Объект защиты – Конфиденциальная документация

2.        Объект защиты – Конфиденциальная документация.

Критерий критичности (D) равен 3000 рублей.

Таблица угроз и уязвимостей.

Угроза	Уязвимости
1.Физический доступ нарушителя к документам	1.Неорганизованность контрольно-пропускного режима на предприятии
	2.Отсутствие видеонаблюдения
2.Разглашение КИ, используемой в документах, вынос документов за пределы КЗ	1.Отсутствие соглашения о неразглашении КИ
	2. Нечеткое распределение ответственности за документы между сотрудниками предприятия
3.Несанкционированное копирование, печать и размножение КД	1. Нечеткая организация конфиденциального документооборота
	2. Неконтролируемый доступ сотрудников к копировальной и множительной технике

Таблица вероятности реализации данной угрозы через уязвимость в течении года(P(V) и критичности реализации угрозы (ER).

 

Угроза/уязвимость	P(V), %	ER,%
1/1	70	80
1/2	40	60
2/1	30	30
2/2	70	50
3/1	70	50
3/2	90	80

Таблица уровня угрозы по определённой уязвимости (Th) и по уровню угроз по всем уязвимостям (CTh).

 

Угроза/уязвимость	Th	CTh
1/1	0,56	0,666
1/2	0,24
2/1	0,09	0,408
2/2	0,35
3/1	0,35	0,818
3/2	0,72

Th=P(V)/100*ER/100

CTh=1-П(1-Th)

Рассчитаем общий уровень угроз по ресурсу:

CThR=1-П(1-CTh)=1-0,334*0,592*0,182=0,964

Рассчитаем риск по ресурсу:

R=CTh*D=0,964*3000=2892 (руб).

Администрация города Миасса является государственной организацией, поэтому деньги на создание комплексной системы защиты информации будут выделяться из городского бюджета.

Из оценки рисков можно подсчитать какой ущерб может понести Администрация при реализации той. Так же мы можем оценить экономическую целесообразность построения КСЗИ.

Если потери при реализации информационных угроз являются незначительными, то не имеет смысла строить дорогостоящую КСЗИ.

Еще одним важным шагом является разработка Технического задания на КСЗИ (Приложение №3).Оно определяет все основные требования к КСЗИ и возможные пути реализации её составляющих элементов. В ТЗ формулируются и исследуются основные каналы утечки информации и пути и средства их локализации.

Разработка политики безопасности. (Приложение №4)

Под политикой информационной безопасности (ИБ) понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.

Политика ИБ  является объектом стандартизации. Некоторые  страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799).

В России к нормативным документам, определяющим содержание политики ИБ, относится ряд РД ФСТЭКа. В отечественных и международные стандартах  используются  сходная методология, однако ряд вопросов в отечественных РД не рассмотрен или рассмотрен менее подробно.  Таким образом, при разработке политики ИБ целесообразно использовать передовые зарубежные стандарты, позволяющие разработать более качественные документы, полностью соответствующие отечественным РД.

Целью разработки политики организации в области информационной безопасности является определение правильного (с точки зрения организации) способа использования информационных ресурсов, а также разработка процедур, предотвращающих или реагирующих на нарушения режима безопасности.

Основные этапы:

Разработка концепции политики информационной безопасности

Описание границ системы и построение модели ИС с позиции безопасности

Анализ рисков: формализация системы приоритетов организации в области информационной безопасности, выявление существующих рисков и оценка их параметров

Анализ возможных вариантов контрмер и оценка их эффективности.

Выбор комплексной системы защиты на всех этапах жизненного цикла

Заключение.

Таким образом, поставив перед собой цель разработать проект КСЗИ в Администрации города Миасса, мною были проделаны следующие работы:

1.        Я рассмотрела общую характеристику объекта защиты;

2.        Построила модель бизнес-процессов с целью выявления конфиденциальной информации;

3.         Составила «Перечень сведений конфиденциального характера»;

4.        Выявила угрозы, уязвимости и произвела расчет рисков для ключевых объектов защиты;

5.        Описала техническое задание

6.        Рассмотрела политику безопасности.

7.        Получить теоретические знания и практические навыки в создание эффективной системы защиты информации.

Я считаю, что построение КСЗИ в таком муниципальном органе, как городская Администрация необходима.

Источники:

 

1.                Грибунин В.Г. Политика безопасности: разработка и реазизация// «Информационная безопасность», 2005, №1.

2.                Демин В., Свалов В. Правовое обеспечение системы защиты информации на предприятии.

3.                Домарев В.В. Безопасность информационных технологий. Системный подход. - К.: ООО ТИД «Диасофт», 2004. - 992 с.

4.                Торокин А.А. «Основы инженерно-технической защиты информации». – М.:

5.                Шиверский А.А Защита информации: проблемы теории и практика. М.: Юрист, 1996.

6.                Ярочкин В.И. Информационная безопасность: Учебник для студентов Вузов. М.: Академический Проект; Фонд "Мир", 2003, 640 стр

Приложение №3

«Техническое задание на систему защиты информации»

приложение 1 к Договору №____________от «____»____________2005г.

 

Для служебного пользования

Экз. №__

От Заказчика:	От Исполнителя:
Первый заместитель главы города	Генеральный директор ОАО «Безопасность»
___________ А.С. Бородин	______________ А.П. Заикин
«___» ___________ 2008 г.	«___» __________ 2008 г.

 

Техническое задание

на создание КСЗИ Администрации города Миасса.

 

Термины и определения

ДЛЯ СЛУЖЕБНОГО ПОЛЬЗОВАНИЯ (ДСП) – конфиденциальная информация, которая: либо получена в процессе производственной деятельности от государственных предприятий и организаций, либо создана для государственных организаций при обработке информации, полученной от любых контрагентов. Либо изначальным, либо конечным собственником данной информации ограниченного распространения является государство. От утечки данной информации могут пострадать интересы государства.

ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПД) - конфиденциальная информация о частной жизни физического лица, которая получена в процессе производственной деятельности от любых контрагентов. Собственником данной информации ограниченного распространения является физическое лицо. От утечки данной информации могут пострадать интересы этого физического лица.

НЕ СЕКРЕТНО (НС) – открытая информация, доступ к которой не ограничивается требованиями безопасности либо согласно производственной необходимости (общий доступ и т.п.), либо как не подлежащая засекречиванию в соответствии с законодательством (данные бухгалтерского учета и т.п.)

КОНТРОЛИРУЕМАЯ ЗОНА (КЗ) - это пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей КЗ Организации является: периметр охраняемой территории Организации; ограждающие конструкции охраняемого здания или охраняемой части здания.

ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА (ОТСС) - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации. К ним относятся средства вычислительной техники, средства и системы передачи данных, отображения и размножения документов.

ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА (ВТСС) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС. К ним относятся: радио- и телефонные средства и системы; средства и системы охранной и пожарной сигнализации; контрольно-измерительная аппаратура; средства и системы кондиционирования; средства и системы проводной радиотрансляционной и телевизионной сети; средства электронной оргтехники; средства вычислительной техники, не предназначенные для передачи, обработки и хранения конфиденциальной информации.

НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП (НСД) – нарушение установленных правил доступа (организационных, технических и программных ограничений) к конфиденциальной информации, преднамеренное либо не преднамеренное, независимо от результата (получен фактический доступ к этой информации или нет).

ПОБОЧНЫЕ ЭЛЕКТРОМАГНИТНЫЕ ИЗЛУЧЕНИЯ И НАВОДКИ (ПЭМИН) – распространение электромагнитного излучения, возникающего в результате обработки конфиденциальной информации, в окружающем пространстве (по эфиру), а также по металлическим проводникам (коммуникациям), и позволяющего интерпретировать данную информацию.

КОНФИДЕНЦИАЛЬНАЯ ЛОКАЛЬНАЯ ВЫЧИСЛИТЕЛЬНАЯ СЕТЬ (ЛВС) – комплекс средств вычислительной техники, соединенных каналами передачи данных, не выходящими за пределы КЗ, и предназначенных для обработки конфиденциальной информации. ЛВС функционально может являться частью вычислительной сети Организации (в остальных частях обрабатывается не конфиденциальная информация), а организационно – это часть АС, расположенная в пределах КЗ.

Общая характеристика объекта.

 

Предметом защиты является конфиденциальная информация в Администрации города Миасса. Эта информация циркулирует в определенных подразделениях, а также в электронном виде располагается на сервере корпоративной сети.

В этом органе государственно управления конфиденциальная информация создается, обрабатывается, используется и уничтожается.

Выделяют сведения конфиденциального характера на основании следующих документов:

Сведениям различной степени конфиденциальности в соответствии с СТР-К собственниками информации должны присваиваться соответствующие грифы конфиденциальности. На основании анализа входящих документов выявлено следующее:

Конфиденциальная информация в подразделениях Администрации обрабатывается с помощью офисных приложений, ведомственного прикладного программного обеспечения (ПО) с использованием систем управления базами данных (СУБД) и служебных утилит.

Границей КЗ Администрации является ограждающая конструкция территории. Особенностью КЗ является присутствие на контролируемой территории посторонних лиц (ведется прием посетителей).

Телефонная связь в Администрации осуществляется через общую АТС и внутреннюю. Кабели общей АТС выходят за пределы КЗ.

Пожарная и охранная сигнализации установлены во всех помещениях здания.

Электропитание всего здания осуществляется от трансформаторной подстанции, которая расположена на контролируемой территории и обслуживается персоналом станции.

Доступ к информации.

Доступ на территорию Администрации осуществляется свободно, кроме второго этаже где находится КПП. Пропускной режим обеспечивается круглосуточно силами сотрудников вневедомственной охраны УВД. Доступ на территорию Администрации и в помещения, где хранится кон информация, осуществляется по служебному удостоверению либо по специальной отметке в пропуске.

Допуск служащих Администрации к защищаемым информационным ресурсам осуществляется в соответствии с должностными обязанностями, утвержденными службой безопасности, и разграничивается штатными средствами ОС. Физический доступ к серверу и активному сетевому оборудованию ограничен, они размещены на втором этаже здания, в отдельном кабинете, в закрывающихся телекоммуникационных шкафах.

Для передачи данных между пользователями АРМ используются автоматизированные системы документооборота (внутренняя электронная почта, средства передачи сообщений).

Информационная характеристика.

В технологическом процессе обработки конфиденциальной информации определены следующие компоненты:

-    субъекты доступа;

-    объекты доступа.

К субъектам доступа относятся:

-    служащие, имеющие отношение к процессу функционирования Администрации и которые имеют возможность доступа к её ресурсам;

-    процедуры (процессы) обработки данных прикладного и системного ПО, а также СУБД, которые получают данные из файлов и баз данных на сервере.

К объектам доступа относятся:

-    информационные ресурсы – отдельные файлы и массивы файлов, поля, записи и таблицы БД, документы, машинные носители информации (НЖМД, НГМД, CD-RW (CD-R) диски), доступ к которым должен регламентироваться правилами разграничения доступа;

-    элементы системы – средства обработки и передачи информации (технические и программные средства, средства приема, отображения, перемещения информации, машинные накопители и носители на бумажной основе), доступ к которым необходимо регламентировать.

На ПЭВМ пользователей и на сервере установлены операционные системы семейства Microsoft Windows (XP), но система управления пользователями и разграничения доступа к файловым ресурсам не является централизованной (доменная структура отсутствует).

 

Каналы утечки информации.

 

К возможным каналам утечки или нарушения целостности информации можно отнести:

-    НСД к информации, обрабатываемой на ПЭВМ и на сервере;

-    НСД к бумажным и машинным носителям информации;

-    выход из строя технических и программных средств, в т.ч. машинных носителей информации.

Нарушение целостности информации возможно как путем физического разрушения носителей информации, так и путем искажения ее с помощью программных средств:

-    Аварии, стихийные бедствия (пожар, затопление);

-    Колебания в сети электропитания;

-    Старение магнитной поверхности носителей информации;

-    Ошибочное удаление информации пользователем;

-    Сбои прикладного программного обеспечения.

Возможны следующие способы несанкционированного доступа к защищаемым ресурсам АС:

-    физический доступ к носителям информации (к серверу) и их резервным копиям с целью их хищения;

-    физический доступ к бумажным носителям информации, с целью их хищения, размножения, фотографирования;

-    непосредственный (вне рамок прикладного ПО) доступ к файлам хранилища информации, таблицам БД и исполняемым модулям ПО - удаленно или локально с целью их копирования и дальнейшей установки, а также с целью их уничтожения;

-    применение нештатных специальных программ, обеспечивающих восстановление удаленных данных с машинных носителей информации;

-    передача файлов по каналам связи между сотрудниками и за пределы станции с целью предоставления НСД лицам, не имеющим допуска к данной информации в обход штатных средств защиты;

-    доступ в рамках прикладного ПО локально или удаленно к базам данных и файлам с использованием недокументированных возможностей и режимов работы этого ПО, разработанных и установленных в качестве модификаций, в случае, когда разработчиком ПО является сторонняя организация;

-    любой доступ к ПО и данным с использованием технологий взлома средств защиты с целью получения или уничтожения данных (в т.ч. компьютерные вирусы);

-    доступ с использованием чужого идентификатора, а также с чужого рабочего места во время отсутствия пользователя этого АРМ.

 

Модель нарушителя

В качестве возможного нарушителя рассматривается субъект, имеющий доступ к работе с программными и техническими средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им всеми доступными средствами (Таблица 1).

Таблица 1.

Уро-вень	Возможности нарушителя по технологическому процессу	Потенциальная группа нарушителей	Возможный результат НСД
1	Нет	Служащие, не имеющие доступа к информации, но имеющие доступ в помещения (обслуживающий персонал, посетители)	Просмотр на экране монитора и хищение бумажных и машинных носителей.
2	Запуск задач (программ) из фикси­ро­ванного набора, реализующих заранее предусмотренные функции по обра­ботке информации	Большинство пользователей АС, имеющих непосредственный доступ в помещения, к АРМ, с полномо­чиями, ограниченными на уровне системы защиты информации (СЗИ)	Доступ пользователя к информации другого пользователя в его отсутствие, в т.ч. через сеть, просмотр информации на мониторе (несоблюдение организационных требований). Просмотр и хищение бумажных носителей.
3	Управление функционированием АС, т.е. воздействие на базовое программное обеспечение ОС и СУБД, на состав и конфигурацию оборудования АС, на настройки СЗИ. Работа с внешними носителями.	Администраторы АС, наделенные неограниченными полномочиями по управлению ресурсами	Доступ администратора АС к информации других пользователей и к средствам СЗИ, непреднамеренное разрушение информации (несоблюдение организационных требований)
4	Весь объем возможностей лиц, осуществляющих ремонт технических средств АС.	Обслуживающий персонал АС. Специалисты сторонних организаций, осуществляющих поставку и монтаж оборудования для АС	Доступ обслуживающего персонала АС к МН с информацией других пользователей, разрушение информации, установка закладных устройств (несоблюдение организационных требований при ремонте ОТСС)

Фактическая защищенность

Доступ служащих к ресурсам разграничивается штатными средствами ОС. Список служащих, имеющих доступ к ресурсам, документально определен. Доступ ограничивается в соответствии с должностными инструкциями.

Документ, определяющий порядок конфиденциального документооборота существует и утвержден.

Документально определена технология обработки информации (документ «Описание технологического процесса обработки информации»).

На серверах и рабочих станциях применяются операционные системы MS Windows, что позволяет применить сертифицированные средства защиты от НСД. Но также осуществляется обработка информации в СУБД, что практически исключает применение на данных объектах сертифицированных средств защиты от НСД по причине отсутствия таких средств на рынке.

Перечень мер по защите

Разработка перечня защищаемой информации

-    Необходимо переработать перечень сведений конфиденциального характера в плане детализации обрабатываемых данных и отнесении сведений к той или иной степени конфиденциальности.

 Конфиденциальность информации

С целью повышения степени защищенности информации в плане соблюдения конфиденциальности необходимо:

-    разделить ввод и вывод информации одного грифа на уровне АРМ или пользователей с целью разделения ответственности и усиления контроля за этими этапами технологического процесса;

-    ограничить (в т.ч. организационно) возможности несанкционированного вывода информации пользователями на внешние носители (дискеты, лазерные накопители CD-RW, USB-Flash) и на печать;

-    ограничить количество или исключить использование локальных принтеров на АРМ пользователей, назначить ответственных за печать документов на сетевых принтерах;

-    исключить доступ пользователей к ресурсам АРМ других пользователей, как на запись, так и на чтение, т.е. возможность создания пользователями общих сетевых ресурсов на своих АРМ. Обмен информацией между пользователями осуществлять через общие ресурсы на серверах;

-    если один служащий относится к нескольким категориям пользователей, то при совмещении обязанностей он должен пользоваться разными идентификаторами. Например, администратор может выполнять работу пользователя, но не имеет права делать это с идентификатором администратора.

Целостность информации

С целью повышения степени защищенности информации в плане соблюдения целостности необходимо:

-    внедрение исправлений и добавлений централизованно распространяемых ведомственных программных средств на АРМ пользователей и на сервер должно осуществляться в виде уже откомпилированных исполняемых модулей и процедур, в состав которых не должны включаться средства отладки.

Состав рабочей документации

Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы:

·         «Описание технологического процесса обработки конфиденциальной информации», в котором отражен порядок проведения всех операций ТП (ввод, вывод, обработка и хранение, резервирование и восстановление, управление доступом);

·         «Инструкция пользователя», в которой отражены порядок его работы с информацией, права, обязанности и ответственность;

·          «Инструкции администраторов ОС, БД»;

·         «Инструкция обслуживающего персонала»;

·         «Журнал регистрации бумажных носителей информации», в котором учитываются все операции распечатывания документов, графы журнала заполняются исполнителями работ;

·         «Журнал учета резервного копирования», в котором учитываются все операции резервного копирования и восстановления информации, все графы журнала заполняют администраторы.

·         Перечень сведение конфиденциального характера Администрации города Миасса.

Приложение №4

«Политика безопасности Администрация города Миасса

	УТВЕРЖДАЮ Первый заместитель главы города А.С..Бородин

Администрация города Миасса

 

Политика

19.10.2007 г. №  1__

г. Челябинск

безопасности Администрации города Миасса

I.        Общие положения. 1.        Назначение документа.

Политика является основой для:

1.  Разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации;

2.  Принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

3.  Координации деятельности структурных подразделений Администрации при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований обеспечения безопасности информации.

2.        Основания для разработки документа.

1.  Приказ главы Администрации города Миасса о создании Политики Информационной Безопасности Администрации.

2.  Законодательной базой ПИБ являются: Конституция РФ, Гражданский и Уголовный кодексы, нормативные документы действующего законодательства, документы Федеральной службы технического и экспертного контроля, организационно- распорядительные документы Администрации.

3.        Основные определения и сокращения.

Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления

Разглашение КИ – несанкционированный выход защищаемых сведений и документов за пределы круга лиц, которым они доверены или стали известны в ходе их трудовой деятельности.

Разрешительная (разграничительная) система доступа к информации – совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и ценных сведений.

Сервер – аппаратно-программный комплекс, исполняющий функции хранения и обработки запросов пользователей и не предназначенный для локального доступа пользователей ввиду высоких требований по обеспечению надёжности, степени готовности и мер безопасности ИС предприятия.

Автоматизированная станция - совокупность программных и аппаратных средств, предназначенных для хранения, передачи и обработки данных и информации и производства вычислений.

Коммерческая тайна – это конфиденциальная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны (то есть, приняты меры по охране её конфиденциальности).

Информация о гражданах (персональные данные) — сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Нарушитель – это лицо, которое предприняло попытку выполнения запрещённых операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные методы, возможности и средства.

АРМ – автоматизированное рабочее место

АС – автоматизированная станция

ЗИ – защита информации

ИБ – информационная безопасность

ИТ – информационные технологии

КД – конфиденциальные документы

КИ – конфиденциальная информация

КТ – коммерческая тайна

ЛВС – локальная вычислительная сеть

НДВ – не декларированные возможности

НСД – несанкционированный доступ

ПБ – политика безопасности

ПИ – персональный идентификатор

ПК – персональный компьютер

ПО – программное обеспечение

ПЭВМ – персональная электронно-вычислительная машина

ПЭМИН – побочные электромагнитные излучения и наводки

ОС – операционная система

ЧС – чрезвычайная ситуация

ЭЛТ – электронно-лучевая трубка

II.       Описание информационной системы. 1.        Ответственность подразделений.

Ответственность подразделений распределяется следующим образом:

-         За поддержание ИС в рабочем состоянии и обеспечение её функционирования ответственно Системный администратор;

-         За физическую сохранность оборудование и носителей информации ответственна Служба безопасности;

-         За информационную безопасность и обеспечение конфиденциальности информации ответственен специалист по защите информации.

2.        Режим функционирования системы.

Режим функционирования информационной системы – только в рабочее время. В целях выполнения регламентных работ по обслуживанию оборудования или программного обеспечения системы возможна остановка в работе отдельных элементов системы (сервера.) без ущерба для общей функциональности.

При возникновении сбоев соответствующее сообщение сохраняется подсистемой журнал копирования в системном журнале.

3.        Цели и задачи политики безопасности.

Цель: обеспечение защиты информации от ее искажения, модификации, утраты, которые могут привести к нарушению работы администрации, как муниципального органа управления.

Задачи политики безопасности:

-    выявление действующих и потенциальных угроз;

-    разработка методов противодействия выявленным угрозам;

определение оптимального количества сил и средств, необходимых для обеспечения безопасности.

III.     Средства управления. 1.        Оценка рисков и управление ими. 2.        Экспертиза системы ЗИ (существующие средства ЗИ). 3.        Правила поведения, должностные обязанности и ответственность. 4.        Планирование безопасности. 5.        Разрешение на ввод компонентов в строй (любого компонента ИС и системы ЗИ). 6.         Порядок подключения подсетей подразделений к сетям общего пользования. IV.     Функциональные средства. 1.        Защита персонала. 2.        Управление работой и вводом/выводом информации. 3.        Планирование непрерывной работы. 4.        Средства поддержки программных приложений.

Для поддержки программных приложений, системный администратор обязательном порядке, каждое утро проверяет наличие обновлений на сайтах производителей установленного ПО и, при наличии, принимает меры по исправлению сложившейся ситуации.

5.        Средства обеспечения целостности информации.

 В случае обнаружения несовпадения контрольных сумм – осуществляется восстановление данных из резервных копий.

Резервные копии информации и программного обеспечения должны извлекаться и тестироваться на регулярной основе.

6.        Документирование (вся структура документов по ИС и СЗИ + правила составления документов).

Документация должна включать записи решений руководства для обеспечения отслеживаемости действий к решениям руководства и политикам, а также воспроизводимости записанных результатов.

В структуру документации по системе защиты информации входят:

-    Перечень сведений конфиденциального характера;

-    Перечень персональных данных;

-    Положение о конфиденциальном документообороте;

-    Техническое задание на проведение работ по созданию комплексной системы защиты информации;

-    Технологический процесс обработки информации в информационной системе;

-    Технический паспорт информационной системы;

-    Перечень угроз информационной системы;

-    Печень объектов защиты.

Разрабатываемая документация оформляется в соответствии с ГОСТ РД 50-34.698-90 и ГОСТ 6.10-84, а так же «Положением о конфиденциальном документообороте».

7.        Осведомлённость и обучение специалистов.

В целях оперативного оповещения о произошедших инцидентах, плановых и внеплановых работ, ограничении функциональности и изменениях в документах, посвященных системе защиты информации оповещаются все служащие посредствам совещаний..

Все служащие Администрации должны в обязательном порядке проходить обучение по вопросам информационной безопасности. Для персонала непосредственно участвующего в процессе разработки или поддержки функционирования информационной системы и системы безопасности такое обучение должно проходить не реже 1 раза в год, для всего остального персонала – не реже 1 раза в 3 года, для вновь принятых на работу – перед вступлением в должность.

8.        Ответные действия, в случае возникновения происшествий.

Все инциденты информационной безопасности должны записываться в базу знаний для дальнейшего анализа и выработки решений для предотвращения подобных происшествий в будущем.

Кроме того должны быть разработаны и утверждены инструкции по действиям в аварийных ситуациях (пожар, затопление и др.).

V.      Технические средства. 1.        Требования к процедурам идентификации и аутентификации.

Процедуры идентификации и аутентификации должны обеспечивать надёжный контроль доступа к ресурсам ИС.

2.        Требования к системам контроля разграничения доступа.

Система контроля доступа должна обеспечивать надёжный контроль доступа к ресурсам ИС.

3.        Требования к системе регистрации событий в ИС.

Система регистрации должна обеспечивать запись всех событий, происходящих в ИС, а так же предоставлять данные записи в удобочитаемом виде, для последующего ознакомления с ними соответствующими сотрудниками.

ПРИЛОЖЕНИЕ №5

«Список объектов защиты»

	УТВЕРЖДАЮ Первый заместитель главы города А.С. Бородин

Администрация города Миасса

 

СПИСОК

19.10.2007 г. №  1__

г. Челябинск

объектов защиты

1.        Автоматизированные системы различного уровня и назначения

1.1.    Автоматизированные рабочие места служащих

1.2.    АРМ секретаря главы города

1.3.    АРМ главы города

2.        Системы связи, системы отображения и размножения

2.1.    средства и системы телефонной, внутренней телефонной, громкоговорящей связи;

2.2.    телефонная система «Внутрянняя»

2.3.    средства и системы звукоусиления;

2.4.    система конфиденциального делопроизводства (учет, размножение и движение бумажных и прочих внешних носителей информации);

2.5.    система обработки информации в вычислительной сети (ввод, вычисления, хранение, вывод);

2.6.    система обработки речевой информации в специально предназначенных (защищаемых) помещениях (переговоры, совещания);

2.7.    автоматизированная система передачи информации между сетями по неконтролируемой территории (файлы, базы данных, факсы, телефонные разговоры).

3.        Помещения, в которых установлены 1, 2, 3.

3.1.    Кабинет главы города

3.2.    Кабинет секретаря главы города

3.3.    Архив/серверная

3.4.    Бухгалтерия

3.5.    Юридический отдел

3.6.    Отдел муниципальной службы кадров

3.7.    Отдел службы безопасности

3.8.    Отдел по работе с кадрами и защите прав потребителей.

Начальник службы

конфиденциального делопроизводства Н.Н.Ушко

СОГЛАСОВАНО

Начальник службы безопасности  Ю.К.Крысова

Начальни службы конфиденциального документооборота  Д.Б.Ненашев

Первый заместитель главы города А.С.Бородин

В дело №______

ПРИЛОЖЕНИЕ №6