- •Задание
- •1. Описание защищаемого объекта информатизации
- •1.1. Общие сведения о защищаемом объекте.
- •Место расположения исследуемого объекта защиты
- •План этажа объекта защиты
- •1.2. Сведения об объекте защиты
- •2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
- •2.1. Важность информации.
- •2.2. Полнота информации.
- •2.4. Адекватность информации.
- •1 Этап. Составление списка сведений, подлежащих рассмотрению
- •2 Этап. Оценка возможного ущерба предприятию, при разглашении (утечке) рассматриваемых сведений
- •3 Этап. Проверка того, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях.
- •4 Этап. Проверка того, что предприятие сможет осуществить надлежащие меры по сохранению конфиденциальности рассматриваемых сведений.
- •5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
- •6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
- •7 Этап. Подведение итогов.
- •Структурирование информации
- •Модель объекта защиты (пример)
- •Политика информационной безопасности
- •Система контроля и управления доступом на объект
- •Пользователи системы.
- •Информация о топологии сети, сетевых соединениях и узлах
- •Корпоративная сеть и арМы службы охраны объекта.
- •Возможность интеграции с другими системами.
- •Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации
- •Описание работы системы.
- •По отдельному блоку защиты (зданию, этажу, группе помещений).
- •Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
- •Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.
- •Защита информации, циркулирующей в отсс и наводящейся в втсс
- •Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
- •Перечень документов на объект информатизации
- •Приложение № 4
- •Пример документального оформления перечня сведений конфиденциального характера
- •Перечень
- •Форма технического паспорта на автоматизированную систему
- •Технический паспорт
- •Общие сведения об ас
- •Состав оборудования ас
- •4. Результаты периодического контроля.
- •Форма технического паспорта на защищаемое помещение
- •Технический паспорт на защищаемое помещение №________
- •2. Перечень оборудования, установленного в помещении
- •3. Меры защиты информации
- •4.Отметка о проверке средств защиты
- •5.Результаты аттестационного и периодического контроля помещения
- •Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
- •Форма аттестата соответствия защищаемого помещения аттестат соответствия требованиям по безопасности информации
- •Установить ас
- •Выписки из Уголовного кодекса Российской Федерации
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Приложение №14 Выписки из Трудового кодекса
- •Глава 14. Защита персональных данных работника
- •Администратор безопасности арм __________________________
- •Приложение 1 журнал
Политика информационной безопасности
Документ предназначен для руководства и содержит:
- основные положения, касающиеся информационной безопасности предприятия,
- перечень наиболее характерных угроз,
- модели нарушителей безопасности,
- приоритетные мероприятия по реализации политики информационной безопасности, включая перечень необходимых средств информационной защиты,
- административные аспекты обеспечения безопасности (порядок назначения ответственных лиц, учет распределения паролей идентификаторов, действия администрации при попытках несанкционированного доступа).
Система контроля и управления доступом на объект
В данном разделе должны содержаться следующие краткие сведения об оснащении системой управления доступом на объект одного из блоков защиты (выделенная территория, здание, этаж, группа помещений).
Пользователи системы.
6. Общее количество пользователей системы. Предполагаемое максимальное количество сотрудников, посетителей, единиц транспорта.
7. Тип идентификаторов пользователей: пропуска, магнитные карты, дистанционные (Proximity) или контактные (Touch Memory).
8. Необходимость размещения на идентификационном удостоверении фотографии сотрудника, логотипа компании и т.п.
9. Необходимость в оснащении бюро пропусков комплексом для оперативного изготовления идентификационных удостоверений с фотографиями пользователей, другим специальным оборудованием.
Информация о топологии сети, сетевых соединениях и узлах
11. Карта сети, например, для сети до 50 пользователей может выглядеть таким образом:
- количество и тип серверов (платформы, операционные системы, сервисы): Widows NT standalone или рrimary/backup controller, или Novell Netware 4.1/4.11/5.0,
- приложения: MS SQL 6.5/7.0, MS Exchange or Eserv, Print server & File server,
- количество и тип рабочих станций (платформы, операционные системы, приложения, решаемые задачи): Windows 95/98, Windows NT 4.0 wks,
- используемые сетевые протоколы: ТСP/IP, Netbios, IPX.
12. Указать на схеме сегменты и способы их соединения (маршрутизаторы, хабы, мосты и прочее).
13. Указать вариант организации выхода в Internet:
- подключение выделенного компьютера (способ подключения, авторизации и пр.);
- подключение сети (способ подключения, использование прокси-служб и прочее);
- необходимость контроля трафика и разграничения доступа пользователей;
- наличие внутри предприятия собственного WEB, FTP серверов.
Корпоративная сеть и арМы службы охраны объекта.
12. Количество и расположение автоматизированных рабочих мест (АРМ) для управления СКУД (АРМ-администраторов безопасности, АРМ-службы охраны, АРМ-бюро пропусков, АРМ службы персонала, другие АРМ).
13. Необходимость взаимодействия АРМ-ов управления различных объектов.
14. Наличие корпоративной сети связывающей объекты (АРМы системы управления доступом должны располагаться в пределах ЛВС).
15. Структура корпоративной сети, наличие выделенных каналов передачи данных, телефонной сети в интересах СКУД.
16. Защиты АРМов СКУД от несанкционированного доступа.
17. С какими АРМ необходимо обеспечить взаимодействие в реальном масштабе времени (перчень взаимодействующих АРМ).