Модернизация и аттестация системы защиты ПДн регионального узла интегрированной системы оперативной идентификации

  • Заказчик:ФСКН России
  • Проект:Модернизация и аттестация системы защиты ПДн

Федеральная служба Российской Федерации по контролю за оборотом наркотиков (ФСКН России) является федеральным органом исполнительной власти, осуществляющим функции по выработке государственной политики, нормативно-правовому регулированию, контролю и надзору в сфере оборота наркотических средстви психотропных веществ, а также в области противодействия их незаконному обороту.

Для выполнения своих непосредственных функций ФСКН России использует ряд специализированных ведомственных информационных систем (ИС), одной из которых является интегрированная система оперативной идентификации (ИСОИ). Она обеспечивает сбор, анализ, обработку, хранение и передачу дактилоскопической информации – отпечатков пальцев, ладоней, рук, а также фотоинформации– фотоизображений и субъективных портретов.ИСОИ обрабатывает персональные данные (ПДн) и не может легитимно эксплуатироваться при невыполнении законодательных требований по защите информации в информационных системах, содержащих и обрабатывающих ПДн (Федеральный закон 152-ФЗ).

С целью приведения защищенности ПДн в ИСОИ к установленному нормативному уровню, выполнения законодательных требований и для обеспечения реального высокого уровня информационной безопасности (ИБ), ФСКН России провела конкурс на выполнение всего комплекса работ по разработке и внедрению средств защиты, а также по подготовке к аттестации и аттестации ИСОИ по требованиям 152-ФЗ, ФСТЭК и ФСБ.

Задачей проекта стало создание комплексной системы защиты ПДн, обрабатываемых в ИСОИ, а также обеспечение их безопасности при использовании мобильных комплексов ИСОИ и программно-технических комплексов на базе ладонного сканера; с последующей аттестацией всего ряда ИС и прикладных решений.

[Подробнее][Свернуть]

Проект разрабатывался и реализовывался в 3 этапа, начиная с 2010 года. Каждый из этапов имел собственное обоснование и право его производства определялось на конкурсной основе. По результатам всех трех конкурсов подрядчиком на выполнение работ становилась «АСТ», предлагая оптимальные технологические решения, а также лучшие условия выполнения контракта.На первом этапе была разработана и внедрена непосредственно система защитыПДн, обрабатываемых в центральной ИСОИ, проведена ее аттестация по требованиям безопасности информации.

На втором этапе создана система защиты ПДн, обрабатываемых посредством мобильных комплексов ИСОИ и программно-технических комплексов на базе ладонного сканера, проведена их аттестация по требованиям безопасности информации.

На третьем этапе проведена переаттестация системы защиты ИСОИ по истечении срока действия Аттестатов соответствия.

В ходе проекта:

  • Доработана и согласована с ФСБ РФ частная модель угроз безопасности ПДн, описывающая угрозы безопасности информации на всех уровнях ИСОИ (федеральном, региональных, подключаемым к ИС компонентам ИСОИ).Переработка позволила значительно оптимизировать затраты на создание и поддержание системы защиты.
  • Спроектирована система защиты таким образом, что все операции с ПДн выполняются с учетом требований информационной безопасности.
  • Организована защита каналов связи федерального и региональных уровней системы оперативной идентификации.
  • Выполнена аттестация системы на соответствие требованиям по безопасности информации ФСТЭК России: на первом этапе – локальных ИС федерального и региональных уровней системы, на втором и третьем этапах – подключаемых к ИС компонентов ИСОИ – специальных мобильных комплексов (МК), предназначенных для оперативного ввода и проверки дактилоскопической информации и фотоизображений, и программно-технических комплексов на базе ладонного сканера (ПТКЛ).

Работы по каждому из этапов проекта включали:

  • Проведение обследования ИС ПДн.
  • Определение класса ИС ПДн.
  • Уточнение требований по обеспечению безопасности ПДн.
  • Разработку и согласование с Заказчиком технического задания на систему защитыПДн, в том числе установку необходимых средств защиты информации, шифровальных (криптографических) средств.
  • Разработку проектов организационно-распорядительных документов по обеспечению безопасности информации.
  • Поставку и внедрение технических средств системы защиты информации.
  • Разработку и согласование с заказчиком программы и методики проведения аттестационных испытаний.
  • Проведение аттестационных испытаний на соответствие требованиям по безопасности информации и разработку соответствующих отчетных документов с выдачей аттестатов соответствия требованиям.

Реализация проекта охватила Центральный аппарат ФСКН, а также 7 региональных управлений УФСКН в Москве, Ногинске, Коломне, Люберцах и Одинцово.

Инна СергиенкоРуководитель направления комплексного обеспечения информационной безопасности«АСТ»

«Интегрированная система оперативной идентификации ФСКН России реализована с использованием специализированного ПО и оборудования, разработанного непосредственно для заказчика и не являющегося типовым. Это стало основной сложностью проекта и потребовало выбора технических компонентов системы защиты, встраиваемых в ИСОИ с учетом ее архитектурных особенностей и интегрирующихся с техническими компонентами ИСОИ. Совместно с заказчиком мы провели аудит, полностью реализовали мероприятия по технической защите ИС, включая установку необходимых программно-аппаратных средств, выполнили последующую аттестацию. Это позволило ввести ИСОИ в промышленную эксплуатацию».

Цели проекта:

Cоздание комплексной системы защиты ПДн, обрабатываемых в ИСОИ, а также обеспечение их безопасности при использовании мобильных комплексов ИСОИ и программно-технических комплексов на базе ладонного сканера; с последующей аттестацией всего ряда ИС и прикладных решений.

Результаты проекта:

  • Разработана и внедрена система защиты ПДн, обрабатываемых в центральной ИСОИ, проведена ее аттестация по требованиям безопасности информации.
  • Создана система защиты ПДн, обрабатываемых посредством мобильных комплексов ИСОИ и программно-технических комплексов на базе ладонного сканера, проведена их аттестация по требованиям безопасности информации.
  • Проведена переаттестация системы защиты ИСОИ по истечении срока действия Аттестатов соответствия.
Благодарственное письмо Читать письмо
Решение: