Примерный перечень исходных данных, необходимых для анализа состояния дел по вопросам обеспечения информационной безопасности

Общая характеристика Организации

  1. Нормативно-правовая основа (с указанием конкретных документов и ссылок) деятельности Организации (название, назначение, статус, подчиненность, структура, задачи, функции организации как объектаинформатизации, взаимодействие с другими организациями и т.п.).
  2. Положение об Организации (Устав или т.п.),положения о структурных подразделениях (управлениях, службах, отделах).Функциональные обязанности сотрудников подразделений по решению задач сприменением средств автоматизации.

Общая характеристика АС Организации

  1. Название, назначение, нормативно-правоваяоснова  создания и эксплуатацииавтоматизированной системы (АС) Организации (конкретные документы).
  2. Действующие ведомственные и внутренниенормативно-методические и организационно-распорядительные документы по вопросамсоздания (развития) и применения АС.
  3. Перечень субъектов правоотношений прииспользовании АС и организации ее защиты. Их основные интересы субъектов всфере обеспечения информационной безопасности.
  4. Состав, структура АС, размещение, основные функции и режимы работы подсистем АС.
  5. Виды информационных связей АС с внешними организациями, режимы и способы взаимодействия. Документы, регламентирующиепорядок взаимодействия и разрешения связанных с обменом информацией конфликтов.
  6. Состав средств вычислительной техники АС(серверов, рабочих станций).
  7. Перечень используемого в системе прикладного исистемного программного обеспечения.
  8. Характеристика телекоммуникационной системыОрганизации, описание топологии сетей, состава и характеристик используемыхканалов и телекоммуникационных средств, перечень используемых протоколов обменаи сетевых служб. Наличие испособы подключения к сети Internet и другим сетям общего назначения.
  9. Технологические схемы обработки, хранения ипередачи информации (данных, документов) в подсистемах АС, информационныепотоки (входящие, исходящие и циркулирующие внутри) и требования к их защите.
  10. Категории информационных и других подлежащихзащите ресурсов АС (с привязкой к функциям и задачам) и требования кобеспечению их конфиденциальности, целостности и доступности.
  11. Основные категории пользователей иобслуживающего АС персонала, их права по доступу к защищаемым ресурсам АС (для разных видов доступа и режимов функционирования АС). Уровень подготовки пользователей и квалификации обслуживающего АС персонала. 
  12. Порядок допуска сотрудников подразделений кработе с АС и наделения их полномочиями по доступу к ее ресурсам(разрешительная система).
  13. Технологические инструкции пользователей,администраторов ЛВС, баз данных и приложений.
  14. Порядок приобретения, разработки, внедрения, модернизации, использования и сопровождения программных средств.
  15. Порядок приобретения, внедрения, эксплуатации иремонта технических средств вычислительной техники и телекоммуникации.
  16. Другиеособенности АС, влияющие на ее защищенность.

Характеристикасуществующей системы обеспечения информационной безопасности в АС

  1. Действующие ведомственные и внутренние нормативно-методические и организационно-распорядительные документы по вопросамобеспечения информационной безопасности АС (определяющие переченьконфиденциальных сведений Организации и режим их защиты,  регламентирующие порядок работы сконфиденциальной информацией, в том числе с использованием средствавтоматизации, порядок учета, хранения и использования носителей защищаемойинформации, архивирования входных и выходных данных). Форма договора(контракта) с сотрудниками Организации (соглашения о неразглашенииконфиденциальных сведений и соблюдении требований по работе с АС)
  2. Требования кинформационной безопасности в АС, необходимый класс и категория защищенности АС(в соответствии с РД Гостехкомиссии). Требования по защите от утечкиинформации по техническим каналам (ПЭМИН, акустический, визуальный и т.д.),
  3. Организационная структура системы защиты.Характеристика службы технической защиты информации (наличие, подчиненность,штаты, задачи, оснащение, планы развития). Наличие и функции внештатныхответственных за информационную безопасность в подразделениях и натехнологических участках.
  4. Перечень, характеристики и зоны ответственностииспользуемых в подсистемах АС средств защиты информации.Схема управления средствами защиты наобъектах (централизованная или децентрализованная). Инструкции поэксплуатации средств защиты информации.
  5. Используемые физические средства защиты,соблюдение режимных требований, соответствие помещений, в которыхосуществляется обработка информации ограниченного доступа, требованиямнормативных документов.
  6. Документы, регламентирующие действия персоналапри возникновении нештатных (аварийных ситуаций).
  7. Документы по аттестации и категорированиюкомпонентов и подсистем АС.

 

Необходимые данные могут быть представлены в видедействующих документов либо могут собираться в процессе обследования объектазащиты (рабочие материалы, сведения, получаемые от специалистов по конкретнымнаправлениям и т.п.). В ходе выполнения работ перечень исходных данных можетуточняться и дополняться установленным порядком.

Исполнитель берет на себяобязательство не передавать третьим лицам конфиденциальные (подлежащие защите)сведения о Заказчике, ставшие ему известными в ходе выполнения работ ипринимать необходимые меры для защиты этой информации от раскрытия.

Ключевые слова: 
Рубрика: