Создание систем защиты информационных систем и их аттестация по требования безопасности информации

Формирование требований к защите информации, содержащейся в информационной системе включает:

Разработка системы защиты информации информационной системы включает:

Внедрение системы защиты информации информационной системы включает:

- принятие решения о необходимости защиты информации, содержащейся в информационной системе;

- классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);

- определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;

- определение требований к системе защиты информации информационной системы.

- проектирование системы защиты информации информационной системы;

- разработку эксплуатационной документации на систему защиты информации информационной системы;

- макетирование и тестирование системы защиты информации информационной системы (при необходимости).

Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.

- установку и настройку средств защиты информации в информационной системе;

- разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации (далее - организационно-распорядительные документы по защите информации);

- внедрение организационных мер защиты информации;

- предварительные испытания системы защиты информации информационной системы;

- опытную эксплуатацию системы защиты информации информационной системы;

- анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

- приемочные испытания системы защиты информации информационной системы.

Обеспечение безопасности информации при их автоматизированной обработке включает в себя  выполнение комплекса организационных и технических мероприятий (применения технических средств), в рамках системы (подсистемы) защиты информации, развертываемой в информационной системе  в процессе ее создания или модернизации. Обоснование комплекса мероприятий и требований по обеспечению безопасности проводится с учетом результатов оценки опасности угроз и определения уровня защищенности информации в соответствии  с нормативными и методическими документами уполномоченных федеральных органов исполнительной власти. 

Данные работы имеют право выполнять только лицензиаты ФСТЭК России и ФСБ России.