
Приведение ИС ОСК в соответствие регламентированным нормам.
- Заказчик:Объединённая судостроительная корпорация
- Проект:Подготовка к аттестации и аттестация информационных систем
АО «Объединенная судостроительная корпорация» (ОСК) – крупнейшая судостроительная компания России с персоналом свыше 80 тысяч человек. В холдинг входит около 40 проектно-конструкторских бюро и специализированных научно-исследовательских центров, верфей, судоремонтных и машиностроительных предприятий, на базе которых консолидирована большая часть отечественного судостроительного комплекса. Предприятия ОСК работают во всех крупных портово-транспортных узлах от Калининграда до Владивостока, от Северодвинска до Астрахани. Практически все боевые корабли, строящиеся и разрабатываемые для ВМФ России и на экспорт, являются результатом труда конструкторских бюро ОСК. Корпорация строит современный флот для работы в море, на шельфе и на внутренних водных путях. 100 % акций ОСК находится в федеральной собственности РФ.
В своей работе ОСК использует большое количество разветвленных информационных систем (ИС), содержащих и обрабатывающих разнородную информацию как организационно-распорядительного, так и научно-технического характера. Специфика деятельности ОСК определяет необходимость обеспечения информационной безопасности (ИБ) всего комплекса применяемых ИС на уровне соответствия обязательным требованиям к защите персональных данных и систем, обрабатывающих конфиденциальную информацию, регламентированных приказами №17, №21 ФСТЭК России и Федеральном законом № 149-ФЗ.
С целью приведения ИС ОСК в соответствие регламентированным нормам обеспечения уровня защиты информации, не содержащей сведений, составляющих государственную тайну, был проведен конкурс на выполнение комплексного проекта подготовки к аттестации и аттестации ИС. По результатам конкурса исполнителем проекта стала компания «АСТ», обладая широким опытом реализации масштабных проектов в данной области и предложившая лучшие условия выполнения контракта.
Основными целями проекта явились обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну, защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней, с последующей аттестацией на соответствие обязательным требованиям защищенности.
Проектные работы выполнялись в центральном офисе ОСК и двух филиалах, срок реализации составил 4 месяца, а реализация потребовала этапности выполнения задач:
- Формирование требований к средствам защиты информации (СЗИ)
- Проектирование СЗИ
- Внедрение СЗИ
В рамках первого этапа были получены данные об исходном состоянии ИС и составе ИТ-инфраструктуры, включая серверный парк, АРМ, СПД, технологические процессы обработки защищаемой информации. На основе этих данных проведена классификация ИС ОСК по требованиям защиты информации в соответствии с приказами №17 и №21 ФСТЭК. Последующие результаты разработки моделей угроз позволили определить и закрепить требования по защите информации, обрабатываемой в ИС.
Вместе с тем было определено, что имеющаяся система мер по защите информации требует доработки и внедрения дополнительных систем, способных обеспечить реализацию как всего спектра требований, так и минимизацию рисков, актуальных именно для инфраструктуры заказчика.
Данные меры и системы были спроектированы и предложены в рамках технического проекта и реализованы на этапе поставки и внедрения СЗИ:
- Подсистема защиты от НСД
- Подсистема сетевой безопасности
- Подсистема анализа защищенности
- Подсистема защиты системы виртуализации
- Система контроля привилегированных пользователей
По результатам выполненных проекта решены следующие задачи:
- Выявлены актуальные угрозы безопасности информации.
- Разработаны и внедрены СЗИ, требуемые для реализации комплекса технических и организационных мер обеспечения ИБ в соответствии с регламентирующей документацией.
- Осуществлена поставка, установка и настройка программных и технических средств защиты информации, в том числе средств криптографической защиты.
- Подготовлен комплект ОРД по созданию органа криптографической защиты информации в ОСК.
- Подготовлен комплект ОРД, определяющих правовой режим обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
- Подготовлен комплект ОРД для представления ИС к аттестационным испытаниям на соответствие требованиям по безопасности информации.
- Проведена аттестация и выдан аттестат соответствия.
«Реализация проекта подготовки к аттестации и аттестации ИС ОСК по требованиям приказов №17 и №21 ФСТЭК потребовала от нас комплексного подхода к оценке, проектированию и внедрению СЗИ, что обусловлено сложностью инфраструктуры, в которой пришлось работать, и разносторонностью требований к защите информации. ОСК имеет очень большую структуру, очень сложные ИС и очень разную информацию. Чтобы выполнить все функциональные задачи проекта нам потребовались глубокие знания и опыт, получившие по итогам реализации отличные оценки со стороны заказчика».
Цели проекта:
- Обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну
- Защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней
- Аттестация на соответствие обязательным требованиям защищенности
Достигнуты результаты:
- Выявлены актуальные угрозы безопасности информации.
- Разработаны и внедрены СЗИ, требуемые для реализации комплекса технических и организационных мер обеспечения ИБ в соответствии с регламентирующей документацией.
- Осуществлена поставка, установка и настройка программных и технических средств защиты информации, в том числе средств криптографической защиты
- Подготовлен комплект ОРД по созданию органа криптографической защиты информации в ОСК.
- Подготовлен комплект ОРД, определяющих правовой режим обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
- Подготовлен комплект ОРД для представления ИС к аттестационным испытаниям на соответствие требованиям по безопасности информации.
- Проведена аттестация и выдан аттестат соответствия.
Для реализации данного проекта компанией «АСТ» были оказаны следующие услуги: