Создание и внедрение системы защиты информации для организации, аттестация СЗИ по 21 приказу ФСТЭК
Введение
В наши дни защита информации является критически важным аспектом в любой сфере деятельности, будь то бизнес, правительство, медицина, образование или личная жизнь. Средства защиты информации (далее - СЗИ) играют ключевую роль в защите конфиденциальной информации, а также в обеспечении безопасности компьютерных систем и сетей.Средства защиты информации включают в себя программное, аппаратное и программно-аппаратное обеспечение, которые обеспечивают конфиденциальность, целостность и доступность данных. Кроме того, эти средства могут предотвращать взломы, атаки злоумышленников, внедрение и использование вирусов, вредоносное программное обеспечение (далее - ПО) и другие угрозы безопасности информации.Бизнес-сектор в особенности зависит от безопасности информации, так как утечка конфиденциальных данных может привести к серьезным финансовым потерям, юридическим проблемам и утрате доверия со стороны клиентов.
Содержание
Введение
Глава 1. Обзор предметной области
1 Назначение информационной системы
2 Состав информационной системы
3 Принципы построения системы защиты информации
4 Определение класса защищенности информационной системы
5 Очередность создания системы защиты информации
6 Выбор мер защиты информации
Вывод по первой главе
Глава 2. Создание и внедрение системы защиты информации
1 Анализ требований к системе защиты информации
1.1 Общие требования
1.2 Требования к структуре и функционированию системы защиты информации информационной системы
2 Разработка архитектуры системы защиты информации
2.1 Обследование объекта информатизации
2.2 Модель угроз и модель нарушителя объекта информатизации
2.3 Классификация объекта информатизации
3 Внедрение системы защиты информации в информационную систему Организации
3.1 Основные технические решения
3.2 Описание построения системы защиты информации от несанкционированного доступа
3.3 Описание построения системы антивирусной защиты
3.4 Описание системы защиты межсетевого экранирования и криптографической защиты информации
Вывод по второй главе
Глава 3. Аттестация информационной системы по требованиям 21 приказа федеральной службы по техническому и экспортному контролю
1 Подготовка к аттестации системы защиты информации
2Проведение аттестации информационной системы
2.1 Условия проведения аттестационных испытаний
2.2 Основные методы испытаний
2.3 Проверка полноты исходных данных
2.4 Итоги проведения проверки
Вывод по третьей главе
Глава 4. Экономический раздел
1 Введение
2 Организация работ при разработке пособия
3Расчет продолжительности работ
4 Расчет затрат на оплату труда
5 Расчет затрат на материалы
6 Расчет амортизационных и прочих расходов
Вывод экономического раздела:
Заключение
Список используемых источников
Список используемых источников
Указ Президента РФ от 01.05.2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации» [Электронный ресурс]. - URL: https://www.garant.ru/products/ipo/prime/doc/404461984/ (дата обращения 03.04.2023).
Требования к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 01.11.2012 г. № 1119) [Электронный ресурс]. - URL: https://base.garant.ru/70252506/ (дата обращения 03.04.2023).
Реестр Российского программного обеспечения [Электронный ресурс]. - URL: https://reestr.digital.gov.ru/ (дата обращения 12.04.2023).
Приказ Федеральной службы по техническому и экспортному контролю от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. - URL: https://fstec.ru/normotvorcheskaya/akty/53-prikazy/691-prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения 17.04.2023).
Методический документ «Методика оценки угроз безопасности информации» (утв. Федеральной службой по техническому и экспортному контролю 05.04.2021 г.) [Электронный ресурс]. - URL: https://www.garant.ru/products/ipo/prime/doc/400325044/ (дата обращения 24.04.2023).
Федеральный закон «О техническом регулировании» от 27.12.2002 № 184-ФЗ [Электронный ресурс]. - URL: https://base.garant.ru/12129354/ (дата обращения 01.05.2023).
Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ [Электронный ресурс]. - URL: https://base.garant.ru/12148567/ (дата обращения 03.05.2023).
Банк данных угроз безопасности информации [Электронный ресурс]. - URL: https://bdu.fstec.ru/threat (дата обращения 03.05.2023).
Создаваемая СиЗИ ИС должна обеспечивать нейтрализацию всех актуальных угроз безопасности информации, выявленных в ходе моделирования угроз.Поставляемое в ходе создания СиЗИ программное обеспечение должно находиться в «Едином реестре российских программ для электронных вычислительных машин и баз данных» [3].СиЗИ ИС должна представлять собой совокупность технических и программных СЗИ и средств контроля эффективности защиты информации.СиЗИ ИС должна:обеспечивать блокирование (нейтрализацию) угроз безопасности информации;учитывать организационные и юридические аспекты защиты информации;иметь подтверждение соответствия требованиям по защите информации (должна быть аттестована в соответствии с приказом ФСТЭК России от 18.02.2013 № 21 (ред. от 14.05.2020) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [4]);проходить периодический внутренний и внешний контроль состояния защиты информации.СиЗИ ИС должна включать в себя организационные и технические меры, определенные с учетом актуальных угроз безопасности информации и информационных технологий, используемых в ИС.СиЗИ ИС должна быть разработана с учетом возможности реализации требований по защите обрабатываемой информации при использовании в ИС методов и программно-аппаратных средств организации сетевого взаимодействия.