Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx
Добавлен: 26.10.2023
Просмотров: 2290
Скачиваний: 211
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
В учреждении отсутствуют необходимое контрольно-измерительное оборудование. У учреждения нет лицензий на деятельность по защите конфиденциальной информации.
В связи с большим объемом работ монтажных и пуско-наладочных, приемо-сдаточных и контрольных испытаний целесообразно привлечение сотрудников специализированной организации, имеющей лицензии на деятельность по технической защите персональных данных.
12. Оценка материальных, трудовых и финансовых затрат на разработку и внедрение ТСЗИ
Ориентировочная стоимость предлагаемых к использованию сертифицированных средств защиты информации представлена в таблице 11.
Таблица 11 Ориентировочная стоимость предлагаемых технических средств
| № п/п | Продукт | Примерная стоимость, руб |
| 1 | Средство защиты от несанкционированного доступа на 3 рабочих места | 71 000,0 |
| 2 | Средство анализа защищенности | 23 500,0 |
| 3 | Средство межсетевого экранирования и криптографической защиты | 89 500,0 |
| | ИТОГО, руб. | 184 000,0 |
К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты сторонних организаций, специализирующихся на защиты информации. Расчет стоимости работ по установке СЗИ приведен в таблице 12
Таблица 12 – затраты работа на установку и настройки СрЗИ
| № п/п | Продукт | Примерная стоимость, руб |
| 1 | Установка и настройка средств защиты от несанкционированного доступа на 3 рабочих места 1 сервер | 5 000,0 |
| 2 | Установка и настройка средства анализа защищенности | 5 000,0 |
| 3 | Установка и настройка средства межсетевого экранирования и криптографической защиты | 10 000,0 |
| ИТОГО, руб. | 20 000,0 | |
Затраты на установку и настройку средств защиты информации специалистами.
К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты организации, специализирующихся на защиты информации.
Проведение испытаний системы защиты ИСПДн сопровождается выдачей документа, подтверждающего соответствие принятых мер защиты в соответствии с классом ИСПДн.
Проведение работ по оценке соответствия требованиям руководящих документов по защите ПДн в ИСПДн может проводить организация, имеющая лицензию на право проведения работ по защиты конфиденциальной информации. Стоимость работ приведена в таблице 12.
Таблица 12 – Перечень работ по аттестации информационной систем
| Продукт | Кол-во | Цена розничная, 1 шт., руб. | Общая стоимость, руб. | |
| Предварительное обследование ИСПДн (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств) | 1 | 20 000,0 | 20 000,0 | |
| Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации. | 1 | 10 000,0 | 10 000,0 | |
| Анализ организационной структуры ИС и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ. | 1 | 10 000,0 | 10 000,0 | |
| Разработка программы и методик аттестационных испытаний | 1 | 15 000,0 | 15 000,0 | |
| Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИСПДн, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИСПДн. | 1 | 20 000,0 | 20 000,0 | |
| Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИСПДн (за 1 АРМ) | 3 | 2 500,0 | 7 500,0 | |
| Контрольные испытания ИСПДн на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена | 3 | 1 500,0 | 4 500,0 | |
| Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия | 1 | 20 000,0 | 20 000,00 | |
| ИТОГО, руб. | 137 000,00 | |||
13. Ориентировочные сроки разработки и внедрения ТСЗИ
Предпроектная стадия – разработка технического (частного технического) задания на создание системы защиты ИСПДн в течение десяти дней.
Стадия проектирования – разработка проектов, включающая разработку технического проекта СЗИ в составе ИСПДн в течение двадцати дней.
Стадия ввода в действие СЗИ – включает установку, настройку, опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации в течение тридцати дней
14. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации
1) Организация работ по созданию и эксплуатации объектов информатизации и их системы защиты информации определены в разрабатываемом «Положении о порядке организации и проведении работ по защите конфиденциальной информации» или в приложении «К руководству по защите информации от утечки по техническим каналам на объекте» и должна предусматривать:
-
Порядок определения защищаемой информации; -
Порядок привлечения подразделений организации, специализированных сторонних организаций, разработки и эксплуатации объектов информатизации и системы защиты информации, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации; -
Порядок взаимодействия всех занятых в этой работе организаций подразделений и специалистов; -
Порядок разработки ввода в действие и эксплуатацию объектов информатизации; -
Ответственность должностных лиц за своевременность и качество формирования требований по защите информации, а качество и научно-технический уровень разработки системы защиты информации.
2) Выполняемые работы на предпроектной стадии по обследованию объекта информатизации
На предпроектной стадии по обследованию объекта информатизации выполняются следующие мероприятия:
-
Установление необходимости обработки (обсуждения) конфиденциальной информации на данном объекте информатизации; -
Определяется перечень сведений конфиденциального характера подлежащих защите; -
Определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта; -
Определяются условия расположения объекта информатизации относительно границ контролируемой зоны; -
Определяются конфигурация и топология автоматизированной системы и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения; -
Определяются технические средства и системы, предполагаемые к использованию в разработанной автоматизированной системе и в системах связи, темные и прикладные программы средств, имеющиеся на рынке и предполагаемые к разработке; -
Определяются режимы обработки информации в автоматизированных системах в целом и в отдельных компонентах; -
Определяется класс защищенности в автоматизированной системе; -
Определяется степень участия персонала в обработке (обсуждении, передачи, хранении) информации, характер их взаимодействия между собой и со службой безопасности; -
Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.
3) Содержание аналитического обоснования необходимости создания системы защиты информации
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты информации.
На основе действующих нормативно-методических документов по технической защите конфиденциальной информации с учетом установленного класса защищенности автоматизированной системы задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку системы защиты информации.
Предпроектное обследование в части касающейся определения защищаемой информации должно базироваться на документально оформленного перечня сведений конфиденциального характера составленного заказчиком объекта информатизации и утверждается руководителями организации-заказчика.
Аналитическое обоснование необходимости создания системы защиты информации должно содержать: