1. Техническое задание, содержащее:
1.1. Цель и задачи обеспечения ЗИ в ИС
1.2. Класс защищенности ИС
1.3. Перечень нормативных правовых актов, локальных правовых актов, методических документов, национальных стандартов и стандартов организаций, которым должна соответствовать ИС
1.4. Объекты защиты ИС на каждом из ее уровней
1.5. Требования к мерам и СЗИ, применяемым в ИС
1.6. Требования к ЗИ при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, а также при применении вычислительных ресурсов, предоставляемых уполномоченным лицом для обработки информации
1.7. Требования к поставляемым техническим средствам, ПО, СЗИ
1.8. Функции заказчика и оператора по обеспечению ЗИ в ИС
1.9. Cтадии создания СЗ ИС
2. Формирование требований к ЗИ в ИС
2.1. Принятие решения о необходимости ЗИ
2.1.1. Анализ целей создания ИС
2.1.2. Определение информации, подлежащей отработке в ИС
2.1.3. Анализ нормативных документов и стандартов
2.1.4. Принятие решения о необходимости создания СЗ ИС & определение целей и задач ЗИ в ИС
2.1.5. Определение основных этапов создания СЗ ИС
2.2. Классификация ИС по требованиям защиты информации
2.3. Определение угроз безопасности информации & разработка на их основе модели угроз безопасности
2.4. Определение требований к СЗ ИС
3. Разработка СЗ ИС
3.1. Проектирование СЗ ИС
3.1.1. Определение типов субъектов доступа и объектов доступа, являющихся объектами защиты
3.1.2. Определение методов управления доступом, типов доступа и правил разграничения доступа субъектов доступа к объектам доступа, подлежащих реализации в ИС
3.1.3. Выбор мер ЗИ, подлежащих реализации в рамках СЗ ИС
3.1.4. Определение видов и типов СЗИ, обеспечивающих реализацию технических мер ЗИ
3.1.5. Определение структуры СЗ ИС, включая состав (количество) и места размещения ее элементов
3.1.6. Выбор СЗИ
3.1.7. Определение параметров настройки ПО
3.1.8. Опредение мер ЗИ при информационном взаимодействии с иными ИС и информационно-телекоммуникационными сетями
3.2. Разработка эксплуатационной документации на СЗ ИС
3.3. Макетирование и тестирование СЗИ ИС (при необходимости)
3.3.1. Проверка работоспособности и совместимости выбранных средств ЗИ с ИТ и техническими средствами
3.3.2. Проверка выполнения выбранными средств ЗИ требований к СЗИ ИС
3.3.3. Корректировка проектных решений, разработанных при создании ИС и (или) СЗИ ИС
3.3.4. Корректировка проектной и эксплуатационной документации на СЗИ ИС
4. Внедрение СЗ ИС
4.1. Установка и настройка СЗИ в ИС
4.2. Разработка организационно-распорядительных документов по ЗИ
4.3. Внедрение организационных мер по ЗИ
4.3.1. Реализация правил ограничений доступа
4.3.2. Проверка полноты и детальности описаний в организационно-распорядительных документах
4.3.3. Отработка действий должностных лиц и подразделений, ответственных за реализацию мер ЗИ
4.4. Предварительные испытания СЗИ ИС
4.5. Опытная эксплаутация СЗИ ИС
4.5.1. Проверка функционирования СЗИ ИС
4.5.2. Проверка готовности пользователей к эксплуатации
4.6. Анализ уязвимостей ИС и принятие мер по их устранению
4.6.1. Анализ уязвимостей СЗИ
4.6.2. Анализ уязвимостей технических средств
4.6.3. Анализ уязвимостей ПО
4.6.4. Уточнение модели угроз безопасности информации и принятие доп. мер
4.7. Приемочные испытания СЗИ ИС
5. Обеспечение ЗИ в ходе эксплуатации
5.1. Управление СЗ ИС
5.1.1. Управление пользователями и их учетными записяи
5.1.2. Настройка ПО, восстановление работоспособности СЗИ, управление паролями и пр.
5.1.3. Установка обновлений ПО
5.1.4. Централизованное управление СЗИ при необходимости
5.1.5. Регистрация и нализ событий безопасности
5.1.6. Периодическое информирование пользователей об угрозах безопасности информации и правил эксплуатации
5.1.7. Корректировка эксплуатационной документации при необходимости
5.2. Выявление инцидентов и реагирование на них
5.2.1. Определение лиц, ответственных за выявление инцидентов и реагирование на них
5.2.2. Обнаружение и идентификация инцидентов
5.2.3. Информирование лиц, ответственных за выявление инцидентов, о возникновении инцидентов
5.2.4. Анализ инцидентов
5.2.5. Планирование и принятие мер по устранению инцидентов
5.2.6. Планирование и принятие мер по предотвращению повторных инцидентов
5.3. Управление конфигурацией ИС и ее СЗ
5.3.1. Поддержание конфигурации и её СЗ в соответствии с эксплуатационной документацией
5.3.2. Определение лиц, имеющим право вносить изменение в базовую конфигурацию ИС и СЗ
5.3.3. Управление изменениями базовой конфигурации
5.3.4. Анализ потенциальнго воздействия планируемых изменений
5.3.5. Определение параметров настройки ПО
5.3.6. Внесение информации об изменении конфигурации в эксплуатационную документацию
5.3.7. Принятие решений о повторной аттестации
5.4. Контроль за обеспечением уровня защищенности
5.4.1. Контроль за событиями безопасности и деятельности пользователей
5.4.2. Анализ защищенности информации
5.4.3. Оценка функционирования СЗ ИС
5.4.4. Периодический анализ угроз безопасности информации в ИС и принятие мер в случае возникновения новых угроз
5.4.5. Документирование процедур и результатов контроля за уровнем защищенности
5.4.6. Принятие решений о необходимости пересмотра требований к ЗИ, о проведении доп. аттестационных испытаний или повторной аттестации