OSK

Подготовка к аттестации и аттестация информационных систем

  • Заказчик:Объединённая судостроительная корпорация
  • Проект:Подготовка к аттестации и аттестация информационных систем

АО «Объединенная судостроительная корпорация» (ОСК) – крупнейшая судостроительная компания России с персоналом свыше 80 тысяч человек. В холдинг входит около 40 проектно-конструкторских бюро и специализированных научно-исследовательских центров, верфей, судоремонтных и машиностроительных предприятий, на базе которых консолидирована большая часть отечественного судостроительного комплекса. Предприятия ОСК работают во всех крупных портово-транспортных узлах от Калининграда до Владивостока, от Северодвинска до Астрахани. Практически все боевые корабли, строящиеся и разрабатываемые для ВМФ России и на экспорт, являются результатом труда конструкторских бюро ОСК. Корпорация строит современный флот для работы в море, на шельфе и на внутренних водных путях. 100 % акций ОСК находится в федеральной собственности РФ.

В своей работе ОСК использует большое количество разветвленных информационных систем (ИС), содержащих и обрабатывающих разнородную информацию как организационно-распорядительного, так и научно-технического характера. Специфика деятельности ОСК определяет необходимость обеспечения информационной безопасности (ИБ) всего комплекса применяемых ИС на уровне соответствия обязательным требованиям к защите персональных данных и систем, обрабатывающих конфиденциальную информацию, регламентированных приказами №17, №21 ФСТЭК России и Федеральном законом № 149-ФЗ.

С целью приведения ИС ОСК в соответствие регламентированным нормам обеспечения уровня защиты информации, не содержащей сведений, составляющих государственную тайну, был проведен конкурс на выполнение комплексного проекта подготовки к аттестации и аттестации ИС. По результатам конкурса исполнителем проекта стала компания «АСТ», обладая широким опытом реализации масштабных проектов в данной области и предложившая лучшие условия выполнения контракта.

Основными целями проекта явились обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну, защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней, с последующей аттестацией на соответствие обязательным требованиям защищенности.

[Подробнее][Свернуть]

Проектные работы выполнялись в центральном офисе ОСК и двух филиалах, срок реализации составил 4 месяца, а реализация потребовала этапности выполнения задач:

  • Формирование требований к средствам защиты информации (СЗИ)
  • Проектирование СЗИ
  • Внедрение СЗИ

В рамках первого этапа были получены данные об исходном состоянии ИС и составе ИТ-инфраструктуры, включая серверный парк, АРМ, СПД, технологические процессы обработки защищаемой информации. На основе этих данных проведена классификация ИС ОСК по требованиям защиты информации в соответствии с приказами №17 и №21 ФСТЭК. Последующие результаты разработки моделей угроз позволили определить и закрепить требования по защите информации, обрабатываемой в ИС.

Вместе с тем было определено, что имеющаяся система мер по защите информации требует доработки и внедрения дополнительных систем, способных обеспечить реализацию как всего спектра требований, так и минимизацию рисков, актуальных именно для инфраструктуры заказчика.

Данные меры и системы были спроектированы и предложены в рамках технического проекта и реализованы на этапе поставки и внедрения СЗИ:

  • Подсистема защиты от НСД
  • Подсистема сетевой безопасности
  • Подсистема анализа защищенности
  • Подсистема защиты системы виртуализации
  • Система контроля привилегированных пользователей

По результатам выполненных проекта решены следующие задачи:

  • Выявлены актуальные угрозы безопасности информации.
  • Разработаны и внедрены СЗИ, требуемые для реализации комплекса технических и организационных мер обеспечения ИБ в соответствии с регламентирующей документацией.
  • Осуществлена поставка, установка и настройка программных и технических средств защиты информации, в том числе средств криптографической защиты.
  • Подготовлен комплект ОРД по созданию органа криптографической защиты информации в ОСК.
  • Подготовлен комплект ОРД, определяющих правовой режим обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
  • Подготовлен комплект ОРД для представления ИС к аттестационным испытаниям на соответствие требованиям по безопасности информации.
  • Проведена аттестация и выдан аттестат соответствия.
Инна СергиенкоРуководитель направления комплексного обеспечения информационной безопасности компании «АСТ»

«Реализация проекта подготовки к аттестации и аттестации ИС ОСК по требованиям приказов №17 и №21 ФСТЭК потребовала от нас комплексного подхода к оценке, проектированию и внедрению СЗИ, что обусловлено сложностью инфраструктуры, в которой пришлось работать, и разносторонностью требований к защите информации. ОСК имеет очень большую структуру, очень сложные ИС и очень разную информацию. Чтобы выполнить все функциональные задачи проекта нам потребовались глубокие знания и опыт, получившие по итогам реализации отличные оценки со стороны заказчика».

Цели проекта:

  1. Обеспечение конфиденциальности, целостности и доступности информации, не составляющей государственную тайну
  2. Защита от утечек по техническим каналам, несанкционированного доступа, специальных видов воздействий на информацию и носители информации в целях ее добычи, уничтожения, искажения или блокирования доступа к ней
  3. Аттестация на соответствие обязательным требованиям защищенности

Достигнуты результаты:

  • Выявлены актуальные угрозы безопасности информации.
  • Разработаны и внедрены СЗИ, требуемые для реализации комплекса технических и организационных мер обеспечения ИБ в соответствии с регламентирующей документацией.
  • Осуществлена поставка, установка и настройка программных и технических средств защиты информации, в том числе средств криптографической защиты
  • Подготовлен комплект ОРД по созданию органа криптографической защиты информации в ОСК.
  • Подготовлен комплект ОРД, определяющих правовой режим обработки информации ограниченного доступа, не содержащей сведений, составляющих государственную тайну.
  • Подготовлен комплект ОРД для представления ИС к аттестационным испытаниям на соответствие требованиям по безопасности информации.
  • Проведена аттестация и выдан аттестат соответствия.