Наш очередной кейс работы по созданию системы защиты информации государственной информационной системы.
Заказчик - государственное бюджетное учреждение Ростовской области «Центр информационного обеспечения градостроительной деятельности» (ГБУ РО «ЦИОГД»).
Цели, задачи проекта
Цель - реализация набора технических решений, выполнение ряда организационных и распорядительных мер, проведение аттестационных мероприятий для построения системы защиты информации в соответствии с законодательством РФ.
Задачи, установленные заказчиком:
- установка и настройка необходимых средств защиты информации, в том числе и средств криптографической защиты информации;
- разработка эксплуатационной документации на средства защиты информации в информационных системах заказчика;
- разграничение прав доступа для авторизации пользователей через сеть Интернет и через закрытый сегмент государственной информационной системы обеспечения градостроительной деятельности Ростовской области (ГИСОГД РО);
- разграничение прав доступа для авторизации пользователей в системах защиты информации;
- перенос из действующей базы данных информации в сертифицированную СУБД;
- выделение необходимых сегментов в системах защиты информации;
- аттестация ГИСОГД РО по требованиям безопасности информации.
Модернизация инфраструктуры ГИСОГД РО
Государственная информационная система обеспечения градостроительной деятельности Ростовской области является современной, удобной и технически развитой информационной системой. Она предполагает двухуровневую сквозную автоматизацию исполнения полномочий в сфере градостроительной деятельности для инстанций государственного и местного уровней. Также в системе предусмотрена возможность интеграции с Единым порталом государственных и муниципальных услуг.
По своей архитектуре представляет собой клиент-серверную систему, работа пользователей с которой осуществляются через сеть Интернет.
В ходе оказания услуг инфраструктура системы модернизирована в соответствии с составом сегментов:
- серверный сегмент, расположенный на базе отказоустойчивой облачной платформы в виртуальном центре обработки данных с выделением открытой части веб-сервера в зону DMZ (демилитаризованную зону);
- сегмент управления системой;
- сегмент центра обработки данных.
Подсистема обеспечения ИБ
Частое явление – сложные проекты и есть самые интересные. В этом кейсе бесценный опыт был в создании подсистемы обеспечения информационной безопасности. Работы по этому направлению включали в себя:
1. Создание технического проекта подсистемы:
- проектирование;
- разработка эксплуатационной документации.
2. Внедрение:
- установка и настройка средств защиты информации;
- внедрение организационных мер защиты информации;
- предварительные испытания подсистемы;
- опытная эксплуатация подсистемы;
- анализ уязвимостей информационной системы заказчика и принятие мер защиты информации по их устранению;
- приемочные испытания подсистемы.
3. Оценка защищенности информационной системы в соответствии с приказом ФСТЭК № 17 от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и ввод средств защиты в действие.
Все этапы по созданию подсистемы обеспечения информационной безопасности сопровождались разработкой соответствующей документации.
Заключение
На основании результатов испытаний, заказчику выдан аттестат о том, что система соответствует требованиям защиты информации, предъявляемым к государственным информационным системам третьего класса защищенности и четвертого уровня защищенности персональных данных. Все вновь внедренные средства защиты работают в штатном режиме.
Главная цель – выполнить требования законодательства в части защиты информации и аккуратно ввести в работу подсистему информационной безопасности без нарушения работы основной системы – достигнута.
Источнник https://rcngroup.ru/blog/kejs-attestacija-oblastnoj-gradostroitelnoj-gis/