SecurityPolicy.ru - Новые документы [ru]

Должностная инструкция администратора информационной безопасности вычислительной сети

2011-11-09T09:05:37Z

Angeldepth: Новая страница

== 1.Общие положения ==

1.1.Настоящая должностная инструкция определяет функциональные обязанности, права и ответственность администратора информационной безопасности вычислительной сети.

1.2.Работник назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке, приказом Генерального директора '''ООО «ХХХ»'''.

1.3.Работник подчиняется непосредственно Руководителю группы информационной безопасности Компании.

1.4.На должность Работника назначается лицо, имеющее высшее профессиональное (техническое) образование по профилю деятельности и стаж работы по специальности не менее 3 (трех )лет, быть абсолютно лояльным и заслуживать полное доверие со стороны руководства Компании.

1.5.Работник должен знать:

•Постановления, распоряжения, приказы и другие руководящие, методические и нормативные документы, касающиеся методов программирования и использования вычислительной техники при обработке информации.

•Принципы построения вычислительных сетей.

•Структуру комплексной вычислительной сети Компании, методы и правила резервного копирования информации, принципы администрирования вычислительных сетей.

•Принципы функционирования серверов баз данных, репликации между серверами.

•Перспективы развития вычислительной сети Компании.

•Основы экономики, трудового законодательства.

•Правила по охране труда, производственной санитарии и пожарной безопасности.

•Требования режима секретности, сохранности служебной и коммерческой тайны, неразглашения сведений конфиденциального характера.

1.6.В период временного отсутствия Работника его обязанности возлагаются на сотрудника группы информационной безопасности, определенного и назначенного в установленном порядке. Данное лицо приобретает соответствующие права и несет ответственность за надлежащие исполнение возложенных на него обязанностей.

1.7.Работник подчиняется непосредственно Руководителю группы информационной безопасности.

== 2.Функциональные обязанности ==

В должностные обязанности администратора информационной безопасности вычислительной сети входит:

2.1.Обеспечивает информационную безопасность вычислительной сети Компании.

2.2.Разрабатывает правила эксплуатации вычислительной сети, определяет полномочия пользователей вычислительной сети по доступу к ресурсам вычислительной сети, осуществляет административную поддержку (настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.).

2.3.Участвует в разработке технологии обеспечения информационной безопасности Компании, предусматривающей порядок взаимодействия подразделений Компании по вопросам обеспечения безопасности при эксплуатации вычислительной сети и модернизации ее программных и аппаратных средств.

2.4.Предотвращает несанкционированные модификации программного обеспечения, добавление новых функций, несанкционированный доступ к информации, аппаратуре и другим общим ресурсам вычислительной сети Компании.

2.5.Осуществляет сопровождение и, при необходимости, доработку внедренных программных средств по информационной защите Компании.

2.6.Разрабатывает программы для информационной защиты вычислительной сети и сетевых приложений Компании.

2.7.Разрабатывает способы и методы организации доступа пользователей вычислительной сети к ресурсам вычислительной сети Компании.

2.8.Ведет журналы, необходимые для нормального функционирования вычислительной сети Компании.

2.9.Информирует руководство Компании об уязвимых местах вычислительной сети, возможных путях несанкционированного доступа и воздействия на вычислительную сеть Компании.

== 3.Права ==

3.1.Администратор информационной безопасности вычислительной сети имеет право:

•на предоставление ему работы, обусловленной трудовым договором;

•на предоставление ему рабочего места, соответствующего государственным нормативным требованиям охраны труда;

•на предоставление ему полной и достоверной информации об условиях труда и требованиях охраны труда на рабочем месте;

•на профессиональную подготовку, переподготовку и повышение своей квалификации в порядке, установленном Трудовым кодексом РФ, иными федеральными законами;

•на получение материалов и документов, относящихся к своей деятельности, ознакомление с проектами решений руководства Компании, касающимися его деятельности;

•на взаимодействие с другими подразделениями Компании для решения оперативных вопросов своей профессиональной деятельности;

•запрашивать и получать от сотрудников Компании информацию и документы, необходимые для выполнения своих должностных обязанностей;

•участвовать в разборе конфликтных ситуаций, связанных с нарушением информационной безопасности Компании;

•участвовать в проверках и профилактическом обслуживании сторонними специалистами аппаратно–программных средств Компании;

•сообщать руководителю Группы информационной безопасности обо всех выявленных в процессе осуществления должностных обязанностей недостатках и сбоях информационной безопасности Компании и вносить предложения по их устранению в пределах своей компетенции;

•представлять на рассмотрение своего непосредственного руководителя предложения по вопросам своей деятельности;

•привлекать специалистов соответствующих структурных подразделений Компании к выполнению возложенных на него должностных обязанностей в случаях, предусмотренных организационно – распорядительной документацией в части касающейся работы Группы информационной безопасности Компании.

3.2.Работник вправе требовать от Компании оказания содействия в исполнении своих должностных обязанностей.

== 4.Ответственность ==

Администратор информационной безопасности вычислительной сети Компании несет административную и уголовную ответственность в соответствии с действующим законодательством Российской Федерации, и нормативными актами в следующих случаях:

4.1.Разглашения сведений, составляющих коммерческую тайну Компании, ставшую ему известной в связи с исполнением должностных обязанностей.

4.2.использование знаний служебной информации и (или) сведений, содержащих коммерческую тайну, которые стали известны в связи с исполнением должностных обязанностей для занятия любой деятельностью, которая в качестве конкурентного действия может нанести ущерб Компании.

4.3.Неисполнение или ненадлежащее исполнение своих обязанностей, предусмотренных настоящей должностной инструкцией, - в соответствии с действующим трудовым законодательством.

4.4.Нарушение правил техники безопасности и инструкции по охране труда.

4.5.Непринятие мер по пресечению выявленных нарушений правил техники безопасности, противопожарных и других правил, создающих угрозу деятельности Компании и ее сотрудникам.

4.6.Правонарушения, совершенные в период осуществления своей деятельности, в соответствии с действующим гражданским, административным и уголовным законодательством.

4.7.Причинение материального ущерба - в соответствии с действующим законодательством РФ.

== 5.Условия работы ==

5.1.Режим работы Работника определяется в соответствии с Правилами внутреннего трудового распорядка, установленными в Компании.

5.2.В связи с производственной необходимостью Работник обязан выезжать в служебные командировки (в т.ч. местного значения).

== 6.Хранение записей ==

Настоящая документ не порождает записей.

== 7.Лист рассылки ==

•Все сотрудники Группы информационной безопасности.

== 8.Лист регистрации изменений ==

== 9.Лист согласования ==

[[Категория:Безопасность персонала]]

Программа и методики проведения аттестационных испытаний выделенного помещения (Аттестация ВП)

2011-05-03T10:24:59Z

Majestic: Новая страница

__TOC__

{|border="0" cellpadding="0" cellspacing="0" align="center" width=90%
|width=40% |<center>СОГЛАСОВАНО</center>
|width=20% | 
|width=40% |<center>УТВЕРЖДАЮ</center>
|-
|width=40% | <hr>
|width=20% | 
|width=40% | <hr>
|-
|width=40% |<center><small>(Ф.И.О., руководителя организации заявителя)</small></center>
|width=20% | 
|width=40% |<center><small>(Ф.И.О., руководителя органа по аттестации)</small></center>
|-
|width=40% |<center>"___"___________ 20__ года</center>
|width=20% | 
|width=40% |<center>"___"___________ 20__ года</center>
|}

<big><center>'''Программа и методики проведения аттестационных испытаний объектов информатизации (ОИ) …, расположенных …, на соответствие требованиям по безопасности информации'''</center></big>

== 1. Принятые сокращения ==

AC - автоматизированные системы

ВТСС - вспомогательные технические средства и системы

МЭ - межсетевой экран

НСД - несанкционированный доступ

ОТСС - основные технические средства и системы

ПЭМИН - побочные электромагнитные излучения и наводки

РД - руководящий документ

СВТ - средства вычислительной техники

СЗИ - система защиты информации

СЗИ НСД - система защиты информации от несанкционированного доступа

== 2. Общие положения ==

"Программа и методики …" определяет порядок, методы, условия и объем проведения аттестационных испытаний объектов информатизации на соответствие требованиям по безопасности информации.

