Для служебного пользования - umotnas.ru o_O
Главная
Поиск по ключевым словам:
страница 1
Похожие работы
Название работы Кол-во страниц Размер
Для служебного пользования 2 584.26kb.
Фатима Бутаева – славная дочь человечества 1 106.16kb.
Правила пользования Интернет-Банкингом для физических лиц (применяются... 1 359.02kb.
Расчет потребного количества гражданского и служебного оружия и патронов 1 116.42kb.
Кодекс этики и служебного поведения работников Санкт-Петербургских... 1 77.04kb.
Оцифровка архивных документов: вчера и сегодня. Перспективы создания... 1 69.94kb.
Инструкция для пользования и технического обслуживания предупреждения 1 101.86kb.
Организация Объединенных Наций ece/trans/WP. 15/2010/1 1 82.45kb.
1. Какие мероприятия относятся ко времени правления Ивана iv? 1 31.23kb.
Средства отображения информации индивидуального пользования 1 137.98kb.
Правила пользования электронным читальным залом библиотеки 1 72.88kb.
Коммутация с помощью Smart – применение стекирования в небольших... 1 159.84kb.
Викторина для любознательных: «Занимательная биология» 1 9.92kb.

Для служебного пользования - страница №1/1



ОРГАНИЗАЦИЯ

Для служебного пользования


Экз. № ___

«УТВЕРЖДАЮ»

Руководитель ОРГАНИЗАЦИИ

____________________

«___» _________ 199__г.



ПРОЕКТ

ПОЛОЖЕНИЕ

ОБ ОПРЕДЕЛЕНИИ ТРЕБОВАНИЙ

ПО ЗАЩИТЕ (КАТЕГОРИРОВАНИИ) РЕСУРСОВ

АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ

ОРГАНИЗАЦИИ

СОГЛАСОВАНО

СОГЛАСОВАНО

Начальник Управления информатизации

Начальник Управления безопасности и защиты информации

__________________

______________

"___" _____________ 199__ г.

"___" _____________ 199__ г.

199_ г.

Основные термины и определения

Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации (ОРГАНИЗАЦИЕЙ).

Защищаемые ресурсы автоматизированной системы (ресурсы АС, подлежащие защите) - информация, функциональные задачи, каналы передачи информации, автоматизированные рабочие места, подлежащие защите с целью обеспечения информационной безопасности ОРГАНИЗАЦИИ, его клиентов и корреспондентов.

Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.

Защищаемое автоматизированное рабочее место (АРМ) - объект защиты (персональный компьютер с соответствующим набором программных средств и данных), для которого признана необходимость установления регламентированного режима обработки информации и характеризуемого:

  • местоположением, а также степенью его физической доступности для посторонних лиц (клиентов, посетителей, сотрудников, не допущенных к работе с АРМ и т.п.);

  • составом аппаратных средств;

  • составом программных средств и решаемых на нем задач (определенных категорий доступности);

  • составом хранимой и обрабатываемой на АРМ информации (определенных категорий конфиденциальности и целостности).

Формуляр АРМ - документ установленной формы (Приложение 3), фиксирующий характеристики АРМ (местоположение, конфигурацию аппаратных и программных средств, перечень решаемых на АРМ задач и др.) и удостоверяющий возможность эксплуатации данного АРМ (свидетельствующий о выполнении требований по защите обрабатываемой на АРМ информации в соответствии с категорией данного АРМ).

Защищаемая задача - функциональная задача, решаемая на отдельном АРМ, для которой признана необходимость установления регламентированного режима обработки информации и характеризуемая:

  • совокупностью используемых при решении ресурсов (программных средств, наборов данных, устройств);

  • периодичностью решения;

  • максимально допустимым временем задержки получения результата решения задачи.

Формуляр задачи - документ установленной формы (Приложение 2), фиксирующий характеристики задачи (ее наименование, назначение, тип, используемые при ее решении ресурсы, группы пользователей данной задачи, их права доступа к ресурсам задачи и др.).

Защищаемый канал передачи информации - путь, по которому передается защищаемая информация. Каналы делятся на физические (от одного устройства к другому) и логические (от одной задачи к другой).

Конфиденциальность информации - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Доступность информации (задачи) - свойство системы обработки (среды), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов к интересующей их информации (при наличии у субъектов соответствующих полномочий на доступ) и готовность соответствующих автоматизированных служб (функциональных задач) к обслуживанию поступающих от субъектов запросов всегда, когда в обращении к ним возникает необходимость.

1. Общие положения

    1. Настоящим Положением вводятся категории (градации важности обеспечения защиты) ресурсов и устанавливается порядок категорирования ресурсов АС, подлежащих защите (отнесения их к соответствующим категориям с учетом степени риска нанесения ущерба ОРГАНИЗАЦИИ, ее клиентам и корреспондентам в случае несанкционированного вмешательства в процесс функционирования АС и нарушения целостности или конфиденциальности обрабатываемой информации, блокирования информации или нарушения доступности решаемых АС задач).

    2. Категорирование ресурсов (определение требований к защите ресурсов) АС является необходимым элементом организации работ по обеспечению информационной безопасности ОРГАНИЗАЦИИ и имеет своими целями:

  • создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, каналов, АРМ) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;

  • типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по АРМ АС ОРГАНИЗАЦИИ и унификацию их настроек.

  1. Категории защищаемой информации

    1. Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в АС, а также с учетом возможных путей нанесения ущерба ОРГАНИЗАЦИИ, ее клиентам и корреспондентам вводится три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.

Категории конфиденциальности защищаемой информации:

  • «ВЫСОКАЯ» - к данной категории относится несекретная информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства Российской Федерации (банковская тайна, персональные данные);

  • «НИЗКАЯ» - к данной категории относится конфиденциальная информация, не отнесенная к категории «ВЫСОКАЯ», ограничения на распространение которой вводятся решением руководства ОРГАНИЗАЦИИ в соответствии с предоставленными ей как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами;

  • «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

Категории целостности защищаемой информации:

  • «ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, уничтожение) или фальсификация которой может привести к нанесению значительного прямого ущерба ОРГАНИЗАЦИИ, ее клиентам и корреспондентам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (например, средствами электронной цифровой подписи) в соответствии с обязательными требованиями действующего законодательства;

  • «НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, удаление или фальсификация которой может привести к нанесению незначительного косвенного ущерба ОРГАНИЗАЦИИ, ее клиентам и корреспондентам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства ОРГАНИЗАЦИИ (методами подсчета контрольных сумм, ЭЦП и т.п.);

  • «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

    1. С целью упрощения операций по категорированию задач, каналов и АРМ категории конфиденциальности и целостности защищаемой информации объединяются и устанавливаются четыре обобщенных категории информации: «жизненно важная», «очень важная», «важная» и «неважная». Отнесение информации к той или иной обобщенной категории осуществляется на основе ее категорий конфиденциальности и целостности в соответствии с Таблицей 1.

Таблица 1

Определение обобщенной категории информации


Категория

Категория целостности информации

конфиденциальности

информации

«высокая»

«низкая»

«нет требований»

«высокая»

1

1

2

«низкая»

1

2

3

«нет требований»

2

3

4

1 – «Жизненно важная» информация

2 – «Очень важная» информация

3 – «Важная» информация

4 – «Неважная» информация

3. Категории функциональных задач

3.1. В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени доступности функциональных задач.



Требуемые степени доступности функциональных задач:

  • «БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);

  • «ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);

  • «СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);

  • «НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

3.2. В зависимости от обобщенной категории защищаемой информации, используемой при решении задачи, и требуемой степени доступности задачи устанавливаются четыре категории функциональных задач: «первая», «вторая», «третья» и «четвертая» (в соответствии с Таблицей 2).

Таблица 2



Определение категории функциональной задачи

Обобщенная

Требуемая степень доступности задачи

категория информации

«Беспрепят-ственная доступность»

«Высокая доступность»

«Средняя доступность»

«Низкая доступность»

«Жизненно важная»

1

1

2

2

«Очень важная»

1

2

2

3

«Важная»

2

2

3

3

«Неважная»

2

3

3

4

4. Требования по обеспечению безопасности каналов передачи защищаемой информации (категории каналов)

4.1. Требования по обеспечению безопасности (категории) логического канала передачи защищаемой информации определяются по максимальной категории двух задач, между которыми данный канал установлен.



5. Категории АРМ

5.1. В зависимости от категорий решаемых на АРМ задач устанавливаются четыре категории АРМ: «A», «B», «C» и «D».

5.2. К группе АРМ категории «A» относятся АРМ, на которых решается хотя бы одна функциональная задача первой категории. Категории остальных задач, решаемых на данном АРМ, не должны быть ниже второй.

5.3. К группе АРМ категории «B» относятся АРМ, на которых решается хотя бы одна функциональная задача второй категории. Категории остальных задач, решаемых на данном АРМ, должны быть не ниже третьей и не выше второй.

5.4. К группе АРМ категории «C» относятся АРМ, на которых решается хотя бы одна функциональная задача третьей категории. Категории остальных задач, решаемых на данном АРМ, должны быть не выше третьей.

5.5. К группе АРМ категории «D» относятся АРМ, на которых решаются функциональные задачи только четвертой категории.



Таблица 3

Определение категории АРМ

Категория

Категории решаемых на АРМ задач

АРМ

Максимальная

Минимальная

«A»

1

2

«B»

2

3

«C»

3

4

«D»

4

4

5.6. Требования по обеспечению безопасности АРМ различных категорий (по применению соответствующих мер и средств защиты) приведены в Приложении 5.

6. Порядок определения категорий защищаемых ресурсов АС

  1. Категорирование проводится на основе инвентаризации ресурсов автоматизированной системы (АРМ, задач, информации) и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов АС, подлежащих защите.

  2. Ответственность за составление и ведение перечней ресурсов АС возлагается:

  • в части составления и ведения перечня АРМ (с указанием их размещения, закрепления за подразделениями ОРГАНИЗАЦИИ, состава и характеристик, входящих в его состав технических средств) - на отдел технического обслуживания вычислительной техники УИ;

  • в части составления и ведения перечня системных и прикладных (специальных) задач, решаемых на АРМ (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на отдел внедрения программных средств и сопровождения электронных технологий и отдел эксплуатации ПЭВМ УИ.

  1. Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных АРМ (информационным ресурсам и задачам) возлагается на подразделения ОРГАНИЗАЦИИ, которые непосредственно решают задачи на данных АРМ (владельцев информации), и отдел технической защиты информации УБиЗИ.

  2. Утверждение назначенных в соответствии с настоящим «Положением...» категорий информационных ресурсов АС производится Руководителем ОРГАНИЗАЦИИ.

  3. Инициаторами категорирования АРМ и получения соответствующих предписаний на эксплуатацию АРМ (формуляров) выступают руководители подразделений ОРГАНИЗАЦИИ, в которых используются данные АРМ.

  4. Категорирование ресурсов АС может осуществляться последовательно для каждого АРМ в отдельности с последующим объединением и формированием единых перечней ресурсов АС ОРГАНИЗАЦИИ подлежащих защите:

  • перечня информационных ресурсов АС, подлежащих защите (Приложение 2);

  • перечня подлежащих защите задач (совокупности формуляров задач);

  • перечня подлежащих защите АРМ (совокупности формуляров АРМ).

На первом этапе работ по категорированию ресурсов конкретного АРМ производится категорирование всех видов информации, используемой при решении задач на данном АРМ. Обобщенные категории информации определяются на основе установленных категорий конфиденциальности и целостности конкретных видов информации. Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".

На втором этапе, с учетом обобщенных категорий информации, используемой при решении задач, установленных ранее, и требований к степени доступности задач происходит категорирование всех функциональных задач, решаемых на данном АРМ.

На третьем этапе, устанавливается категория АРМ, исходя из максимальной категории задач, решаемых на нем.

На четвертом этапе, на основании категорий взаимодействующих задач устанавливается категория логических каналов передачи информации между функциональными задачами (на разных АРМ).



  1. Переаттестация (изменение категории) информационных ресурсов АС производится при изменении требований к обеспечению защиты свойств (конфиденциальности и целостности) соответствующей информации.

    Переаттестация (изменение категории) функциональных задач производится при изменении обобщенных категорий информационных ресурсов, используемых при решении данной задачи, а также при изменении требований к доступности функциональных задач.

    Переаттестация (изменение категории) логических каналов производится при изменении категорий взаимодействующих задач.

    Переаттестация (изменение категории) АРМ производится при изменении категорий или состава решаемых на данных АРМ задач.


  1. Периодически (раз в год) или по требованию руководителей структурных подразделений ОРГАНИЗАЦИИ производится пересмотр установленных категорий защищаемых ресурсов на предмет их соответствия реальному положению дел.

7. Порядок пересмотра Положения

7.1. В случае изменения требований по защите АРМ различных категорий пересмотру (с последующим утверждением) подлежит Приложение 5.

7.2. В случае внесения изменений и дополнений в «Перечень информационных ресурсов, подлежащих защите» пересмотру (с последующим утверждением) подлежит Приложение 4.

7.3. Любой пересмотр Положения должен осуществляться на основании решения Руководителя ОРГАНИЗАЦИИ.






Приложение 1

к Положению об определении требований по защите (категорировании) ресурсов



МЕТОДИКА КАТЕГОРИРОВАНИЯ ЗАЩИЩАЕМЫХ РЕСУРСОВ

Настоящая методика предназначена для уточнения порядка проведения работ по категорированию защищаемых ресурсов в АС ОРГАНИЗАЦИИ в соответствии с «Положением об определении требований по защите (категорировании) ресурсов автоматизированной системы».



Категорирование предполагает проведение работ по обследованию подсистем АС и структурных подразделений ОРГАНИЗАЦИИ и выявлению (инвентаризации) всех ресурсов АС, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.

  1. Для проведения информационного обследования всех подсистем автоматизированной системы ОРГАНИЗАЦИИ и проведения инвентаризации ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты отдела технической защиты информации УБиЗИ и Управления информатизации ОРГАНИЗАЦИИ (осведомленные в вопросах технологии автоматизированной обработки информации). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства ОРГАНИЗАЦИИ, в котором, в частности, даются указания всем начальникам структурных подразделений ОРГАНИЗАЦИИ об оказании содействия и необходимой помощи рабочей группе в проведении работ по обследованию АС. Для оказания помощи на время работы группы в подразделениях начальниками этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.

  2. В ходе обследования конкретных подразделений ОРГАНИЗАЦИИ и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.

  3. Составляется общий перечень функциональных задач и по каждой задаче оформляется (заводится) формуляр (Приложение 2). При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.

  4. При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.

  5. При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести.

  6. Информация об оценках вероятного ущерба заносится в специальные формы (Приложение 3). В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).

  7. При составлении перечня и формуляров функциональных задач, решаемых в ОРГАНИЗАЦИИ необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). Оценки вероятного ущерба заносится в специальные формы (Приложение 3). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.

  8. Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».

  9. Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставляемых им прав).

  10. Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения ОРГАНИЗАЦИИ (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите» (в колонки 2 и 3).

  11. Затем Перечень согласовывается с руководителями отделов УИ и отдела технической защиты информации УБиЗИ и выдвигается на рассмотрение Внештатной комиссии ОРГАНИЗАЦИИ по ОБИ.

  12. При рассмотрении Перечня Внештатной комиссией по ОБИ в него могут вноситься изменения и дополнения. Подготовленный вариант «Перечня информационных ресурсов, подлежащих защите» представляется на утверждение Руководителем ОРГАНИЗАЦИИ.

  13. В соответствии с указанными в утвержденном «Перечне информационных ресурсов, подлежащих защите» категориями конфиденциальности и целостности определяется обобщенная категория каждого вида информации (в соответствии с таблицей 1 Положения о категорировании).

  14. На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями операционных подразделений ОРГАНИЗАЦИИ и согласованных с УИ, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием АС (Таблица 2 Положения о категорировании ресурсов). Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным АРМ не производится.

В дальнейшем, с участием специалистов УИ необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих АРМ, на которых будет решаться данная задача, и для контроля правильности их установки.

  1. Затем производится категорирование всех логических каналов между функциональными задачами. Категория канала устанавливается исходя из максимальной категории задач, участвующих во взаимодействии.

  2. На последнем этапе происходит категорирование АРМ. Категория АРМ устанавливается, исходя из максимальной категории специальных задач, решаемых на нем (либо категории информации, используемой при решении общих задач). На одном АРМ может решаться любое количество задач, категории которых ниже максимально возможной на данном АРМ, не более чем на единицу. Информация о категории АРМ заносится в формуляр АРМ.

  3. Типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности) определены в Приложении 5.

  4. Полученные в результате формуляры АРМ и задач средств являются неотъемлемой составной частью Планов защиты соответствующих подсистем АС.









Приложение 2

к Положению об определении требований по защите (категорировании) ресурсов




ПРИНЯТА В ФАП

Начальник фонда алгоритмов и программ

______________________________________

подпись, фамилия

«___» ______________ 199__ г.





ФОРМУЛЯР ЗАДАЧИ

номер _____



Наименование задачи




Назначение задачи




Тип (системная/прикладная)




Дата приема в ФАП




Ответственный за сопровождение задачи




Разработчик




Требуемая степень доступности задачи




Категория задачи





Используемые при решении задачи каталоги с данными:
на сетевых дисках (файловых серверах Novell NetWare)

Имя

Имя

Путь к файлам

Назначение компонентов

Сервера

тома

программ и данных ПС

программного средства






































на локальных диска АРМ

Имя АРМ

Имя диска

Путь к файлам программ и данных

Назначение компонентов





































Выделяемые при решении задачи особые пользователи и группы пользователей

Имя пользователя или группы пользователей

Признаки группирования пользователей



















Значение атрибутов доступа к сетевым компонентам программного средства

Имя сетевой группы (или особого пользователя)

Имя сетевого каталога или файла

Атрибуты доступа

(Novell NetWare)








































Значение атрибутов доступа к локальным ресурсам задачи

Имя каталога или файла (ресурса)

Имя владельца ресурса

Имя группы владельца ресурса

Атрибуты управления доступом (для различных категорий пользователей)

(Secret Net)












владелец

группа

остальные











































































От отдела эксплуатации ПЭВМ

___________________________________

подпись, фамилия

«___» ______________ 199__ г.



От отдела технической защиты информации

__________________________________

подпись, фамилия

«___» ______________ 199__ г.





Администратор сети

___________________________________

подпись, фамилия

«___» ______________ 199__ г.



Администратор информационной безопасности

__________________________________

подпись, фамилия

«___» ______________ 199__ г.











Приложение 3

к Положению об определении требований по защите (категорировании) ресурсов



ЭКСПЛУАТАЦИЯ АРМ РАЗРЕШЕНА

Начальник отдела технической защиты информации

«___» ______________ 199__ г.





Действителен до __.__.199_ г.

ФОРМУЛЯР АРМ

номер ______



Наименование АРМ



Назначение АРМ




Категория АРМ

(по Положению об определении требований к защите (категорировании) ресурсов)






Местонахождение АРМ




Ответственный за эксплуатацию и контроль за физической целостностью АРМ




Тип компьютера




Центральный процессор




Объем ОЗУ




Накопители на НГМД




Объем накопителя на жестком диске




Количество параллельных портов




Количество последовательных портов




Монитор




Видео карта




Наличие подключенного модема




Другие периферийные устройства




Наличие подключенного принтера




Номер ключа системного блока




Тип аппаратных средств поддержки системы защиты




Примечания




Задачи, решаемые на данном АРМ

(наименования указываются по перечню задач ФАП)

Название задачи

Тип задачи

Категория задачи

































Установка (модификация программно-аппаратной конфигурации)
АРМ осуществлена в соответствии с заявками


Дата заявки

Номер заявки (в архиве)

Примечание
































































Заполненный и утвержденный формуляр является предписанием на эксплуатацию АРМ

От эксплуатирующего подразделения

Администратор информационной безопасности

________________________________________

подпись, фамилия

«___» ______________ 199__ г.


От заказывающего подразделения

Ответственный за эксплуатацию и контроль физической целостности АРМ

______________________________________________

подпись, фамилия

«___» ______________ 199__ г.




От отдела персональных компьютеров

Ответственный за техническое состояние АРМ и программное обеспечение

___________________________________

подпись, фамилия

«___» ______________ 199__ г.


От отдела технической защиты информации

__________________________________

подпись, фамилия

«___» ______________ 199__ г.





УТВЕРЖДАЮ”

Руководитель ОРГАНИЗАЦИИ

__________________

___” __________ 199 г.



Приложение 4

к Положению об определении требований по защите (категорировании) ресурсов



Для служебного пользования
Экз. № ___


ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ РЕСУРСОВ, ПОДЛЕЖАЩИХ ЗАЩИТЕ



п/п

Наименование информационного ресурса (информации)

Категория конфиденци-альности (В/Н/-) и вид тайны (БТ/КТ/ДСП)

Категория целостности (В/Н/-)

Размещение ресурса (АРМ, устройство, каталог, файл)

Ответственный за определение требований к защищенности ресурса











































































































































































УТВЕРЖДАЮ”

Руководитель ОРГАНИЗАЦИИ

_____________________

___” __________ 199 г.



Приложение 5

к Положению об определении требований по защите (категорировании) ресурсов автоматизированной системы



Для служебного пользования
Экз. № ___

Требования по оснащению АРМ различных категорий средствами защиты

Показатель

Категории АРМ




А

В

С

Цель разграничения доступа

Защита от посторонних лиц и разграничение доступа законных пользователей к ресурсам АРМ

Защита от посторонних лиц и разграничение доступа законных пользователей к ресурсам АРМ

Защита от посторонних лиц

Требования по физической защите и защите от ПЭМИН

Расположение в охраняемом помещении с кодовым замком и сигнализацией

Обязательно

Обязательно

Желательно

Обеспечение физической целостности технических средств АРМ

Обязательно

Обязательно

Обязательно

Организация защиты от ПЭМИН в помещении

Требования отсутствуют

Требования отсутствуют

Требования отсутствуют

Требования по мерам программно-технической защиты

Набор программных средств АРМ

Строго ограничен в соответствии с решаемыми на АРМ задачами.

АРМ участвует в решении задач только одной подсистемы.

Отсутствие технологических и инструментальных средств и средств создания программ.


Ограничен в соответствии с решаемыми на АРМ задачами.

АРМ участвует в решении задач из различных подсистем.

Отсутствие технологических средств и средств создания программ


Неограничен.

АРМ участвует в решении задач из различных подсистем.



Разграничение доступа

Минимально необходимый доступ пользователей к ресурсам АРМ

Ограничение по доступу пользователей к отдельным ресурсам АРМ

Ограничение по доступу пользователей к отдельным ресурсам АРМ.

Доступ пользователей к инструментальным средствам строго ограничен.



Контроль целостности файлов

Основные системные, прикладные файлы и файлы системы защиты при каждой перезагрузке компьютера

Основные системные и прикладные файлы, не менее одного раза в день, а файлы системы защиты при каждой перезагрузке

Файлы системы защиты при каждой перезагрузке, основные системные и прикладные файлы по требованию администратора системы защиты

Ограничения по запуску программ

Обязательны для всех пользователей

Возможны для некоторых пользователей

Отсутствуют

Регистрация событий

Максимальная или минимальная

Максимальная или минимальная

Минимальная

Хранение и периодичность анализа журналов

Долгосрочное хранение с ежедневным экспресс анализом

Среднесрочное хранение с ежедневным экспресс анализом

Краткосрочное хранение с анализом по необходимости

Именование (идентификация) пользователей

Уникальное для каждого сотрудника

Уникальное для каждого сотрудника

Допускается задание одного имени пользователя для группы сотрудников

Наличие аппаратной поддержки защиты рабочих станций

Обязательно, с использованием Touch Memory, Smart Card и т.п.

Обязательно. Возможно с использованием Touch Memory, Smart Card или т.п.

Обязательно. Возможна реализация данной возможности средствами BIOS компьютера

Действия при обнаружении нарушений целостности программных средств

Регистрация в системном журнале и блокировка работы компьютера, снять которую может только администратор безопасности

Регистрация в системном журнале и блокировка работы компьютера, снять которую может только администратор безопасности

Регистрация в системном журнале и оповещение администратора безопасности

Анализ отказов и других нештатных ситуаций при работе АРМ, а также техническое обслуживание программных и аппаратных средств АРМ

Производится специальным персоналом и только в присутствии администратора безопасности

Производится специальным персоналом в присутствии ответственного за безопасность в подразделении.

Вызов администратора безопасности при необходимости. Обязательное оповещение администратора безопасности (в установленный срок)



Производится специальным персоналом в присутствии ответственного за безопасность в подразделении.

Вызов администратора безопасности при необходимости. Обязательное оповещение администратора безопасности