Приложение. Типовые требования к подсистеме информационной безопасности, предъявляемые к государственным и муниципальным информационным системам при реализации мероприятий по созданию, развитию, вводу в эксплуатацию информационных систем. Приказ Министерства информатизации и связи Республики Мордовия от 21.02.2019 N 18 "Об утверждении требований к подсистеме информационной безопасности"

Приложение
к приказу Мининформсвязи Республики Мордовия
от 21 февраля 2019 г. N 18

Типовые требования
к подсистеме информационной безопасности, предъявляемые к государственным и муниципальным информационным системам при реализации мероприятий по созданию, развитию, вводу в эксплуатацию информационных систем

1. Требовании к подсистеме информационной безопасности

В соответствии с Требованиями к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утверждённых постановлением Правительства Российской федерации от 6 июля 2015 г. N 676. при создании __наименование системы__ необходимо обеспечить защиту информации и провести комплекс мероприятий по аттестации системы по требованиям защиты информации.

Подсистема информационной безопасности предназначена для обеспечения безопасности информации, обрабатываемой в __наименование системы__ от несанкционированного, в том числе случайного, доступа к защищаемой информации, результатом которого может стать хищение, утрата, утечка, уничтожение, изменение, блокирование, копирование, распространение информации.

Применяемые в __наименование системы__ средства и технологии защиты информации должны обладать свойствами модульности, масштабируемости и возможности адаптации к различным организационным и техническим условиям.

Подсистема информационной безопасности должна обеспечивать учёт и разграничение прав пользователей (операторов, административно- обслуживающего технического персонала) _наименование системы__. должна обеспечивать программно-технические средства, обеспечивать защиту информации и средств ее обработки в __наименование системы__.

Безопасность информации должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования технических средств __наименование системы__ .

На этапе выполнения работ но созданию подсистемы информационной безопасности должен быть разработан пакет организационно-распорядительной документации в составе, представленном в таблице:

N п/п	Проводимые работы	Документация
1. Формирование требований к защите информации, содержащейся в информационной системе
	Разработка организационно-распорядительной документации заказчика	Приказ о защите ПДн: Положение о защите информации (ПДн): Перечень информационных ресурсов подлежащих защите; Перечень сотрудников допущенных к обработке информации; Перечень сотрудников имеющих свободный доступ в помещение; Перечень разрешенного ПО; Инструкция пользователя; Инструкция администратора;
1.1.	Классификация информационной системы	Акт классификации;
1.2.	Определение угроз безопасности информации	Общая модель угроз верхнего уровня; Детализированная модель угроз;
1.3.	Формирование предположений о возможностях нарушителя	Модель нарушителя информационной безопасности; Модель нарушителя действующего на этапе эксплуатации СКЗИ:
1.4.	Определение требований к системе защиты информации	Базовый набор мер; Адаптированный базовый набор мер; Уточненный адаптированный базовый набор мер; Дополненный уточненный адаптированный базовый набор мер; Выбор компенсирующих мер;
1.5.	Определение уровня криптографической защиты информации	Акт определения уровня криптографической защиты ПДн;
1.6.	Разработка ведомственных документов и приказов по организации криптографической защиты информации (СКЗИ)	Приказ по организации режима криптографической защиты; Положение о порядке использования СКЗИ; Правила доступа в помещение; Инструкция пользователя СКЗИ; Инструкция ответственного за эксплуатацию СКЗИ;
2. Разработка системы защиты информации информационной системы
2.1.	Проектирование системы защиты информации (СЗИ)	Техническое задание: Технический проект на создание СЗИ;
2.2.	Разработка эксплуатационной документации
2.3.	Макетирование и тестирование СЗИ
3. Поставка средств защиты информации
3.1.	Поставка средств защиты информации		Акт приема-передачи;
4. Внедрение системы защиты информации информационной системы
4.1.	Внедрение элементов СЗИ (монтаж, настройка, испытания)	Акты установки средств защиты информации; Настройки межсетевого экранирования и правила фильтрации пакетов;
4.2.	Внедрение организационных мер защиты информации	Регламент тестирования функций межсетевого экранирования; Инструктаж персонала по работе с защищаемой информацией; Акт о завершении опытной эксплуатации;
4.3.	Предварительные испытания СЗИ
4.4.	Опытная эксплуатация СЗИ
5. Аттестация ИС
5.1.	Проведение аттестационных испытаний Оформление итоговых	Протоколы комплексных испытаний:; Заключение по результатам испытаний; Аттестат соответствия;

Перечень организационно-распорядительной документации может быть изменен по согласованию с Заказчиком

Подсистема информационной безопасности должна обеспечивать противодействие актуальным угрозам безопасности информации, которые определены в Модели угроз и нарушителя безопасности информации, обрабатываемой в __наименование системы__ .

В соответствии с установленным для __наименование системы__ классом защищенности в состав подсистемы информационной безопасности должны входить:

Подсистема управления доступом, регистрации и учета;

Подсистема антивирусной защиты;

Подсистема криптографической защиты;

Подсистема межсетевого экранирования;

Подсистема анализа защищенности;

Подсистема обнаружения вторжений;

Подсистема обеспечения целостности.

В соответствии с пунктом 3 Требований к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства РФ от 6 июля 2015 г. N 676. модели угроз безопасности информации и техническое задание на создание ИС (АИС) необходимо согласовать, с ФСБ России и ФСТЭК России.

Требования по защите информации от утечки по акустическим, виброакустическим и каналам побочных электромагнитных излучений и паводок (ПЭМИН) к ПОИБ не предъявляются.

1.1. Требования к методическому обеспечению

При создании подсистемы информационной безопасности необходимо учитывать следующие правовые, нормативные, методические и руководящие документы:

- Федеральный закон Российской Федерации от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации":

- Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных":

- Постановление Правительства Российской Федерации от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных":

- Приказ ФСТЭК N 21 от 18 февраля 2013 г. "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";

- Приказ ФСТЭК N 17 от 11 февраля 2013 г. "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";

- Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".

- Информационное сообщение ФСТЭК России от 28 апреля 2016 г. N 240 24 1986 "Об утверждении требований к межсетевым экранам":

- Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Утверждена заместителем директора ФСТЭК России 14 февраля 2008 г.;

- Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами, утверждены Постановлением Правительства Российской Федерации N 211 от 21 марта 2012 г.;

- Требования к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации, утвержденных постановлением Правительства РФ от 6 июля 2015 г. N 676:

- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных правительством РФ требований к защите персональных данных для каждого из уровней защищенности, утверждены приказом ФСБ России N 378 от 10.07.2014 г.

1.2. Требования к порядку создания подсистемы информационной безопасности

Общий порядок действий по созданию ПОИБ должен включать следующие этапы:

выбор технических решений и проектирование подсистемы защиты информации информационной системы (разработка технического проекта, в составе технического проекта на всю систему);

разработка эксплуатационной документации на подсистему защиты информации информационной системы;

поставка средств защиты информации;

проведение работ по монтажу средств защиты информации;

проведение пуско-наладочных работ;

проведение приемочных испытаний;

проведение аттестационных испытаний.

1.3. Требовании к сертификации средств защиты информации

Все применяемые средства защиты информации должны иметь действующие сертификаты соответствия ФСТЭК России или ФСБ России (для средств криптографической защиты информации). Класс средств защиты определяется в соответствии с присвоенным классом защищенности информационной системы.

1.4. Требования к аттестации __наименование системы__ по требованиям информационной безопасности

Аттестация __наименование системы __ проводится в соответствии с разрабатываемой Исполнителем программой и методиками аттестационных испытаний. По результатам аттестационных испытаний __наименование системы__ Исполнитель представляются Заказчику следующие документы:

- протокол аттестационных испытаний системы защиты информации __наименование системы__ ;

- заключение о соответствии __наименование системы__ требованиям защиты информации;

- аттестат соответствия _ наименование системы__ требованиям защиты информации.

- Аттестат соответствия __наименование системы__ требованиям защиты информации должен подтверждать соответствие __наименование системы__ требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах в соответствии с приказом ФСТЭК России N 17 от 11.02.2013), требованиям к защите персональных данных при их обработке в информационных системах персональных данных (в соответствии с Постановлением Правительства Российской Федерации N 1119 от 01.11.2012).

1.5. Обязательные требовании к Исполнителю

Исполнитель должен иметь лицензию ФСТЭК России на право осуществления деятельности по технической защите конфиденциальной информации.

И случае применения шифровальных (криптографических) средств в __наименование системы__ Исполнитель должен иметь лицензию ФСБ России на право деятельности по распространению шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказания услуг в области шифрования информации.