Аттестация объектов информатизации по требованиям безопасности информации
[+]
Опубликован: 23.02.2018 | Доступ: свободный | Студентов: 2047 / 668 | Длительность: 13:24:00
Тема: Безопасность
Специальности: Администратор информационных систем, Специалист по безопасности, Администратор коммуникационных систем
Лекция 19:

Состав и содержание документов, разрабатываемых для проведения аттестации и по результатам аттестации автоматизированной системы
A
|
версия для печати
< Лекция 18 || Лекция 19: 1234567 || Лабораторная работа 1 >
  1. Справка об уровне подготовки кадров, обеспечивающих защиту информации в организации и на объекте информатизации. Указывается образование и данные о повышении квалификации специалистов, которые будут осуществлять обработку информации на объекте информатизации, а также обеспечивать защиту информации в процессе эксплуатации объекта информатизации. При необходимости, может быть проведен опрос с целью выяснения уровня подготовки кадров, а также проведено обучение работе со средствами защиты информации, установленными на объекте информатизации.
  2. Акт обследования объекта информатизации (раздел 3.1).
  3. Программа-методика аттестационных испытаний объекта информатизации (раздел 3.3.1).
  4. Модель нарушителя (раздел 3.4)
  5. Модель угроз безопасности информации (раздел 3.4)
  6. Протоколы специальных исследований средств вычислительной техники объекта информатизации (раздел 3.5).
  7. Предписание на эксплуатацию основных технических средств и систем объекта информатизации (раздел 3.5).
  8. Инструкция администратору безопасности (уполномоченному по безопасности) автоматизированной системы объекта информатизации. Определяет порядок действий администратора в процессе эксплуатации объекта информатизации, права и обязанности администратора безопасности, а также виды и степень ответственности за нарушение требований по безопасности информации и имеет следующую структуру:
    • общие положения: назначение документа, порядок назначения на должность администратора безопасности и его основная задача;
    • обязанности Администратора безопасности информации;
    • права администратора безопасности информации;
    • ответственность за действия (бездействие) администратора безопасности.
  9. Инструкция пользователю автоматизированной системы объекта информатизации. Определяет порядок действий пользователя в процессе эксплуатации объекта информатизации, права и обязанности пользователя, а также виды и степень ответственности за нарушение требований по безопасности информации и имеет следующую структуру:
    • общие положения: назначение документа, перечень документов по защите информации, разработанных в организации, которыми должен руководствоваться пользователь при работе в автоматизированной системе;
    • обязанности пользователя по защите информации при работе в автоматизированной системе;
    • перечень действий, которые пользователю запрещается производить при работе в автоматизированной системе;
    • основные принципы и технологии работы пользователя с информацией ограниченного доступа при обработке ее в автоматизированной системе;
    • перечень действий, которые необходимо совершать пользователю на каждом из этапов работы с информацией ограниченного доступа в автоматизированной системе;
    • лист доведения положений инструкции под роспись до каждого пользователя автоматизированной системы.
  10. Инструкция по организации парольной защиты автоматизированной системы объекта информатизации. Определяет характеристики паролей, которые должны быть использованы при осуществлении доступа к автоматизированной системе, правила формирования, порядок и сроки обновления паролей, а также определяет пароли, которые не должны применяться. Структура документы выглядит следующим образом:
    • общие положения: назначение документа, общие принципы работы в рамках организации парольной защиты, определение ответственного за организацию парольной защиты в организации;
    • порядок формирования паролей пользователей автоматизированной системы;
    • порядок ввода паролей при входе в автоматизированную систему;
    • срок действия и порядок смены паролей пользователей;
    • порядок хранения паролей пользователей и администратора безопасности информации;
    • перечень действий с паролями, которые пользователю запрещается осуществлять;
    • ответственность при организации парольной защиты;
    • лист доведения положений инструкции под роспись до каждого пользователя автоматизированной системы.
  11. Инструкция по организации антивирусной защиты в автоматизированной системе объекта информатизации. Определяет порядок и периодичность обновления антивирусных баз, порядок действий пользователей при обнаружении вредоносных файлов и имеет следующую структуру:
    • общие положения: назначение документа, общие принципы работы в рамках организации антивирусной защиты, определение ответственного за организацию антивирусной защиты в организации;
    • порядок применения средств антивирусной защиты;
    • перечень действий с антивирусными средствами, которые пользователю запрещается осуществлять;
    • ответственность при организации антивирусной защиты;
    • лист доведения положений инструкции под роспись до каждого пользователя автоматизированной системы.
  12. Инструкция по эксплуатации средств защиты информации на объекте информатизации. Определяет перечень средств защиты информации, установленных на объекте информатизации, порядок работы с ними, лиц, ответственных за эксплуатацию средств защиты информации, а также перечень действий, запрещенных пользователю при работе на объекте информатизации с установленными средствами защиты информации. Инструкция имеет следующую структуру:
    • перечень средств защиты информации, установленных на объекте информатизации с указанием заводского номера, номера специального защитного знака, данных о действующем сертификате соответствия на средство защиты информации и место установки;
    • для каждого наименования средства защиты информации, установленного на объекте информатизации, указывается: общие сведения о средстве защиты информации, указания по эксплуатации, меры безопасности при работе со средством, подготовка и порядок работы со средством, техническое обслуживание средства;
    • порядок действий при нарушении нормального функционирования средства защиты информации.
  13. Протокол оценки защищенности от утечки по каналу побочных электромагнитных излучений и наводок (Протокол оценки эффективности принятых мер по защите информации) (раздел 3.5).
  14. Технический паспорт. Содержит общие сведения об объекте информатизации, перечень основных технических средств и систем, вспомогательных технических средств и систем и средств защиты информации, установленных на объекте информатизации, схемы размещения относительно границ контролируемой зоны, данные об аттестации объекта информатизации, а также лист контроля, который заполняется в процессе эксплуатации объекта информатизации. Технический паспорт на автоматизированную систему имеет следующую структуру:
Таблица 16. Структура "Технического паспорта…"
№ раздела Название раздела Содержание раздела
1 Общие сведения об объекте информатизации

