Как создать эффективную систему безопасности? Рекомендации для Заказчика — статьи на тему Монтаж систем видеонаблюдения и охраны

Основные технические решения

К основным техническим решениям относятся решения, непосредственно влияющие на функциональные свойства строящейся комплексной системы безопасности. Такие решения определяют также и максимально возможные технические характеристики системы и возможности ее расширения.

Оценка и сравнение качества примененных в предложениях основных технических решений имеет высокий приоритет при выборе Подрядчика, так как оценка стоимости различных предложений имеет смысл только в контексте схожих технических решений.

Важную роль также играет соответствие представленных технических решений современным требованиям и используемые в них технологии. Использование современных технологий и оборудования является залогом того, что разработанное решение и установленная комплексная система безопасности будет оставаться актуальной в течение ближайших лет, и не потребует существенных капиталовложений в ее обслуживание и модернизацию.

.6. Сопровождение системы защиты информации в ходе эксплуатации объекта информатизации

Обеспечение защиты информации в ходе эксплуатации объекта информатизации осуществляется в соответствии с утвержденной организационно-распорядительной, эксплуатационной документацией и требованиями нормативных документов. В частности, с пунктами 4-6 СТР-К, которые были рассмотрены в предыдущих лекциях.

Сопровождение системы защиты информации предполагает также периодический (не реже одного раза в год) контроль состояния защиты информации.

Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:

  • Положение о защите и обработке персональных данных в составе:
  • — Общие положения
  • — Основные понятия и состав персональных данных
  • — Общие принципы обработки персональных данных
  • — Порядок сбора и хранения персональных данных
  • — Процедура получения персональных данных
  • — Передача персональных данных третьим лицам
  • — Трансграничная передача персональных данных
  • — Порядок уничтожения и блокирования персональных данных
  • — Защита персональных данных
  • — Согласие на обработку персональных данных
  • — Организация доступа работников к персональным данным субъектов
  • — Организация доступа субъекту персональных данных к его персональным данным
  • — Права и обязанности оператора персональных данных
  • — Права и обязанности работников, допущенных к обработке персональных данных
  • — Права субъекта персональных данных
  • — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  • Правила рассмотрения запросов субъектов персональных данных или их представителей
  • Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
  • Форма перечня лиц, допущенных к обработке персональных данных
  • Политика в отношении обработки персональных данных
  • Приказ об определении уровня защищенности персональных данных
  • Форма акта определения уровня защищенности персональных данных
  • Правила обработки персональных данных без использования средств автоматизации
  • Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
  • Форма акта уничтожения персональных данных
  • Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
  • Форма согласия субъекта на обработку его персональных данных
  • Положение о системе видеонаблюдения
  • Форма соглашения о неразглашении персональных данных
  • Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав

Подразделения охраны объекта

Данный вопрос является особенно важным для разработки системы для промышленных предприятий и объектов коммерческой недвижимости, так как исходя из принятого решения строится вся стратегия охраны, определяется количество постов охраны и выбирается соответствующее оборудование.

Возможны три основных варианта решения данного вопроса:

  • Охрана с использованием подразделений вневедомственной охраны;
  • Охрана с использованием частной охранной фирмы;
  • Охрана с использованием собственных подразделений охраны.

Принципиальными с точки зрения построения системы безопасности – видеонаблюдения, контроля доступа, сигнализации и охраны периметра объекта — являются следующие моменты:

  • При использовании сторонних организаций и подразделений охраны обязательным является планирование системы передачи извещений на пост центрального наблюдения
  • Подразделения вневедомственной охраны предъявляют повышенные требования к технической укрепленности, которые регламентированы нормативными документами и накладывают ограничения при подборе технических средств систем безопасности
  • При привлечении частной охранной фирмы, а также организации собственных подразделений охраны, как правило, целесообразны дополнительные меры для повышения контроля работы охранников, которые, в свою очередь, влияют общую стоимость строительства системы безопасности и стоимость владения ею.

Ожидаемый состав технических средств охраны

Желательно, чтобы были указаны основные системы безопасности, которые он хотел бы установить на объекте – системы видеонаблюдения, контроля доступа, сигнализации и охраны периметра или их сочетания.

Для новых объектов строительства существует перечень систем, функционирование которых является обязательным для сдачи объекта в эксплуатацию. Этот перечень определяется назначением строящегося объекта и действующими нормами и правилами в строительстве, а также внутренними регламентирующими документами организации-собственника объекта.

Как правило, для сдачи в эксплуатацию объекта необходимо создание ряда безусловно необходимых подсистем, без которых сдача объекта в эксплуатацию невозможна, таких как система автоматической пожарной сигнализации , система речевого оповещения и оповещения о пожаре, Система автоматического пожаротушения, система охранно-тревожной сигнализации.

Внедрение системы защиты информации

Этап 3
— Внедрение системы защиты информации – организуется обладателем информации
(заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка
    документов, определяющих правила и процедуры, реализуемые оператором для
    обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации
Предлагаем ознакомиться  Разбор статей ук рф по составу преступления

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Выбор подрядчика

Правильный выбор Подрядчика является важным решением при создании системы безопасности объекта. От выбора подрядчика зависит функциональность и стоимость системы, ее соответствие установленным требованиям, сроки проведения работ и надежность полученной системы безопасности.

Самым распространенным способом выбора Подрядчика является проведение конкурса.

Способы проведения конкурса могут быть различны. Выбор способа проведения конкурса зависит от общего объема предполагаемых работ и платежеспособности Заказчика.

Самая простая схема проведения конкурса — это рассылка конкурсантам технического задания и выбор победителя исходя из полученных предложений и обоснований. Такая схема очень экономична, и оправдана при небольших или средних объемах проектных или строительно-монтажных работ, либо для предварительного формирования бюджета строительства более крупных систем.

Как создать систему безопасности значимых объектов кии?

В статье мы даем свое видение — как выполнить рекомендации закона № 187-ФЗ.

Работы по категорированию можно разде­лить на 2 части: собственно присвоение катего­рии и создание системы безопасности значимых объектов КИИ. Отметим, что хотя эта система создается в первую очередь для защиты значи­мых объектов (то есть имеющих категорию), об остальных активах забывать не стоит. Напри­мер, если у субъекта есть АСУ ТП, не имеющая категории, но подпадающая под определение «критически важный объект» из Приказа № 31 ФСТЭК, она тоже подлежит защите.

Если с первой частью все более­-менее по­нятно, то создание системы безопасности вы­зывает недоумение у многих субъектов. Ниже мы разберемся, как ее построить: уточним важные моменты, связанные с реализацией мер защиты, и укажем, на что стоит обратить особое внимание.

Система безопасности должна включать 3 блока: силы (под этим термином регулятор имеет в виду людей, далее по статье для упрощения понимания мы будем обозначать их именно так), организационно-­распорядитель­ную документацию и средства защиты инфор­мации (СЗИ).

Модель угроз безопасности пдн: пример

Предположим, что в результате оценки исходного уровня защищенности информационной системы, внутренних и внешних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации и последствий реализаций угроз безопасности ПДн, модель угроз будет содержать следующие виды угроз*:

* Перечень актуальных угроз представлен в качестве примера и не может быть использован как эталон или руководство при построении модели угроз безопасности персональных данных.

Основными источниками угроз в данном случае будут выступать:

  • внешние нарушители — внешние субъекты, находящиеся вне границ контролируемой зоны организации;
  • внутренние нарушители — сотрудники, имеющие доступ в контролируемую зону организации, но не имеющие доступа к персональным данным.

Напомним, что контролируемая зона — это территория объекта, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового доступа.

Подтверждение соответствия системы защиты информации

Этап 4
— подтверждение соответствия системы защиты информации – организуется
обладателем информации (заказчиком) или оператором. Перечень работ на этапе
4 определяется в Программе и методиках аттестационных испытаний,
разрабатываемой до их начала. Документ формируется исполнителем работ и
согласовывается с заявителем.

