Обеспечение информационной безопасности ГИС | Требования и особенности

ГИС — государственные информационные системы, которых в РФ существует более 100 разновидностей. Любая организация, работающая с ГИС обязана выполнять определенные требования к обеспечению безопасности информации. К разным ГИС предъявляются разные требования по безопасности, установленные законодательством РФ. Если организация не выполняет установленные требования, она может понести административную ответственность.

Если какая-либо организация подключена к ГИС, и является сегментом этой ГИС, то в соответствии с нормативно-правовыми актами сегмент ГИС подлежит аттестации, а также предписывается использовать для защиты информации исключительно сертифицированные средства защиты информации.

Иногда на практике бывает неясно является ли какая-либо конкретная система ГИС или нет, а это значит, что порой сложно понять, насколько высокой должна быть степень защиты информационных данных.

Особенности обеспечения информационной безопасности ГИС

Любая организация, работающая с ГИС, должна выполнить некоторые важные действия:

·         Классификация системы и определение возможных угроз и уязвимостей безопасности информации. Определение возможных угроз безопасности осуществляется в несколько этапов:

-        оценка потенциального нарушителя;

-        исследование возможных уязвимостей;

-        оценивание возможных последствий от различных нарушений;

-        формирование предположений о возможных сценариях реализации угроз безопасности информации.

·         Формирование требований к информационной системе. Требования к системе обязательно должны содержать:

-        цели и задачи, которые должна выполнять система защиты информации;

-        уровень /класс защищенности системы;

-        различную документацию, которой должна соответствовать система;

-        требования к средствам защиты информации.

·         Разработка наиболее эффективного метода для защиты данных. Для этого необходимо:

-        спроектировать продуманную систему обеспечения информационной безопасности ГИС;

-        разработать необходимую организационно-распорядительную и эксплуатационную документацию.

·         Внедрение системы защиты. Данный этап включает в себя:

-        установку и настройку различных средств защиты информации;

-        внедрение различных организационных мер;

-        испытание системы;

-        проверку системы на уязвимость.

·         Проведение аттестации. Заключительный этап включает в себя:

-        проведение аттестационных испытаний;

-        получение аттестата соответствия.