Embed Size (px)
Citation preview
Приложение № 1
Руководителю государственного бюджетного учреждения Сахалинской области «Сахалинский областной центр информатизации»Полянскому А.С.
ЗАЯВКА на проведение аттестации объекта информатизации
1. (наименование заявителя) просит провести аттестацию (наименование объекта информатизации) на соответствие требованиям по безопасности информации: ___________________________
2. Необходимые исходные данные по аттестуемому объекту информатизации прилагаются. 3. Заявитель готов предоставить необходимые документы и условия для проведения аттестации. 4. Заявитель согласен оплатить расходы по проведению всех видов работ и услуг по обязательной
и добровольной аттестации объектов информатизации.5. Дополнительные условия или сведения:
5.1. Предварительное ознакомление с аттестуемым объектом предлагаю провести в период _____________________.
5.2. Аттестационные испытания объекта информатики предлагаю провести в период ________________.
Другие условия (предложения).
печать Руководитель (органа заявителя) (подпись, дата) (Фамилия, И.О.)
Приложение № 2
2
ПРИКАЗ
№_______ от _____________
О назначении комиссии по сопровождениюаттестации автоматизированной системы
В связи с подготовкой автоматизированной системы «____» ____________ к проведению аттестации
ПРИКАЗЫВАЮ:
Создать комиссию по проведению сопровождению аттестации автоматизированной системы из числа сотрудников _________________ в составе:
Председатель комиссии:____________________ ФИО – должность
Члены комиссии:____________________ ФИО – должность____________________ ФИО – должность
Комиссии руководствоваться документами: - «Специальные требования и рекомендации по технической защите конфиденциальной
информации (СТР-К)»;- «Положение по аттестации объектов информатизации по требованиям безопасности
информации" от 25 ноября 1994 г.»- Руководящими документами Гостехкомиссии России «Автоматизированные системы. Защита
от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»
Контроль за исполнением приказа возложить на _______________ ФИО – должность
Руководитель ФИО
Приложение № 3
3
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Перечень объектов информатизации, используемых для обработки конфиденциальной
информации:
№ п/п Наименование объекта информатизации Размещение
_______________ (должность) __________ (ФИО)
Приложение № 4
4
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
ПЕРЕЧЕНЬ
сведений конфиденциального характера _______________
№ п/п
Наименование сведений Типы документов, где возможно появление сведений
конфиденциального характера
1.2.3.4.5.6.7.8.
_______________ (должность) __________ (ФИО)
Приложение № 5
5
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Схема границы контролируемой зоны
СХЕМА
_______________ (должность) __________ (ФИО)
Приложение № 6
6
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
АКТ
классификации автоматизированной системы (АС) «___»
Комиссия, назначенная Приказом №______ от ____________г. в составе Председателя комиссии: должность ФИО, членов комиссии: должность ФИО, должность ФИО провела классификацию автоматизированной системы «___» и установила:
1. Состав автоматизированной системы объекта информатизации «___»
Перечень технических средств автоматизированной системы «___» ______________, расположенной по адресу: ________________________:
№ Название Модель, тип Уч. (зав.) номер1234
2. Выявленные определяющие признаки классификации автоматизированной системы
Указанная АС не входит в состав локальной сети и не имеет выхода в открытые международные телекоммуникационные сети;
Наивысший уровень обрабатываемой информации - «Для служебного пользования»; Наличие в рассматриваемой автоматизированной системе (АС) информации различного
уровня конфиденциальности: «Для служебного пользования», «не секретно»; Различный уровень полномочий субъектов (пользователей АС) по доступу к
защищаемым информационным ресурсам АС;
7
Коллективный, последовательный во времени режим работы пользователей АС.
3. Заключение
Комиссия, учитывая вышеизложенное и рассмотрев следующие утвержденные документы: «Перечень защищаемых ресурсов автоматизированной системы «___» _____________ и
уровень их конфиденциальности» (№____________ от ________); «Перечень лиц, имеющих право самостоятельного доступа к штатным средствам
автоматизированной системы «___» ____________________ и уровень их полномочий» (№____________ от ________);
«Матрица доступа субъектов автоматизированной системы «___» ________________ к ее защищаемым информационным ресурсам» (№____________ от ________).
На основании определяющих признаков классификации и в соответствии с п.п. 1.7., 1.9. руководящего документа Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и руководящим документом Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», установила для автоматизированной системы «___» ___________ класс защищенности 2Б.
Председатель комиссии:
Члены комиссии:
Приложение № 7
8
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Перечень защищаемых ресурсов автоматизированной системы«____» и уровень их конфиденциальности
1. Входящие документы, присланные на гибких магнитных дисках, на CD (CD-R/RW) -дисках
(гриф « ДСП»).
2. Файлы с конфиденциальной информацией на жестком магнитном диске D:\ (уч. №___ от
__.__.____г.) в составе системного блока (зав. № ___________) по тематике: ___________.
3. Не секретные файлы на жестком магнитном диске D:\ (уч. №___ от __.__.____г.) в составе
системного блока (зав. № ___________) по тематике: ___________.
_______________ (должность) __________ (ФИО)
Приложение № 8
9
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Переченьлиц, обслуживающих автоматизированную систему «___»____________________
Фамилия, имя, отчество Должность
_______________ (должность) __________ (ФИО)
Приложение № 9
10
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Переченьлиц, имеющих право самостоятельного доступа в помещение №____ с автоматизированной системой «____» ______________
№ Фамилия, имя, отчество Должность
1.
2.
3.
4.
_______________ (должность) __________ (ФИО)
Приложение № 10
11
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы «___»:
№ Фамилия, имя, отчество Должность
123456
_______________ (должность) __________ (ФИО)
Приложение № 11
12
ПРИКАЗ№___________ от _______________
О назначении администратора информационной безопасности(уполномоченного по защите информации)
Для осуществления постоянного контроля за соблюдением требований по защите информации в автоматизированной системе «____»,
ПРИКАЗЫВАЮ:
1. Назначить ________________ должность ФИО - администратором информационной безопасности (уполномоченным по защите информации) в автоматизированной системе «____».
2. На период отпуска, болезни, командировки ________________ ФИО исполнение обязанностей администратора информационной безопасности (уполномоченного по защите информации) возлагать на ________________ должность ФИО.
3. ________________ должность ФИО и ________________ должность ФИО в работе по выполнению обязанностей администратора информационной безопасности (уполномоченного по защите информации) руководствоваться Инструкцией по обеспечению защиты конфиденциальной информации, обрабатываемой в автоматизированной системе «____» _____________________.
4. Контроль за исполнением приказа возложить на должность ФИО.
_______________ (должность) __________ (ФИО)
Приложение № 12
13
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Данные по уровню подготовки кадров, обеспечивающих защиту информации
№п/п
Фамилия, имя отчество
специалиста
Образование (учебное заведение,
специальность)Должность
Стаж работы в области защиты
информации
1.
2.
3.
4.
_______________ (должность) __________ (ФИО)
Приложение № 13
14
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
ИНСТРУКЦИЯПо обеспечению защиты конфиденциальной информации, обрабатываемой в
автоматизированной системе «___» _____________________
г. Южно-Сахалинск
2016 г.
1. Общие положения
15
1.1. Инструкция устанавливает основные требования по обеспечению сохранности конфиденциальной информации при работе на автоматизированной системе (АС) «___» в процессе подготовки текстовых документов.
1.2. Ответственность за обеспечение режима конфиденциальности проводимых на АС «___» работ, своевременную разработку и осуществление необходимых мероприятий по защите информации возлагается на _______________________.
1.3. Лица виновные в нарушении требований настоящей Инструкции и других руководящих документов по вопросам обеспечения и соблюдения требований по защите информации, в зависимости от причиненного ущерба, привлекаются к ответственности, предусмотренной ___________________________.
1.4. К обработке конфиденциальной информации на АС «___» допускаются только сотрудники _____________________, которым в установленном порядке оформлен допуск к конфиденциальной информации. Решение о допуске сотрудников к работе с конфиденциальной информацией на АС «___» принимает _________________________. В дальнейшем сотрудник, допущенный к обработке конфиденциальной информации на АС «___», будет именоваться пользователь.
1.5. Настоящая Инструкция доводится до пользователей под расписку.
2. Мероприятия по защите информации
2.1. Помещение № ___, в котором размещено автоматизированное рабочее место, находятся на ________ этаже (наименование здания).
По окончании рабочего дня помещение должно сдаваться под охрану в соответствии с установленным порядком и опечатываться.
2.2. АС «___» создана на базе ______________ в составе:
Наименование Модель Зав. №
2.3. Класс защищенности АС «___» от несанкционированного доступа установлен 2Б.
2.4. На АС «___» может обрабатываться информация с грифом не выше «Конфиденциально».
2.5. Технические средства АС «___» в помещениях размещаются таким образом, чтобы исключить визуальный просмотр экрана видеомонитора лицами, не имеющими отношения к конкретно обрабатываемой информации.
2.6. При эксплуатировании АС «___» должна обеспечиваться длина пароля пользователя в СЗИ НСД «Secret Net» (или в эквиваленте СЗИ) не менее 8 символов. Смена пароля не реже одного раза в месяц.
16
2.7. В целях предотвращения разрушения и утери, обрабатываемой на АС «___» информации должно осуществляться копирование необходимой информации по мере ее обновления на учтенные в установленном порядке съемные носители;
2.8. Техническое обслуживание технических средств, входящих в состав ОИ, должно осуществляться только персоналом, допущенным к техническому обслуживанию под наблюдением сотрудника, ответственного за автоматизированное рабочее место. При проведении данных работ обработка конфиденциальной информации ЗАПРЕЩЕНА.
3. Порядок работы с программным обеспечением АРМ
3.1. Работа на АС «__» должна осуществляться на базе общесистемного программного обеспечения, зафиксированного в «Составе программного обеспечения, установленного на автоматизированной системе АРМ».
3.2. Изменение рабочего программного обеспечения в автоматизированной системе проводится с санкции _______________ (должность) с оформлением соответствующего протокола по согласованию с органом по аттестации.
3.3. Защита АРМ, программных средств и информации от несанкционированного доступа реализуется системой защиты от НСД «Secret Net» (или эквивалентом СЗИ), эксплуатация которой должна осуществляться в соответствии с эксплуатационными документами на систему защиты информации от НСД.
3.4. Сообщение программ контроля при загрузке или в процессе работы с системой о нарушении целостности рабочего программного обеспечения является признаком его несанкционированной модификации или проникновения программы-вируса. В этом случае комиссионно проводится разбор и анализ ситуации с принятием решения о возможности продолжения работ на АРМ. Для проведения анализа возникших ситуаций привлекаются сотрудники ______________________ (название отдела/управления).
3.5. Обнаруженное несанкционированное изменение (модификация) программного обеспечения пользователем регистрируется как нарушение правил работы и режима конфиденциальности на АРМ, о чем пользователь докладывает руководителю _____________________ (название отдела/управления).
3.6. При установлении факта обнаружения программ-вирусов необходимые антивирусные процедуры проводятся пользователем с привлечением специалистов _____________________ (название отдела/управления).
4. Порядок использования магнитных носителей информации
4.1. Обработка и хранение конфиденциальной информации на АС «___» разрешается только с использованием взятых на инвентарный учет гибких магнитных дисков (ГМД) и на учтенном, стационарно установленном жестком магнитном диске (ЖМД).
4.2. Копирование конфиденциальной информации на ГМД, Flash-накопители, компакт-диски, не взятые на инвентарный учет, ЗАПРЕЩЕНО.
4.3. Учет защищаемых носителей производится с помощью маркировки. Выдача пользователям ГМД, предназначенных для работы с конфиденциальной информацией, производится в отделе
17
___________________ (название отдела/управления), с обязательной регистрации в журнале. По окончании работ на АС «___» полученные ГМД должны сдаваться в отдел ___________________ (название отдела/управления).
4.4. Вышедшие из строя ГМД, а также неисправный жесткий магнитный диск, подлежат сдаче в отдел ___________________ (название отдела/управления) для последующего уничтожения. Уничтожение ГМД производится установленным порядком. Из жесткого магнитного диска для уничтожения изымаются все магнитные диски.
5. Обязанности пользователя при подготовке документов на АРМ
5.1. Перед началом работы на АС «___» с конфиденциальной информацией следует убедиться в отсутствии в помещении посторонних лиц.
5.2. Работу на АС «___» с установленной системой защиты от НСД «Secret Net» (или эквивалентом) пользователь осуществляет в соответствии с «Руководством пользователя».
5.3. При обработке конфиденциальной информации на АРМ следует руководствоваться требованиями настоящей инструкции (разделы 2,3,4).
5.4. Подготовка на АРМ конфиденциальных документов производится только на ГМД, предназначенных для обработки конфиденциальной информации, либо на учтенном ЖМД, в специально предназначенных для этого каталогах.
5.5. При завершении работы пользователя на АРМ необходимо провести полное выключение системы.
5.6. Пользователю запрещается: Оставлять бесконтрольно включенную ПЭВМ, магнитные носители и листы
предварительного учета; Изменять и тиражировать программное обеспечение; Вести разговоры с посторонними лицами о процедурах доступа к АРМ и
информации; Набирать на клавиатуре при посторонних лицах персональный пароль и
записывать его; Сообщать устно или письменно свой персональный пароль; Сохранять обрабатываемую информацию в каталогах, не указанных в
утвержденном Описании настроек.
5.7. Сотрудники __________________ (название отдела/управления) не реже одного раза в квартал осуществляют контроль эффективности внедренных на объекте защитных мер и средств защиты информации.
Обязательным является контроль:
при вводе АРМ в эксплуатацию; после ремонта АРМ и средств защиты информации; при изменении условий эксплуатации АРМ и размещении технических средств.
6. Ответственность за нарушение требований инструкции при обработке конфиденциальной информации в АС «___»
(описать ответственность сотрудников, за нарушение требований)
18
7. Заключение
7.1. Настоящая Инструкция доводится до пользователей под роспись.
_______________ (должность) __________ (ФИО)
Приложение № 14
19
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Состав программного обеспечения автоматизированной системы «____»
В состав программного обеспечения, установленного в автоматизированной системе «____», входят следующие программные продукты:
№ п/п
Название программного обеспечения Серийный/заводской номер, лицензионный ключ
1 Операционная система Windows 2000 (5.00.2195 SP4)
2 Пакет программных продуктов Microsoft Office 2003 (11.6359.6350)
3 Программное обеспечение системы защиты информации от несанкционированного доступа «Secret Net» версии 7.6 (автономный вариант), (или эквивалент СЗИ)
4 Программа Антивирус Касперского Personal (или эквивалент)
_______________ (должность) __________ (ФИО)
Приложение № 15
20
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Описание технологического процесса обработки информациив автоматизированной системе «____»
Перечень субъектов доступа автоматизированной системы (АС) «____» и уровень их полномочий приведен в нижеследующей таблице.
№ Фамилия, имя, отчество Уровень полномочий
1
2
3
4
5
6
Перечень объектов доступа приведен в документах Перечень защищаемых ресурсов автоматизированной системы «____» … (№________ от _________); Описание настроек системы разграничения доступа системы защиты информации от несанкционированного доступа автоматизированной системы «_____» (№__________ от ___________).
Штатным средством доступа к информации в АС является пакет программных продуктов ___________________.
Высший гриф конфиденциальности обрабатываемой информации – «Для служебного пользования».
Для защиты информации в АС применен программно-аппаратный комплекс защиты от НСД «____________________», в составе:
21
программное обеспечение «_____________________», №________.
Описание реализованных правил разграничения доступа приведено в Матрице доступа субъектов автоматизированной системы «____» … (№_______ от __________г.). Пользователи имеют различные права по доступу к защищаемым информационным ресурсам, размещенным на носителях различного уровня конфиденциальности.
Схема информационных потоков приведена в приложении 1 к настоящему документу.
Приложение 1. Схема информационных потоков автоматизированной системы «___» на 1 (одном) листе.
_______________ (должность) __________ (ФИО)
Приложение № 1
к Описанию технологического процесса обработки информации в автоматизированной системе «___»
22
Схема информационных потоков автоматизированной системы «___»
_______________ (должность) __________ (ФИО)
Приложение № 16
УТВЕРЖДАЮ
Руководитель ____________________
Файлы с информацией на жестком магнитном
диске
Файлы с информацией на гибком магнитном
диске
Программные продукты Office
Пользователь
Программа Антивирус
23
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
ТЕХНИЧЕСКИЙ ПАСПОРТ
автоматизированной системы «___»
_______________________________________________________
г. Южно-Сахалинск
2016 г.
1. Общие сведения об объекте.
1.1. Наименование объекта информатизации (ОИ): «___» ______________________.
1.2. Расположение объекта: адрес _____________________.
24
1.3. Автоматизированной системе, входящей в состав ОИ «__», Актом классификации (№_______________от ____________) установлен класс защищенности ___.
1.4. Сведения о вводе объекта в эксплуатацию:
2. Состав оборудования объекта.
2.1 Перечень основных технических средств и систем (ОТСС), входящих в автоматизированную систему «___»:
№п/п Тип ОТСС Заводской номер
Размещение ОТСС на объекте
Прим.
1. Согласно п. 4
2.
3.
4.
5.
2.2 Размещение ОТСС в помещении № ___ приведено в п. 4 настоящего Технического паспорта.
2.3 Перечень вспомогательных технических средств и систем (ВТСС), входящих в АС «___».
№п/п Тип ВТСС Заводской номер
Размещение ВТСС на объекте
Прим.
1. Согласно п. 4
2.
3.
4.
5.
2.4 Размещение ВТСС в помещении № ___ приведено в п. 4 настоящего Технического паспорта.
2.5 Размещение ОТСС АС «___» относительно границ контролируемой зоны приведено на «Схеме
размещения АС «___» относительно границы контролируемой зоны» (п. 5 настоящего
Технического паспорта).
25
2.6 Описание системы кабельных соединений в помещении № ___ приведено в п. 6 настоящего
Технического паспорта.
2.7 Перечень средств защиты информации, установленных на объекте информатизации
«___»:
№п/п
Наименование и тип ТС
Заводской номер
Сведения о сертификате
Акт установки
1. Средство защиты информации от несанкционированного доступа «____»
Сертификат ФСТЭК России
№____ от __________г.
(действителен до ____________г.)
№____ от __________г.
3. Сведения о соответствии требованиям по безопасности информации.
3.1. Сведения об аттестации объекта:
Заключение по результатам аттестационных испытаний №______ от ________г.Аттестат соответствия требованиям безопасности информации № ___________ от __________ г.
4. Схема размещения ОТСС и ВТСС АС «____»
5. Схеме размещения АС «___» относительно границы контролируемой зоны
6. Описание системы кабельных соединений в помещении № ___
7. Учет проведения регламентных проверок
№ Наименование организации,
Дата проведения
Номер протокола
Примечание
26
п/п проводившей проверку проверки
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
7. Лист регистрации изменений.
Порядковый № и дата внесения
Наименование документа,
№№ замененных (исправленных)
Подпись лица
27
изменений фиксирующего изменения
листов формуляра
внесшего изменения
Приложение № 17
28
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
Матрица доступа субъектов автоматизированной системы «____» к ее защищаемым информационным ресурсам:
Имя пользователя Права по доступу к защищаемыминформационным ресурсам
_______________ (должность) __________ (ФИО)
Приложение № 18
29
УТВЕРЖДАЮ
Руководитель ____________________
_________________________________
_________________________________
И.О. Фамилия
«____» ______________ 20 __ г.
АКТустановки и настройки системы защиты информации от несанкционированного доступа «______»
на объект информатизации автоматизированная система «__» ___________
Южно-Сахалинск2016 г.
30
На объекте информатизации (ОИ) автоматизированная система «Рабочее место ДСП» (ноутбук ASUS X751L зав. № E8N0WUI8795834A) 29.08.2016 были проведены работы по установке системы защиты от несанкционированного доступа (НСД) в составе:
Программное обеспечение СЗИ «Secret Net» версии 7.6 (или эквивалент), зав. № 49K1G2U1.
Работы проведены техническими специалистами органа по аттестации.
На момент установки системы защиты от НСД «Secret Net» (или эквивалента) на ПЭВМ была размещена конфиденциальная информация.
Например: Установленная система защиты от НСД имеет сертификат соответствия ФСТЭК России № 2707 от 07.09.2012г. (действителен до 07.09.2018 г.)
По окончании установки системы защиты от НСД «Secret Net» версии 7.6 (или эквивалента) проведены тестовые испытания и настройка системы защиты информации (СЗИ).
Установку и настройку произвели:
_______________ (должность) __________ (ФИО)
_______________ (должность) __________ (ФИО)
_______________ (должность) __________ (ФИО)
