Про информационную безопасность

Информационная безопасность является одним из приоритетных направлений деятельности ГИАЦ Минобразования. Основой стратегии в этом направлении является создание комплексных решений для государственных организаций, подведомственных Министерству образования, а также подразделений и филиалов, входящих в их структуру, участие в подготовке нормативной базы для аттестации систем безопасности организаций, участие в национальных программах.

Проектирование системы защиты информации, включающее

• классификацию обрабатываемой информации;
• анализ организационной структуры информационной системы и информационных потоков;
• присвоение информационной системе класса типового объекта информатизации в порядке, установленном СТБ 34.101.30;
• определение требований к системе защиты информации в задании по безопасности на или в техническом задании;
• разработка частного технического задания на систему защиты информации (при необходимости);
• разработка задания по безопасности объекта защиты.

Создание системы защиты информации, включающее в себя следующие этапы

• разработка организационной и функциональной структуры системы защиты информации;
• разработка политики безопасности и необходимых организационных документов по обеспечению безопасности объекта защиты;
• разработка проектной документации на систему защиты информации;
• реализация системы защиты информации на объекте защиты и в его среде;
• разработка программы и методики испытаний объекта защиты на соответствие требованиям безопасности;
• проведение испытаний системы защиты информации;
• доработка системы защиты информации по результатам испытаний и ввод ее в опытную эксплуатацию;
• доработка системы защиты информации по результатам опытной эксплуатации и внесение необходимых изменений в документацию;
• оценка задания по безопасности;
• проведение приемо-сдаточных испытаний системы защиты информации;
• подготовка пакета документов на систему защиты информации и объект защиты для аттестации.

Список мероприятий, которые выполняются при проведении аттестации системы защиты информации

• анализ исходных данных по аттестуемой системе защиты информации;
• разработка программы аттестации;
• предварительное ознакомление с информационной системой и системой защиты информации;
• проведение обследования информационной системы и системы защиты информации;
• анализ состава и структуры комплекса технических средств и программного обеспечения информационной системы, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения системы защиты информации;
• анализ разработанной документации по защите информации на соответствие требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов;
• проведение испытаний средств защиты информации и оценка системы защиты информации в реальных условиях эксплуатации информационной системы (проводится аккредитованной независимой испытательной лабораторией компании Ih5A или аккредитованной лабораторией третьей стороны);
• проверку отсутствия либо невозможности использования нарушителем свойств программного обеспечения и (или) технических средств информационной системы (в том числе средств защиты информации), которые могут быть случайно инициированы (активированы) или умышленно использованы для нарушения информационной безопасности системы и сведения о которых подтверждены производителями (разработчиками) этого программного обеспечения и технических средств;
• анализ результатов испытаний средств защиты информации и системы защиты информации, принятие решения о выдаче аттестата соответствия;
• выдача аттестата соответствия.

Разработка документации в области информационной безопасности

• разработка документации по информационной безопасности, включая концепцию, политику информационной безопасности, инструкции, регламенты и другие организационно-распорядительные документы.