Файл: 6 Разработка аналитического обоснования необходимости создания системы защиты информации на объекте информатизации.docx

№ п/п	Продукт	Примерная стоимость, рублей
	Средство защиты от несанкционированного доступа на рабочих мест	54 725,00
	Средство анализа защищенности	30 000,00
	Средство межсетевого экранирования и криптографической защиты	233800,00

К установке и настройке средств защиты информации могут привлекаться специалисты по защиты информации оператора, разработчики информационной системы и специалисты сторонних организаций, специализирующихся на защиты информации.

Проведение испытаний системы защиты ИС сопровождается выдачей документа, подтверждающего соответствие принятых мер защиты в соответствии с классом ИС.

Проведение работ по оценке соответствия требованиям руководящих документов по защите информации в ИС может проводить организация, имеющая лицензию на право проведения работ по защиты конфиденциальной информации.
Перечень работ по аттестации информационной системы

№ п/п	Продукт	Кол-во	Цена розничная, 1 шт., рублей	Общая стоимость, рублей
	Предварительное обследование ИС (изучение технологического процесса обработки и хранения защищаемой информации, анализ информационных потоков, определение состава использованных для обработки персональных данных средств).	1	22000,00	22000,00
	Анализ исходных данных, необходимых для изучения и анализа циркулирующей информации.	1	12000,00	12000,00
	Анализ организационной структуры ИС и условий ее эксплуатации, фиксация состава технических средств, входящих в аттестуемый объект, системы ЗИ на объекте, разработанной документации и её соответствия требованиям нормативной документации по ЗИ.	1	12000,00	12000,00
	Разработка программы и методик аттестационных испытаний	1	15000,00	15000,00
	Проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности классификации ИС, оценка уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации в ИС.	1	21000,00	21000,00
	Комплексные испытания на соответствие требованиям по защите от несанкционированного доступа (НСД) к информации, обрабатываемой в ИС (за 1 АРМ)	11	2700,00	29700,00
	Контрольные испытания ИС на соответствие требованиям по защите информации от несанкционированного доступа в соответствии с определенным классом защищенности от НСД для межсетевого обмена	11	1500,00	16500,00
	Подготовка отчетной документации (протоколы испытания и заключения по результатам аттестационных испытаний, аттестат соответствия)	1	17000,00	17000,00

---

Предпроектная стадия – разработка технического (частного технического) задания на создание системы защиты ИС в течение десяти дней.

Стадия проектирования – разработка проектов, включающая разработку технического проекта СЗИ в составе ИС в течение двадцати дней.

Стадия ввода в действие СЗИ – включает установку, настройку, опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации в течение тридцати дней
14. Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации
Таким образом, в отношении персональных данных, обрабатываемых в ИСПДн «Кадры» ЗАО «Солнышко»», актуальными являются следующие угрозы безопасности¹⁷:

1. Угрозы несанкционированной модификации защищаемой информации

2. Угрозы внесения несанкционированных изменений в прикладное ПО

3. Угрозы сбора информации защищаемой системы

4. Угрозы ошибочных действий


Экспертная группа:

Начальник отдела ИБ ЗАО «Солнышко» Семенов С.С.

Начальник отдела аудита ФГУП «НПП «Бэтта» Васильев Р.А.

Ведущий специалист по ТЗИ ФГУП «НПП «Бэтта» Петров В.И.


1 Согласно Постановлению Правительства РФ №1119 для ИСПДн различают угрозы трех типов:
Угрозы 1 типа - связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2 типа - связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3 типа - не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Согласно руководящему документу «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей» (Гостехкомиссия России, 1999), недекларированные возможности

---

 – это функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.


2Категории обрабатываемых персональных данных (ПДн), подразделяются на 4 группы:

1 группа — специальные категории ПДн, к которым относятся информация о национальной и расовой принадлежности субъекта, о религиозных, философских либо политических убеждениях, информацию о здоровье и интимной жизни субъекта;

2 группа — биометрические ПДн, то есть данные, характеризующие биологические или физиологические особенности субъекта и используемые для установления личности, например, фотография или отпечатки пальцев;

3 группа — общедоступные ПДн, то есть сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом;

4 группа — иные категории ПДн, не представленные в трех предыдущих группах.

Руководитель предпроектного обследования

---