Проект системы защиты информации

Проект создания системы защиты информации — это комплексное проектирование мер, направленных на обеспечение безопасности сведений в автоматизированной среде. Под защитой понимается формирование организационных, технических, программных механизмов, которые предотвращают несанкционированный доступ, утечку, искажение данных.

СПРАВКА. Безопасность информации означает сохранение конфиденциальности, целостности, доступности. Любая угроза способна привести к ущербу для предприятия. Поэтому создание структуры обеспечения сохранности требует системного подхода, соблюдения законодательства, применения сертифицированных средств защиты информации (СЗИ).

Проект разрабатывается с учетом федеральных законов, государственных стандартов, отраслевых требований регуляторов.

Что включает проект системы обеспечения сохранности информации

Документ формируется по стадиям, установленным ГОСТ Р 59793—2021. Стандарт определяет этапы создания защищенной автоматизированной системы, например:

Формирование требований. Определяется необходимость охраны, классифицируются сведения, выявляются угрозы, устанавливаются нормы для системы.
Разработка концепции. Анализируются бизнес-процессы предприятия, информационные сервисы, инфраструктура. Определяется потребность в средствах нейтрализации рисков.
Техзадание. Описываются подсистемы защиты, перечень мер, требования к программным, техническим решениям.
Эскизный проект. Определяются субъекты доступа, объекты охраны, выбираются СЗИ.
Технический проект. Подготавливается документация: пояснительная записка, структурные схемы, описание настроек СЗИ, программа испытаний.
Рабочая документация. Описывается структура, места установки СЗИ, параметры настройки.
Введение в действие. Реализуются организационные, технические меры, проводится тестирование.
Сопровождение. Выполняется мониторинг, обновление решений, реагирование на инциденты.

Результатом становится система, перекрывающая актуальные риски, обеспечивающая соответствие требованиям регуляторов.

Нормативная база проектирования системы охраны данных

Нормативная база включает:

ФЗ-149 — закрепляет принципы защиты;
ФЗ-152 совместно с Постановлением №1119 — определяет требования к ИСПДн;
ФЗ-187 — для объектов КИИ;
Приказ ФСТЭК №239 от 25.12.2017 — критерии для нейтрализации рисков значимых объектов;
ГОСТ Р 51624 — общие правила для автоматизированных систем в защищенном исполнении;
ГОСТ Р 51583-2014 — порядок создания автоматизированных систем в защищенном исполнении;
ГОСТ Р 59793—2021 — стадии создания системы.

ВАЖНО. Соблюдение нормативных критериев является обязательным условием при проектировании. Несоответствие может привести к административной ответственности по статье 13.11 КоАП РФ, уголовной ответственности по статьям 272.1, 183 УК РФ.

Технический проект модели защиты информации

Техническая концепция модели обеспечения сохранности информации — ключевой этап, на котором формируется архитектура защиты, подбираются конкретные средства, оформляется комплект документации. Цель — нейтрализация актуальных угроз, обеспечение соответствия нормам законодательства.

Разработка включает:

обследование информационной инфраструктуры предприятия;
анализ бизнес-процессов, автоматизированных моделей, каналов передачи данных;
определение класса защищенности объекта;
подготовку техзадания;
выбор программных, аппаратных средств нейтрализации рисков;
проектирование архитектуры комплекса СЗИ.

В техническом проекте описываются межсетевые экраны, интегрированные решения обнаружения вторжений, механизмы шифрования, средства разграничения доступа, резервного копирования. Учитывается интеграция с существующей инфраструктурой компании.

Формирование проекта завершает стадию проектирования. Документация должна отражать реальные параметры, места установки СЗИ, настройки, порядок администрирования.

Этапы разработки

Концепция создания модели нейтрализации рисков информации реализуется поэтапно. Последовательность определяется ГОСТ Р 59793—2021, может корректироваться с учетом особенностей предприятия.

Основные этапы:

Анализ объекта автоматизации. Определяются защищаемые сведения, категории данных, возможные угрозы.
Формирование нормативов безопасности. Устанавливаются организационные, технические меры.
Разработка охранной концепции. Определяется структура охранной модели, перечень СЗИ.
Подготовка техзадания. Фиксируются цели, задачи, показатели эффективности.
Проектирование архитектуры. Формируется структурная схема комплекса защиты.
Подготовка проектной документации.
Внедрение, испытания, ввод в эксплуатацию.
Сопровождение, обновление решений.

Каждый этап должен обеспечивать достижение установленного уровня защищенности, соответствие нормативным требованиям.

Состав проектной документации

Базовый состав документации определяется ГОСТ 34.201-2020. Стандарт устанавливает перечень обязательных материалов при создании защищенной модели.

В комплект входят:

ведомость технического проекта;
пояснительная записка;
структурная схема комплекса технических средств;
описание программного обеспечения;
схема функциональной структуры;
схема организационной структуры;
спецификация оборудования;
руководство администратора безопасности;
формуляр;
техпаспорт;
программа и методика испытаний.

Дополнительно могут включаться модель угроз, политика безопасности, приказы, регламенты, перечни решений. Состав документации зависит от запроса заказчика, категории защищаемых сведений, уровня автоматизации.

СПРАВКА. Результатом внедрения становится функционирующая система, обеспечивающая комплексный контроль доступа, охрану каналов передачи данных, применение сертифицированных СЗИ, постоянный мониторинг событий безопасности.

Что еще требуется компаниям

Для полноценного обеспечения информационной защищенности предприятиям могут потребоваться дополнительные процедуры.

Сертификация ФСТЭК. ФСТЭК России организует оценку соответствия СЗИ требованиям нормативных актов. Проверяется безопасность технологий, программных средств, оборудования.
Получение лицензии ФСТЭК на деятельность по технической защите конфиденциальной информации.
Внедрение модели управления качественными параметрами товаров по ГОСТ Р ИСО 9001-2015. Стандарт устанавливает требования к процессному управлению качеством.
Внедрение модели контроля за экологической обстановкой по ГОСТ Р ИСО 14001-2016. Стандарт регулирует управление экологическими аспектами деятельности.
Внедрение модели охраны труда персонала по ГОСТ Р ИСО 45001-2020. Документ определяет требования к управлению безопасностью труда.
Разработка ТУ, руководства по эксплуатации, паспорта, Обоснования безопасности (требуется для опасных объектов).

Все перечисленные процедуры и работы, включая проект создания модели обеспечения сохранности данных, доступны в ЦС «Ростест Урал». Эксперты сопровождают процесс от первичной консультации до выдачи готовой документации. Консультации предоставляются бесплатно, оформление проводится в соответствии с действующим законодательством.

Какие последствия предусмотрены за отсутствие средств защиты информации?

При отсутствии СЗИ организация рискует не только понести прямые финансовые убытки в случае взлома, но и получить значительные штрафы от регуляторов за утечку персональных данных в соответствии с действующим законодательством. Дополнительно возможны репутационные потери, снижение доверия клиентов, судебные иски со стороны пострадавших лиц.

Требуется ли внедрение системы защиты информации для малого бизнеса?

Если у небольшой компании имеется клиентская база, собственные разработки либо коммерческая тайна, внедрение модели охраны является необходимым. Даже однократная утечка клиентской базы конкурентам способна привести к серьезным финансовым потерям вплоть до прекращения деятельности предприятия.