Какие мероприятия проводимые в рамках внедрения системы 5с не относятся к обеспечению безопасности

Обновлено: 17.05.2024

В организационную структуру системы входят:

  • руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
  • заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
  • постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
  • подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).

Задачи, решаемые системой защиты информации:

  • исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • исключение неправомерного блокирования информации (обеспечение доступности информации).

Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.

Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.

Жизненный цикл системы защиты информации объекта информатизации - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.

Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.

Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.

Заказчик – лицо, заключившее контракт на создание объекта обработки информации.

Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.

Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.

Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.

Этапы стадии создания системы защиты информации

  1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
  2. Этап 2. Разработка системы защиты информации (этап проектирования).
  3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
  4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации - минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации - обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 - разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:


Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 - Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 - подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Аттестуемая распределенная информационно-телекоммуникационная система


Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:


Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Этапы стадии эксплуатации системы защиты информации

  • Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
  • Этап 6. Промышленная эксплуатация системы защиты информации.
  • Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.

  • осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
  • извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.

Органы по аттестации:

  • отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
  • проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.

Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).


Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.

В организационную структуру системы входят:

  • руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
  • заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
  • постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
  • подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).

Задачи, решаемые системой защиты информации:

  • исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • исключение неправомерного блокирования информации (обеспечение доступности информации).

Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.

Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.

Жизненный цикл системы защиты информации объекта информатизации - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.

Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.

Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.

Заказчик – лицо, заключившее контракт на создание объекта обработки информации.

Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.

Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.

Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.

Этапы стадии создания системы защиты информации

  1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
  2. Этап 2. Разработка системы защиты информации (этап проектирования).
  3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
  4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации - минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации - обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 - разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:


Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 - Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 - подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Аттестуемая распределенная информационно-телекоммуникационная система


Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:


Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Этапы стадии эксплуатации системы защиты информации

  • Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
  • Этап 6. Промышленная эксплуатация системы защиты информации.
  • Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.

  • осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
  • извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.

Органы по аттестации:

  • отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
  • проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.

Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).


Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.

от 17 августа 2020 года N 1243

(с изменениями на 30 июня 2021 года)

Документ с изменениями, внесенными:

2. Настоящее постановление вступает в силу с 1 января 2021 г.

Председатель Правительство
Российской Федерации
М.Мишустин

УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 17 августа 2020 года N 1243

Требования к документационному обеспечению систем управления промышленной безопасностью

(с изменениями на 30 июня 2021 года)

1. Настоящий документ устанавливает требования к документационному обеспечению систем управления промышленной безопасностью.

2. Документация системы управления промышленной безопасностью разрабатывается в целях обеспечения реализации мероприятий, предусмотренных Федеральным законом "О промышленной безопасности опасных производственных объектов", а также мероприятий, направленных на соответствие критериям оценки добросовестности, для опасных производственных объектов III, IV классов опасности.

3. Документация системы управления промышленной безопасностью разрабатывается для 1 организации, эксплуатирующей опасные производственные объекты (далее - эксплуатирующая организация), либо для 2 и более эксплуатирующих организаций, являющихся группой лиц в соответствии с антимонопольным законодательством Российской Федерации.

4. Документация системы управления промышленной безопасностью содержит:

а) заявление о политике эксплуатирующих организаций в области промышленной безопасности;

б) положение о системе управления промышленной безопасностью;

в) положение (положения) о производственном контроле за соблюдением требований промышленной безопасности на опасных производственных объектах;

г) документы планирования мероприятий по снижению риска аварий на опасных производственных объектах;

д) иные документы, обеспечивающие функционирование системы управления промышленной безопасностью, предусмотренные положением о системе управления промышленной безопасностью.

5. Заявление о политике эксплуатирующих организаций в области промышленной безопасности содержит:

а) цели и обязательства эксплуатирующих организаций по снижению риска аварий на опасных производственных объектах;

б) обязательства эксплуатирующих организаций по проведению консультаций с работниками опасных производственных объектов и их представителями по вопросам обеспечения промышленной безопасности;

в) обязательства эксплуатирующих организаций по совершенствованию системы управления промышленной безопасностью.

