Введение
В современных условиях цифровизации и растущих требований к обеспечению безопасности данных, компании, работающие с конфиденциальной информацией, обязаны уделять повышенное внимание защите информационных систем.
Одним из таких примеров является филиал «Южный территориальный округ» ФГУП «РАДОН», который реализует проекты по обработке отходов I-II классов опасности и рекультивации объектов накопленного экологического вреда.
Для обеспечения надежной защиты данных в филиале была проведена аттестация автоматизированной системы в защищенном исполнении (АСЗИ), охватывающая все отделения филиала, включая Ростовское, Волгоградское и Грозненское. Этот проект включал в себя анализ инфраструктуры заказчика и реализованных технологических процессов обработки конфиденциальной информации, разработку проекта системы защиты информации в АС, внедрение и последующую настройку средств защиты информации, проведение испытаний АСЗИ для подтверждения её соответствия нормативным требованиям.
Описание АСЗИ
АСЗИ представляет собой программный комплекс, обеспечивающий автоматизацию процессов обработки документов в следующих направлениях:
Обращение с отходами I-II классов опасности.
Обработка информации о проектах рекультивации экологического ущерба.
Управление персональными данными сотрудников.
Система направлена на значительное упрощение процессов управления данными и взаимодействия с различными органами власти. Внедрение АСЗИ позволило оптимизировать затраты времени и ресурсов на выполнение задач, связанных с обработкой конфиденциальной информации.
Пользователи АСЗИ подразделяются на несколько групп в зависимости от уровня доступа:
Пользователи с доступом к открытой информации.
Пользователи с доступом к конфиденциальной информации, включая персональные данные.
Администраторы системы и информационной безопасности.
Система разделена на два ключевых сегмента: серверный и сегмент автоматизированных рабочих мест пользователей. Каждому сегменту установлены свои требования к реализуемым мерам защиты для минимизации рисков, связанных с безопасностью данных.
Цели и задачи проекта
Целью проекта являлось подтверждение соответствия внедренной АСЗИ требованиям безопасности информации для защиты обрабатываемых персональных данных и конфиденциальной информации, в соответствии с Приказом ФСТЭК России №21 от 18 февраля 2013 года. Основные задачи проекта:
Обеспечение защиты данных от утраты, утечки, подмены, уничтожения и других угроз.
Приведение процессов обработки информации в соответствие с нормативными актами ФСТЭК и ФСБ России.
Создание условий для надежной работы АСЗИ в условиях выполнения повышенных требований к безопасности.
Повышение уровня доверия со стороны сотрудников и внешних партнёров к системе обработки данных.
Этапы реализации
Проект был выполнен в три ключевых этапа:
Этап 1: Анализ и подготовка
Экспертиза нормативных документов заказчика и их приведение в соответствие с законодательными требованиями.
Анализ структурных и функциональных характеристик реализованных в организации технологических процессов обработки информации, а также реализованных механизмов защиты информации .
Выдача рекомендаций по совершенствованию информационной системы в целом и имеющихся механизмов защиты информации.
Разработка проекта системы защиты информации в АС и его согласование с заказчиком.
Проведение обучения сотрудников основным принципам безопасности данных, включая работу с конфиденциальной информацией.
Этап 2: Настройка и внедрение
Настройка технических средств и программного обеспечения системы.
Установка средств защиты информации в соответствии с классом и уровнем защищённости ПДн, на основе разработанного проекта системы защиты информации.
Тестирование работы АСЗИ в условиях реальной эксплуатации.
Этап 3: Аттестационные испытания
Разработка программы и методики аттестационных испытаний.
Проверка выполнения соответствия реализованных механизмов защиты информации проектным показателям и заявленному функционалу.
Проведение аттестационных испытаний и оформление отчетной документации.
Проведение финального анализа рисков и предоставление отчётов руководству филиала.
Результаты проекта
По итогам аттестационных испытаний АСЗИ каждому отделению филиала «Южный территориальный округ» был выдан аттестат, подтверждающий соответствие АСЗИ требованиям защиты информации.
Внедрение АСЗИ способствовало повышению эффективности процессов обработки данных и уровня безопасности при обработке конфиденциальной информации. Удалось минимизировать риски, связанные с несанкционированным доступом, а также повысить прозрачность работы филиала. Полученные результаты создали основу для дальнейшего развития системы и адаптации её под изменяющиеся требования законодательства.
Заключение
Проект по внедрению и аттестации АСЗИ для филиала «Южный территориальный округ» ФГУП «РАДОН» подчеркнул необходимость комплексного подхода к информационной безопасности. Внедрение системы не только повысило надежность обработки данных, но и улучшило внутренние процессы, что укрепило репутацию филиала как ответственного оператора данных.
Этот пример демонстрирует важность создания защищенной информационной инфраструктуры в условиях динамичных угроз и требований безопасности. Несмотря на значительные усилия, затраченные на реализацию проекта, результаты оправдывают инвестиции, обеспечивая стабильную работу и доверие всех заинтересованных сторон.
