Документ «Техническое задание на создание системы защиты информации в ГИС» создается с целью формирования списка организационных и технических мер по обеспечению безопасности информации, подлежащих реализации в ГИС в рамках системы защиты информации. Список мер формируется на основании установленного класса защищенности ГИС и актуальных угроз безопасности информации.
Исходными данными для технического задания на создание системы защиты информации являются: класс защищенности ГИС и модель угроз безопасности информации в ГИС.
Исходя из класса защищенности информации определяется базовый набор мер. Список мер приводится в нормативном документе «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (утверждены приказом ФСТЭК России № 17 от 11 февраля 2013 года). Расширенный набор мер приводится в нормативном документе «Меры защиты информации в государственных информационных системах» (утверждены ФСТЭК России от 11 февраля 2014 года).
После формирования базового набора мер осуществляется адаптация базового набора мер. На этом этапе учитываются структурно-функциональные характеристики ГИС и на основании этого исключаются некоторые меры. Например, из базового набора мер исключаются меры по защите виртуальных средств, если в ГИС не применяются технологии виртуализации.
Следующий этап – уточнение адаптированного базового набора мер защиты информации, является одним из самых трудоемких. На этом этапе специалисту необходимо проанализировать адаптированный базовый набор мер на предмет его достаточности для нейтрализации актуальных угроз безопасности информации. В случае если адаптированный набор мер не позволяет нейтрализовать все угрозы, специалисту нужно дополнить этот набор дополнительными мерами из списка, либо разработать дополнительные меры самостоятельно.
Последний этап формирования списка мер – дополнение уточненного адаптированного базового набора мер. На этом этапе список мер дополняется мерами, установленными иными нормативными правовыми актами в области защиты информации, обеспечения безопасности персональных данных, использования криптографических средств и т. д.
Поскольку разработка технического задания на создание системы защиты информации в ГИС является этапом проектирования системы защиты информации, то при передаче этих работ сторонней организации, такая организация должна иметь лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации с возможностью оказывать услуги на проектирование в защищенном исполнении средств и систем информатизации.
При разработке технического задания на создание системы защиты информации в ГИС необходимо также учитывать положения следующих нормативных документов:
— РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс Стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов»;
— ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования»;
— ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения»
— ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизирован¬ные системы. Автоматизированные системы. Стадии создания»;
— ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизирован¬ные системы. Техническое задание на создание автоматизированной системы».