1. Наименование объекта информатизации

2. Данные о расположении объекта информатизации

3. Данные о классификации объекта информатизации

4. Данные о выданном аттестате соответствия

2 Перечень оборудования объекта информатизации

1. Состав основных технических средств и систем

2. Состав вспомогательных технических средств и систем

3. Структура, топология и размещение основных технических средств и систем относительно границ контролируемой зоны

4. Описание системы электропитания и заземления

5. Состав средств защиты информации

3 Сведения об аттестации объекта информатизации

1. Перечень документов, выданных органом по аттестации в рамках проведения работ по аттестации (протоколы, заключения, аттестат соответствия) с указанием учетных номеров документов
4 Результаты контроля объекта информатизации

1. Лист регистрации аттестационных испытаний и периодического контроля состояния защищенности аттестованного объекта информатизации с указанием наименования организации, проводившей проверку, даты проведения проверки, номера протокола и подписи ответственного за проведение контроля
5 Лист регистрации изменений

1. Пустые листы для записи изменений, производимых на объекте информатизации (изменение состава основных и вспомогательных технических средств и систем, места расположения, замена средств защиты информации)
6 Приложения к техническому паспорту

1. Состав технических и программных средств, входящих в состав автоматизированной системы.

2. Схема расположения технических средств относительно границ контролируемой зоны

3. Схема сети электропитания и заземления

  1. Протокол аттестационных испытаний по защите информации от несанкционированного доступа (раздел 3.7).
  2. Протокол аттестационных испытаний объекта информатизации. Протокол содержит данные об аттестуемом объекте информатизации, а также результаты измерений, подтверждающие соответствие (не соответствие) объекта информатизации установленным требованиям и обосновывающие приведенный в заключении вывод о соответствии или несоответствии объекта информатизации установленным требованиям (раздел 3.7).
  3. Заключение по результатам аттестационных испытаний (раздел 3.7). Содержит оценку соответствия объекта информатизации требованиям по безопасности информации, а также вывод о соответствии или несоответствии объекта информатизации установленным требованиям и возможность выдачи "Аттестата соответствия". При отрицательных выводах заключения органом по аттестации принимается решение о проведении дополнительных мероприятий по защите информации и назначаются повторные аттестационные испытания объекта информатизации.
  4. Аттестат соответствия требованиям безопасности информации (раздел 3.8). Выдается при положительных выводах о соответствии объекта информатизации установленным требованиям по безопасности информации и дает право обработки информации заявленной степени конфиденциальности на объекте информатизации. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в "Аттестате соответствия".
  5. Приказ о вводе в эксплуатацию объекта информатизации (начале обработки информации на объекте информатизации). Разрабатывается после получения Аттестата соответствия и определяет сроки начала обработки информации на объекте информатизации. В приказе указываются:
    • наименование объекта информатизации и место его расположения;
    • дата ввода объекта информатизации в эксплуатацию;
    • решение о начале обработке информации ограниченного доступа с указанием максимальной степени ее конфиденциальности;
    • документы, которые устанавливают требования при обработке информации на объекте информатизации (Аттестат соответствия, Инструкции и т.д.);
    • перечень должностных лиц, ответственных за защиту информации на объекте информатизации, а также за его эксплуатацию;
    • должностное лицо, назначенное администратором безопасности на объекте информатизации;
    • периодичность проведения контроля защищенности объекта информатизации.
Дальше >>
< Лекция 18 || Лекция 19: 1234567 || Лабораторная работа 1 >

Вопросы и ответы

вопросов: 7
Анатолий Зимиров
Анатолий Зимиров

 

 

ответить
Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

ответить