Основные законодательные документы в области защиты государственных информационных систем (ГИС):
- Федеральный закон от 27.07.2006 г. № 149 «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27.07.2006 г. № 152 «О персональных данных»;
- Постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»;
- Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Если вам нужно защитить ГИС или организовать подключение своей системы к ГИС, то оставляйте заявку, мы расскажем, что вам нужно сделать.
Мероприятия, проводимые для обеспечения защиты информации, содержащейся в ГИС:
- формирование требований к защите информации, содержащейся в информационной системе;
- разработка (проектирование) системы защиты информации информационной системы;
- внедрение системы защиты информации информационной системы;
- аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие;
- обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
- обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
При защите ГИС мы выполняем следующие работы:
1. Обследование информационной системы;
2. Классификация ГИС по требованиям защиты информации;
3. Разработка модели угроз безопасности информации, обрабатываемой в ГИС;
4. Разработка технического задания на создание системы защиты;
5. Выбор и обоснование организационных и технических мер, необходимых для защиты ГИС;
6. Проектирование системы защиты в составе следующих решений в зависимости от выбранных технических и организационных мер, в том числе:
- Идентификация и аутентификация субъектов доступа и объектов доступа;
- Управление доступом субъектов доступа к объектам доступа;
- Ограничение программной среды;
- Защита машинных носителей информации;
- Регистрация событий безопасности;
- Антивирусная защита;
- Обнаружение вторжений;
- Контроль (анализ) защищенности информации;
- Обеспечение целостности информационной системы и информации;
- Обеспечение доступности информации;
- Защита среды виртуализации;
- Защита технических средств;
- Защита информационной системы, ее средств, систем связи и передачи данных.
7. Разработка организационно-распорядительной документации Оператора ГИС в рамках осуществления процессов эксплуатации и сопровождения ГИС;
8. Поставка, внедрение и сервисное обслуживание технических средств защиты;
9. Инструктаж, обучение персонала и повышение уровня грамотности в сфере информационной безопасности;
10. Разработка программ и методик предварительных и приемочных испытаний, опытной эксплуатации и аттестационных испытаний;
11. Проведение предварительных и приемочных испытаний, опытной эксплуатации и аттестационных испытаний;
12. Ввод информационной системы в эксплуатацию.
Ответственность оператора ГИС:
До 2 лет лишения свободы или штраф
Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей, причинившее крупный ущерб.
До 15 000 рублей административный штраф
Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации
До 25 000 рублей административный штраф, конфискация СЗИ
Использование несертифицированных информационных систем, баз и банков данных , а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации.
Давайте определим класс защищенности вашей системы
