-состав, содержание и сроки проведения работ по этапам разработки и внедрения;

-перечень подрядных организаций-исполнителей видов работ;

-перечень предъявляемой заказчику научно-технической продукции и документации.

    2.3 Стадия проектирования  

       Мероприятия по защите информации от утечки по техническим  каналам относятся к основным элементам проектных решений, которые  включаются в соответствующие разделы проекта, и разрабатываются одновременно с ними. Содержание технического (техно-рабочего) проекта и эксплуатационной документации приведены ниже [7, с.62]:

-пояснительная записка с изложением решений по обеспечению ЗИ, составу средств защиты информации с указанием их соответствия требованиям ТЗ;

-описание технического, программного, информационного обеспечения и технологии обработки (передачи) информации;

-план организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;

-технический паспорт объекта информатизации (АС, ЗП);

-инструкция и руководства по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности. 

       Перечень  работ, выполняемых на стадии проектирования и создания объекта информатизации:

-разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации;

-разработка раздела технического проекта на объект информатизации в части реализации мероприятий по защите информации;

-строительно-монтажные работы, размещение и монтаж технических средств и систем;

-разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

-закупка сертифицированных образцов серийно выпускаемых защищенных технических средств, либо их сертификация;

-закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка;

-разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации (в случае необходимости);

-организация охраны и физической защиты помещений объекта информатизации разработка разрешительной системы доступа пользователей и эксплуатационного персонала к защищаемой информации;

-определение и обучение подразделений и лиц, ответственных за эксплуатацию средств защиты информации;

-разработка эксплуатационной документации на объект информатизации, средства защиты информации, и организационно-распорядительной документации по ЗИ;

    2.4 Стадия ввода в действие

 

       При вводе в эксплуатацию выполняются  необходимые мероприятия, такие  как опытная эксплуатация средств  защиты информации с другими техническими и программными средствами для проверки их работоспособности в комплексе и отработки технологического процесса обработки (передачи) информации, приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации, аттестация объекта информатизации по требованиям безопасности информации.

       При этом разрабатываются следующие  документы:

-приемо-сдаточный акт, подписываемый разработчиком (поставщиком) и заказчиком;

-акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;

-протоколы аттестационных испытаний и заключение по их результатам;

-аттестат соответствия объекта информатизации требованиям по безопасности информации;

-приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию объекта информатизации;

-приказ (указание, решение) о разрешении обработки в АС (обсуждении в ЗП) конфиденциальной информации.

       Контроль  состояния защиты конфиденциальной информации проводится службой безопасности организации не реже чем один раз  в год и федеральными и отраслевыми органами контроля не реже одного раза в два года.

       При проведении аттестации объектов информатизации и периодическом контроле состояния  защиты конфиденциальной информации организациями  могут, при необходимости, использоваться «Временные методики оценки защищенности конфиденциальной информации» [1, с.80]. При необходимости, по решению руководителя организации, могут быть проведены работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицензии или ФСБ России (ФАПСИ).

 

3 Обобщение и оценка  результатов разработки нормативных правовых документов по обеспечению информационной безопасности и организации комплексной защиты общедоступной информации и информации ограниченного доступа

    3.1 Обобщение результатов разработки  нормативно-правовых документов

 

       Создаваемая комплексная система защиты персональных данных, и конфиденциальной информации на кафедре социально-гуманитарных дисциплин и регионоведения академии ИМСИТ, обеспечивает конфиденциальность, целостность и достоверность ПДн и конфиденциальной информации и исключает несанкционированный, в том числе случайный, доступ к ПДн и конфиденциальной информации, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение ПДн или конфиденциальной информации, а также иные несанкционированные действия. 

       Безопасность  ПДн и конфиденциальной информации обеспечивается путем выполнения комплекса  организационных и технических мероприятий, реализуемых в рамках создаваемой комплексной системы защиты [2, с.144].  
Комплексная система защиты обеспечивает защищенность ПДн и конфиденциальной информации от неправомерных действий при их хранении, обработке и передаче по каналам связи. При создании комплексной системы защиты используются сертифицированные по требованиям ФСТЭК России и ФСБ России программные и аппаратные средства защиты информации. 

       Все документы, и построенная на их основе система защиты ПДн будут выполняются в соответствии с руководящими документами ФСТЭК и ФСБ России и обеспечивают: 

-аттестацию и (или) сертификацию автоматизированной системы и ИСПДн по требованиям безопасности информации. 

-достаточность принятых мер по обеспечению безопасности ПДн и конфиденциальной информации в автоматизированной системы и ИСПДн ЛПУ при проведении государственного надзора и контроля, в том числе при проведении экспертизы, осуществляемой ФСТЭК и ФСБ России.  

