- •Задание
- •1. Описание защищаемого объекта информатизации
- •1.1. Общие сведения о защищаемом объекте.
- •Место расположения исследуемого объекта защиты
- •План этажа объекта защиты
- •1.2. Сведения об объекте защиты
- •2. Методические рекомендации по составлению перечня сведений, составляющих служебную тайну.
- •2.1. Важность информации.
- •2.2. Полнота информации.
- •2.4. Адекватность информации.
- •1 Этап. Составление списка сведений, подлежащих рассмотрению
- •2 Этап. Оценка возможного ущерба предприятию, при разглашении (утечке) рассматриваемых сведений
- •3 Этап. Проверка того, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях.
- •4 Этап. Проверка того, что предприятие сможет осуществить надлежащие меры по сохранению конфиденциальности рассматриваемых сведений.
- •5 Этап. Проверка того, что рассматриваемые сведения не являются государственными секретами и не защищены авторским и патентным правом.
- •6 Этап. Проверка того, что рассматриваемые сведения должны являться общедоступными и не касаются негативной деятельности предприятия, способной нанести ущерб.
- •7 Этап. Подведение итогов.
- •Структурирование информации
- •Модель объекта защиты (пример)
- •Политика информационной безопасности
- •Система контроля и управления доступом на объект
- •Пользователи системы.
- •Информация о топологии сети, сетевых соединениях и узлах
- •Корпоративная сеть и арМы службы охраны объекта.
- •Возможность интеграции с другими системами.
- •Использование встроенных (приобретенных) средств мониторинга, безопасности и архивации
- •Описание работы системы.
- •По отдельному блоку защиты (зданию, этажу, группе помещений).
- •Технические каналы утечки конфиденциальной информации, несанкционированного доступа и специальных воздействий на нее.
- •Оценка возможностей технических разведок и других источников угроз безопасности конфиденциальной информации.
- •Защита информации, циркулирующей в отсс и наводящейся в втсс
- •Планирование работ по технической защите конфиденциальной информации и контролю ее эффективности.
- •Перечень документов на объект информатизации
- •Приложение № 4
- •Пример документального оформления перечня сведений конфиденциального характера
- •Перечень
- •Форма технического паспорта на автоматизированную систему
- •Технический паспорт
- •Общие сведения об ас
- •Состав оборудования ас
- •4. Результаты периодического контроля.
- •Форма технического паспорта на защищаемое помещение
- •Технический паспорт на защищаемое помещение №________
- •2. Перечень оборудования, установленного в помещении
- •3. Меры защиты информации
- •4.Отметка о проверке средств защиты
- •5.Результаты аттестационного и периодического контроля помещения
- •Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
- •Форма аттестата соответствия защищаемого помещения аттестат соответствия требованиям по безопасности информации
- •Установить ас
- •Выписки из Уголовного кодекса Российской Федерации
- •Глава 28. Преступления в сфере компьютерной информации
- •Глава 29. Преступления против основ конституционного строя и безопасности государства
- •Приложение №14 Выписки из Трудового кодекса
- •Глава 14. Защита персональных данных работника
- •Администратор безопасности арм __________________________
- •Приложение 1 журнал
2. Перечень оборудования, установленного в помещении
Вид оборудования |
Тип |
Учетный (зав.) номер |
Дата установки |
Класс ТС (ОТСС или ВТСС) |
Сведения по сертификации, специсследованиям и спецпроверкам |
3. Меры защиты информации
(пример)
1. Телефонный аппарат коммутатора директора (инв.№ 7). Выполнены требования предписания на эксплуатацию:
(Перечень предусмотренных мер защиты согласно предписанию).
2. Телефонный аппарат № 7-17.
На линию установлено защитное устройство "Сигнал-5", зав.№ 017.
3. Пульт коммутатора.
Выполнены требования предписания на эксплуатацию:
4. Часы электронные.
Выполнены требования предписания на эксплуатацию:
5. Вход в помещение оборудован тамбуром, двери двойные, обшиты слоем ваты и дерматина. Дверные притворы имеют резиновые уплотнения.
6. Доступ к вентиляционным каналам, выходящим на чердак здания, посторонних лиц исключен (приводятся предусмотренные для этого меры).
4.Отметка о проверке средств защиты
Вид оборудования |
Учетный номер |
Дата проверки |
Результаты проверки и № отчетного документа |
|
|
|
|
5.Результаты аттестационного и периодического контроля помещения
Дата проведения |
Результаты аттестации или периодического контроля, № отчетного документа |
Подпись проверяющего |
|
|
|
Приложение 10
Форма аттестата соответствия автоматизированной системы аттестат соответствия требованиям по безопасности информации
___________________________________________________________________________________________________
(указывается полное наименование автоматизированной системы)
№____
Выдан "__"_____
(дата)
…………………………………Со следующей страницы……………………………………………………………………………………
1. Настоящим АТТЕСТАТОМ удостоверяется:
________________________________________________________________________________________________________ (полное наименование автоматизированной системы)
класс защищенности ________ , соответствует требованиям нормативной документации по безопасности информации.
Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.
2. Организационная структура и уровень подготовки специалистов обеспечивают поддержание уровня защищенности АС в процессе эксплуатации в соответствии с установленными требованиями.
3. Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем организации (указываются номера документов).
4. С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации.
5. При эксплуатации АС запрещается:
• вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;
• проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации;
• подключать к основным техническим средствам нештатные блоки и устройства;
• вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;
• допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке;
• производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации;
• работать при отключенном заземлении;
• обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей.
6.Контроль за эффективностью реализованных мер и средств защиты возлагается ________________________________________________________________________________________________________
(наименование подразделения, должность лица, осуществляющего контроль)
7. Результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ __ от __) и протоколах испытаний.
8. "Аттестат соответствия" выдан на __ года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, могущих повлиять на характеристики защищенности АС
Руководитель аттестационной комиссии
___________________________________________________
(должность с указанием наименования организации)
(подпись, инициалы, фамилия)
«______»_________ ____
(дата)
Отметки органа надзора
Приложение 11