- •Задание
- •1. Описание защищаемого объекта информатизации
- •1.1. Общие сведения о защищаемом объекте.
- •Место расположения исследуемого объекта защиты
- •План этажа объекта защиты
- •1.2. Сведения об объекте защиты
- •2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
- •2.1. Важность информации.
- •2.2. Полнота информации.
- •2.4. Адекватность информации.
- •1 Этап. Составление списка сведений, подлежащих рассмотрению
- •2 Этап. Оценка возможного ущерба предприятию, при разглашении (утечке) рассматриваемых сведений
- •3 Этап. Проверка того, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях.
- •4 Этап. Проверка того, что предприятие сможет осуществить надлежащие меры по сохранению конфиденциальности рассматриваемых сведений.
- •5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
- •6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
- •7 Этап. Подведение итогов.
- •Структурирование информации
- •Модель объекта защиты (пример)
- •Политика информационной безопасности
- •Система контроля и управления доступом на объект
- •Пользователи системы.
- •Информация о топологии сети, сетевых соединениях и узлах
- •Корпоративная сеть и арМы службы охраны объекта.
- •Возможность интеграции с другими системами.
- •Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации
- •Описание работы системы.
- •По отдельному блоку защиты (зданию, этажу, группе помещений).
- •Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
- •Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.
- •Защита информации, циркулирующей в отсс и наводящейся в втсс
- •Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
- •Перечень документов на объект информатизации
- •Приложение № 4
- •Пример документального оформления перечня сведений конфиденциального характера
- •Перечень
- •Форма технического паспорта на автоматизированную систему
- •Технический паспорт
- •Общие сведения об ас
- •Состав оборудования ас
- •4. Результаты периодического контроля.
- •Форма технического паспорта на защищаемое помещение
- •Технический паспорт на защищаемое помещение №________
- •2. Перечень оборудования, установленного в помещении
- •3. Меры защиты информации
- •4.Отметка о проверке средств защиты
- •5.Результаты аттестационного и периодического контроля помещения
- •Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
- •Форма аттестата соответствия защищаемого помещения аттестат соответствия требованиям по безопасности информации
- •Установить ас
- •Выписки из Уголовного кодекса Российской Федерации
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Приложение №14 Выписки из Трудового кодекса
- •Глава 14. Защита персональных данных работника
- •Администратор безопасности арм __________________________
- •Приложение 1 журнал
Перечень документов на объект информатизации
№ |
Наименование |
ЗП |
АРМ |
Гриф |
Условия создания |
Примечания |
|
|
Перечень объектов информатизации: помещений, в которых проводятся мероприятия конфиденциального характера, технических средств и систем, используемых для обработки конфиденциальной информации. |
+ |
+ |
дсп |
Обязательно |
Составляется структурным подразделением, на которое возложены функции защиты конфиденциальной информации. |
|
|
Распоряжение "О назначении комиссии по категорированию, классификации и организации аттестации объекта информатизации" |
+ |
+ |
н/с |
Обязательно |
Составляется заявителем |
|
|
Предписание на ОТСС объекта информатизации и протокол специальных исследований (СИ). |
- |
+ |
дсп |
Обязательно |
Составляется уполномоченной организацией |
|
|
Предписание на объекты информатизации и протокол СИ (в случае нескольких отдельных ОТСС в составе одного ОИ) |
-- |
+ |
дсп |
При необходимости уточнить класс объекта |
Составляется уполномоченной организацией |
|
|
Протокол специальных исследований ВТСС ЗП |
+ |
- |
дсп |
Обязательно |
Составляется уполномоченной организацией |
|
|
Заключение по результатам специальной проверки (СП) ТСС ОИ |
