Настал замечательный и долгожданный момент получения Аттестата соответствия по требованиям защиты информации на вашу информационную систему. Тома организационно-распорядительной документации сложены в шкафу. Аттестат соответствия, который выдается на весь срок эксплуатации информационной системы, расположен на самом видном месте в кабинете директора по информационной безопасности. Оператор (обладатель информации) в ходе эксплуатации информационной системы должен обеспечивать поддержку соответствия системы защиты информации аттестату соответствия. В вашем распоряжении множество средств защиты информации, которые охраняют конфиденциальную информацию, в том числе персональные данные.
Ввод в действие информационной системы
Ввод в действие информационной системы осуществляется в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации и с учетом ГОСТ 34.601 и при наличии аттестата соответствия. Утвердите акт ввода информационной системы в эксплуатацию.
Планируйте мероприятия по защите информации
Определите лиц, ответственных за планирование и контроль мероприятий по защите информации в информационной системе, ответственных за выявление инцидентов и реагирование на них, разработайте и утвердите план мероприятий по защите информации в информационной системе. Определите порядок контроля за выполнением мероприятий по обеспечению защиты информации в информационной системе. План мероприятий по защите информации в государственной информационной системе утверждается вместе с правовым актом органа исполнительной власти о вводе информационной системы в эксплуатацию.
Проводите анализ угроз безопасности информации
Проводите выявление, анализ и устранение уязвимостей информационной системы. Как правило, производители программного обеспечения и средств защиты информации публикуют информацию об уязвимостях в используемом в программном и аппаратном обеспечении.
Для анализа изменения угроз безопасности информации и оценки возможных последствий реализации угроз безопасности информации в информационной системе ФСТЭК России разработал банк данных угроз. Национальный координационный центр по компьютерным инцидентам актуализирует собственную базу данных уязвимостей.
События информационной безопасности требуют постоянного внимания
Работоспособность средств защиты информации обеспечивается постоянным контролем их функционирования. Определите лиц, ответственных за управление (администрирование) системой защиты информации информационной системы, учетными записями пользователей и поддержание в актуальном состоянии правил разграничения доступа в информационной системе, управление средствами защиты информации информационной системы.
Единый интерфейс контроля средств защиты информации обеспечивается не всеми производителями. Создать Систему управления событиями информационной безопасности (далее - SIEM) может не каждый оператор. Рекомендуется настроить информирование о событиях информационной безопасности (далее - ИБ) на почтовый адрес, выделенный для целей защиты информации. Если сотрудник, ответственный за конкретное средство защиты, увольняется или отправляется в отпуск, перераспределите его зоны ответственности.
Организация обучения персонала
Доведите до персонала требования по защите информации, а также положения организационно-распорядительных документов по защите информации с учетом внесенных в них изменений. Обучайте персонал информационной системы правилам эксплуатации отдельных средств защиты информации, а также проводите занятия и тренировки с персоналом информационной системы по блокированию угроз безопасности информации и реагированию на инциденты. Для государственных информационных систем проведение практических занятий и тренировок с персоналом, мероприятий по обучению персонала и контролю осведомленности персонала информационной системы проводятся не реже 1 раза в два года.
Контроль за обеспечением уровня защищенности информации
Владелец аттестованного объекта информатизации обеспечивает поддержку его безопасности в соответствии с аттестатом соответствия путем реализации требований по защите информации в ходе эксплуатации аттестованного объекта информатизации и проведения периодического контроля уровня защиты информации на аттестованном объекте информатизации, результаты которого оформляются протоколами и отражаются в техническом паспорте на объект информатизации.
Анализ и оценка функционирования информационной системы и ее системы защиты информации, включая анализ и устранение уязвимостей и иных недостатков в функционировании системы защиты информации информационной системы. Документирование процедур и результатов контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе проводится на основании программ и методик аттестационных испытаний. По результатам контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе, принимается решения о необходимости доработки (модернизации) системы защиты информации. Контроль за обеспечением уровня защищенности информации, содержащейся в информационной системе, проводится оператором самостоятельно и (или) с привлечением организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.
Для государственных информационных систем периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе 1 класса защищенности - не реже одного раза в год. Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационных системах 2 и 3 классов защищенности - не реже одного раза в два года.
Информирование ФСТЭК России
Протоколы контроля уровня защиты информации на аттестованном объекте
информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). Непредставление протоколов уровня защиты информации в срок грозит приостановлением действия аттестата соответствия.
Планируйте бюджет на лицензии
Бесперебойная работа средств защиты информации гарантируется производителем при наличии действующей лицензии (права на использование). Многие производители при возникновении технических проблем при работе со средствами защиты информации требуют наличия действующего сертификата технической поддержки. Учитывайте, что бесплатное обновление на новые версии средств защиты информации предоставляется при покупке программных продуктов и только на один год.
Статья была? Не забудьте поставить "палец вверх" и подписаться на канал!
Посмотрите так же вредные советы про защиту информации
