Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации
ПРОЕКТ
НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ
|
УТВЕРЖДАЮ |
|
|
|
|
|
"___" ___________ 20__ года |
ПОЛОЖЕНИЕ
ОБ ОПРЕДЕЛЕНИИ ТРЕБОВАНИЙ
ПО ЗАЩИТЕ (О КАТЕГОРИРОВАНИИ) РЕСУРСОВ
АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
ОРГАНИЗАЦИИ
|
СОГЛАСОВАНО Начальник управления автоматизации ____________________ <И.О. Фамилия> <Дата> |
СОГЛАСОВАНО Начальник управления безопасности ____________________ <И.О. Фамилия> <Дата> |
|
|
|
20__ год
Оглавление:
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
1. ОБЩИЕ ПОЛОЖЕНИЯ
2. КАТЕГОРИИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
3. КАТЕГОРИИ ФУНКЦИОНАЛЬНЫХ ЗАДАЧ
4. КАТЕГОРИИ РАБОЧИХ СТАНЦИЙ
5. ПОРЯДОК ОПРЕДЕЛЕНИЯ КАТЕГОРИЙ ЗАЩИЩАЕМЫХ РЕСУРСОВ АС
6. ПОРЯДОК ПЕРЕСМОТРА ПОЛОЖЕНИЯ
Приложение 1
ПРИЛОЖЕНИЕ 4
Основные термины и определения:
Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации (ОРГАНИЗАЦИЕЙ).
Защищаемые ресурсы автоматизированной системы (ресурсы АС, подлежащие защите) - информация, функциональные задачи, рабочие станции (РС), сервера подлежащие защите с целью обеспечения информационной безопасности подразделений ОРГАНИЗАЦИИ, его клиентов, корреспондентов, а также его сотрудников.
Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.
Защищаемая рабочая станция (РС), сервер - объект защиты (компьютер с соответствующим набором программных средств и данных), для которого признана необходимость установления регламентированного режима обработки информации и характеризуемая:
- местоположением, а также степенью ее физической доступности для посторонних лиц (клиентов, посетителей, сотрудников, не допущенных к работе с РС и т.п.);
- составом аппаратных (технических) средств;
- составом программных средств и решаемых на нем задач (определенных категорий доступности);
- составом хранимой и обрабатываемой на РС информации (определенных категорий конфиденциальности и целостности).
Формуляр РС - документ установленной формы (Приложение 3), фиксирующий характеристики РС (местоположение, конфигурацию аппаратных и программных средств, перечень решаемых на РС задач и др.) и удостоверяющий возможность эксплуатации данной РС (свидетельствующий о выполнении установленных требований по защите обрабатываемой на РС информации в соответствии с категорией данной РС).
Защищаемая задача - функциональная задача, решаемая на отдельной РС, для которой признана необходимость установления регламентированного режима обработки информации и характеризуемая:
- совокупностью используемых при решении задачи ресурсов (программных средств, наборов данных, устройств);
- списком групп пользователей, которые имеют разные права доступа к ресурсам задачи;
- периодичностью решения;
- максимально допустимым временем задержки получения результата решения задачи.
Формуляр задачи - документ установленной формы (Приложение 2), фиксирующий характеристики задачи (ее наименование, назначение, тип, используемые при ее решении ресурсы, группы пользователей данной задачи, их права доступа к ресурсам задачи и др.).
Конфиденциальность информации - субъективно определяемая (присваемая государством или собственником) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (инфраструктуры) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.
Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
Доступность информации (задачи) - свойство системы обработки (инфраструктуры), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов (пользователей) к интересующей их информации (при наличии у субъектов соответствующих полномочий на доступ) и готовность соответствующих автоматизированных служб (функциональных задач) к обслуживанию поступающих от субъектов запросов.
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящим Положением вводятся категории (градации важности обеспечения защиты) ресурсов и устанавливается порядок категорирования ресурсов АС ОРГАНИЗАЦИИ, подлежащих защите (отнесения их к соответствующим категориям с учетом степени риска нанесения ущерба ОРГАНИЗАЦИИ его клиентам, корреспондентам, партнерам или сотрудникам в случае несанкционированного вмешательства в процесс функционирования АС, нарушения целостности или конфиденциальности обрабатываемой информации, а также блокирования информации или нарушения доступности решаемых АС задач).
1.2. Категорирование ресурсов (определение требований к защите ресурсов) АС является необходимым элементом организации работ по обеспечению информационной безопасности ОРГАНИЗАЦИИ и имеет своими целями:
- создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, АРМ, серверов, РС) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;
- типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по РС и серверам АС ОРГАНИЗАЦИИ и унификацию вариантов настроек средств защиты.
2. КАТЕГОРИИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС ОРГАНИЗАЦИИ, а также с учетом возможных путей нанесения ущерба ОРГАНИЗАЦИИ, его клиентам, корреспондентам, партнерам или сотрудникам вводится три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.
2.1. Категории конфиденциальности защищаемой информации:
- «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (коммерческая и банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства ОРГАНИЗАЦИИ, разглашение которой может привести к тяжким финансово-экономическим последствиям для Организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
- «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства Организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности ОРГАНИЗАЦИИ (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
- «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
2.2. Категории целостности защищаемой информации:
- «ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба Организации, его клиентам и корреспондентам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи - ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов;
- «НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба Банку, его клиентам, корреспондентам, партнерам или сотрудникам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства Банка (методами подсчета контрольных сумм, хеш-функций и т.п.);
- «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.
3. КАТЕГОРИИ ФУНКЦИОНАЛЬНЫХ ЗАДАЧ
В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени (категории) доступности функциональных задач.
3.1. Требуемые степени доступности функциональных задач:
- «БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – доступ к задаче должен обеспечиваться в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);
- «ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);
- «СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);
- «НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).
4. КАТЕГОРИИ РАБОЧИХ СТАНЦИЙ
4.1. Категории защиты рабочих станций устанавливаются в зависимости от категорий конфиденциальности и целостности обрабатываемой информации и категорий доступности решаемых на РС задач.
4.2. Категория рабочей станции представляет собой совокупность (триаду), включающую:
- максимальную категорию конфиденциальности, обрабатываемой на РС информации;
- максимальную категорию целостности, обрабатываемой на РС информации;
- максимальную категорию доступности задачи, решаемой на РС.
Например:
<”КОНФИДЕНЦИАЛЬНО”, “ВЫСОКАЯ”, “БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ”>;
<”СТРОГО КОНФИДЕНЦИАЛЬНО”, “НЕТ ТРЕБОВАНИЙ”, “НИЗКАЯ ДОСТУПНОСТЬ”>;
<”ОТКРЫТАЯ”, “НИЗКАЯ”, “СРЕДНЯЯ ДОСТУПНОСТЬ”>.
4.3. Требования по обеспечению безопасности РС различных категорий (по применению соответствующих обязательных мер и настроек защитных механизмов средств защиты) приведены в Приложении 5.
5. ПОРЯДОК ОПРЕДЕЛЕНИЯ КАТЕГОРИЙ ЗАЩИЩАЕМЫХ РЕСУРСОВ АС
5.1. Категорирование ресурсов автоматизированной системы (РС, задач, информации) проводится на основе их инвентаризации и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов АС, подлежащих защите.
5.2. Ответственность за составление и ведение перечней ресурсов АС ОРГАНИЗАЦИИ возлагается:
- в части составления и ведения перечня РС (с указанием их размещения, закрепления за подразделениями ОРГАНИЗАЦИИ, состава и характеристик, входящих в его состав технических средств – формуляров РС) - на Управление (отдел, сектор) автоматизации ОРГАНИЗАЦИИ;
- в части составления и ведения перечня системных (общих) и прикладных (специальных) задач, решаемых на РС (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на Управления (отделы, сектора) программирования, внедрения, сопровождения и эксплуатации Управления (отдела, сектора) автоматизации ОРГАНИЗАЦИИ.
5.3. Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных РС (информационным ресурсам и задачам) возлагается на подразделения ОРГАНИЗАЦИИ, которые непосредственно решают задачи на данных РС (владельцев, распорядителей информации), и службу защиты информации.
5.4. Утверждение назначенных в соответствии с настоящим «Положением...» категорий информационных ресурсов АС производится Начальником службы защиты информации.
5.5. Инициаторами категорирования РС и получения соответствующих предписаний на эксплуатацию РС (формуляров РС) выступают руководители подразделений ОРГАНИЗАЦИИ, в которых используются данные РС, входящие в состав АС ОРГАНИЗАЦИИ.
5.6. Контроль за правильностью категорирования ресурсов АС и законностью эксплуатации (наличием утвержденных формуляров) защищенных РС и серверов АС ОРГАНИЗАЦИИ в подразделениях ОРГАНИЗАЦИИ осуществляется сотрудниками службы защиты информации.
5.7. Категорирование ресурсов АС ОРГАНИЗАЦИИ может осуществляться последовательно для каждой конкретной РС в отдельности с последующим объединением и формированием единых перечней ресурсов АС ОРГАНИЗАЦИИ подлежащих защите:
- перечня информационных ресурсов АС ОРГАНИЗАЦИИ, подлежащих защите (Приложение 2);
- перечня подлежащих защите задач (совокупности формуляров задач), решаемых в АС ОРГАНИЗАЦИИ;
- перечня подлежащих защите РС (совокупности формуляров РС), эксплуатируемых в ОРГАНИЗАЦИИ.
На первом этапе работ производится категорирование всех видов информации, используемой при решении задач на конкретной РС (установление категорий конфиденциальности и целостности конкретных видов информации). Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".
На втором этапе происходит категорирование всех функциональных задач, решаемых на данной РС.
На третьем этапе, устанавливается категория РС, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем.
5.8. Переаттестация (изменение категории) информационных ресурсов АС ОРГАНИЗАЦИИ производится при изменении требований к обеспечению защиты свойств (конфиденциальности и целостности) соответствующей информации.
Переаттестация (изменение категории) функциональных задач производится при изменении требований к доступности функциональных задач.
Переаттестация (изменение категории) РС производится при изменении категорий обрабатываемой на РС информации или категорий решаемых на данной РС задач.
5.9. Периодически (раз в год) или по требованию руководителей структурных подразделений ОРГАНИЗАЦИИ, использующих АС, производится пересмотр установленных категорий защищаемых ресурсов АС ОРГАНИЗАЦИИ на предмет их соответствия реальному положению дел.
6. ПОРЯДОК ПЕРЕСМОТРА ПОЛОЖЕНИЯ
6.1. В случае изменения требований по защите РС различных категорий пересмотру (с последующим утверждением) подлежит Приложение 5.
6.2. В случае внесения изменений и дополнений в «Перечень информационных ресурсов, подлежащих защите» пересмотру (с последующим утверждением) подлежит Приложение 4.
6.3. Любой пересмотр Положения должен осуществляться на основании решения Начальника ОРГАНИЗАЦИИ.
|
|
Приложение 1к положению об определении требований по защите (о категорировании) ресурсов АС |
МЕТОДИКА КАТЕГОРИРОВАНИЯ ЗАЩИЩАЕМЫХ РЕСУРСОВ
Настоящая методика (примерная) уточняет порядок проведения работ по категорированию защищаемых ресурсов в АС ОРГАНИЗАЦИИ в соответствии с «Положением об определении требований по защите (категорировании) ресурсов автоматизированной системы».
Категорирование предполагает проведение работ по выявлению (инвентаризации) и анализу всех ресурсов подсистем АС ОРГАНИЗАЦИИ, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.
- Для проведения анализа всех подсистем автоматизированной системы ОРГАНИЗАЦИИ и проведения инвентаризации ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты службы защиты информации и других подразделений ОРГАНИЗАЦИИ (осведомленные в вопросах технологии автоматизированной обработки информации в АС ОРГАНИЗАЦИИ). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства ОРГАНИЗАЦИИ, в котором, в частности, даются указания всем начальникам структурных подразделений ОРГАНИЗАЦИИ об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу ресурсов всех РС АС. Для оказания помощи на время работы группы в подразделениях начальниками этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.
- В ходе обследования конкретных подразделений ОРГАНИЗАЦИИ и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.
- Составляется общий перечень функциональных задач и по каждой задаче оформляется (заводится) формуляр (Приложение 2). При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.
- При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб Организации, его клиентам или корреспондентам.
- При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести. В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).
- При составлении перечня и формуляров функциональных задач, решаемых в ОРГАНИЗАЦИИ необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.
- Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».
- Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставляемых Организации прав).
- Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения Организации (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите» (в колонки 2 и 3).
- Затем Перечень согласовывается с руководителями отделов (секторов) Управления (отдела) автоматизации и службы защиты информации и выдвигается на рассмотрение руководства Организации.
- В соответствии с указанными в утвержденном «Перечне информационных ресурсов, подлежащих защите» категориями конфиденциальности и целостности определяются категории каждого вида обрабатываемой на конкретной РС информации.
- На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений ОРГАНИЗАЦИИ и согласованных с Управлением (отделом) автоматизации, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием АС. Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным РС не производится.
В дальнейшем, с участием специалистов Управления (отдела) автоматизации и службы защиты информации необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих РС, на которых будет решаться данная задача, и для контроля правильности их установки.
- На последнем этапе происходит категорирование РС. Категория РС устанавливается, исходя из максимальной категории специальных задач, решаемых на РС, и максимальных категорий конфиденциальности и целостности информации, используемой при решении задач. Информация о категории РС (триада) заносится в формуляр РС.
- Типовые конфигурации принимаемых мер и настройки защитных механизмов программно-аппаратных средств защиты информации для РС различных категорий (требуемых степеней защищенности) определяются согласно Приложения 5.
- Полученные в результате формуляры РС и задач средств являются неотъемлемой составной частью Плана защиты АС ОРГАНИЗАЦИИ.
|
|
Приложение 2 к положению об определении требований по защите (о категорировании) ресурсов АС |
||
|
ПРИНЯТА В ФАП Начальник фонда алгоритмов и программ ______________________________________ подпись, фамилия «___» ______________ 200__ г. |
|
||
ФОРМУЛЯР ЗАДАЧИ
номер _____
|
Наименование задачи |
|
Назначение задачи |
|
Тип (системная/прикладная) |
|
Дата приема в ФАП |
|
Ответственный за сопровождение задачи |
|
Разработчик |
|
Требуемая степень доступности задачи |
|
Категория задачи |
Используемые при решении задачи каталоги с программами и данными:
на сетевых дисках (файловых серверах Novell NetWare)
|
Имя |
Имя |
Путь к файлам |
Назначение компонентов |
|
сервера |
тома |
программ и данных ПС |
программного средства |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
на локальных диска РС
|
Имя РС |
Имя диска |
Путь к файлам программ и данных |
Назначение компонентов |
|
|
|
|
|
|
|
|
|
|
Выделяемые при решении задачи особые пользователи и группы пользователей
|
Имя пользователя или группы пользователей |
Признаки группирования пользователей |
|
|
|
|
|
|
Значение атрибутов доступа к сетевым компонентам программного средства
|
Имя сетевой группы (или особого пользователя) |
Имя сетевого каталога или файла |
Права доступа (Novell NetWare) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Значение атрибутов доступа к локальным ресурсам задачи
|
Имя каталога или файла (ресурса) |
Имя владельца ресурса |
Имя группы владельца ресурса |
Атрибуты управления доступом для различных категорий пользователей (Secret Net) | ||
|---|---|---|---|---|---|
|
владелец |
группа |
остальные | |||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
От Управления (отдела) автоматизации ___________________________________ подпись, фамилия «___» ______________ 200__ г. |
От службы защиты информации __________________________________ подпись, фамилия «___» ______________ 200__ г. |
|
Администратор сети ___________________________________ подпись, фамилия «___» ______________ 200__ г. |
__________________________________ подпись, фамилия «___» ______________ 200__ г. |
|
|
|
Приложение 3 к положению об определении требований по защите (о категорировании) ресурсов АС |
|
ЭКСПЛУАТАЦИЯ РС РАЗРЕШЕНА Начальник службы защиты информации
«___» ______________ 200__ г. |
|
|
Действителен до __.__200._ г.
ФОРМУЛЯР РАБОЧЕЙ СТАНЦИИ
номер ______
|
Наименование РС |
|
Назначение РС |
|
Категория РС (по Положению об определении требований по защите (о категорировании) ресурсов) |
|
Местонахождение РС |
|
Ответственный за эксплуатацию и контроль за физической целостностью РС |
|
Тип компьютера |
|
Центральный процессор |
|
Объем ОЗУ |
|
Накопители на НГМД |
|
Объем накопителя на жестком диске |
|
Количество параллельных портов |
|
Количество последовательных портов |
|
Монитор |
|
Видео карта |
|
Наличие подключенного модема |
|
Другие периферийные устройства |
|
Наличие подключенного принтера |
|
Номер ключа корпуса системного блока |
|
Тип аппаратных средств поддержки системы защиты |
|
Примечания |
Задачи, решаемые на данной РС
(наименования указываются по перечню задач ФАП)
|
Название задачи |
Тип задачи |
Категория задачи |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Установка (модификация программно-аппаратной конфигурации)
РС осуществлена в соответствии с заявками
|
Дата заявки |
Номер заявки (в архиве) |
Примечание |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Заполненный и утвержденный формуляр является предписанием на эксплуатацию РС
|
От эксплуатирующего подразделения Ответственный за информационную безопасность _______________________________________ подпись, фамилия «___» ______________ 200__ г. |
Ответственный за эксплуатацию РС
____________________________________ «___» ______________ 200__ г. |
|
От Управления (отдела) автоматизации Ответственный за техническое состояние РС и программное обеспечение
___________________________________ подпись, фамилия «___» ______________ 200__ г. |
От службы защиты информации Администратор СЗИ НСД
__________________________________ подпись, фамилия «___» ______________ 200__ г. |
ПРИЛОЖЕНИЕ 4
|
|
Приложение 4 к Положению об определении требований по защите (о категорировании) ресурсов АС |
УТВЕРЖДАЮ Руководитель ОРГАНИЗАЦИИ ______________И.О. Фамилия “___” __________ 200 г. |
|
Гриф
Экз. № ___
ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ РЕСУРСОВ АС ОРГАНИЗАЦИИ,
ПОДЛЕЖАЩИХ ЗАЩИТЕ
|
№п/п |
Наименование информационного ресурса (информации) |
Категория конфиденци-альности (СК/К/-) и вид тайны (БТ/КТ/ПД/-) |
Категория целостности (В/Н/-) |
Размещение ресурса (РС, устройство, каталог, файл) |
Ответственный (подразделение) за определение требований к защищенности ресурса |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Приложение 5
к Положению об определении требований по
защите (о категорировании) ресурсов АС
ВАРИАНТЫ ПРИМЕНЯЕМЫХ МЕР И НАСТРОЕК ЗАЩИТНЫХ МЕХАНИЗМОВ СРЕДСТВ ЗАЩИТЫ НА РАБОЧИХ СТАНЦИЯХ АС ОРГАНИЗАЦИИ
Таблица 1
|
Применяемые меры и защитные механизмы |
Варианты принимаемых мер или настроек защитных механизмов | ||||
|---|---|---|---|---|---|
|
1 |
2 |
3 |
4 |
5 | |
|
Меры физической защиты |
|||||
|
Расположение в охраняемом помещении с кодовым замком и сигнализацией |
Обязательно |
Желательно |
Нет требований |
|
|
|
Обеспечение физической целостности технических средств РС |
Обязательно (опечатывание системных блоков) |
Желательно (опечатывание системных блоков) |
Нет требований |
|
|
|
Организационные меры защиты |
|||||
|
Состав программных средств на РС |
Строго ограничен в соответствии с задачами РС |
Не ограничен |
|
|
|
|
Наличие диагностических программных средств на РС |
Запрещено |
Разрешено. Доступны отдельным пользователям |
Разрешено использовать всем |
|
|
|
Наличие и использование инструментальных средств создания и отладки программ на РС |
Запрещено |
Разрешено отдельным пользователям |
Разрешено всем |
|
|
|
Ограничения на совмещение задач на одной РС |
РС участвует в решении задач только одной подсистемы |
РС участвует в решении задач в составе ограниченного числа подсистем |
Ограничений нет |
|
|
|
Ограничение числа пользователей РС |
Один конечный пользователь РС |
Допускается работа нескольких пользователей |
Число пользователей РС не ограничено |
|
|
|
Анализ отказов и других нештатных ситуаций при работе РС, а также техническое обслуживание программных и аппаратных средств РС |
Производится специальным персоналом и только в присутствии администратора безопасности (СЗИ НСД) |
Производится специальным персоналом в присутствии ответственного за безопасность в подразделении. Обязательное оповещение администратора безопасности (в установленный срок). Вызов администратора безопасности при необходимости. |
Производится специальным персоналом. Присутствие или извещение специалистов службы защиты информации не требуется |
|
|
|
Применение аппаратно-программных средств защиты |
|||||
|
Именование (идентификация) пользователей |
Единственное уникальное имя для каждого сотрудника |
Возможно наличие нескольких уникальных имен у одного сотрудника |
Возможно использование групповых имен |
|
|
|
Наличие паролей у пользователей |
Обязательно для всех пользователей РС |
Для некоторых пользователей РС может быть разрешен вход без пароля |
|
|
|
|
Указание имени основного пользователя РС по умолчанию |
Запрещено |
Разрешено |
Нет требований |
|
|
|
Аппаратная поддержка средств защиты рабочих станций |
Обязательно, с использованием Touch Memory, Smart Card и т.п. |
Обязательно. Возможно с использованием Touch Memory, Smart Card и т.п. |
Обязательно. Без поддержки Touch Memory, Smart Card и т.п. |
Использование возможностей BIOS компьютера |
Не требуется |
|
Жесткий режим входа пользователей (только по предъявлении Touch Memory, Smart Card и т.п.) |
Обязательно |
Желательно (возможно) |
Не требуется |
|
|
|
Избирательное разграничение доступа к ресурсам рабочей станции |
Минимально необходимый доступ всех пользователей к ресурсам РС |
Ограничение по доступу пользователей к отдельным ресурсам РС |
Все пользователи имеют полный доступ ко всем ресурсам |
|
|
|
Полномочное управление доступом к ресурсам |
Обязательно |
Желательно (возможно) |
Не требуется |
|
|
|
Ограничения по запуску программ (замкнутая программная среда) |
Обязательно для всех пользователей РС |
Для некоторых пользователей РС |
Не устанавливается |
|
|
|
Ограничения на использование устройств (НГМД, локального принтера, COM-портов) |
Обязательно для всех пользователей |
Для некоторых пользователей РС |
Не устанавливается |
|
|
|
Режим регистрация событий в системном журнале |
Максимально подробный для локальных и сетевых событий |
Максимально подробный для локальных и минимальный для сетевых событий |
Максимально подробный для сетевых и минимальный для локальных событий |
Минимальный для локальных и сетевых событий |
Не установлен |
|
Хранение журналов регистрации событий |
Долгосрочное (свыше трех месяцев) |
Среднесрочное (до трех месяцев) |
Краткосрочное (до 7 дней) |
Нет |
|
|
Периодичность анализа журналов регистрации событий
|
Ежедневный экспресс анализ |
Еженедельный анализ |
Анализ по необходимости |
Нет требований |
|
|
Оперативный контроль за работой пользователей (за попытками НСД) |
Постоянный |
Периодический |
По мере необходимости |
Нет требований |
|
|
Использование режима затирания удаляемых файлов |
Обязательно |
Возможно |
Не требуется |
|
|
|
Контроль целостности программ системы защиты и системных областей дисков |
При каждой перезагрузке и с установленной периодичностью |
При каждой перезагрузке |
Один раз в день (при первой перезагрузке) |
По требованию администратора (пользователя) |
Не проводится |
|
Применяемые методы и средства контроля целостности (и аутентичности) |
Гарантированных методы контроля (ЭЦП) |
Стойкие негарантированные методы (хэш-функция, имитовставка) |
Нестойкие негарантированные методы (контрольное суммирование, CRC и т.п.) |
Не требуется |
|
|
Контроль целостности особых файлов (программ, конфигураций и т.п.) |
При каждой перезагрузке и с установленной периодичностью |
При каждой перезагрузке |
Один раз в день (при первой перезагрузке) |
По требованию администратора (пользователя) |
Не проводится |
|
Действия при обнаружении нарушений целостности программ, файлов, системных областей диска |
Регистрация в системном журнале и блокировка работы РС, снять которую может только администратор безопасности |
Только регистрация в системном журнале |
Не предусмотрены |
|
|
|
Применение средств шифрования –расшифрования данных |
Обязательно для обмена и хранения указанных типов данных |
Обязательно для обмена указанными типами данных (файлами) |
Возможно для некоторых файлов по решению пользователя |
Не требуется |
|
|
Возможность удаленного контроля и управления РС |
Запрещено |
Обязательно |
Разрешено (не обязательно) |
Не требуется |
|
|
Обеспечение живучести РС |
|||||
|
Резервирование технических средств |
Горячее резервирование (t < 5 мин) |
Холодное резервирование (t < 30 мин) |
Групповой резерв (t < 3 час) |
Не требуется |
|
|
Резервное (страховое) копирование критичных данных |
Автоматическое с периодом < 10 мин |
Автоматическое с периодом < 1 часа |
Ручное с периодом < 24 час |
Ручное с периодом > 24 час |
Не требуется |
|
Организация защиты от утечки по техническим каналам |
|||||
|
Проведение спецпроверок и специсследованийСВТ |
Обязательно |
Желательно |
Нет требований |
|
|
|
Применение генераторов помех |
Обязательно |
Желательно |
Нет требований |
|
|
|
Расположение, исключающее визуальный просмотр экрана посторонними |
Обязательно |
Желательно |
Нет требований |
|
|
ТРЕБОВАНИЯ К ПРИМЕНЯЕМЫМ МЕРАМ И НАСТРОЙКАМ ЗАЩИТНЫХ МЕХАНИЗМОВ СРЕДСТВ ЗАЩИТЫ НА
РАБОЧИХ СТАНЦИЯХ АС ОРГАНИЗАЦИИ РАЗЛИЧНЫХ КАТЕГОРИЙ
Таблица 2
|
Применяемые |
Варианты применения мер и настроек защитных механизмов (в соответствии с Таблицей 1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
|
По конфиденциальности информации |
По целостности информации |
По доступности задач | ||||||||
|
Строго конфиден-циально |
Конфиден-циально |
Открытая |
Высокая |
Низкая |
Нет требований |
Беспрепят- ственная доступность |
Высокая доступность |
Средняя доступность |
Низкая доступность | |
|
Расположение в охраняемом помещении с кодовым замком и сигнализацией |
1 |
1 |
- |
1 |
2 |
- |
1 |
1 |
2 |
- |
|
Обеспечение физической целостности технических средств РС |
1 |
1 |
- |
1 |
1 |
- |
1 |
1 |
2 |
- |
|
Состав программных средств на РС |
1 |
1 |
- |
1 |
1 |
- |
1 |
1 |
2 |
- |
|
Наличие диагностических программных средств на РС |
1 |
2 |
- |
2 |
2 |
- |
2 |
2 |
3 |
- |
|
Наличие и использование инструментальных средств создания и отладки программ на РС |
1 |
1 |
- |
1 |
1 |
- |
1 |
1 |
2 |
- |
|
Ограничения на совмещение задач на одной РС |
2 |
2 |
- |
2 |
2 |
- |
1 |
2 |
3 |
- |
|
Ограничение числа пользователей РС |
1 |
2 |
- |
2 |
3 |
- |
2 |
2 |
3 |
- |
|
Анализ отказов и других нештатных ситуаций при работе РС, а также техническое обслуживание программных и аппаратных средств РС |
1 |
1 |
- |
1 |
2 |
- |
1 |
2 |
2 |
- |
|
Именование (идентификация) пользователей |
2 |
2 |
- |
2 |
2 |
- |
2 |
2 |
3 |
- |
|
Наличие паролей у пользователей |
1 |
1 |
- |
1 |
1 |
- |
1 |
1 |
2 |
- |
|
Указание имени основного пользователя РС по умолчанию |
1 |
2 |
- |
2 |
2 |
- |
2 |
2 |
3 |
- |
|
Аппаратная поддержка средств защиты рабочих станций |
1 |
1 |
- |
2 |
2 |
- |
1 |
2 |
3 |
- |
|
Жесткий режим входа пользователей (только по предъявлении Touch Memory, Smart Card и т.п.) |
1 |
1 |
- |
2 |
2 |
- |
1 |
2 |
2 |
- |
|
Избирательное разграничение доступа к ресурсам рабочей станции |
1 |
1 |
- |
2 |
2 |
- |
2 |
2 |
2 |
- |
|
Полномочное управление доступом к ресурсам |
1 |
2 |
- |
2 |
2 |
- |
2 |
2 |
3 |
- |
|
Ограничения по запуску программ (замкнутая программная среда) |
1 |
1 |
- |
1 |
2 |
- |
1 |
2 |
2 |
- |
|
Ограничения на использование отдельных устройств (НГМД, принтера, COM-портов) |
1 |
1 |
- |
2 |
2 |
- |
2 |
2 |
3 |
- |
|
Режим регистрация событий в системном журнале |
4 |
4 |
- |
4 |
4 |
- |
4 |
4 |
4 |
- |
|
Хранение журналов регистрации событий |
2 |
2 |
- |
1 |
2 |
- |
2 |
2 |
3 |
- |
|
Периодичность анализа журналов регистрации событий |
1 |
2 |
- |
2 |
3 |
- |
2 |
3 |
3 |
- |
|
Оперативный контроль за работой пользователей (за попытками НСД) |
1 |
1 |
- |
2 |
2 |
- |
2 |
3 |
3 |
- |
|
Использование режима затирания удаляемых файлов |
1 |
1 |
- |
- |
- |
- |
- |
- |
- |
- |
|
Контроль целостности программ системы защиты и системных областей дисков |
2 |
3 |
- |
1 |
2 |
- |
2 |
3 |
4 |
- |
|
Применяемые методы и средства контроля целостности (и аутентичности) |
2 |
2 |
- |
1 |
2 |
- |
2 |
2 |
3 |
- |
|
Контроль целостности особых файлов (программ, конфигураций и т.п.) |
2 |
3 |
- |
2 |
3 |
- |
2 |
3 |
4 |
- |
|
Действия при обнаружении нарушений целостности программ, файлов, системных областей диска |
1 |
1 |
- |
1 |
2 |
- |
2 |
2 |
2 |
- |
|
Применение средств шифрования -расшифрования данных |
3 |
3 |
- |
3 |
3 |
- |
3 |
3 |
3 |
- |
|
Возможность удаленного контроля и управления рабочей станцией |
1 |
1 |
- |
2 |
3 |
- |
2 |
3 |
3 |
- |
|
Резервирование технических средств |
3 |
3 |
- |
3 |
3 |
- |
1 |
2 |
3 |
- |
|
Резервное (страховое) копирование критичных данных |
4 |
4 |
- |
4 |
4 |
- |
1 |
2 |
3 |
- |
|
Проведение спецпроверок и специсследованийСВТ |
2 |
2 |
- |
3 |
3 |
- |
3 |
3 |
3 |
- |
|
Применение генераторов помех |
2 |
2 |
- |
3 |
3 |
- |
3 |
3 |
3 |
- |
|
Расположение, исключающее визуальный просмотр экрана посторонними |
1 |
1 |
- |
3 |
3 |
- |
3 |
3 |
3 |
- |