Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Саратовский государственный университет им. Н.Г. Чернышевского

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Гортинский

.pdf

Скачиваний:

Добавлен:

09.06.2015

Размер:

944.13 Кб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 108 9 10 > Следующая >>>

2- Документы, содержащие положения частных политик ИБ (детализи-

руют положения корпоративной политики ИБ применительно к одной

или нескольким

областям ИБ,

видам и технологиям

деятельности

организации)

3- Документы, содержащие требования информационной безопасности к

процедурам (содержат: правила и параметры, устанавливающие

осп -

соб осуществления и выполнения конкретных действий, связанныхв

ИБ;

ограничения по выполнению отдельных действий,

связанныхш

реализацией защитных мер,

про-

используемых технологическихр

цессах),

4- Документы, содержащие свидетельства выполненной деятельности по

достигнутые

обеспечению информационной безопасности (Отражают

результаты по обеспечению ИБ орган мзации).

Тема 5. ДОКУМЕНТАРНОЕ ОБЕСПЕЧЕНИЕ МЕРОПРИЯТИЙ

Документы,

которые

принятие мер по

обеспечению

подтверждают

информационной безопасности: н

1. Приказ о назначении структурного подразделения или должностного

лица (работникан), ответственного за обеспечение безопасности персо-

;

нальных данныхт

Приказаили распоряжение об утверждении списка лиц, доступ которых

данным, обрабатываемым в информационной систе-

к персональнымс

ки

ме, необходим для выполнения служебных (трудовых) обязанностей;

с3.

Учтенный установленным порядком в делопроизводстве журнал учета

допуска к работе в ИСПДн,

обеспечивающий учет логических имен

пользователей;

Учтенный установленным порядком в делопроизводстве журнал учета

средств защиты информации, эксплуатационной и технической доку-

ментации к ним;

Учтенный установленным порядком в делопроизводстве журнал учета

машинных носителей персональных данных;

Перечень персональных данных, подлежащих защите;

Акт классификации ИСПДн;

Частная модель угроз с протоколами экспертной оценки актуальности

угроз. До разработки модели должны быть приняты следующие доу-

менты:

• решение об актуальности угроз безопасности персональншх данных

принимается исключительно на основании экспертнойроценки,

и оформ-

• протоколы экспертной оценки должны разрабатываться.

ляться экспертами (специалистами в области защиты информации).

При этом низкая опасность исключенных угроз безопасности инфор-

мации может быть подтверждена:

• многократным превышением стоимости реализации угрозы над

стоимостью ущерба, наносимого субъекту персональных данных, в

случае ее реализации,

реализации угрозы, определенной по

• низким значением вероятностин

результатам статистически значимого количества инструментальных

обследований нод отипных объектов

Требованиятпо обеспечению безопасности персональных данных при

их обр аботке в ИСПДн, в том числе:

• псрядок охраны и допуска лиц (в том числе посторонних) в помеще-

ния, в которых установлены технические средства ИСПДн;

• условия расположения относительно границы контролируемой зо-

ны).

10. Инструкция по порядку резервирования и восстановления работоспо-

собности технических средств и программного обеспечения ИСПДн,

информационных массивов персональных данных и технических средств защиты;

11. Положение

по организации и проведению работ по обеспечению

безопасности ПДн при их обработке в ИСПДн. Данный документ

включает в себя:

- общий порядок организации работ по обеспечению безопасности

персональных данных при их обработке в информационных системах

персональных данных;

- обязанности должностных лиц, эксплуатирующих ИСПДн, вчасти

обеспечения безопасности персональных данных при их обработкеш

ИСПДн;

по фактам несо-

- порядок разбирательства и составления заключений.

блюдения условий

хранения носителей персональных данных, ис-

пользования средств защиты информации инарушения порядка пре-

могут привести к нару-

доставления персональных данных, которыем

шению конфиденциальности персональных данных или другим нару-

шениям, разработку и принятие мер по предотвращению возможных

опасных последствий подобных нарушений;

- порядок приостановкинпредоставления ПДн в случае обнаружения

нарушений порядка их предоставления;

администраторов средств (систем) защиты ин-

- порядок обучениян

формации,тв том числе средств антивирусной защиты, и первичного

пользователей;

инструктажаа

- псрядок проверки электронного журнала обращений к ИСПДн;

ки

- правила парольной защиты;

- правила антивирусной защиты;

- правила обновления общесистемного и прикладного программного

обеспечения;

- порядок контроля за соблюдением условий использования средств

защиты информации.

12. Описание конфигурации и топологии ИСПДн, физических, функцио-

нальных и технологических связей, а также режимов обработки персо-

нальных данных;

13.Описание степени участия персонала в обработке персональных дан-

ных;

14.Матрица доступа для ИСПДн;

15.Перечни технических средств ИСПДн, общесистемного и прикладногов

программного обеспечения, используемого в ней;

16.Приказ о

назначении подразделения (лица), ответстврнного за экс-

плуатацию средств защиты информации;

17.Эксплуатационная документация на ИСПДн и средства защиты ин-

формации для пользователей и администратора, в том числе антиви-

должны быть представ-

русной защиты (для каждого средства защитым

лены инструкции по их установке и настройке, инструкции админист-

ратору и пользователю);

18. Акт установки и настройки средств защиты информации, который

мероприятия обеспечивают выпол-

подтверждает, что внедренные техническиен

нение требований по обеспечению безопасности персональных данных при их

или что установка и настройка средств защиты ин-

обработке в данной ИСПДнн

формации проведенатв соответствии с техническим заданием на ИСПДн (част-

ным техническимазаданием на систему защиты персональных данных).

Перечень дскументов заявителя для аттестации автоматизированной системы.

Приказ «О назначении комиссии по сопровождению аттестации ав-

системы»

томатизированнойс

ов

Перечень защищаемых помещений, в которых проводятся конфи-

денциальные мероприятия, и объектов информатизации, используемых для об-

работки конфиденциальной информации

3.Перечень сведений конфиденциального характера

4.Карта с границами контролируемой зоны

Перечень лиц, имеющих право самостоятельного доступа в поме-

щение №____ с АС «____» ________

Приказ «О назначении администратора информационной безопас-

ности (уполномоченного по защите информации)»

Данные по уровню подготовки кадров, обеспечивающих защиту

информации

Акт классификации автоматизированной системы «____» ________в

Перечень защищаемых ресурсов АС «____» ________ и шуровень их

конфиденциальности

10.

Перечень лиц,

обслуживающих

систему

автоматизированную.

«____» ________

11.

Перечень лиц, имеющих право самостоятельного доступа к штат-

ным средствам автоматизированной системы «____м » ________

Перечень документов,

которые получает аттестуемый и которые он

разрабатывает после проведения аттестации:

12.

Аттестата соответствия

13.

защиты конфиденциальной информа-

Инструкция по обеспечениюн

ции, обрабатываемой в АС «____» ________

14.

Состав

обеспечения автоматизированной системы

программногон

«____» ________

15.

Описание технологического процесса обработки информации в АС

«____» ________с

Схема

информационных

потоков

автоматизированной

системы

16.

«____с» (Приложение №1 к Описанию технологического процесса…,)

17.

Технический паспорт

автоматизированной системы

«____»

________

18.Матрица доступа субъектов автоматизированной системы «____»

________ к ее защищаемым информационным ресурсам

19.Акт установки системы защиты информации от несанкционирован-

ного доступа «_______» в автоматизированную систему «____»

20.Описание системы разграничения доступа и настроек СЗИ НСД

«Secret Net» в АС ОИ «____» ________

21.Распоряжение о допуске сотрудников

22.Распоряжение о вводе в эксплуатацию

Некоторые рекомендации по проведению мероприятий по защите информациио

и выбору параметров защиты.

В ПДТК должны входить как лица, отвечающие за защиту информацииш

так и лица руководящего состава. Для назначения ПДТК изда тсярруководителя

организации.

План работы ПДТК составляется более чем на полгода. В конце каждого

полугодия подводятся итоги по результатам выпол е ия плана.

Деятельность комиссии ПДТК оформляетсямпротоколами заседаний.

Перед категорированием информации должна быть создана комиссия по

категорированию и классификации объектов информатизации. Деятельность ее

регламентируется положением о комиссии по категорированию и классифика-

ции объектов информатизации,нкоторое должно утверждаться руководителем

организации.

Категорирование ни формации производится и утверждается данной ко-

акт.

миссией о чем составляетсят

-логический паспорт объекта информатизации включает

Информационноа

в себя:

сведения о должностных лицах,

сведения о специалистов по ИБ,

сведения о ЛВС,

перечень объектов ВТ,

физическую схему ЛВС,

логическую схему ЛВС,

сведения об опечатывании и блокировании портов ввода-вывода и устройств со сменными носителями,

схему контролируемой зоны. Границы контролируемой зоны долж-

ны соответствовать тому периметру, который реально контролируется и

на котором возможно физическое воздействие для пресечения неправо-

мерных действий. Схема составляется поэтажно: вид сверху и вид сбоку.

Схема расположения объектов информатизации в пределах контролируе-

мой зоны составляется таким образом, что бы на ней были показаныовсе

возможные каналы утечки информации: проводные телефонныевлинии,

линии электропередач до трансформаторной подстанции или до границ

контролируемой зоны, оконные и дверные проемы, линиирпожарной сиг-

нализации и пр.,

перечень используемых программных продуктов,

и хранящиеся на бу-

информационные ресурсы, обрабатываемыен

мажных носителях,

по категории критичности,

перечень информационных ресурсове

объекты и субъекты защитыс, модель угроз информационной безо-

пасности,

перечень объектов уинформатизации, подлежащих защите,

модель угроз ИСПДны

модель угрозеи вероятного нарушителя,

автоматизированной системы (АС) и акт классифика-

Акт классификациис

составляться согласно требованиям нормативных актов.

ции ИСПДн должныд

Мет одические рекомендации по организации доступа к информационным

ресурсам автоматизированной системы с использованием парольной защиты и

рекомендации по обеспечению безопасности работе в локальной

методическиев

сети для пользователей должны присутствовать на рабочих местах сотрудни-

ков.

Список пользователей ИСПДн с указанием ролей, если ИСПДн обладает собственными средствами разграничения доступа.

Порядок ограничения доступа к информации, хранящейся в электронном виде должен предусматривать рекомендации пользователям по размещению

информации в открытых и закрытых ресурсах, если в системе отсутствует ман-

датная защита.

Матрица доступа к защищаемым информационным ресурсам должна со-

держать следующие сведения: наименование сетевых

информационных и про-

граммных ресурсов, путь доступа, полномочия на сетевые ресурсы (чтение

папки, чтение, запись, выполнение, печать файлов).

Рекомендации об учете, порядке работы, хранения, уничтожениявдоку-

ментов и машиночитаемых носителей информации должны учит ватьш

разно-

информа-

видности носителей информации по физическому принципу записир

ции.

Перечень защищаемых помещений должен содержать список помещений

с указанием из расположения относительно других помещений. Информация

должна носить гриф - для служебного пользованмя.

Технические паспорта защищаемых помещений включают перечень обо-

рудования, могущего представлять собой каналы утечки информации, линий

электропроводки и проходящих (а не только исходящих) линий связи и элек-

и акустической проницаемости стен и

тропитания, степень электромагнитнойн

оконных проемов.

в защищаемые помещения определяет при-

Порядок доступа сотрудниковн

ем – сдачу ключей

тили порядок смены и предоставления сотрудникам кодов

доступа.

вестись журналы: учета СКЗИ, выдачи СКЗИ пользователям,

Должныс

доступа с защищаемые помещения, учета записанных носителей с ПДн, учета

но ителей информации

Группа обеспечения информационной безопасности комплектуется спе-

циалистами хорошо владеющими системным администрированием и разби-

рающимися в физических основах передачи и хранения информации.

Периодически должны проводиться проверки контроля состояния ин-

формационной безопасности.

Должен постоянно вестись учет программно-аппаратного обеспечения

объектов информатизации. При замене какого-нибудь устройства ВТ, необхо-

димо это факт отражать в ведомости учета СВТ.

Для составления матрицы доступа и определения объектов уязвимостей

предварительно производится учет информационных ресурсов.

Мероприятия, которые необходимо произвести в начале создания систео -

мы безопасности: опечатывание корпусов, блокирование портов ввода/вывода,

установка лицензионного антивирусного обеспечения, разграничениешправ дос-

групповых

тупа (в windows наиболее эффективно это выполняется на основер

политик), установка расписания резервирования наиболее .критичной информа-

ции.

Контроль утечек информации производится либо с использованием спе-

специалистов, имею-

циализированных аппаратных средств (с пр влечениемм

щих лицензию на это вид деятельности) и проделывается это как правило при

проведении повторных аттестаций, либо визуальным осмотром, при котором

необходимо убедиться в том, что се СВТ находятся на своих местах и не поя-

вилось никаких дополнительныхнсредств, могущих передавать информацию (в

том числе и методом электромагнитных наводок).

Мероприятия по норганизации защищенного электронного межведомст-

состоят в организации выдачи и поддержания ис-

венного документооборотат

пользования среаств ЭЦП. Носители ключевой информации должны учиты-

ваться в журналес .

Установка средств разграничения доступа в сети как правило заключается

в эксплуатацию межсетевого экрана. Межсетевой экран должен

во введениис

тбыть сертифицирован в РФ.

Примеры оформления некоторых организационно-распорядительных

документов

Рекомендуемый перечень организационно-распорядительных документов для организации защиты информации

в органах исполнительной власти субъекта Российской Федерации

Каким норма-

Каким документом рег-

№

Наименование документа

тивным право-

Кем вводится в

п/п

вым актом оп-

ламентирована разра-

действие

ботка

ределен

Положение о порядке организа-

ции и проведения работ по за-

СТР-К

Утверждается

щите

конфиденциальной

ин-

руководителем

формации

Совместный приказ Дирек-

Положение о ПДТК, План рабо-

тора ФСБ России и Пред-

Положение-93

седателя Гостехкомиссии

Утверждается

ты ПДТК

России от 28.07.01 г. №

руководителем

309/405

Перечень сведений конфиденци-

Утверждается

Указ Президента РФ от

ального характера

СТР-К

06.03.97 г. № 188, Фрде-

руководителем

ральные законы, СТР-К

Перечень

информационных

ре-

Утверждается

Методические рекоменда-

сурсов органа управления

ФЗ 20.02.95 г. №

ции Гостехкомиссии.

Росруководителем

24-фз

сии РешениеН ГТК России

от 21.04.98 № 18

Положение о подразделении по

Положение-93,

Утверждается

защите информации

Решение Гостех-

иРешение Гостехкомиссии руководителем

комиссии России

России от 14 03 95 г. № 32

от 14.03.95 г. №

Должностные обязанности спе-

Утверждаются

Полож ние-93,

циалистов по защите информа-

Решение Гостех-

Решение Гостехкомиссии

руководителем

ции (ЗИ)

России

комиссиии

России от 14 03 95 г. № 32

от 14.03.95 г. №

Перспективный план по органиы -

Решение Гостехкомиссии Утверждается

СТР-К

зации ЗИ

России от 03.10.95 № 42.

руководителем

План организации ЗИ на год

Решение Гостехкомиссии

Утверждается

СТР-К

России от 03.10.95 № 42.

руководителем

План

контроля рэффективности

Утверждается

Положение-93

ЗИ

руководителем

10.

Перечень

Утверждается

объектов информати-

СТР-К

руководителем

зации, п одлежащих защите

11.

Аттестаты соответствия

СТР-К

12.

Утверждается

Приказ о создании комиссии по

категорированию и классифика-

руководителем

оции объектов информатизации,

СТР-К

Акт

классификации

объектов

информатизации

13. Приказ о назначении лиц, ответ-

Утверждается

ственных за эксплуатацию объ-

СТР-К

руководителем

екта информатизации

14. Технический паспорт на АС

СТР-К

Утверждается

руководителем

15. Технический паспорт

на защи-

СТР-К

Утверждается

щаемое помещение

руководителем

<<< < Предыдущая 1 2 3 4 5 6 78 / 108 9 10 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
16.08.2019178.18 Кб14гномон.doc
#
09.06.201538.56 Mб282Голомшток. Тоталитарное искусство.pdf
#
09.06.20152.74 Mб55Голуб. Учебник.doc
#
09.06.20153.77 Mб66Голуб. Упражнения.doc
#
22.11.20187.46 Mб2Гор и районы Сар обл.DOC1.doc
#
09.06.2015944.13 Кб9Гортинский.pdf
#
09.06.2015779.26 Кб183гос лингвистика.doc
#
26.09.201939.03 Кб4гос.экзамен менеджмент.docx
#
26.08.201978.85 Кб0госник.doc
#
09.06.201542.47 Кб10Гостиничные услуги.docx
#
09.06.2015491.52 Кб62госэкзамен искусствоведение.doc