2. КОНЦЕПЦИЯ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ФНС РОССИИ | Перечень нормативных документов

2. Процессы регулирования при управлении информационной безопасностью

2. Процессы регулирования при управлении
информационной безопасностью

Общая схема взаимодействия процессов регулирования при управлении ИБ представлена на рис. 1.

Представленная на рис. 1 схема соответствует модели PDCA международного стандарта ИСО/МЭК 27001-2013 г.

Процессы регулирования при управлении ИБ включают в себя:

- разработку политик и требований к ИБ;

- разработку и внедрение СУИБ ФНС России;

- обеспечение функционирования (эксплуатацию) СУИБ;

- контроль состояния ИБ.

СУИБ разрабатывается в ФНС России с учетом требований и политик в области ИБ. Взаимоувязанные процессы управления ИБ в ФНС России должны обеспечить централизованно управляемую систему информационной безопасности.

Внедрение средств и систем СУИБ организуется ФНС России.

Внедрение СУИБ осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:

- установку и настройку средств СУИБ;

- разработку документов, определяющих правила и процедуры, реализуемые эксплуатирующими подразделениями для обеспечения СУИБ;

- внедрение организационных мер защиты информации;

- предварительные испытания СУИБ;

- опытную эксплуатацию СУИБ;

- анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

- приемочные испытания СУИБ.

Проверка работоспособности СУИБ проводится на этапах внутренних испытаний и опытной эксплуатации комиссиями в составе представителей подрядчиков и заказчика.

Обеспечение функционирования и эксплуатация готовых средств и систем СУИБ должна производиться Центром управления безопасностью информации и назначенными сотрудниками налоговых органов. Оперативная поддержка задач эксплуатации осуществляется АЦ, входящим в состав ЦУБИ. Технологические процессы эксплуатации должны быть обеспечены соответствующей документальной поддержкой.

Обеспечение функционирования (эксплуатации) СУИБ на региональном уровне производится сотрудниками на основании должностных регламентов или приказов.

Эксплуатация технико-программных средств ЦУБИ осуществляется сотрудниками аналитического центра ЦУБИ.

Контроль управления безопасностью информации ФНС России осуществляется постоянно руководством соответствующего уровня. Высшим звеном контроля, в соответствии с требованиями Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" (утв. Постановлением Совета Министров - Правительства РФ от 15.09.1993 N 912-51), является руководитель ФНС России.

Основные функции контроля исполняются в рамках функционирования СУИБ. Работы по контролю управления безопасностью информации ФНС России организуются ЦУБИ ФНС России. При организации мероприятий контроля используются данные, полученные в АЦ ЦУБИ.

Контроль функционирования системы управления ИБ в ФНС России является составной частью общей системы контроля ИБ в ФНС России. Контроль ИБ в ФНС России подразделяется на внешний и внутренний.

Внешний контроль проводится государственными регуляторами в области ИБ (ФСБ России, ФСТЭК России и Роскомнадзор) по собственным планам, согласованным с ФНС России на основании собственных нормативных документов.

Внутренний контроль (в том числе дистанционный контроль) проводится:

- ЦУБИ по отдельному плану, согласованному с проверяемыми подразделениями, на основании введенной приказом ФНС России методики, а также в рамках функционирования СУИБ;

- МИ ФНС России по ФО по отдельным планам проверки основных видов деятельности ФНС России или тематических планов по виду деятельности, согласованными с проверяемыми подразделениями, на основании регламента, введенного приказом ФНС России;

- УФНС России внутри и в подчиненных ИФНС России и ТОРМ ФНС России по отдельным планам;

- МИ ФНС России по КН внутри по отдельным планам.

Взаимоувязанные процессы регулирования управления ИБ в ФНС России позволяют на основании сформулированных требований в области управления иметь адекватную централизованную управляемую информационную безопасность ФНС России.

Рисунок 1

Сохранить в браузере
Нажмите сочетание клавиш Ctrl + D