Общие требования к структуре и содержанию программ и
методик аттестационных испытаний на соответствие требованиям безопасности
информации, выполнение которых позволяет защитить информацию от утечки по
техническим каналам, от несанкционированного доступа и от специальных
воздействий определяются национальным стандартом ГОСТ РО
0043-004-2021
«Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

Аттестация
– комплекс организационных и технических мероприятий, в результате которых
подтверждается соответствие системы защиты информации объекта
информатизации (информационной системы) требованиям безопасности
информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация
проводится в принятых законодательством случаях для
определения соответствия системы защиты информации объекта исключительно
требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация
проводится по инициативе заявителя для определения соответствия системы
защиты информации объекта требованиям, установленным национальными
стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные)
информационные системы и их сегменты, содержащие информацию ограниченного
доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.


Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта
    информатизации (организация-лицензиат по технической защите
    конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке
    аттестации, готовятся договорные документы на оказание услуг по аттестации
    объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются
работы исполнителя по предварительному ознакомлению с аттестуемым
объектом.

Структура и содержание программы и методики аттестационных испытаний
определяется Национальным стандартом ограниченного распространения ГОСТ РО
0043-004-2021
«Защита информации. Аттестация объектов информатизации.
Программа и методики аттестационных испытаний»


Аттестуемая распределенная информационно-телекоммуникационная система

Основные документы, формируемые по результатам исполнения работ на
этапе подтверждения соответствия системы защиты информации:

Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется
переход на другую стадию жизненного цикла – стадию эксплуатации.

Полнота спецификаций

Это очень важный показатель, т.к. часто выигрывают конкурсы компании, которые «забывают» по незнанию, невнимательности или умышленно указать ряд затрат и в результате получают минимальные суммы и высокие показатели цена-качество.

В интересах Заказчика тщательно проконтролировать наличие необходимых позиций в спецификациях и при необходимости их сразу подкорректировать с конкурсантами.

Предлагаем ознакомиться  Медицинская страховка для иностранцев в России в 2021 году

Ниже перечислен список основных затрат, который должен быть учтен при составлении спецификаций в конкурсных предложениях на проектирование и строительство комплексных систем безопасности:

  • Затраты на проектные работы включая затраты на согласование;
  • Затраты на закупку оборудования, материалов, разрешений (например на пользование радиочастотами);
  • Транспортные и складские расходы;
  • Затраты на проведение строительных, монтажных и пусконаладочных работ включая затраты на аренду помещений, техники, и пр.;
  • Командировочные расходы;
  • Затраты на пользование коммунальными услугами (электроэнергия, тепло, канализация, вывоз мусора и пр.);
  • Затраты на надзор за проведением работ со стороны заинтересованных организаций (например, надзор со стороны вневедомственной охраны;
  • Затраты на поверку произведенных работ в органах надзора;
  • Затраты на выпуск исполнительной и эксплуатационной документации;
  • Затраты на гарантийное обслуживание.

Особое внимание следует обратить на полноту спецификации оборудования, которая должна включать в себя следующие основные позиции:

  • Основное системообразующее оборудование (видеокамеры, мониторы, компьютеры, извещатели, приемо-контрольные приборы, коммутаторы, программное обеспечение, считыватели, турникеты и т.д.);
  • Конструктивы для монтажа и установки оборудования (шкафы, стойки, боксы, опоры, кронштейны, ящики, панели и пр.) для размещения и подключения оборудования;
  • Кроссовое оборудование (кроссовые панели, розетки данных, шнуры);
  • Силовое оборудование, оборудование заземления и бесперебойного питания (силовые щитки, рубильники, автоматы, силовые розетки, источники питания, источники бесперебойного питания, батареи, фильтры и пр.);
  • Материалы для монтажа линий связи (кабель, кабельные каналы (короба), лотки, трубы, коробки, муфты, тросы, общие расходные материалы).

Приложения

Приложение1

  • ЗАЯВКА
  • на внесение изменений в списки пользователей
    автоматизированной системы  и наделение пользователей полномочиями доступа к ресурсам системы
  • Прошу  зарегистрировать  пользователем  (исключить  из  списка  пользователей,  изменить полномочия пользователя) АС                                                                                                               
  • (ненужное зачеркнуть)
  • (должность с указанием подразделения)
  • (фамилия имя и отчество сотрудника)
  • предоставив ему полномочия, необходимые  (лишив его полномочий,  необходимых)
  • (ненужное зачеркнуть)
  • для решения задач: ____________________________________________________________________
    (перечень задач) ____________________________________________________________ _________________________________________________________________________________________ _________________________________________________________________________________________ _________________________________________________________________________________________ ________________________________________________________________  на следующих рабочих станциях (РС): _____________________________________________________________________________________ (перечень условных наименований РС подразделения) ____________________________________________________________ ______________________________________________________________________________________________
  • ______________________________________
  •  
  • ____________________________________________________________________ (наименование заказывающего подразделения)
  •  
  • «___» _____________ 200__ г.
  •  
  • _________________________
  • (подпись)
  •  
  • _____________________________
  • (фамилия)
  • ЗАДАНИЕ
  • на внесение изменений в списки пользователей АС
  • Системным администраторам и администраторам баз данных
  • _________________________________________________
  • (фамилии и инициалы исполнителей)
    ____________________________________________________________
  • ____________________________________________________________
  • Произвести изменения в списках пользователей серверов и баз данных
  •  
  • Начальник ______ отдела (автоматизации)
  •  
  •  
  • «___» ______________ 200__ г.
  • Обратная сторона заявки
  • Присвоено имя _______________________________ и предоставлены полномочия, необходимые для решения следующих задач на следующих РС:
  • Наименование задачи (по перечню задач)
  • Системный администратор
  •  
  • _______________________________________
  • (подпись, фамилия)
  • «___» ______________ 200__ г.
  • Администратор баз данных
  •  
  • ____________________________________
  • (подпись, фамилия)
  • «___» ______________ 200__ г.

Учетную запись и начальные значения паролей получил, о порядке смены пароля при первом входе в систему  проинструктирован

  • Пользователь ______________________________________
  • (подпись, фамилия)
  • «___» ______________ 200__ года

Приложение2

на создание объекта безопасности.

Прошу создать (удалить,  изменить) служебную учетную запись (группу безопасности, почтовой рассылки) ____________________________________________________(наименование объекта безопасности)Необходимость создания объекта (удаления, изменения) безопасности обоснована: ____________________________________________________________ _________________________________________________________________________________________ _________________________________________________________________________________________ _________________________________________________________________________________________ __________________________________________________________

Изменить состав групп безопасности (почтовой рассылки)___________________________

Наименование группы

Включить/исключить в/из состав(а)

Приложение3

ПРАВИЛАРаботы с ресурсами сети Интернет.

Глобальная сеть Интернет предоставляет доступ к ресурсам различного содержания и направленности. ДИТ «ОРГАНИЗАЦИЯ» оставляет за собой право ограничивать доступ к ресурсам сети Интернет, содержание которых не имеет отношения к исполнению служебных обязанностей, а так же к ресурсам, содержание и направленность которых запрещены международным и Российским законодательством включая материалы, носящие вредоносную, угрожающую, клеветническую, непристойную информацию, а также информацию, оскорбляющую честь и достоинство других лиц, материалы, способствующие разжиганию национальной розни, подстрекающие к насилию, призывающие к совершению противоправной деятельности, в том числе разъясняющие порядок применения взрывчатых веществ и иного оружия, и т.д.При работе с ресурсами сети Интернет недопустимо:

Разработка системы защиты информации

Этап 2
— разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

Положением о лицензировании деятельности по технической защите
конфиденциальной информации, утвержденном постановлением Правительства
Российской Федерации от 3 февраля 2021 г. №79
«О лицензировании деятельности по технической защите конфиденциальной информации» с учетом
изменений, внесенных постановлением правительства российской федерации от
15 июня 2021 г. №541
«О внесении изменений в некоторые акты Правительства
Российской Федерации по вопросам лицензирования отдельных видов
деятельности» определены виды работ и услуг по технической защите
конфиденциальной информации, подлежащие обязательному лицензированию:

