Проект

Подготовка ОСК к аттестации и аттестация информационных систем

Заказчики: Объединенная судостроительная корпорация (ОСК)

Санкт-Петербург; Машиностроение и приборостроение



Дата проекта: 2014/03 — 2014/11

В своей работе ОСК использует большое количество разветвленных информационных систем (ИС), содержащих и обрабатывающих разнородную информацию как организационно-распорядительного, так и научно-технического характера. Специфика деятельности ОСК определяет необходимость обеспечения информационной безопасности (ИБ) всего комплекса применяемых ИС на уровне соответствия обязательным требованиям к защите персональных данных и систем, обрабатывающих конфиденциальную информацию, регламентированных приказами №17, №21 ФСТЭК России и Федеральном законом № 149-ФЗ.

С целью приведения ИС ОСК в соответствие регламентированным нормам обеспечения уровня защиты информации, не содержащей сведений, составляющих государственную тайну, был проведен конкурс на выполнение комплексного проекта подготовки к аттестации и аттестации ИС. По результатам конкурса исполнителем проекта стала компания «АСТ», обладая широким опытом реализации масштабных проектов в данной области и предложившая лучшие условия выполнения контракта.

Основными целями проекта явились обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну, защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней, с последующей аттестацией на соответствие обязательным требованиям защищенности.

Проектные работы выполнялись в центральном офисе ОСК и двух филиалах, срок реализации составил 4 месяца, а реализация потребовала этапности выполнения задач:

  • Формирование требований к средствам защиты информации (СЗИ)
  • Проектирование СЗИ
  • Внедрение СЗИ

Цели проекта:

  • Обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну
  • Защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней
  • Аттестация на соответствие обязательным требованиям защищенности

В рамках первого этапа были получены данные об исходном состоянии ИС и составе ИТ-инфраструктуры, включая серверный парк, АРМ, СПД, технологические процессы обработки защищаемой информации. На основе этих данных проведена классификация ИС ОСК по требованиям защиты информации в соответствии с приказами №17 и №21 ФСТЭК. Последующие результаты разработки моделей угроз позволили определить и закрепить требования по защите информации, обрабатываемой в ИС.

Вместе с тем было определено, что имеющаяся система мер по защите информации требует доработки и внедрения дополнительных систем, способных обеспечить реализацию как всего спектра требований, так и минимизацию рисков, актуальных именно для инфраструктуры заказчика.

Данные меры и системы были спроектированы и предложены в рамках технического проекта и реализованы на этапе поставки и внедрения СЗИ:

  • Подсистема защиты от НСД
  • Подсистема сетевой безопасности
  • Подсистема анализа защищенности
  • Подсистема защиты системы виртуализации
  • Система контроля привилегированных пользователей

По результатам выполненных проекта решены следующие задачи:

  • Выявлены актуальные угрозы безопасности информации.
  • Разработаны и внедрены СЗИ, требуемые для реализации комплекса технических и организационных мер обеспечения ИБ в соответствии с регламентирующей документацией.
  • Осуществлена поставка, установка и настройка программных и технических средств защиты информации, в том числе средств криптографической защиты.
  • Подготовлен комплект ОРД по созданию органа криптографической защиты информации в ОСК.
  • Подготовлен комплект ОРД, определяющих правовой режим обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
  • Подготовлен комплект ОРД для представления ИС к аттестационным испытаниям на соответствие требованиям по безопасности информации.
  • Проведена аттестация и выдан аттестат соответствия.