|
Опубликован: 23.02.2018 | Уровень: для всех | Доступ: свободно
Лекция 19:
Состав и содержание документов, разрабатываемых для проведения аттестации и по результатам аттестации автоматизированной системы
Аннотация: структура и содержание документов, оформляемых на этапе подготовки к аттестации, проведения аттестации и по результатам проведения аттестации объекта информатизации – автоматизированной системы.
Ключевые слова: объект, аттестация, работ, автоматизированная система, автоматизированное рабочее место, государственная тайна, безопасность, коммерческая тайна, канал утечки информации, межсетевой экран, доступ, защита информации, угроза, группа, деятельность, пространство, лицензируемый вид деятельности, АС, пользователь, операции, определение, Личность, информация, копирование
Состав и содержание документов, разрабатываемых для проведения аттестации и по результатам аттестации автоматизированной системы
Цель: получить навыки разработки документов на аттестуемый объект информатизации – автоматизированную систему.
На аттестуемый объект информатизации на базе автоматизированного рабочего места, разрабатываются следующие документы (те документы, которые не были описаны ранее, приведены в данном разделе в полном объеме):
- Приказ "Об организации защиты информации на объекте информатизации" определяет:
- должностное лицо, ответственное за объект информатизации;
- должностное лицо, назначенное администратором безопасности на объекте информатизации;
- функциональные обязанности ответственных лиц по поддержанию заданного уровня безопасности информации на объекте информатизации;
- перечень документов, которыми ответственные лица обязаны руководствоваться по вопросам защиты информации.
- Положение о защите конфиденциальной информации или Руководство по защите конфиденциальной информации (раздел 3.1).
- Перечень сведений конфиденциального характера (раздел 3.1).
- Акт классификации автоматизированной системы (раздел 3.2)
- Приказ об определении границ контролируемой зоны (раздел 3.1).
- Перечень программных средств и систем, используемых в автоматизированной системе объекта информатизации. Как правило, описывается в Аттестате соответствия, но может быть оформлен в качестве отдельного документа.
- Организационно-распорядительная документация разрешительной системы доступа сотрудников к защищаемым ресурсам автоматизированной системы. Включает в себя:
- перечень должностных лиц, допущенных к работе в автоматизированной системе с указанием должности и ФИО;
- перечень обрабатываемых в автоматизированной системе информационных ресурсов;
- разрешительную систему доступа с указанием:
Наименование ресурса | Степень конфиденциальности ресурса | Место расположения ресурса в системе | Предоставленные пользователю права доступа к ресурсу (чтение, запись, создание, удаление) |
- 8. Описание технологического процесса обработки информации на объекте информатизации. Включает в себя перечень автоматизированных систем, перечень объектов доступа и пользователей, а также описание информационных взаимодействий между субъектом и объектом доступа с указанием используемых программных средств и средств защиты информации и содержит также следующие данные:
№ | Этап работы | Перечень мероприятий |
---|---|---|
Порядковый номер | Отражаются все виды работы с информацией ограниченного доступа (создание, получение, выдача, хранение, передача и т.д.) | Конкретные действия, производимые пользователем на каждом этапе работы с информацией ограниченного доступа при обработке ее на объекте информатизации |
- 9. Перечень информационных ресурсов, подлежащих защите на объекте информатизации. Документ имеет следующую структуру:
№ | Наименование информационного ресурса | Степень конфиденциальности информационного ресурса | Документ, определяющий степень конфиденциальности информационного ресурса |
---|---|---|---|
Номер по порядку | Указывается конкретный информационный ресурс | Указывается степень конфиденциальности в соответствии с "Перечнем сведений конфиденциального характера", разработанном в организации | Ссылка на конкретный пункт "Перечня сведений конфиденциального характера" |