|
Меры по защите информации на объекте информатизации. Использование средств защиты информации. Реестр ФСТЭК России
Меры по защите информации на объекте информатизации. Использование средств защиты информации. Реестр ФСТЭК России.
Цель: получение навыка формирования оптимального набора мер по защите информации на объекте информатизации и использования реестра сертифицированных средств защиты информации.
Защита информации, обрабатываемой на объекте информатизации, является составной частью работ по созданию и эксплуатации объекта информатизации и должна обеспечиваться на всех стадиях жизненного цикла: от создания до вывода из эксплуатации с учетом требований нормативно-правовых актов и методических документов уполномоченных федеральных органов исполнительной власти и национальных стандартов в области защиты информации. Защита информации осуществляется путем принятия организационных и технических мер по защите информации, направленных на блокирование (нейтрализацию) угроз безопасности информации.
Организационные и технические меры по защите информации должны быть направлены на исключение:
- неправомерного доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
- неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
- неправомерного блокирования информации (обеспечение доступности информации).
На основании методического документа "Меры защиты информации в государственных информационных системах", утвержденного ФСТЭК России 11.02.2014, выбор мер защиты информации осуществляется исходя из класса защищенности автоматизированной системы и угроз безопасности информации, включенных в модель угроз, а также с учетом структурно-функциональных характеристик объекта информатизации, к которым относятся структура и состав объекта информатизации, физические, логические, функциональные и технологические взаимосвязи между элементами объекта информатизации, либо его сегментами, взаимосвязи с другими объектами информатизации и информационными системами, а также информационно - телекоммуникационными сетями, режимы обработки информации на объекте информатизации, применяемые информационные технологии и особенности его функционирования. Меры защиты информации, выбираемые для реализации, должны обеспечивать блокирование одной или нескольких угроз безопасности информации, включенных в модель угроз безопасности информации.
Выбор мер защиты информации для их реализации в государственной информационной системе включает:
- Определение базового набора мер защиты информации для установленного класса защищенности информационной системы.
- Адаптацию базового набора мер защиты информации применительно к структурно-функциональным характеристикам информационной системы, информационным технологиям, особенностям функционирования информационной системы.
- Уточнение адаптированного базового набора мер защиты информации с учетом не выбранных ранее мер защиты информации для блокирования (нейтрализации) всех угроз безопасности информации, включенных в модель угроз безопасности информации.
- Дополнение уточненного адаптированного базового набора мер защиты информации мерами, обеспечивающими выполнение требований о защите информации, установленными иными нормативными правовыми актами в области защиты информации, в том числе в области защиты персональных данных.
При невозможности реализации в государственной информационной системе в рамках ее системы защиты информации отдельных выбранных мер по защите информации на этапах адаптации базового набора мер защиты информации или уточнения адаптированного базового набора мер защиты информации могут разрабатываться иные (компенсирующие) меры защиты информации, обеспечивающие адекватное блокирование (нейтрализацию) угроз безопасности информации, что определено в методическом документе "Меры защиты информации в государственных информационных системах", утвержденном ФСТЭК России 11.02.2014.