+ |
+ |
дсп |
Обязательно |
Составляется уполномоченной организацией |
|
|
Карта с границами контролируемой зоны ОИ (и границами зоны 2) |
- |
+ |
дсп |
Обязательно |
Составляется заявителем |
|
|
Протокол измерения параметров заземлителя ТСС ОИ |
- |
+ |
н/c |
Обязательно |
Составляется уполномоченной организацией |
|
|
Акт категорирования объекта информатизации |
+ |
+ |
дсп |
Обязательно |
Составляется заявителем |
|
|
Список лиц обслуживающих ОИ |
- |
+ |
н/с |
Обязательно |
Составляется заявителем |
|
|
Список лиц, имеющих доступ в помещение с ОИ |
- |
+ |
дсп |
Обязательно |
Составляется заявителем |
|
|
Список лиц, допущенных к самостоятельной работе на ОИ |
|
|
н/с |
Обязательно |
Составляется заявителем |
|
|
Состав ПО АС в составе ОИ |
- |
+ |
н/с |
Обязательно |
Составляется заявителем |
|
|
Технологический процесс обработки информации (каким образом обрабатывается, куда выдается) |
- |
+ |
дсп |
Обязательно |
Составляется заявителем |
|
|
Перечень защищаемых ресурсов АС в составе ОИ |
- |
+ |
дсп |
На основе "Технол. процесса…" |
Составляется заявителем |
|
|
Схема информационных потоков АС в составе ОИ |
- |
+ |
Н/с |
На основе "Технол. процесса…" |
Составляется заявителем |
|
|
Акт классификации АС в составе ОИ |
- |
+ |
дсп |
На основании РД и СТР. |
Составляется заявителем |
|
|
Перечень лиц, работающих в ЗП или ответственных за него. |
+ |
- |
дсп |
Обязательно |
Составляется заявителем |
|
|
Распоряжение о проведении СО ЗП и организации работ по защите |
+ |
- |
дсп |
Обязательно |
Составляется заявителем |
|
|
Технический паспорт объекта информатизации |
+ |
+ |
дсп |
Обязательно |
Составляется заявителем |
|
|
Распоряжение о назначении уполномоченного (администратора) по защите из числа сотрудников, допущенных к обработке информации |
- |
+ |
н/c |
В случае необходимости (определяется на основании класса АС) |
Составляется заявителем |
|
|
Копии лицензий на право работ по защите информации |
+ |
+ |
н/c |
Обязательно |
Предоставляется исполнителем |
|
|
Техническое задание (на выполнение работ по защите и дооснащению) |
+ |
+ |
н/с |
Составляется при необходимости |
Составляется организацией выполняющей работы и Заявителем |
|
|
Акт установки систем защиты |
+ |
+ |
дсп |
По результатам установки средств защиты |
Предоставляется организацией, выполняющей работы |
|
|
Матрица разграничения доступа к информационным ресурсам АС в составе ОИ |
- |
+ |
н/с |
Обязательно |
Составляется заявителем |
|
|
Сертификаты (копии) на установленные средства защиты (программные и технические) |
+ |
+ |
н/с |
Обязательно |
Предоставляет производитель средств защиты |
|
|
Инструкция (памятка) по обеспечению защиты конфиденциальной информации. |
+ |
+ |
дсп |
Обязательно |
Составляется исполнителем |
|
|
Данные по уровню подготовки кадров обеспечивающих защиту информации на объекте информатизации |
+ |
+ |
н/с |
Обязательно |
Составляется заявителем |
|
|
Заявка на проведение аттестации объектов информатизации |
+ |
+ |
н/с |
Обязательно |
Составляется заявителем |
|
|
Копии лицензий на право работ по защите информации и копия аттестата аккредитации центра по аттестации |
+ |
+ |
н/c |
Обязательно |
Предоставляется организацией выполняющей аттестацию |
|
|
Программа и методика аттестационных испытаний |
+ |
+ |
дсп |
Составляется по результатам предварительного ознакомления |
Составляется организацией выполняющей аттестацию |
|
|
Заключение по результатам аттестационных испытаний |
+ |
+ |
дсп, |
По результатам аттестационных испытаний |
Составляется организацией выполняющей аттестацию |
|
|
Аттестат соответствия |
+ |
+ |
дсп, |
По результатам аттестационных испытаний |
Выдается организацией выполняющей аттестацию |
Приложение № 3
ПРИМЕРНЫЙ ПЕРЕЧЕНЬ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ СЛУЖЕБНУЮ ТАЙНУ
__________________________________________________________________________________
(наименование организации)
1. Общие положения.
