- •Задание
- •1. Описание защищаемого объекта информатизации
- •1.1. Общие сведения о защищаемом объекте.
- •Место расположения исследуемого объекта защиты
- •План этажа объекта защиты
- •1.2. Сведения об объекте защиты
- •2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
- •2.1. Важность информации.
- •2.2. Полнота информации.
- •2.4. Адекватность информации.
- •1 Этап. Составление списка сведений, подлежащих рассмотрению
- •2 Этап. Оценка возможного ущерба предприятию, при разглашении (утечке) рассматриваемых сведений
- •3 Этап. Проверка того, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях.
- •4 Этап. Проверка того, что предприятие сможет осуществить надлежащие меры по сохранению конфиденциальности рассматриваемых сведений.
- •5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
- •6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
- •7 Этап. Подведение итогов.
- •Структурирование информации
- •Модель объекта защиты (пример)
- •Политика информационной безопасности
- •Система контроля и управления доступом на объект
- •Пользователи системы.
- •Информация о топологии сети, сетевых соединениях и узлах
- •Корпоративная сеть и арМы службы охраны объекта.
- •Возможность интеграции с другими системами.
- •Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации
- •Описание работы системы.
- •По отдельному блоку защиты (зданию, этажу, группе помещений).
- •Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
- •Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.
- •Защита информации, циркулирующей в отсс и наводящейся в втсс
- •Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
- •Перечень документов на объект информатизации
- •Приложение № 4
- •Пример документального оформления перечня сведений конфиденциального характера
- •Перечень
- •Форма технического паспорта на автоматизированную систему
- •Технический паспорт
- •Общие сведения об ас
- •Состав оборудования ас
- •4. Результаты периодического контроля.
- •Форма технического паспорта на защищаемое помещение
- •Технический паспорт на защищаемое помещение №________
- •2. Перечень оборудования, установленного в помещении
- •3. Меры защиты информации
- •4.Отметка о проверке средств защиты
- •5.Результаты аттестационного и периодического контроля помещения
- •Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
- •Форма аттестата соответствия защищаемого помещения аттестат соответствия требованиям по безопасности информации
- •Установить ас
- •Выписки из Уголовного кодекса Российской Федерации
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Приложение №14 Выписки из Трудового кодекса
- •Глава 14. Защита персональных данных работника
- •Администратор безопасности арм __________________________
- •Приложение 1 журнал
Приложение № 4
ПЛАН МЕРОПРИЯТИЙ
ПО ЗАЩИТЕ СЛУЖЕБНОЙ ТАЙНЫ ОРГАНИЗАЦИИ НА 200__ г.
1. Цели годового плана по защите служебной тайны:
• предотвратить несанкционированное распространения служебных секретов;
• предотвратить разглашения служебных секретов сотрудниками и другими носителями таких секретов, а также исключить их утечку по техническим каналам.
2. Анализ сведений, составляющих служебную тайну:
• определить, какие сведения организации могут быть отнесены к служебной тайне;
• установить места их разработки, накопления и хранения;
• выявить потенциальные каналы утечки таких сведений;
• оценить возможности по перекрытию этих каналов;
• проанализировать соотношение затрат и доходов по использованию различных технологий, обеспечивающих защиту служебной тайны;
• назначить сотрудников, ответственных за каждый участок системы обеспечения безопасности.
3. Обеспечение реализации деятельности системы безопасности по следующим направлениям:
• контроль сооружений и оборудования организации, обеспечение безопасности производственных и конторских помещений, охрана фото- и иного копировального оборудования, контроль посещений Управления и т. д.;
• разработка памятки о сохранении служебной тайны, определение порядка ознакомления с ней, а также с Перечнем сведений, составляющих служебную тайну;
• работа с персоналом организации, в том числе проведение бесед при приеме на работу, инструктаж вновь принятых на работу по правилам и процедурам защиты служебной тайны в организации, получение от них обязательств (контрактов) о неразглашении, обучение сотрудников правилам сохранения служебных секретов, стимулирование соблюдения конфиденциальности, беседы с увольняющимися и получение от них подписок;
• организация работы с конфиденциальными документами, установление порядка и правил ведения делопроизводства, контроль за конфиденциальными документами и их публикациями, контроль и учет технических носителей конфиденциальных сведений, засекречивание, рассекречивание и уничтожение конфиденциальных документов, охрана чужих секретов;
• работа с конфиденциальной информацией, циркулирующей в технических средствах и системах обеспечения производственной и трудовой деятельности (создание системы защиты технических каналов защиты утечки информации);
• работа с конфиденциальной информацией, накопленной в компьютерных системах (создание системы защиты электронной информации от несанкционированного доступа к ней; обеспечение контроля за работой пользователей на ПЭВМ);
• защита служебной тайны в организационно-правовых вопросах и особенно в процессе заключения контрактов и договоров с коллективом, сотрудниками, и т. д.
Приложение 7
Пример документального оформления перечня сведений конфиденциального характера
Для служебного пользования
(по заполнении)
Утверждаю
Руководитель организации
__________________________
(подпись, инициалы, фамилия)
«____»___________________
(дата)
Перечень
сведений конфиденциального характера
-
№ п/п
Наименование сведений
Примечание
1.
Сведения, раскрывающие систему защиты конфиденциальной информации, средства защиты информации ЛВС организации от НСД, а также значения действующих кодов и паролей.
2.
Сводный перечень работ организации на перспективу, на год (квартал).
3.
Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов.
4.
Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица.
5.
Основные показатели задания на проектирование комплекса (установки). НОУ-ХАУ технологии – различные технические, коммерческие и другие сведения, оформленные в виде технической документации.
6.
Методические материалы, типовые технологические и конструктивные решения, разработанные организацией и используемые при проектировании.
7.
Требования по обеспечению сохранения служебной тайны при выполнении работ в организации.
8.
Порядок передачи служебной информации ограниченного распространения другим организациям.
Примечание. Запрещается включать в ''Перечень…'' сведения, которые запрещено относить к конфиденциальной информации в соответствии с действующим законодательством Российской Федерации.
Приложение 8