ГИС . Проверка на соответствие норм защищенности государственных информационных систем (17 приказ ФСТЭК) - RCNGROUP.RU

Главная » Услуги » Защита информации » ГИС . Проверка на соответствие норм защищенности государственных информационных систем (17 приказ ФСТЭК)

Основные законодательные документы в области защиты государственных информационных систем (ГИС):

Федеральный закон от 27.07.2006 г. № 149 «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 27.07.2006 г. № 152 «О персональных данных»;
Постановление Правительства Российской Федерации от 6 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»;
Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказ ФСТЭК России от 11.02.2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Если вам нужно защитить ГИС или организовать подключение своей системы к ГИС, то оставляйте заявку, мы расскажем, что вам нужно сделать.

Мероприятия, проводимые для обеспечения защиты информации, содержащейся в ГИС:

формирование требований к защите информации, содержащейся в информационной системе;
разработка (проектирование) системы защиты информации информационной системы;
внедрение системы защиты информации информационной системы;
аттестация информационной системы по требованиям защиты информации (далее — аттестация информационной системы) и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.

При защите ГИС мы выполняем следующие работы:

1. Обследование информационной системы;

2. Классификация ГИС по требованиям защиты информации;

3. Разработка модели угроз безопасности информации, обрабатываемой в ГИС;

4. Разработка технического задания на создание системы защиты;

5. Выбор и обоснование организационных и технических мер, необходимых для защиты ГИС;

6. Проектирование системы защиты в составе следующих решений в зависимости от выбранных технических и организационных мер, в том числе:

Идентификация и аутентификация субъектов доступа и объектов доступа;
Управление доступом субъектов доступа к объектам доступа;
Ограничение программной среды;
Защита машинных носителей информации;
Регистрация событий безопасности;
Антивирусная защита;
Обнаружение вторжений;
Контроль (анализ) защищенности информации;
Обеспечение целостности информационной системы и информации;
Обеспечение доступности информации;
Защита среды виртуализации;
Защита технических средств;
Защита информационной системы, ее средств, систем связи и передачи данных.

7. Разработка организационно-распорядительной документации Оператора ГИС в рамках осуществления процессов эксплуатации и сопровождения ГИС;

8. Поставка, внедрение и сервисное обслуживание технических средств защиты;

9. Инструктаж, обучение персонала и повышение уровня грамотности в сфере информационной безопасности;

10. Разработка программ и методик предварительных и приемочных испытаний, опытной эксплуатации и аттестационных испытаний;

11. Проведение предварительных и приемочных испытаний, опытной эксплуатации и аттестационных испытаний;

12. Ввод информационной системы в эксплуатацию.

Ответственность оператора ГИС:

Ст. 13.12, ч.2 КоАП РФ

Использование несертифицированных информационных систем, баз и банков данных — штраф для граждан — до 10 000 рублей, для должностных лиц — до 50 000 рублей, для юридических лиц — до 100 000 рублей.

Ст. 13.12, ч.6 КоАП РФ

Нарушение требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ, — штраф для граждан — до 10 000 рублей, для должностных лиц — до 50 000 рублей, для юридических лиц — до 100 000 рублей.

Ст. 272.1 УК РФ

ч.1: устанавливает уголовную ответственность за незаконное использование, сбор и хранение компьютерной информации, содержащей персональные данные граждан. Наказание: штраф до 300 000 рублей, принудительные работы на срок до 4 лет или лишение свободы на срок до 4 лет.

ч.2: те же деяния, совершённые в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц или биометрические персональные данные, — штраф до 700 000 рублей, принудительные работы на срок до 5 лет или лишение свободы на срок до 5 лет.

ч.3. пп. в), г): наказываются штрафом в размере до 1 млн рублей или в размере заработной платы или иного дохода осужденного за период до 3 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо принудительными работами на срок до 5 лет со штрафом в размере до 1 млн рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового, либо лишением свободы на срок до 6 лет со штрафом в размере до 1 млн рублей или иного дохода осужденного за период до 3 лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет или без такового.

Давайте определим класс защищенности вашей системы

Какой масштаб информационной системы?

ФедеральныйРегиональныйОбъектовый

Какой у ваших систем уровень значимости?

высокой, если в результате нарушения возможны существенные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности или компания не может выполнять возложенные на неё функции;средней, если в результате нарушения возможны умеренные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности или компания не может выполнять хотя бы одну из возложенных на них функцию;низкой, если в результате нарушения возможны незначительные негативные последствия в социальной, политической, международной, экономической, финансовой или иных областях деятельности или компания не может выполнять возложенные на неё функции с недостаточной эффективностью или выполнение функций возможно только с привлечением дополнительных сил и средств.

Оставьте ваши контактные данные, чтобы получить результат и рекомендации по защите вашей системы.

Если вам нужно защитить ГИС или организовать подключение своей системы к ГИС, то оставляйте заявку, мы расскажем, что вам нужно сделать.

Ответственность оператора ГИС:

Давайте определим класс защищенности вашей системы

Какой масштаб информационной системы?

Какой у ваших систем уровень значимости?

Связанные материалы

Подпишитесь на получение новостей

Ссылки

Услуги