Перечень сведений, составляющих служебную тайну, содержит в себе сведения, не являющиеся секретными, но связанные, прежде всего, со служебной, управленческой, финансовой и другой деятельностью организации, разглашение или утечка которых может нанести ущерб ее интересам, а также сведения, содержащие деловую информацию, имеющую фактическую или потенциальную ценность для организации в связи с ее конфиденциальным характером.
2. В перечне применяются следующие сокращения: _____________________________________
__________________________________________________________________________________
3. В перечне применяются следующие понятия: _________________________________________
__________________________________________________________________________________
Основные разделы:
4.1.Сведения об объектах защиты учреждений, предприятий и организаций, за исключением сведений, составляющих государственную тайну. Сведения об учреждениях, предприятиях и организациях, прошедших специальную экспертизу.
4.2. Сведения по планированию (все отделы).
4.3. Сведения по делопроизводству и по документообороту.
4.4. Сведения по работе с персоналом (персональные данные).
4.5. Сведения по финансово-экономическим вопросам.
4.6. Сведения по вопросам хозяйственно-технического обеспечения.
4.7. Иные сведения, связанные со служебной деятельностью организации.
Пример Перечня в части вопросов технической защиты информации (ТЗИ) приведен в табл.1
Табл.1
№ раздела перечня п/п |
Содержание сведений, составляющих служебную тайну. |
Срок конфиденциальности. |
Примечание |
1. |
Сведения, раскрывающие организацию и фактическое состояние ТЗИ, составляющей конфиденциальную информацию в субъектах РФ, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
5 лет |
|
1. |
Сведения, раскрывающие направления работ по совершенствованию способов и средств ТЗИ и результаты, полученные в ходе проведения работ в этих областях (за исключением сведений, содержащихся в открыто опубликованных материалах). |
10 лет |
|
1. |
Сведения, раскрывающие организацию, содержание планируемых и (или) проводимых мероприятий в области ТЗИ, составляющей конфиденциальную информацию в субъектах РФ, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
5 лет |
|
1. |
Сведения, раскрывающие требования и меры по ТЗИ конфиденциальной информации в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях (за исключением сведений, содержащихся в открыто опубликованных нормативно-правовых актах). |
10 лет |
|
1. |
Сведения о содержании, задачах и сроках планируемых и (или) проводимых работах по контролю эффективности мероприятий по ТЗИ конфиденциальной информации в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
3 года |
|
1. |
Сведения, раскрывающие результаты контроля состояния ТЗИ конфиденциальной информации в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
5 лет |
|
1. |
Сведения, раскрывающие результаты оценки эффективности мероприятий по ТЗИ конфиденциальной информации и их соответствия нормативным показателям (требованиям) по ТЗИ в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
5 лет |
|
1. |
Сведения об охраняемых сведениях и демаскирующих признаках конфиденциальной информации в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
5 лет |
|
1. |
Сведения, раскрывающие организацию или состояние защиты конфиденциальной информации от НСД, проводимые мероприятия на объектах информатизации и результаты их выполнения, в том числе содержание разрабатываемых приказов, распоряжений, планов, инструкций. |
5 лет |
|
1. |
Сведения, раскрывающие состав программного обеспечения и средств защиты конфиденциальной информации, используемых на объектах информатизации в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
5 лет |
|
1. |
Сведения, раскрывающие перечни средств и классы ВТ и АСУ, используемых для обработки конфиденциальной информации на объектах информатизации в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
5 лет |
|
1. |
Сведения, раскрывающие принципы, методы и результаты использования средств защиты информации в системах ТЗИ конфиденциальной информации на объектах информатизации в органах государственной власти, в федеральном округе, органах местного самоуправления, на предприятиях, в учреждениях и организациях. |
10 лет |
|
СОГЛАСОВАНО:
Заместитель руководителя И. О. Фамилия
Введен в действие _________________________
приказом №__________
(гриф конфиденциальности)
от «____» ____________2003 __ г.
УТВЕРЖДАЮ
Обсужден и утвержден Руководитель ЭК организации _________________________ (подпись)
от «____» ____________2003 __ г. (имя, фамилия)
«____» ____________2003 __ г.