6. Заявление о политике эксплуатирующих организаций в области промышленной безопасности утверждается руководителями эксплуатирующих организаций и размещается на сайтах эксплуатирующих организаций в информационно-телекоммуникационной сети "Интернет" (при наличии сайтов) либо публикуется в средствах массовой информации в течение 30 календарных дней со дня его утверждения.

7. Положение о системе управления промышленной безопасностью содержит следующие сведения:

а) задачи эксплуатирующих организаций в области промышленной безопасности;

б) описание структуры системы управления промышленной безопасностью и ее места в общей системе управления эксплуатирующих организаций;

в) перечень опасных производственных объектов, на которые распространяется действие системы управления промышленной безопасностью (допускается указание номера свидетельства о регистрации опасного производственного объекта в государственном реестре опасных производственных объектов);

г) функции, права и обязанности руководителей эксплуатирующих организаций, их заместителей, работников в области промышленной безопасности;

д) порядок проведения консультаций с работниками опасных производственных объектов и их представителями по вопросам обеспечения промышленной безопасности;

е) организация материального и финансового обеспечения мероприятий, осуществляемых в рамках системы управления промышленной безопасностью;

ж) порядок планирования работ, осуществляемых в рамках системы управления промышленной безопасностью, и перечень документов планирования мероприятий по снижению риска аварий на опасных производственных объектах;

з) порядок проведения анализа функционирования системы управления промышленной безопасностью, разработки и осуществления корректирующих и предупреждающих мероприятий, направленных на устранение выявленных несоответствий требованиям промышленной безопасности и повышение уровня промышленной безопасности;

и) организация информационного обеспечения в рамках системы управления промышленной безопасностью;

к) порядок подготовки в области промышленной безопасности руководителей и работников эксплуатирующих организаций;

л) организация документационного обеспечения мероприятий, осуществляемых в рамках системы управления промышленной безопасностью;

м) порядок работы с подрядными организациями, осуществляющими деятельность на опасных производственных объектах;

н) порядок идентификации опасностей и оценки риска возникновения аварий и инцидентов.

8. В случае если сведения, предусмотренные пунктом 7 настоящих требований, содержатся в иных документах, утвержденных руководителями эксплуатирующих организаций, в положении о системе управления промышленной безопасностью указываются реквизиты таких документов. Сведения, содержащиеся в указанных документах, в состав положения о системе управления промышленной безопасностью не включаются.

9. Положение о системе управления промышленной безопасностью утверждается руководителем эксплуатирующей организации.

10. В эксплуатирующих организациях оформляются документально и утверждаются руководителями эксплуатирующих организаций:

а) планируемые мероприятия по снижению риска аварий на опасных производственных объектах на срок более 1 календарного года;

б) планы мероприятий по обеспечению промышленной безопасности на календарный год.

11. Документы планирования мероприятий по снижению риска аварий на опасных производственных объектах должны охватывать необходимые мероприятия в области промышленной безопасности, проводимые в рамках системы управления промышленной безопасностью, и обеспечивать эффективный внутренний контроль за деятельностью всех структурных подразделений эксплуатирующих организаций в области промышленной безопасности.

12. В эксплуатирующих организациях не реже 1 раза в течение календарного года оформляются документально результаты анализа функционирования системы управления промышленной безопасностью.

13. При разработке документации системы управления промышленной безопасностью эксплуатирующая организация вправе применять международные, национальные и региональные стандарты, руководства по безопасности, иные методические рекомендации в части, не противоречащей требованиям промышленной безопасности.

Редакция документа с учетом
изменений и дополнений подготовлена
АО "Кодекс"

Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

1. Заручиться поддержкой руководства.

Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

2. Определить состав рабочей группы.

Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

3. Определить риски.

После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

  • идентифицировать информационные активы, представляющие ценность;
  • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
  • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
  • провести анализ источников угроз;
  • проанализировать сами угрозы;
  • оценить возможный ущерб;
  • подготовить отчет для презентации руководству.

После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

4. Принять организационные меры.

На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

5. Выбрать и внедрить меры и средства защиты информации.

На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

6. Довести информацию до заинтересованных лиц.

Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

7. Провести мониторинг и оценку.

После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.

Читайте также: