. ТЭО согласуется со всеми причастными подразделениями;
  • разработка технического задания, где должны быть учтены все исходные данные;
  • разработка технического проекта. Предлагается один или несколько вариантов решения задачи с обоснованием эффективности каждого из них, уточняются требования к техническим средствам реализации комплексной системы обеспечения информационной безопасности, указываются порядок и сроки их поставки;
  • разработка рабочего проекта. Проектные решения детализируются, составляются должностные инструкции персонала. На этом этапе проектная документация обязательно относится к информации повышенной степени конфиденциальности;
  • ввод в действие отдельных элементов системы;
  • комплексная стыковка элементов системы;
  • опытная эксплуатация;
  • приемочные испытания;
  • проверка работоспособности, при необходимости доработка.

По завершении интеграции должны быть проведены пусконаладочные испытания КСОИ, в эксплуатацию она вводится специальным актом. В договоре на создание КСОИ всегда предусматривается ответственность за некачественную работу, по условиям тендера штрафы и пени могут компенсироваться за счет средств предоставленной банковской гарантии.

Создание КСОИ сопровождается подготовкой нескольких категорий обеспечения:

  • организационное. Это документация по разработке и внедрению проекта, приказы, изменения в штатном расписании, договоры и соглашения, проведение тендеров, утверждение порядка приемки и состава приемочных испытаний;
  • лингвистическое – совокупность используемых языков проектирования, термины и определения, правила формализации естественного языка, способы сжатия и раскрытия текстов;
  • математическое – совокупность алгоритмов проектирования комплексной системы обеспечения информационной безопасности;
  • программное обеспечение, состоящее из системных и прикладных программ, соответствующих требованиям регуляторов;
  • техническое, включающее линейку требуемых технических средств;
  • информационное и нормативное, содержащее все необходимые для проектирования данные, в том числе нормативно-правовые требования.

Ядро системы, представляющее собой совокупность программных решений, встраивается в общую архитектуру автоматизированных систем заказчика и обеспечивает выполнение функций:

  • блокировка несанкционированного и бесконтрольного доступа к базам данных, содержащих конфиденциальную информацию. В рамках этой функции осуществляется управление системами доступа, электронными замками в помещения, где хранится информация или находятся серверы, устройствами блокировки входа в систему, задействование компонентов КСОИ при выполнении любых операций в ИС заказчика, загрузке ОС и СУБД, запуске процессов. В этот момент инициируется пакет средств сигнализации КСОИ, сообщающих об инцидентах нарушения безопасности;
  • управление контролем за всеми процессами обработки данных, регистрация всех действий пользователей, в том числе с правами администраторов, с защищаемыми массивами информации;
  • организация мониторинга работы элементов системы. Аппаратные средства контролируются организационно и по тестовым программам, программные проверяются на целостность и отсутствие несанкционированных изменений по контрольным цифровым значениям, журналы учета действий пользователей проверяются на целостность и защищенность;
  • обеспечение реагирования на сигналы информационной безопасности в каждом из компонентов ИС заказчика, регистрация инцидентов, передача информации о них по заданному сценарию, прерывание обработки данных и уничтожение информации в подключенных к защищенным данным съемных носителях, принятие мер для задержания нарушителя;
  • ведение протоколов работы средств защиты информации, последующая аналитика.

Создание комплексной системы (КСОИ) – сложный и системный процесс, занимающий несколько месяцев, ее работоспособность во многом зависит от точности технического задания. Такие системы разрабатываются только для конкретного заказчика и учитывают его потребности в создании комплексной системы обеспечения информационной безопасности.

04.02.2020

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними