информатизация
безопасность
связь
Меню

Формирование требований к системам защиты с учетом выявленных угроз безопасности и разработка технических заданий на создание (развитие) системы защиты информации

Формирование требований к системе защиты информации осуществляется обладателем информации (Заказчиком) с учетом требований, определенных в нормативных правовых актах уполномоченных федеральных органов исполнительной власти, национальных стандартах в области ЗИ, утвержденных политик безопасности Заказчика.

Требования к СЗИ определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации. Они включаются в техническое задание на создание Системы защиты информации и включают в себя, в том числе, следующую информацию:

  • Цель и задачи обеспечения защиты информации в информационной системе;
  • Класс защищенности информационной системы;
  • Перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
  • Перечень объектов защиты информационной системы;
  • Требования к мерам и средствам защиты информации, применяемым в информационной системе;
  • Стадии (этапы работ) создания системы защиты информационной системы;
  • Требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
  • Функции заказчика и оператора по обеспечению защиты информации в информационной системе;
  • Требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);
  • Требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

Техническое задание на создание (развитие) Системы защиты информации разрабатывается на основе ГОСТ 34.602 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы» с учетом специфики требований по защите информации.