Обеспечение информационной безопасности ГИС | Требования и особенности
ГИС — государственные информационные системы, которых в РФ существует более 100 разновидностей. Любая организация, работающая с ГИС обязана выполнять определенные требования к обеспечению безопасности информации. К разным ГИС предъявляются разные требования по безопасности, установленные законодательством РФ. Если организация не выполняет установленные требования, она может понести административную ответственность.
Если какая-либо организация подключена к ГИС, и является сегментом этой ГИС, то в соответствии с нормативно-правовыми актами сегмент ГИС подлежит аттестации, а также предписывается использовать для защиты информации исключительно сертифицированные средства защиты информации.
Иногда на практике бывает неясно является ли какая-либо конкретная система ГИС или нет, а это значит, что порой сложно понять, насколько высокой должна быть степень защиты информационных данных.
Особенности обеспечения информационной безопасности ГИС
Любая организация, работающая с ГИС, должна выполнить некоторые важные действия:
· Классификация системы и определение возможных угроз и уязвимостей безопасности информации. Определение возможных угроз безопасности осуществляется в несколько этапов:
- оценка потенциального нарушителя;
- исследование возможных уязвимостей;
- оценивание возможных последствий от различных нарушений;
- формирование предположений о возможных сценариях реализации угроз безопасности информации.
· Формирование требований к информационной системе. Требования к системе обязательно должны содержать:
- цели и задачи, которые должна выполнять система защиты информации;
- уровень /класс защищенности системы;
- различную документацию, которой должна соответствовать система;
- требования к средствам защиты информации.
· Разработка наиболее эффективного метода для защиты данных. Для этого необходимо:
- спроектировать продуманную систему обеспечения информационной безопасности ГИС;
- разработать необходимую организационно-распорядительную и эксплуатационную документацию.
· Внедрение системы защиты. Данный этап включает в себя:
- установку и настройку различных средств защиты информации;
- внедрение различных организационных мер;
- испытание системы;
- проверку системы на уязвимость.
· Проведение аттестации. Заключительный этап включает в себя:
- проведение аттестационных испытаний;
- получение аттестата соответствия.