       Работы  по созданию системы защиты ПДн включат  следующие этапы: 

Этап 1: Проектирование системы защиты ПДн; 

Этап 2: Внедрение системы защиты ПДн; 

Этап 3: Проведение аттестации системы защиты ПДн. 

       Проектирование системы защиты Дн включит в себя: 

-обследование информационной системы ПДн (анализ информационных ресурсов, определение сведений, относящихся к персональным данным, анализ уязвимых звеньев и возможных угроз безопасности ПДн и др.) – обследование позволит в дальнейшем оптимизировать информационную систему с точки зрения защиты информации, и соответственно снизить затраты на защиту; 

-разработку внутренней нормативной документации (категорирование персональных данных, классификация информационной системы, модель угроз безопасности информационным системам персональных данных, перечень персональных данных, инструкции пользователей и др.); 

-разработку технического задания на создание системы защиты ПДн, которое содержит конкретные требования к СЗИ, выбор средств защиты, сметную стоимость системы защиты ПДн 

-проектирование системы защиты ПДн.

    3.2 Содержание работ по разработке,  внедрению и аттестации нормативно-правовой документации

 

       Содержание  работ по обследованию и разработке внутренней нормативно-правовой документации кафедры социально-гуманитарных дисциплин и регионоведения академии ИМСИТ включит следующие пункты:

1. Анализ  информационных ресурсов, определение  перечня сведений конфиденциального  характера и перечня ПДн, подлежащих  защите. Перечень включит в себя полный список информационных ресурсов, относящихся к конфиденциальной информации и ПДн, с указанием: 

-места расположения ресурса; 

-владельца ресурса; 

-ответственного за ресурс; 

-уровня конфиденциальности ресурса.  

2. Определение  угроз безопасности конфиденциальной  информации и ПДн и модели  вероятного нарушителя применительно  к конкретным условиям функционирования объекта – что должно позволить создать комплексную систему защиты информации с оптимальным (максимально необходимым) уровнем защищенности, при минимально возможных затратах.  
На данном этапе составляются модель угроз безопасности конфиденциальной информации и ПДн и модель нарушителя.

   
3. Определение условий расположения объекта информатизации относительно границ контролируемой зоны. На данном этапе составляется план территории организации, наносится контролируемая зона, наносится схема размещения элементов автоматизированной системы с указанием расстояний до границ контролируемой зоны, при необходимости составляется схема прокладки охранно-пожарной сигнализации и другие необходимые схемы.  
 
4. Определение конфигурации и топологии автоматизированной системы, системы защиты ПДн и систем связи в целом, а также их компонентов.  
На данном этапе производится определение физических, функциональных и технологических связей как внутри этих систем, так и с другими системами различного уровня и назначения, в том числе с сетями общего пользования. 

 
5. Определение  подсистем и их функций и  составление перечня подсистем  с описанием их функций. В соответствии с требованиями документа «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных», утвержденного ФСТЭК России 15 февраля 2008 года, создаваемая комплексная система защиты должна состоять из следующих подсистем: 

-подсистемы управления доступом; 

-подсистемы регистрации и учета; 

-подсистемы обеспечения целостности; 

-подсистемы криптографической защиты; 

-подсистемы антивирусной защиты; 

-подсистемы обнаружения вторжений.  

       Функции данных подсистем создаваемой комплексной  системы защиты для различных элементов МИС определяются в соответствии с характеристиками, особенностями и актуальными угрозами МИС ЛПУ, а также в соответствии с требованиями, предъявляемыми к типовым МИС при многопользовательском режиме обработки ПДн с разными правами доступа пользователей МИС и в соответствии с руководящими документами ФСТЭК России.

 
6. Обследование  технических средств и систем, общесистемного и прикладного  программного обеспечения, использующихся  и предполагаемых к использованию  в автоматизированной системе и системах связи, анализ их технических и эксплуатационных характеристик, условий расположения.  
Данный этап включает в себя: 

-изучение аппаратного обеспечения серверов, рабочих станций и активного сетевого оборудования и условий расположения; 

-определение системного программного обеспечения серверов и рабочих станций; 

-определение прикладного программного обеспечения серверов и рабочих станций; 

-определение используемых средств защиты информации; 

-анализ настроек системного и прикладного обеспечения, с точки зрения безопасности информации (выявление уязвимостей) и соответствия бизнес-процессам. 

7. Определение  режимов обработки информации, конфиденциальной  информации и ПДн в автоматизированной  системе в целом и в отдельных  компонентах. 
На данном этапе определяются: