Главная» Как защитить информацию» С чего начать»Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации

Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации


ПРОЕКТ

НАИМЕНОВАНИЕ ОРГАНИЗАЦИИ

 

УТВЕРЖДАЮ

 

 

"___" ___________ 20__ года

 

ПОЛОЖЕНИЕ

ОБ ОПРЕДЕЛЕНИИ ТРЕБОВАНИЙ

ПО ЗАЩИТЕ (О КАТЕГОРИРОВАНИИ) РЕСУРСОВ

АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ

ОРГАНИЗАЦИИ

 

 

СОГЛАСОВАНО

Начальник управления автоматизации

____________________  <И.О. Фамилия>

<Дата>

СОГЛАСОВАНО

Начальник управления безопасности

____________________  <И.О. Фамилия>

<Дата>

 

 

20__ год


 

Оглавление:

ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

1. ОБЩИЕ ПОЛОЖЕНИЯ

2. КАТЕГОРИИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

3. КАТЕГОРИИ ФУНКЦИОНАЛЬНЫХ ЗАДАЧ

4. КАТЕГОРИИ РАБОЧИХ СТАНЦИЙ

5. ПОРЯДОК ОПРЕДЕЛЕНИЯ КАТЕГОРИЙ ЗАЩИЩАЕМЫХ РЕСУРСОВ АС

6. ПОРЯДОК ПЕРЕСМОТРА ПОЛОЖЕНИЯ

Приложение 1

ПРИЛОЖЕНИЕ 4


Основные термины и определения:

Защищаемая информация (информация, подлежащая защите) - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и иных нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации (ОРГАНИЗАЦИЕЙ).

Защищаемые ресурсы автоматизированной системы (ресурсы АС, подлежащие защите) - информация, функциональные задачи, рабочие станции (РС), сервера подлежащие защите с целью обеспечения информационной безопасности подразделений ОРГАНИЗАЦИИ, его клиентов, корреспондентов, а также его сотрудников.

Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям.

Защищаемая рабочая станция (РС), сервер - объект защиты (компьютер с соответствующим набором программных средств и данных), для которого признана необходимость установления регламентированного режима обработки информации и характеризуемая:

  • местоположением, а также степенью ее физической доступности для посторонних лиц (клиентов, посетителей, сотрудников, не допущенных к работе с РС и т.п.);
  • составом аппаратных (технических) средств;
  • составом программных средств и решаемых на нем задач (определенных категорий доступности);
  • составом хранимой и обрабатываемой на РС информации (определенных категорий конфиденциальности и целостности).

Формуляр РС - документ установленной формы (Приложение 3), фиксирующий  характеристики РС (местоположение, конфигурацию аппаратных и программных средств, перечень решаемых на РС задач и др.) и удостоверяющий возможность эксплуатации данной РС (свидетельствующий о выполнении установленных требований по защите обрабатываемой на РС информации в соответствии с категорией данной РС).

Защищаемая задача - функциональная задача, решаемая на отдельной РС, для которой признана необходимость установления регламентированного режима обработки информации и характеризуемая:

  • совокупностью используемых при решении задачи ресурсов (программных средств, наборов данных, устройств);
  • списком групп пользователей, которые имеют разные права доступа к ресурсам задачи;
  • периодичностью решения;
  • максимально допустимым временем задержки получения результата решения задачи.

Формуляр задачи - документ установленной формы (Приложение 2), фиксирующий  характеристики задачи (ее наименование, назначение, тип, используемые при ее решении ресурсы, группы пользователей данной задачи, их права доступа к ресурсам задачи и др.).

Конфиденциальность информации - субъективно определяемая (присваемая государством или собственником) характеристика (свойство) информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы (инфраструктуры) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Доступность информации (задачи) - свойство системы обработки (инфраструктуры), в которой циркулирует информация, характеризующееся способностью обеспечивать своевременный беспрепятственный доступ субъектов (пользователей) к интересующей их информации (при наличии у субъектов соответствующих полномочий на доступ) и готовность соответствующих автоматизированных служб (функциональных задач) к обслуживанию поступающих от субъектов запросов.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящим Положением вводятся категории (градации важности обеспечения защиты) ресурсов и устанавливается порядок категорирования ресурсов АС ОРГАНИЗАЦИИ, подлежащих защите (отнесения их к соответствующим категориям с учетом степени риска нанесения ущерба ОРГАНИЗАЦИИ его клиентам, корреспондентам, партнерам или сотрудникам в случае несанкционированного вмешательства в процесс функционирования АС, нарушения целостности или конфиденциальности обрабатываемой информации, а также блокирования информации или нарушения доступности решаемых АС задач).

1.2. Категорирование ресурсов (определение требований к защите ресурсов) АС является необходимым элементом организации работ по обеспечению информационной безопасности ОРГАНИЗАЦИИ и имеет своими целями:

  • создание нормативно-методической основы для дифференцированного подхода к защите ресурсов автоматизированной системы (информации, задач, АРМ, серверов, РС) на основе их классификации по степени риска в случае нарушения их доступности, целостности или конфиденциальности;
  • типизацию принимаемых организационных мер и распределения аппаратно-программных средств защиты ресурсов по РС и серверам АС ОРГАНИЗАЦИИ и унификацию вариантов настроек средств защиты.

2. КАТЕГОРИИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

Исходя из необходимости обеспечения различных уровней защиты разных видов информации (не содержащей сведений, составляющих государственную тайну), хранимой и обрабатываемой в АС ОРГАНИЗАЦИИ, а также с учетом возможных путей нанесения ущерба ОРГАНИЗАЦИИ, его клиентам, корреспондентам, партнерам или сотрудникам вводится три категории конфиденциальности защищаемой  информации и три категории целостности защищаемой информации.

2.1. Категории конфиденциальности защищаемой информации:

  • «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (коммерческая и банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решениями руководства ОРГАНИЗАЦИИ, разглашение которой может привести к тяжким финансово-экономическим последствиям для Организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
  • «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства Организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности ОРГАНИЗАЦИИ (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
  • «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.

 

2.2. Категории целостности защищаемой информации:

  • «ВЫСОКАЯ» - к данной категории относится информация, несанкционированная модификация (искажение, подмена, уничтожение) или фальсификация (подделка) которой может привести к нанесению значительного прямого ущерба Организации, его клиентам и корреспондентам, целостность и аутентичность (подтверждение подлинности источника) которой должна обеспечиваться гарантированными методами (средствами электронной цифровой подписи - ЭЦП) в соответствии с обязательными требованиями действующего законодательства, приказов, директив и других нормативных актов;
  • «НИЗКАЯ» - к данной категории относится информация, несанкционированная модификация, подмена или удаление которой может привести к нанесению незначительного косвенного ущерба Банку, его клиентам, корреспондентам, партнерам или сотрудникам, целостность (а при необходимости и аутентичность) которой должна обеспечиваться в соответствии с решением руководства Банка (методами подсчета контрольных сумм, хеш-функций и т.п.);
  • «НЕТ ТРЕБОВАНИЙ» - к данной категории относится информация, к обеспечению целостности (и аутентичности) которой требований не предъявляется.

3. КАТЕГОРИИ ФУНКЦИОНАЛЬНЫХ ЗАДАЧ

В зависимости от периодичности решения функциональных задач и максимально допустимой задержки получения результатов их решения вводится четыре требуемых степени (категории) доступности функциональных задач.

3.1. Требуемые степени доступности функциональных задач:

  • «БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – доступ к задаче должен обеспечиваться в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут);
  • «ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов);
  • «СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней);
  • «НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).

4. КАТЕГОРИИ РАБОЧИХ СТАНЦИЙ

4.1. Категории защиты рабочих станций устанавливаются в зависимости от категорий конфиденциальности и целостности обрабатываемой информации и категорий доступности решаемых на РС задач.

4.2. Категория рабочей станции представляет собой совокупность (триаду), включающую:

  • максимальную категорию конфиденциальности, обрабатываемой на РС информации;
  • максимальную категорию целостности, обрабатываемой на РС информации;
  • максимальную категорию доступности задачи, решаемой на РС.

Например:

<”КОНФИДЕНЦИАЛЬНО”, “ВЫСОКАЯ”, “БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ”>;

<”СТРОГО КОНФИДЕНЦИАЛЬНО”, “НЕТ ТРЕБОВАНИЙ”, “НИЗКАЯ ДОСТУПНОСТЬ”>;

<”ОТКРЫТАЯ”, “НИЗКАЯ”, “СРЕДНЯЯ ДОСТУПНОСТЬ”>.

4.3. Требования по обеспечению безопасности РС различных категорий (по применению соответствующих обязательных мер и настроек защитных механизмов средств защиты) приведены в Приложении 5.

5. ПОРЯДОК ОПРЕДЕЛЕНИЯ КАТЕГОРИЙ ЗАЩИЩАЕМЫХ РЕСУРСОВ АС

5.1. Категорирование ресурсов автоматизированной системы (РС, задач, информации) проводится на основе их инвентаризации и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов АС, подлежащих защите.

5.2. Ответственность за составление и ведение перечней ресурсов АС ОРГАНИЗАЦИИ возлагается:

  • в части составления и ведения перечня РС (с указанием их размещения, закрепления за подразделениями ОРГАНИЗАЦИИ, состава и характеристик, входящих в его состав технических средств – формуляров РС) - на Управление (отдел, сектор) автоматизации ОРГАНИЗАЦИИ;
  • в части составления и ведения перечня системных (общих) и прикладных (специальных) задач, решаемых на РС (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на Управления (отделы, сектора) программирования, внедрения, сопровождения и эксплуатации Управления (отдела, сектора) автоматизации ОРГАНИЗАЦИИ.

5.3. Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных РС (информационным ресурсам и задачам) возлагается на подразделения ОРГАНИЗАЦИИ, которые непосредственно решают задачи на данных РС (владельцев, распорядителей информации), и службу защиты информации.

5.4. Утверждение назначенных в соответствии с настоящим «Положением...» категорий информационных ресурсов АС производится Начальником службы защиты информации.

5.5. Инициаторами категорирования РС и получения соответствующих предписаний на эксплуатацию РС (формуляров РС) выступают руководители подразделений ОРГАНИЗАЦИИ, в которых используются данные РС, входящие в состав АС ОРГАНИЗАЦИИ.

5.6. Контроль за правильностью категорирования ресурсов АС и законностью эксплуатации (наличием утвержденных формуляров) защищенных РС и серверов АС ОРГАНИЗАЦИИ в подразделениях ОРГАНИЗАЦИИ осуществляется сотрудниками службы защиты информации.

5.7. Категорирование ресурсов АС ОРГАНИЗАЦИИ может осуществляться последовательно для каждой конкретной РС в отдельности с последующим объединением и формированием единых перечней ресурсов АС ОРГАНИЗАЦИИ подлежащих защите:

  • перечня информационных ресурсов АС ОРГАНИЗАЦИИ, подлежащих защите (Приложение 2);
  • перечня подлежащих защите задач (совокупности формуляров задач), решаемых в АС ОРГАНИЗАЦИИ;
  • перечня подлежащих защите РС (совокупности формуляров РС), эксплуатируемых в ОРГАНИЗАЦИИ.

На первом этапе работ производится категорирование всех видов информации, используемой при решении задач на конкретной РС (установление категорий конфиденциальности и целостности конкретных видов информации). Подлежащие защите информационные ресурсы включаются в "Перечень информационных ресурсов, подлежащих защите".

На втором этапе происходит категорирование всех функциональных задач, решаемых на данной РС.

На третьем этапе, устанавливается категория РС, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем.

5.8. Переаттестация (изменение категории) информационных ресурсов АС ОРГАНИЗАЦИИ производится при изменении требований к обеспечению защиты свойств (конфиденциальности и целостности) соответствующей информации.

Переаттестация (изменение категории) функциональных задач производится при изменении требований к доступности функциональных задач.

Переаттестация (изменение категории) РС производится при изменении категорий обрабатываемой на РС информации или категорий решаемых на данной РС задач.

5.9. Периодически (раз в год) или по требованию руководителей структурных подразделений ОРГАНИЗАЦИИ, использующих АС, производится пересмотр установленных категорий защищаемых ресурсов АС ОРГАНИЗАЦИИ на предмет их соответствия реальному положению дел.

6. ПОРЯДОК ПЕРЕСМОТРА ПОЛОЖЕНИЯ

6.1. В случае изменения требований по защите РС различных категорий пересмотру (с последующим утверждением) подлежит Приложение 5.

6.2. В случае внесения изменений и дополнений в «Перечень информационных ресурсов, подлежащих защите» пересмотру (с последующим утверждением) подлежит Приложение 4.

6.3. Любой пересмотр Положения должен осуществляться на основании решения Начальника ОРГАНИЗАЦИИ.


 

 

 

Приложение 1

к положению об определении требований по защите (о категорировании) ресурсов АС

МЕТОДИКА КАТЕГОРИРОВАНИЯ ЗАЩИЩАЕМЫХ РЕСУРСОВ

Настоящая методика (примерная) уточняет порядок проведения работ по категорированию защищаемых ресурсов в АС ОРГАНИЗАЦИИ в соответствии с «Положением об определении требований по защите (категорировании) ресурсов автоматизированной системы».

Категорирование предполагает проведение работ по выявлению (инвентаризации) и анализу всех ресурсов подсистем АС ОРГАНИЗАЦИИ, подлежащих защите. Примерная последовательность и основное содержание конкретных действий по осуществлению этих работ приведены ниже.

  1. Для проведения анализа всех подсистем автоматизированной системы ОРГАНИЗАЦИИ и проведения инвентаризации ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются специалисты службы защиты информации и других подразделений ОРГАНИЗАЦИИ (осведомленные в вопросах технологии автоматизированной обработки информации в АС ОРГАНИЗАЦИИ). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководства ОРГАНИЗАЦИИ, в котором, в частности, даются указания всем начальникам структурных подразделений ОРГАНИЗАЦИИ об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу ресурсов всех РС АС. Для оказания помощи на время работы группы в подразделениях начальниками этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.
  2. В ходе обследования конкретных подразделений ОРГАНИЗАЦИИ и автоматизированных подсистем выявляются и описываются все функциональные задачи, решаемые с использованием АС, а также все виды информации (сведений), используемые при решении этих задач в подразделениях.
  3. Составляется общий перечень функциональных задач и по каждой задаче оформляется (заводится) формуляр (Приложение 2). При этом следует учитывать, что одна и та же задача в разных подразделениях может называться по-разному, и наоборот, различные задачи могут иметь одно и то же название. Одновременно с этим ведется учет программных средств (общих, специальных), используемых при решении функциональных задач подразделения.
  4. При обследовании подсистем и анализе задач выявляются все виды входящей, исходящей, хранимой, обрабатываемой и т.п. информации. Необходимо выявлять не только информацию, которая может быть отнесена к конфиденциальной (к банковской и коммерческой тайне, персональным данным), но и информацию, подлежащую защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может нанести ощутимый ущерб Организации, его клиентам или корреспондентам.
  5. При выявлении всех видов информации, циркулирующей и обрабатываемой в подсистемах  желательно проводить оценку серьезности последствий, к которым могут привести нарушения ее свойств (конфиденциальности, целостности). Для получения первоначальных оценок серьезности таких последствий целесообразно проводить опрос (например, в форме анкетирования) специалистов, работающих с данной информацией. При этом надо выяснять, кого может интересовать данная информация, как они могут на нее воздействовать или незаконно использовать, к каким последствиям это может привести. В случае невозможности количественной оценки вероятного ущерба производится его качественная оценка (например: низкая, средняя, высокая, очень высокая).
  6. При составлении перечня и формуляров функциональных задач, решаемых в ОРГАНИЗАЦИИ необходимо выяснять периодичность их решения, максимально допустимое время задержки получения результатов решения задач и степень серьезности последствий, к которым могут привести нарушения их доступности (блокирование возможности решения задач). В случае невозможности количественной оценки вероятного ущерба производится качественная оценка.
  7. Все, выявленные в ходе обследования, различные виды информации заносятся в «Перечень информационных ресурсов, подлежащих защите».
  8. Определяется (и затем указывается в Перечне) к какому типу тайны (банковская, коммерческая, персональные данные, не составляющая тайны) относится каждый из выявленных видов информации (на основании требований действующего законодательства и предоставляемых Организации прав).
  9. Первоначальные предложения по оценке категорий обеспечения конфиденциальности и целостности конкретных видов информации выясняются у руководителей (ведущих специалистов) структурного подразделения Организации (на основе их личных оценок вероятного ущерба от нарушения свойств конфиденциальности и целостности информации). Данные оценки категорий информации заносятся в «Перечень информационных ресурсов, подлежащих защите» (в колонки 2 и 3).
  10. Затем Перечень согласовывается с руководителями отделов (секторов) Управления (отдела) автоматизации и службы защиты информации и выдвигается на рассмотрение руководства Организации.
  11. В соответствии с указанными в утвержденном «Перечне информационных ресурсов, подлежащих защите» категориями конфиденциальности и целостности определяются категории каждого вида обрабатываемой на конкретной РС информации.
  12. На следующем этапе происходит категорирование функциональных задач. На основе требований по доступности, предъявляемых руководителями подразделений ОРГАНИЗАЦИИ и согласованных с Управлением (отделом) автоматизации, категорируются все специальные (прикладные) функциональные задачи, решаемые в подразделениях с использованием АС. Информация о категориях специальных задач заносится в формуляры задачи. Категорирование общих (системных) задач и программных средств вне привязки к конкретным РС не производится.

В дальнейшем, с участием специалистов Управления (отдела) автоматизации и службы защиты информации необходимо уточнить состав информационных и программных ресурсов каждой задачи и внести в ее формуляр сведения по группам пользователей задачи и указания по настройке применяемых при ее решении средств защиты (полномочия доступа групп пользователей к перечисленным ресурсам задачи). Эти сведения будут использоваться в качестве эталона настроек средств защиты соответствующих РС, на которых будет решаться данная задача, и для контроля правильности их установки.

  1. На последнем этапе происходит категорирование РС. Категория РС устанавливается, исходя из максимальной категории специальных задач, решаемых на РС, и максимальных категорий конфиденциальности и целостности информации, используемой при решении задач. Информация о категории РС (триада) заносится в формуляр РС.
  2. Типовые конфигурации принимаемых мер и настройки защитных механизмов программно-аппаратных средств защиты информации для РС различных категорий (требуемых степеней защищенности) определяются согласно Приложения 5.
  3. Полученные в результате формуляры РС и задач средств являются неотъемлемой составной частью Плана защиты АС ОРГАНИЗАЦИИ.

 



 

 

Приложение 2

к положению об определении требований по защите (о категорировании) ресурсов АС

 

ПРИНЯТА В ФАП

Начальник фонда алгоритмов и программ

______________________________________

подпись, фамилия

«___» ______________ 200__ г.

 

       

ФОРМУЛЯР ЗАДАЧИ
номер _____

Наименование задачи

Назначение задачи

Тип (системная/прикладная)

Дата приема в ФАП

Ответственный за сопровождение задачи

Разработчик

Требуемая степень доступности задачи

Категория задачи

Используемые при решении задачи каталоги с программами и данными:

 

на сетевых дисках (файловых серверах Novell NetWare)

Имя

Имя

Путь к файлам

Назначение компонентов

сервера

тома

программ и данных ПС

программного средства

 

 

 

 

 

 

 

 

 

 

 

 

 

на локальных диска РС

Имя РС

Имя диска

Путь к файлам программ и данных

Назначение компонентов

 

 

 

 

 

 

 

 

Выделяемые при решении задачи особые пользователи и группы пользователей

Имя пользователя или группы пользователей

Признаки группирования пользователей

 

 

 

 


Значение атрибутов доступа к сетевым компонентам программного средства

Имя сетевой группы (или особого пользователя)

Имя сетевого каталога или файла

Права доступа

(Novell NetWare)

 

 

 

 

 

 

 

 

 

 

 

 

 

Значение атрибутов доступа к локальным ресурсам задачи

Имя каталога или файла (ресурса)

Имя владельца ресурса

Имя группы владельца ресурса

Атрибуты управления доступом для различных категорий пользователей

(Secret Net)

владелец

группа

остальные

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

От Управления (отдела) автоматизации

___________________________________

подпись, фамилия

«___» ______________ 200__ г.

От службы защиты информации

__________________________________

подпись, фамилия

«___» ______________ 200__ г.

 

Администратор сети

___________________________________

подпись, фамилия

«___» ______________ 200__ г.

 

__________________________________

подпись, фамилия

«___» ______________ 200__ г.



 

 

 

Приложение 3

к положению об определении требований по защите (о категорировании) ресурсов АС

ЭКСПЛУАТАЦИЯ РС РАЗРЕШЕНА

Начальник службы защиты информации

 

«___» ______________ 200__ г.

 

     

Действителен до __.__200._ г.

ФОРМУЛЯР РАБОЧЕЙ СТАНЦИИ
номер ______

Наименование РС

 Назначение РС

Категория РС (по Положению об определении требований по защите (о категорировании)  ресурсов)

Местонахождение РС

Ответственный за эксплуатацию и контроль за физической целостностью РС

Тип компьютера

Центральный процессор

Объем ОЗУ

Накопители на НГМД

Объем накопителя на жестком диске

Количество параллельных портов

Количество последовательных портов

Монитор

Видео карта

Наличие подключенного модема

Другие периферийные устройства

Наличие подключенного принтера

Номер ключа корпуса системного блока

Тип аппаратных средств поддержки системы защиты

Примечания


Задачи, решаемые на данной РС
(наименования указываются по перечню задач ФАП)

Название задачи

Тип задачи

Категория задачи

 

 

 

 

 

 

 

 

 

 

 

 

Установка (модификация программно-аппаратной конфигурации)
РС осуществлена в соответствии с заявками

Дата заявки

Номер заявки (в архиве)

Примечание

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Заполненный и утвержденный формуляр является предписанием на эксплуатацию РС

От эксплуатирующего подразделения

Ответственный за информационную безопасность

_______________________________________

подпись, фамилия

 «___» ______________ 200__ г.

Ответственный за эксплуатацию РС

 

 

 

____________________________________
подпись, фамилия

«___» ______________ 200__ г.

 

От Управления (отдела) автоматизации

Ответственный за техническое состояние РС и программное обеспечение

 

___________________________________

подпись, фамилия

«___» ______________ 200__ г.

От службы защиты информации

Администратор СЗИ НСД

 

 

__________________________________

подпись, фамилия

«___» ______________ 200__ г.

 


 

ПРИЛОЖЕНИЕ 4

 

Приложение 4

к Положению об определении требований по защите (о категорировании) ресурсов АС



УТВЕРЖДАЮ

Руководитель ОРГАНИЗАЦИИ

______________И.О. Фамилия

“___” __________ 200  г.

 

Гриф
Экз. № ___

ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ РЕСУРСОВ АС ОРГАНИЗАЦИИ,
 ПОДЛЕЖАЩИХ ЗАЩИТЕ

№п/п

Наименование информационного ресурса (информации)

Категория конфиденци-альности (СК/К/-) и вид тайны (БТ/КТ/ПД/-)

Категория  целостности (В/Н/-)

Размещение ресурса (РС, устройство, каталог, файл)

Ответственный (подразделение) за определение требований к защищенности ресурса

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Приложение 5

к Положению об определении требований по
защите (о категорировании) ресурсов АС

ВАРИАНТЫ ПРИМЕНЯЕМЫХ МЕР И НАСТРОЕК ЗАЩИТНЫХ МЕХАНИЗМОВ СРЕДСТВ ЗАЩИТЫ НА РАБОЧИХ СТАНЦИЯХ АС ОРГАНИЗАЦИИ

Таблица 1

Применяемые меры и защитные механизмы

Варианты принимаемых мер или настроек защитных механизмов

1

2

3

4

5

Меры физической защиты

Расположение в охраняемом помещении с кодовым замком и сигнализацией

Обязательно

Желательно

Нет требований

 

 

Обеспечение физической целостности технических средств РС

Обязательно (опечатывание системных блоков)

Желательно (опечатывание системных блоков)

Нет требований

 

 

Организационные меры защиты

Состав программных средств на РС

Строго ограничен в соответствии с  задачами РС

Не ограничен

 

 

 

Наличие диагностических программных средств на РС

Запрещено

Разрешено.  Доступны отдельным пользователям

Разрешено использовать всем

 

 

Наличие и использование инструментальных средств создания и отладки программ на РС

Запрещено

Разрешено отдельным пользователям

Разрешено всем

 

 

Ограничения на совмещение задач на одной РС

РС участвует в решении задач только одной подсистемы

РС участвует в решении задач в составе ограниченного числа подсистем

Ограничений  нет

 

 

Ограничение числа пользователей РС

Один конечный пользователь РС

Допускается работа нескольких пользователей

Число пользователей РС не ограничено

 

 

Анализ отказов и других нештатных ситуаций при работе РС, а также техническое обслуживание программных и аппаратных средств РС

Производится специальным персоналом и только в присутствии администратора безопасности (СЗИ НСД)

Производится специальным персоналом в присутствии ответственного за безопасность в подразделении. Обязательное оповещение администратора безопасности (в установленный срок). Вызов администратора безопасности при необходимости.

Производится специальным персоналом. Присутствие или извещение специалистов службы защиты информации не требуется

 

 

Применение аппаратно-программных средств защиты

Именование (идентификация) пользователей

Единственное уникальное имя для каждого сотрудника

Возможно наличие нескольких уникальных имен у одного сотрудника

Возможно использование групповых имен

 

 

Наличие паролей у пользователей

Обязательно для всех пользователей РС

Для некоторых пользователей РС может быть разрешен вход без пароля

 

 

 

Указание имени основного пользователя РС по умолчанию

Запрещено

Разрешено

Нет требований

 

 

Аппаратная поддержка средств защиты рабочих станций

Обязательно, с использованием Touch Memory, Smart Card и т.п.

Обязательно. Возможно с использованием Touch Memory, Smart Card и т.п.

Обязательно.  Без поддержки Touch Memory, Smart Card и т.п.

Использование возможностей BIOS  компьютера

Не требуется

Жесткий режим входа пользователей (только по предъявлении Touch Memory, Smart Card и т.п.)

Обязательно

Желательно (возможно)

Не требуется

 

 

Избирательное разграничение доступа к ресурсам рабочей станции

Минимально необходимый доступ всех пользователей к ресурсам РС

Ограничение по доступу пользователей к отдельным ресурсам РС

Все пользователи имеют полный доступ ко всем ресурсам

 

 

Полномочное управление доступом к ресурсам

Обязательно

Желательно (возможно)

Не требуется

 

 

Ограничения по запуску программ (замкнутая программная среда)

Обязательно для всех пользователей РС

Для некоторых пользователей РС

Не устанавливается

 

 

Ограничения на использование устройств (НГМД, локального принтера, COM-портов)

Обязательно для всех пользователей

Для некоторых пользователей РС

Не устанавливается

 

 

Режим регистрация событий в системном журнале

Максимально подробный для локальных и сетевых событий

Максимально подробный для локальных и минимальный для сетевых событий

Максимально подробный для сетевых и минимальный для локальных событий

Минимальный для локальных и сетевых событий

Не установлен

Хранение журналов регистрации событий

Долгосрочное

(свыше трех месяцев)

Среднесрочное

(до трех месяцев)

Краткосрочное (до 7 дней)

Нет

 

Периодичность анализа журналов регистрации событий

 

Ежедневный экспресс анализ

Еженедельный анализ

Анализ по необходимости

Нет требований

 

Оперативный контроль за работой пользователей (за попытками НСД)

Постоянный

Периодический

По мере необходимости

Нет требований

 

Использование режима затирания удаляемых файлов

Обязательно

Возможно

Не требуется

 

 

Контроль целостности программ системы защиты и системных областей дисков

При каждой перезагрузке и с установленной периодичностью

При каждой перезагрузке

Один раз в день (при первой перезагрузке)

По требованию администратора (пользователя)

Не проводится

Применяемые методы и средства контроля целостности (и аутентичности)

Гарантированных методы контроля (ЭЦП)

Стойкие негарантированные методы (хэш-функция, имитовставка)

Нестойкие негарантированные методы (контрольное суммирование, CRC и т.п.)

Не требуется

 

Контроль целостности особых файлов (программ, конфигураций и т.п.)

При каждой перезагрузке и с установленной периодичностью

При каждой перезагрузке

Один раз в день (при первой перезагрузке)

По требованию администратора (пользователя)

Не проводится

Действия при обнаружении нарушений целостности программ, файлов, системных областей диска

Регистрация в системном журнале и блокировка работы РС, снять которую может только администратор безопасности

Только регистрация в системном журнале

Не предусмотрены

 

 

Применение средств шифрования –расшифрования данных

Обязательно для обмена и хранения указанных типов данных

Обязательно для обмена указанными типами данных (файлами)

Возможно для некоторых файлов по решению пользователя

Не требуется

 

Возможность удаленного контроля и управления РС

Запрещено

Обязательно

Разрешено (не обязательно)

Не требуется

 

Обеспечение живучести РС

Резервирование технических средств

Горячее резервирование

(t < 5  мин)

Холодное резервирование

(t < 30 мин)

Групповой резерв

(t < 3 час)

Не требуется

 

Резервное (страховое) копирование критичных данных

Автоматическое с периодом < 10 мин

Автоматическое с периодом < 1 часа

Ручное с периодом < 24 час

Ручное с периодом > 24 час

Не требуется

Организация защиты от  утечки по техническим каналам

Проведение спецпроверок и специсследованийСВТ

Обязательно

Желательно

Нет требований

 

 

Применение генераторов помех

Обязательно

Желательно

Нет требований

 

 

Расположение, исключающее визуальный просмотр экрана посторонними

Обязательно

Желательно

Нет требований

 

 

 

ТРЕБОВАНИЯ К ПРИМЕНЯЕМЫМ МЕРАМ И НАСТРОЙКАМ ЗАЩИТНЫХ МЕХАНИЗМОВ СРЕДСТВ ЗАЩИТЫ НА
РАБОЧИХ СТАНЦИЯХ АС ОРГАНИЗАЦИИ РАЗЛИЧНЫХ КАТЕГОРИЙ

Таблица 2

Применяемые
меры
и
защитные
механизмы

Варианты применения мер и настроек защитных механизмов (в соответствии с Таблицей 1)

По конфиденциальности информации

По целостности информации

По доступности задач

Строго конфиден-циально

Конфиден-циально

Открытая

Высокая

Низкая

Нет требований

Беспрепят- ственная доступность

Высокая доступность

Средняя доступность

Низкая доступность

Расположение в охраняемом помещении с кодовым замком и сигнализацией

1

1

-

1

2

-

1

1

2

-

Обеспечение физической целостности технических средств РС

1

1

-

1

1

-

1

1

2

-

Состав программных средств на РС

1

1

-

1

1

-

1

1

2

-

Наличие диагностических программных средств на РС

1

2

-

2

2

-

2

2

3

-

Наличие и использование инструментальных средств создания и отладки программ на РС

1

1

-

1

1

-

1

1

2

-

Ограничения на совмещение задач на одной РС

2

2

-

2

2

-

1

2

3

-

Ограничение числа пользователей РС

1

2

-

2

3

-

2

2

3

-

Анализ отказов и других нештатных ситуаций при работе РС, а также техническое обслуживание программных и аппаратных средств РС

1

1

-

1

2

-

1

2

2

-

Именование (идентификация) пользователей

2

2

-

2

2

-

2

2

3

-

Наличие паролей у пользователей

1

1

-

1

1

-

1

1

2

-

Указание имени основного пользователя РС по умолчанию

1

2

-

2

2

-

2

2

3

-

Аппаратная поддержка средств защиты рабочих станций

1

1

-

2

2

-

1

2

3

-

Жесткий режим входа пользователей (только по предъявлении Touch Memory, Smart Card и т.п.)

1

1

-

2

2

-

1

2

2

-

Избирательное разграничение доступа к ресурсам рабочей станции

1

1

-

2

2

-

2

2

2

-

Полномочное управление доступом к ресурсам

1

2

-

2

2

-

2

2

3

-

Ограничения по запуску программ (замкнутая программная среда)

1

1

-

1

2

-

1

2

2

-

Ограничения на использование отдельных устройств (НГМД, принтера, COM-портов)

1

1

-

2

2

-

2

2

3

-

Режим регистрация событий в системном журнале

4

4

-

4

4

-

4

4

4

-

Хранение журналов регистрации событий

2

2

-

1

2

-

2

2

3

-

Периодичность анализа журналов регистрации событий

1

2

-

2

3

-

2

3

3

-

Оперативный контроль за работой пользователей (за попытками НСД)

1

1

-

2

2

-

2

3

3

-

Использование режима затирания удаляемых файлов

1

1

-

-

-

-

-

-

-

-

Контроль целостности программ системы защиты и системных областей дисков

2

3

-

1

2

-

2

3

4

-

Применяемые методы и средства контроля целостности (и аутентичности)

2

2

-

1

2

-

2

2

3

-

Контроль целостности особых файлов (программ, конфигураций и т.п.)

2

3

-

2

3

-

2

3

4

-

Действия при обнаружении нарушений целостности программ, файлов, системных областей диска

1

1

-

1

2

-

2

2

2

-

Применение средств шифрования -расшифрования данных

3

3

-

3

3

-

3

3

3

-

Возможность удаленного контроля и управления рабочей станцией

1

1

-

2

3

-

2

3

3

-

Резервирование технических средств

3

3

-

3

3

-

1

2

3

-

Резервное (страховое) копирование критичных данных

4

4

-

4

4

-

1

2

3

-

Проведение спецпроверок и специсследованийСВТ

2

2

-

3

3

-

3

3

3

-

Применение генераторов помех

2

2

-

3

3

-

3

3

3

-

Расположение, исключающее визуальный просмотр экрана посторонними

1

1

-

3

3

-

3

3

3

-

 



Комментарии к статье "Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?