Требованиям по безопасности информации

Выдан "____"________"_____г.

 

 

1. Настоящим АТТЕСТАТОМ удостоверяется, что:

приводится полное наименование автоматизированной системы

класса защищенности ____________ соответствует требованиям нормативной документации по безопасности информации.

Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС.

2. Организационная структура, уровень подготовки специалистов, нормативно-методическое обеспечение обеспечивают поддержание уровня защищенности АС в процессе эксплуатации в соответствии с установленными требованиями.

3. Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем предприятия (указываются номера документов).

4. С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации.

5. При эксплуатации АС запрещается:

o вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации;

o проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации;

o подключать к основным техническим средствам нештатные блоки и устройства;

o вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники;

o при обработке на ПЭВМ защищаемой информации подключать измерительную аппаратуру;

o допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке;

o производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации;

o работать при отключенном заземлении;

o обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей.

6. Контроль за эффективностью реализованных мер и средств защиты возлагается на

наименование специалиста, подразделения по защите информации

7. Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ ___ от ____) и протоколах испытаний.

8. "Аттестат соответствия" выдан на ___ года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, могущих повлиять на характеристики защищенности АС.

Руководитель аттестационной комиссии

_______________ должность с указанием наименования предприятия, Ф.И.0.

"____"________"____ г.

==================================

Отметки органа надзора:

 

Приложение № 3

АТТЕСТАТ СООТВЕТСТВИЯ

№ _____

указывается наименование защищаемого помещения

Требованиям по безопасности информации

Выдан "____"________"_____г.

 

 

1. Настоящим АТТЕСТАТОМ удостоверяется, что

полное наименование защищаемого помещения

и установленное в нем оборудование соответствуют требованиям нормативных документов по безопасности информации (Заключение по результатам аттестации №_____ от ____) и в нем разрешается проведение конфиденциальных мероприятий.

Схема размещения помещения относительно границ контролируемой зоны, перечень установленного в нем оборудования, используемых средств защиты информации указаны в техническом паспорте на защищаемое помещение (ЗП).

2. Установленный порядок пользования ЗП позволяет осуществлять его эксплуатацию, расположенного в нем оборудования и средств защиты в соответствии с требованиями по защите конфиденциальной информации.

3. Повседневный контроль за выполнением установленных правил эксплуатации ЗП осуществляется наименование подразделения или должностного лица, осуществляющего контроль.

4. В ЗП запрещается проводить ремонтно-строительные работы, замену (установку новых) элементов интерьера, вносить изменения в состав оборудования и средства защиты информации, без согласования с наименование подразделения или должностного лица, осуществляющего контроль.

5. Лицо, ответственное за эксплуатацию защищаемого помещения, обязано незамедлительно извещать наименование подразделения или должностного лица, осуществляющего контроль:

o о предполагаемых ремонтно-строительных работах и изменениях в размещении и монтаже установленного оборудования, технических средств и систем, средств защиты информации, в интерьере помещения;

o о нарушениях в работе средств защиты информации;

o о фактах несанкционированного доступа в помещение.

Руководитель аттестационной комиссии

_______________ должность с указанием наименования предприятия, Ф.И.0.

"____"________"____ г.

==================================

Отметки органа надзора:

 

Приложение № 4

Форма технического паспорта на защищаемое помещение

ТЕХНИЧЕСКИЙ ПАСПОРТ

на защищаемое помещение № ______

Составил Подпись специалиста подразделения по защите информации

Ознакомлен Подпись лица, ответственного за помещение

Год

 

П А М Я Т К А
по обеспечению режима безопасности и эксплуатации
оборудования, установленного в защищаемом
помещении № _______

(Примерный текст)

 

4. Ответственность за режим безопасности в защищаемом помещении (ЗП) и правильность использования установленных в нем технических средств несет лицо, которое постоянно в нем работает, или лицо, специально на то уполномоченное.

5. Установка нового оборудования, мебели и т.п. или замена их, а также ремонт помещения должны проводиться только по согласованию с подразделением (специалистом) по защите информации предприятия.

6. В нерабочее время помещение должно закрываться на ключ.

7. В рабочее время, в случае ухода руководителя, помещение должно закрываться на ключ или оставляться под ответственность лиц назначенных руководителем подразделения.

8. При проведении конфиденциальных мероприятий бытовая радиоаппаратура, установленная в помещении (телевизоры, радиоприемники и т.п.), должна отключаться от сети электропитания.

9. Должны выполняться предписания на эксплуатацию средств связи, вычислительной техники, оргтехники, бытовых приборов и др. оборудования, установленного в помещении.

10. Запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком, спикерфоном и имеющих выход в городскую АТС, следует отключать эти аппараты на время проведения конфиденциальных мероприятий.

11. Повседневный контроль за выполнением требований по защите помещения осуществляют лица, ответственные за помещение, и служба безопасности предприятия.

12. Периодический контроль эффективности мер защиты помещения осуществляется специалистами по защите информации.

Примечание: В памятку целесообразно включать и другие сведения, учитывающие особенности установленного в ЗП оборудования; действия персонала в случае срабатывания установленной в помещении сигнализации, порядок включения средств защиты, организационные меры защиты и т.п.

ПЕРЕЧЕНЬ ОБОРУДОВАНИЯ, УСТАНОВЛЕННОГО В ПОМЕЩЕНИИ

 

Вид оборудования	Тип	Учетный(зав.) номер	Дата установки	Класс ТС (ОТСС или ВТСС)	Сведения по сертификации, специсследованиям и спецпроверкам

 

МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

(пример)

13. Телефонный аппарат коммутатора директора (инв.№ 15).
Выполнены требования предписания на эксплуатацию:
(Перечень предусмотренных мер защиты согласно предписанию).

14. Телефонный аппарат № 6-56.
На линию установлено защитное устройство "Сигнал-5", зав.№ 01530.

15. Пульт коммутатора.
Выполнены требования предписания на эксплуатацию:
(Перечень предусмотренных мер защиты согласно предписанию).

16. Часы электронные.
Выполнены требования предписания на эксплуатацию:
(Перечень предусмотренных мер защиты согласно предписанию).

17. Вход в помещение оборудован тамбуром, двери двойные, обшиты слоем ваты и дерматина. Дверные притворы имеют резиновые уплотнения.

18. Доступ к вентиляционным каналам, выходящим на чердак здания, посторонних лиц исключен (приводятся предусмотренные для этого меры).

Отметка о проверке средств защиты

 

Вид оборудования	Учетныйномер	Дата проверки	Результаты проверки и № отчетного документа

 

Результаты аттестационного и периодического контроля помещения

 

Дата проведения	Результаты аттестации или периодического контроля, № отчетного документа	Подпись проверяющего

 

 

Приложение № 5

Форма технического паспорта на автоматизированную систему

УТВЕРЖДАЮ

Руководитель автоматизированной системы

_______________________

"___"___________ _____г.

ТЕХНИЧЕСКИЙ ПАСПОРТ

указывается полное наименование автоматизированной системы

РАЗРАБОТАЛ

СОГЛАСОВАНО

Представитель подразделения
по защите информации
"___"_________ ____ г.

(Год)

 

1. Общие сведения об АС

1.1. Наименование АС: полное наименование АС

1.2. Расположение АС: адрес, здание, строение, этаж, комнаты

1.3. Класс АС: номер и дата акта классификации АС, класс АС

2. Состав оборудования АС

2.1. Состав ОТСС:

Таблица 1

П Е Р Е Ч Е Н Ь
основных технических средств и систем, входящих в состав АС
_____________________________________

 

№ п/п	Тип ОТСС	Заводской номер	Сведения по сертификации, специсследованиям и спецпроверкам

 

2.2. Состав ВТСС объекта:

Таблица 2

П Е Р Е Ч Е Н Ь
вспомогательных технических средств, входящих в состав АС
_____________________________________
(средств вычислительной техники, не участвующих в обработке конфиденциальной информации)

 

№ п/п	Тип ВТСС	Заводской номер	Примечание

 

2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта:

o структурная (топологическая) схема с указанием информационных связей между устройствами; схема размещения и расположения ОТСС на объекте с привязкой к границам контролируемой зоны, схема прокладки линий передачи конфиденциальной информации с привязкой к границам контролируемой зоны объекта.

2.4. Системы электропитания и заземления:

o схемы электропитания и заземления ОТСС объекта. Схемы прокладки кабелей и шины заземления. Схемы расположения трансформаторной подстанции и заземляющих устройств с привязкой к границам контролируемой зоны объекта. Схемы электропитания розеточной и осветительной сети объекта. Сведения о величине сопротивления заземляющего устройства.

2.5. Состав средств защиты информации:

Таблица 3

ПЕРЕЧЕНЬ
средств защиты информации, установленных на АС
____________________________________

 

№ п/п	Наименование и тип и технического средства	Заводской номер	Сведения о сертификате	Место и дата установки

 

3. Сведения об аттестации объекта информатизации на соответствие требованиям по безопасности информации:

o инвентарные номера аттестата соответствия, заключения по результатам аттестационных испытаний, протоколов испытаний и даты их регистрации.

4. Результаты периодического контроля.

Таблица 4

 

Дата проведения	Наименование организации, проводившей проверку	Результаты проверки, номер отчетного документа

 

Лист регистрации изменений

 

Приложение № 6

Пример документального оформления перечня сведений конфиденциального характера

Для служебного пользования
Экз. №

Утверждаю
Руководитель предприятия
_______________
(Ф. И. О.)
"___" ___________ ______ г.

ПЕРЕЧЕНЬ
сведений конфиденциального характера

 

№ п/п	Наименование сведений	Типы документов, где возможно появление сведений конфиденциального характера
1.	Сведения раскрывающие систему, средства защиты информации ЛВС предприятия от НСД, а также значения действующих кодов и паролей.	Руководство по защите конфиденциальной информации предприятия (учреждения).
2.	Сводный перечень работ предприятия на перспективу, на год (квартал).	План работ предприятия на перспективу.
3.	Сведения, содержащиеся в лицевых счетах пайщиков страховых взносов.	ст. 6, п. 2 ФЗ РФ “Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования”.
4.	Сведения, содержащиеся в индивидуальном лицевом счете застрахованного лица.	ст. 6, п. 2 ФЗ РФ “Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования”.
5.	Основные показатели задания на проектирование комплекса (установки). НОУ-ХАУ технологии - различные технические, коммерческие и другие сведения, оформленные в виде технической документации.	ТТЗ и ТЭО. Техническая документация с пометкой “Для служебного пользования”.
6.	Методические материалы, типовые технологические и конструктивные решения, разработанные на предприятии и используемые при проектировании.	Методики, проектная и конструкторская документация.
7.	Требования по обеспечению сохранения служебной тайны при выполнении работ на предприятии.	План работ предприятия на перспективу. Раздел ТТЗ на НИР (НИОКР).
8.	Порядок передачи служебной информации ограниченного распространения другим организациям.	Руководство по защите конфиденциальной информации предприятия (учреждения).

 

 

Приложение № 7

Основные нормативные правовые акты и методические документы по защите конфиденциальной информации.

 

22. Федеральный закон от 20.02. 95 г. №24-ФЗ "Об информации, информатизации и защите информации".

23. Федеральный закон от 04.07.96 г. №85-ФЗ "Об участии в международном информационном обмене".

24. Федеральный закон от 16.02.95 г. №15-ФЗ "О связи".

25. Федеральный закон от 26.11.98 г. № 178-ФЗ "О лицензировании отдельных видов деятельности".

26. Указ Президента Российской Федерации от 19.02.99 г. № 212 "Вопросы Государственной технической комиссии при Президенте Российской Федерации".

27. "Доктрина информационной безопасности Российской Федерации", утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895.

28. Указ Президента Российской Федерации от 17.12.97 г. № 1300 "Концепция национальной безопасности Российской Федерации" в редакции указа Президента Российской Федерации от 10.01.2000 г. №24.

29. Указ Президента Российской Федерации от 06.03.97 г. № 188 "Перечень сведений конфиденциального характера".

30. Постановление Правительства Российской Федерации от 03.11.94 г. №1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти".

31. Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. № 10 "Положение о государственном лицензировании деятельности в области защиты информации" (с дополнением).

32. Постановление Правительства Российской Федерации от 11.04.2000 г. № 326 "О "лицензировании отдельных видов деятельности".

33. "Сборник руководящих документов по защите информации от несанкционированного доступа" Гостехкомиссия России, Москва, 1998 г.

34. ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения"

35. ГОСТ Р 50922-96 "Защита информации. Основные термины и определения"

36. ГОСТ Р 51583-2000 "Порядок создания автоматизированных систем в защищенном исполнении"

37. ГОСТ Р 51241-98 "Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний".

38. ГОСТ 12.1.050-86 "Методы измерения шума на рабочих местах".

39. ГОСТ Р ИСО 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель".

40. ГОСТ Р ИСО 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации".

41. ГОСТ 2.114- 95 "Единая система конструкторской документации. Технические условия".

42. ГОСТ 2.601- 95 "Единая система конструкторской документации. Эксплуатационные документы".

43. ГОСТ 34.201- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем".

44. ГОСТ 34.602- 89 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создании автоматизированных систем".

45. ГОСТ 34.003- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".

46. РД Госстандарта СССР 50-682-89 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения".

47. РД Госстандарта СССР 50-34.698-90 "Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов".

48. РД Госстандарта СССР 50-680-89 "Методические указания. Автоматизированные системы. Основные положения".

49. ГОСТ 34.601- 90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания"

50. ГОСТ 6.38-90 "Система организационно-распорядительной документации. Требования к оформлению".

51. ГОСТ 6.10- 84 "Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствам вычислительной техники, ЕСКД, ЕСПД и ЕСТД".

52. ГОСТ Р-92 "Система сертификации ГОСТ. Основные положения".

53. ГОСТ 28195-89 "Оценка качества программных средств. Общие положения".

54. ГОСТ 28806-90 "Качество программных средств. Термины и определения".

55. ГОСТ Р ИСОМЭК 9126- 90 "Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению".

56. ГОСТ 2.111-68 "Нормоконтроль".

57. ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации".

58. РД Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей", Москва, 1999г.

59. РД Гостехкомиссии России "Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам", Москва, 2000г.

60. ГОСТ В 15.201-83 "Тактико-техническое (техническое) задание на выполнение ОКР".

61. ГОСТ В 15.101-95 "Тактико-техническое (техническое) задание на выполнение НИР"

62. ГОСТ В 15.102-84 "Тактико-техническое задание на выполнение аванпроекта"

63. ГОСТ В 15.103-79 "Порядок выполнения аванпроекта. Основные положения"

64. ГОСТ В 15.203-96 "Порядок выполнения ОКР. Основные положения"

65. Решение Гостехкомиссии России от 14.03.95 г. № 32 "Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам".

66. Решение Гостехкомиссии России от 14.03.95 г. № 32 "Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам в министерствах и ведомствах, в органах государственной власти субъектов Российской Федерации".

67. Решение Гостехкомиссии России от 14.03.95 г. № 32 "Типовое положение о подразделении по защите информации от иностранных технических разве док и от ее утечки по техническим каналам на предприятии (в учреждении, организации)".

68. СанПиН 2.2.2.542-96 "Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы".

69. ГОСТ Р 50948-96. "Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности".

70. ГОСТ Р 50949-96 "Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности."

71. ГОСТ Р 50923-96 "Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения."

72. Решение Гостехкомиссии России от 03.10.95 г. № 42 "Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте".

 

---

Дата добавления: 2020-04-25; просмотров: 149; Мы поможем в написании вашей работы!

Поделиться с друзьями:

---

---

Мы поможем в написании ваших работ!