Заказчики: Объединенная судостроительная корпорация (ОСК) Санкт-Петербург; Машиностроение и приборостроение Дата проекта: 2014/03 — 2014/11
|
В своей работе ОСК использует большое количество разветвленных информационных систем (ИС), содержащих и обрабатывающих разнородную информацию как организационно-распорядительного, так и научно-технического характера. Специфика деятельности ОСК определяет необходимость обеспечения информационной безопасности (ИБ) всего комплекса применяемых ИС на уровне соответствия обязательным требованиям к защите персональных данных и систем, обрабатывающих конфиденциальную информацию, регламентированных приказами №17, №21 ФСТЭК России и Федеральном законом № 149-ФЗ.
С целью приведения ИС ОСК в соответствие регламентированным нормам обеспечения уровня защиты информации, не содержащей сведений, составляющих государственную тайну, был проведен конкурс на выполнение комплексного проекта подготовки к аттестации и аттестации ИС. По результатам конкурса исполнителем проекта стала компания «АСТ», обладая широким опытом реализации масштабных проектов в данной области и предложившая лучшие условия выполнения контракта.
Основными целями проекта явились обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну, защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней, с последующей аттестацией на соответствие обязательным требованиям защищенности.
Проектные работы выполнялись в центральном офисе ОСК и двух филиалах, срок реализации составил 4 месяца, а реализация потребовала этапности выполнения задач:
- Формирование требований к средствам защиты информации (СЗИ)
- Проектирование СЗИ
- Внедрение СЗИ
Цели проекта:
- Обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну
- Защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней
- Аттестация на соответствие обязательным требованиям защищенности
В рамках первого этапа были получены данные об исходном состоянии ИС и составе ИТ-инфраструктуры, включая серверный парк, АРМ, СПД, технологические процессы обработки защищаемой информации. На основе этих данных проведена классификация ИС ОСК по требованиям защиты информации в соответствии с приказами №17 и №21 ФСТЭК. Последующие результаты разработки моделей угроз позволили определить и закрепить требования по защите информации, обрабатываемой в ИС.TAdviser выпустил новую Карту «Цифровизация ритейла»: 280 разработчиков и поставщиков услуг
Вместе с тем было определено, что имеющаяся система мер по защите информации требует доработки и внедрения дополнительных систем, способных обеспечить реализацию как всего спектра требований, так и минимизацию рисков, актуальных именно для инфраструктуры заказчика.
Данные меры и системы были спроектированы и предложены в рамках технического проекта и реализованы на этапе поставки и внедрения СЗИ:
- Подсистема защиты от НСД
- Подсистема сетевой безопасности
- Подсистема анализа защищенности
- Подсистема защиты системы виртуализации
- Система контроля привилегированных пользователей
По результатам выполненных проекта решены следующие задачи:
- Выявлены актуальные угрозы безопасности информации.
- Разработаны и внедрены СЗИ, требуемые для реализации комплекса технических и организационных мер обеспечения ИБ в соответствии с регламентирующей документацией.
- Осуществлена поставка, установка и настройка программных и технических средств защиты информации, в том числе средств криптографической защиты.
- Подготовлен комплект ОРД по созданию органа криптографической защиты информации в ОСК.
- Подготовлен комплект ОРД, определяющих правовой режим обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
- Подготовлен комплект ОРД для представления ИС к аттестационным испытаниям на соответствие требованиям по безопасности информации.
- Проведена аттестация и выдан аттестат соответствия.