Разработка системы защиты информации

• разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации
• разработка раздела технического проекта на объект информатизации в части реализации мероприятий по защите информации
• строительно-монтажные работы, размещение и монтаж технических средств и систем
• разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями
• закупка сертифицированных образцов серийно выпускаемых защищенных технических средств, либо их сертификация
• закупка сертифицированных технических, программных и программно-технических средств защиты информации и их установка
• разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации (в случае необходимости)
• организация охраны и физической защиты помещений объекта информатизации разработка разрешительной системы доступа пользователей и эксплуатационного персонала к защищаемой информации
• определение и обучение подразделений и лиц, ответственных за эксплуатацию средств защиты информации
• разработка эксплуатационной документации на объект информатизации, средства защиты информации, и организационно-распорядительной документации по ЗИ

При вводе в эксплуатацию выполняются необходимые мероприятия, такие как опытная эксплуатация средств защиты информации с другими техническими и программными средствами для проверки их работоспособности в комплексе и отработки технологического процесса обработки (передачи) информации, приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатацииа, аттестация объекта информатизации по требованиям безопасности информации.

При этом разрабатываются следующие документы:

• Приемо-сдаточный акт, подписываемый разработчиком (поставщиком) и заказчиком
• Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний
• Протоколы аттестационных испытаний и заключение по их результатам
• Аттестат соответствия объекта информатизации требованиям по безопасности информации
• Приказ (указание, решение) о назначении лиц, ответственных за эксплуатацию объекта информатизации
• Приказ (указание, решение) о разрешении обработки в АС (обсуждении в ЗП) конфиденциальной информации

Контроль состояния защиты конфиденциальной информации проводится службой безопасности организации не реже чем один раз в год и федеральными и отраслевыми органами контроля не реже одного раза в два года.

При проведении аттестации объектов информатизации и периодическом контроле состояния защиты конфиденциальной информации организациями могут, при необходимости, использоваться «Временные методики оценки защищенности конфиденциальной информации». При необходимости, по решению руководителя организации, могут быть проведены работы по поиску электронных устройств съема информации («закладочных устройств»), возможно внедренных в ЗП или технические средства, осуществляемые организациями, имеющими соответствующие лицензии или ФСБ России (ФАПСИ).

• Эксплуатация и мониторинг системы
• Политика информационной безопасности организации
• Анализ рисков