работы и услуги по аттестационным испытаниям и аттестации на соответствие
требованиям по защите информации, а также работы и услуги по проектированию
в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Согласно Федеральному закону от 27.12.2002 №184-ФЗ
«О техническом регулировании», оценка соответствия средств (продукции) защиты информации,
предназначенных для обеспечения безопасности государственного
информационного ресурса ограниченного доступа и персональных данных,
проводится в форме обязательной сертификации.

В зависимости от вида защищаемой информации, следует
руководствоваться Постановлением Правительства Российской Федерации от 26
июня 1995 г. №608
«Положение о сертификации средств защиты информации» —
для информации ограниченного доступа, либо Постановлением Правительства
Российской Федерации от 15 мая 2021 г. №330
«Положение об особенностях оценки соответствия продукции…» — для государственных
информационных ресурсов и персональных данных.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:

Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации.
Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации.
Правила эксплуатации средств защиты информации.
Предлагаем ознакомиться  Новые меры социальной поддержки семей с детьми, развитие малого и среднего бизнеса, продление программы туристического кешбэка и другие поручения Владимира Путина

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Формирование требований к системе защиты информации


Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление
    уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может
    привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач,
обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные
характеристики объекта и режим обработки информации:


Характеристики объекта:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление,
    сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ,
    виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в
разделе

экономических и правовых аспектов защиты информации.


Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации
— минимизировать (предотвратить) ущерб обладателю информации из-за
возможных нарушений свойств ее безопасности.

Задача защиты информации
— обеспечить необходимый уровень защищенности информации от нарушений ее
целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом,
в котором отражаются цели и задачи защиты информации, этапы и сроки
создания системы защиты информации, функционал и ответственность обладателя
информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Этапы стадии эксплуатации системы защиты информации

  • Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
  • Этап 6. Промышленная эксплуатация системы защиты информации.
  • Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 — ввод системы защиты информации
в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором
определяются должностные лица, ответственные за эксплуатацию и
сопровождение системы защиты информации: начальник объекта, системные
администраторы, администраторы информационной безопасности.

Этап 6 —
промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и
реагирование на них, управление конфигурацией объекта и его системой защиты
информации, контроль за обеспечение необходимого уровня защищенности информации.

Заявители:

  • осуществляют эксплуатацию объекта информатизации в соответствии с
    требованиями безопасности информации, а также условиями и ограничениями,
    установленными эксплуатационной документацией на систему защиты информации,
    и аттестатом соответствия;
  • извещают орган по аттестации (организацию), выдавший аттестат
    соответствия, о всех изменениях в информационных технологиях, составе и
    размещении средств и систем, условиях их эксплуатации, которые могут
    повлиять на эффективность системы защиты информации;
  • предоставляют необходимые документы и условия для осуществления контроля
    и надзора за соблюдением порядка аттестации и за эксплуатацией
    аттестованного объекта информатизации.

Органы по аттестации:

  • отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
  • проводят на договорной основе оценку эффективности средств защиты
    информации и оценку защищенности информации от несанкционированного
    доступа.


Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия
или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении
проектных решений, реализованных при создании системы защиты информации
ГИС, проводятся дополнительные аттестационные испытания в рамках
действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации,
заблаговременно, но не позднее чем за
три месяца до окончания срока действия сертификата соответствия, связывается с организацией –
первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия
сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя
продлевать сроки действия сертификата соответствия эксплуатирующая
организация
самостоятельно направляет в Федеральный орган по сертификации
(ФСТЭК России) соответствующую заявку установленного образца (не позднее,
чем за один месяц до окончания срока действия сертификата).

Этап 7
— вывод системы защиты информации из эксплуатации — осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной
информации с машинных носителей информации, уничтожение машинных носителей информации.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *