Наш очередной кейс работы по созданию системы защиты информации государственной информационной системы.
Заказчик – государственное бюджетное учреждение Ростовской области «Центр информационного обеспечения градостроительной деятельности» (ГБУ РО «ЦИОГД»).
Цели, задачи проекта
Цель – реализация набора технических решений, выполнение ряда организационных и распорядительных мер, проведение аттестационных мероприятий для построения системы защиты информации в соответствии с законодательством РФ.
Задачи, установленные заказчиком:
– установка и настройка необходимых средств защиты информации, в том числе и средств криптографической защиты информации;
– разработка эксплуатационной документации на средства защиты информации в информационных системах заказчика;
– разграничение прав доступа для авторизации пользователей через сеть Интернет и через закрытый сегмент государственной информационной системы обеспечения градостроительной деятельности Ростовской области (ГИСОГД РО);
– разграничение прав доступа для авторизации пользователей в системах защиты информации;
– перенос из действующей базы данных информации в сертифицированную СУБД;
– выделение необходимых сегментов в системах защиты информации;
– аттестация ГИСОГД РО по требованиям безопасности информации.
Модернизация инфраструктуры ГИСОГД РО
Государственная информационная система обеспечения градостроительной деятельности Ростовской области является современной, удобной и технически развитой информационной системой. Она предполагает двухуровневую сквозную автоматизацию исполнения полномочий в сфере градостроительной деятельности для инстанций государственного и местного уровней. Также в системе предусмотрена возможность интеграции с Единым порталом государственных и муниципальных услуг.
По своей архитектуре представляет собой клиент-серверную систему, работа пользователей с которой осуществляются через сеть Интернет.
В ходе оказания услуг инфраструктура системы модернизирована в соответствии с составом сегментов:
Подсистема обеспечения ИБ
Частое явление – сложные проекты и есть самые интересные. В этом кейсе бесценный опыт был в создании подсистемы обеспечения информационной безопасности. Работы по этому направлению включали в себя:
- Создание технического проекта подсистемы:
– проектирование;
– разработка эксплуатационной документации.
- Внедрение:
– установка и настройка средств защиты информации;
– внедрение организационных мер защиты информации;
– предварительные испытания подсистемы;
– опытная эксплуатация подсистемы;
– анализ уязвимостей информационной системы заказчика и принятие мер защиты информации по их устранению;
– приемочные испытания подсистемы.
- Оценка защищенности информационной системы в соответствии с приказом ФСТЭК № 17 от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и ввод средств защиты в действие.
Все этапы по созданию подсистемы обеспечения информационной безопасности сопровождались разработкой соответствующей документации.
Заключение
На основании результатов испытаний, заказчику выдан аттестат о том, что система соответствует требованиям защиты информации, предъявляемым к государственным информационным системам третьего класса защищенности и четвертого уровня защищенности персональных данных. Все вновь внедренные средства защиты работают в штатном режиме.
Главная цель – выполнить требования законодательства в части защиты информации и аккуратно ввести в работу подсистему информационной безопасности без нарушения работы основной системы – достигнута.