Создание систем защиты информационных систем и их аттестация по требования безопасности информации
Формирование требований к защите информации, содержащейся в информационной системе включает:
Разработка системы защиты информации информационной системы включает:
Внедрение системы защиты информации информационной системы включает:
- принятие решения о необходимости защиты информации, содержащейся в информационной системе;
- классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
- определение требований к системе защиты информации информационной системы.
- проектирование системы защиты информации информационной системы;
- разработку эксплуатационной документации на систему защиты информации информационной системы;
- макетирование и тестирование системы защиты информации информационной системы (при необходимости).
Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
- установку и настройку средств защиты информации в информационной системе;
- разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);
- внедрение организационных мер защиты информации;
- предварительные испытания системы защиты информации информационной системы;
- опытную эксплуатацию системы защиты информации информационной системы;
- анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
- приемочные испытания системы защиты информации информационной системы.
Обеспечение безопасности информации при их автоматизированной обработке включает в себя выполнение комплекса организационных и технических мероприятий (применения технических средств), в рамках системы (подсистемы) защиты информации, развертываемой в информационной системе в процессе ее создания или модернизации. Обоснование комплекса мероприятий и требований по обеспечению безопасности проводится с учетом результатов оценки опасности угроз и определения уровня защищенности информации в соответствии с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти.
Данные работы имеют право выполнять только лицензиаты ФСТЭК России и ФСБ России.