Аттестационные испытания проводятся на соответствие требованиям организационно-распорядительных и нормативных документов по защите информации, в реальных условиях эксплуатации объектов информатизации в соответствии с "Положением по аттестации объектов информатики по требованиям безопасности информации", утвержденном Председателем Гостехкомиссии России от 25. 11.94г.

Аттестационные испытания проводятся в соответствии с порядком, определяемым следующим основным перечнем работ для каждого объекта информатизации:

*анализ и оценка исходных данных и документации по защите информации на объекте информатизации;
*проверка соответствия представленных заявителем исходных данных реальным условиям размещения, монтажа и эксплуатации технических средств, изучение технологического процесса обработки, передачи и хранения секретной информации, анализ информационных потоков, определение состава использованных для обработки, передачи и хранения секретной информации технических средств;
*проверка состояния организации работ и выполнения организационно-технических требований по защите информации, оценка правильности категорирования выделенных помещений и технических средств и систем объектов информатизации, классификации автоматизированных систем (АС), оценка полноты и уровня разработки организационно-распорядительной, проектной и эксплуатационной документации, оценка уровня подготовки кадров и распределения ответственности за выполнение требований по защите информации;
*испытания инженерного оборудования объекта информатизации, отдельных технических и программных средств АС, средств и систем защиты информации на соответствие требованиям защиты информации по утвержденным или согласованным с заявителем методикам испытаний;
*комплексные испытания объекта информатизации на соответствие требованиям по защите информации;
*подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии (или несоответствии) объекта информатизации установленным требованиям, которые представляются в орган по аттестации для принятия решения о выдаче "Аттестата соответствия".

При проведении аттестационных испытаний применяются следующие методы проверок и испытаний:
*экспертно-документальный метод,
*измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки информации;
*проверка функций или комплекса функций защиты информации от несанкционированного доступа (НСД) с помощью тестирующих средств, а также путем пробного запуска средств защиты информации от НСД и наблюдения за их выполнением.

Экспертно-документальный метод предусматривает проверку соответствия объекта информатизации установленным требованиям на основании экспертной оценки полноты и достаточности представленных документов по обеспечению необходимых мер защиты информации, а также соответствия реальных условий эксплуатации требованиям по размещению, монтажу и эксплуатации технических средств.

Измерение и оценка уровней защищенности проводятся в соответствии с действующими нормативными и методическими документами по защите информации от ее утечки по техническим каналам с использованием поверенной контрольно-измерительной аппаратуры

Проверка и испытания функций или комплекса функций защиты информации от НСД с помощью тестирующих средств проводятся для отдельных средств АС (технических и программных) или программно-технической среды в целом по выбору аттестационной комиссии.

В процессе испытаний технических и программных средств используются тестирующие средства, принятые в установленном порядке.

== 3. Цели и задачи аттестационных испытаний ==

Целью аттестационных испытаний АС является оценка соответствия данных объекта информатизации требованиям руководящих документов по защите информации.

Задачей аттестационных испытаний является оценка соответствия условий эксплуатации объектов информатизации требованиям по защите информации:
*от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН) - объектов ВТ;
*от утечки за счет электронных устройств перехвата информации - объектов ВТ;
*от несанкционированного доступа (НСД) - объектов ВТ.

4. Условия проведения аттестационных испытаний

Аттестация объектов информатизации проводится аттестационной комиссией …, аккредитованного Гостехкомиссией России в качестве органа по аттестации объектов информатизации (Аттестат аккредитации органа по аттестации № … от … г., лицензия Гостехкомиссии России № … от … г..).

При проведении аттестационных испытаний аттестационная комиссия руководствуется:
*"Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", утвержденного постановлением Правительства от 15.09.93 № 912-51,
*"Положением по аттестации объектов информатизации по требованиям безопасности информации" (Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.);
*"Специальными требованиями и рекомендациями по защите информации, составляющей государственную тайну, от утечки по техническим каналам" (СТР), Гостехкомиссия России, 1997 г;
*"Моделью иностранных технических разведок до 2010 года (Модель ИТР-2010)", Гостехкомиссия России;
*Сборником "Нормативно-методические документы и порядок проведения работ по защите информации при обработке ее на средствах ЭВТ" (согласован с Заместителем Председателя Гостехкомиссии России в 1997 году);
*Сборником методических материалов по проведению специальных исследований технических средств АСУ и ЭВМ, предназначенных для работы с секретной информацией, Гостехкомиссия, 1978 г.;
*Сборником норм по защите информации от утечки за счет побочных электромагнитных излучений и наводок, Гостехкомиссия России, 1998 год.
*Сборником руководящих документов по защите информации от несанкционированного доступа, Гостехкомиссия России, 1998 г.

== 5. Мероприятия по контролю за состоянием и эффективностью защиты информации на объекте ==

В соответствии с требованиями «Временных методических указаний …» введенных в действие приказом Председателя Гостехкомиссии России 21 июня 2002 года и Специальными требованиями и рекомендациями, после выдачи аттестата не реже 1 раза в год планируется проводить контроль за состоянием и эффективностью защиты информации на объекте …

== 6. Перечень представленных документов ==

Для проведения аттестационных испытаний комиссии были представлены следующие документы:

…

==7. Описание ОИ==

Объектами аттестационных испытаний являются …

==8. Работы выполняемые в ходе аттестационных испытаний АС==

Аттестационные испытания АС включают:
*анализ организационной структуры объекта информатизации;
*анализ и оценка исходных данных и документации по защите информации на полноту содержания;
*изучение технологического процесса обработки и хранения конфиденциальной информации, анализ информационных потоков, определение состава использованных для обработки защищаемой информации средств ВТ;
*проверка состояния организации работ и выполнения организационно-технических требований по защите информации;
*оценка правильности классификации объектов информатизации;
*оценка правильности категорирования объектов информатизации;
*оценка полноты и уровня разработки организационно-распорядительной и эксплуатационной документации и ее соответствия требованиям нормативной документации по защите информации;
*оценка уровня подготовки кадров и распределения ответственности за выполнение требований по обеспечению безопасности информации;
*испытания отдельных технических и программных средств, средств и систем защиты информации, на соответствие требованиям безопасности информации по утвержденным или согласованным методикам испытаний;
*комплексные испытания объектов информатизации на соответствие требованиям безопасности информации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
*подготовка отчетной документации - протоколов испытаний и заключения по результатам аттестационных испытаний с выводами комиссии о соответствии объектов информатизации требованиям по безопасности информации.
…

== 9. Методика аттестационных испытаний объектов вычислительной техники по требованиям безопасности информации ==
=== 9.1 Общие положения ===

Настоящая методика определяет условия и порядок проведения аттестационных испытаний объектов информатизации …(организация) на соответствие требованиям по безопасности информации.

Объектом аттестационных испытаний являются …

Целью аттестационных испытаний объектов информатизации … является оценка соответствия данных объектов информатизации требованиям руководящих документов по защите информации.
===9.2 Условия и порядок проведения аттестационных испытаний===
Аттестационные испытания проводятся в эксплуатационных режимах работы объекта ВТ с использованием тестирующих технических и программных средств.

Для проведения испытаний объектов вычислительной техники заявитель представляет аттестационной комиссии следующие исходные данные и документацию:
*оформленный технический паспорт на объект ВТ (в соответствии с приложением №5 СТР);
*акт категорирования объекта ВТ (в соответствии с приложением №9 СТР);
*акт классификации объекта ВТ по требованиям защиты информации (в соответствии с РД Гостехкомиссии России "Автоматизированные системы Защита от НСД к информации Классификация АС и требования по защите информации");
*перечень защищаемых на объекте ВТ ресурсов с документальным подтверждением степени секретности каждого ресурса;
*организационно-распорядительную документацию разрешительной системы доступа персонала к защищаемым ресурсам объекта ВТ;
*описание технологического процесса обработки информации на объекте ВТ;
*технологические инструкции пользователям объекта ВТ;
*предписания на эксплуатацию технических средств и систем;
*протоколы специальных исследований технических средств и систем;
*акты или заключения о специальной проверке технических средств;
*данные по уровню подготовки кадров, обеспечивающих защиту информации;
*данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
*данные о наличии нормативной и методической документации по защите информации и контролю эффективности защиты.

Приведенный общий перечень исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.

Аттестационные испытания объекта ВТ проводятся в следующем порядке:
*изучение технологического процесса автоматизированной обработки информации;
*проверка на соответствие организационно-техническим требованиям по защите информации;
*испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН;
*проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации;
*испытания на соответствие требованиям по защите информации от несанкционированного доступа;
*подготовка отчетной документации.

===9.3 Изучение технологического процесса автоматизированной обработки информации===

При изучении технологического процесса автоматизированной обработки и хранения информации обращается внимание на такие компоненты объекта ВТ как объекты и субъекты доступа, средства обработки и передачи информации:
*к объектам доступа относятся средства обработки и передачи информации, информационные носители на магнитной и бумажной основе, накопители и все виды памяти ЭВМ, в которых может находиться информация, отдельные документы и их архивы, используемые в технологическом процессе автоматизированной обработки информации, файлы, записи и другие единицы информационных ресурсов, доступ к которым необходимо регламентировать;
*к субъектам доступа относятся персонал и все лица, которые имеют возможность доступа к средствам обработки информации, а также программные средства, посредством которых осуществляется доступ к объектам;
*к средствам обработки и передачи информации относятся технические и программные средства ВТ, средства и линии связи, предоставляющие возможности как для перемещения (копирования) информации между различными областями памяти и информационными носителями, различными средствами обработки, определенными для объекта ВТ, так и по выводу информации из установленной для нее сферы обращения.

Используя исходные данные по технологии обработки и передачи информации, разрешительной системы доступа персонала к защищаемым ресурсам, анализируется обобщенная технологическая схема объекта ВТ с существующими и возможными информационными потоками, возможностями доступа к обрабатываемой и передаваемой информации.

Проверяется соответствие описания технологического процесса обработки, хранения и передачи конфиденциальной информации реальной практике на объекте.

Проверяются паспортные (исходные) данные объекта ВТ и устанавливаются опасные факторы и угрозы, критические места объекта ВТ, снижающие уровень защиты, комплектность и характеристики средств защиты.

Проверяются наличие оформленных разрешений на допуск персонала к информации определенного уровня конфиденциальности, метки конфиденциальности (грифа секретности) на информационных носителях, соответствие технологических инструкций пользователей и администратора безопасности информации установленным требованиям.

По результатам изучения уточняется схема технологического процесса с привязкой к конкретным средствам обработки и передачи информации и штатному персоналу.

===9.4 Проверка на соответствие организационно-техническим требованиям по защите информации===

Проверка объекта ВТ на соответствие организационно-техническим требованиям по защите информации проводится в объеме, указанном в таблице 8.1.

Таблица 8.1

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации
|width=50% |9.4.2
|-
|width=50% |Проверка соответствия состава и структуры программно-технических средств объекта ВТ представленной документации
|width=50% |9.4.3
|-
|width=50% |Проверка правильности классификации объекта ВТ
|width=50% |9.4.4
|-
|width=50% |Проверка правильности категорирования объектов ВТ
|width=50% |9.4.5
|-
|width=50% |Проверка уровня подготовки кадров и распределения ответственности персонала
|width=50% |9.4.6
|-
|width=50% |Проверка наличия сертификатов соответствия на СВТ и средства защиты информации, экспертиза отчетов и протоколов по специальным исследованиям СВТ, предписаний на эксплуатацию СВТ
|width=50% |9.4.7
|-
|width=50% |Проверка выполнения требований к помещениям, в которых производится обработка информации средствами ВТ
|width=50% |9.4.8
|}

9.4.2. Производится проверка достаточности представленных документов и соответствия их содержания требованиям стандартов и иных руководящих документов по безопасности информации Гостехкомиссии России и других органов государственного управления в пределах компетенции.

9.4.3. Состав и структура программно-технических средств, включенных в реальный технологический процесс обработки информации, сверяется с представленной документацией.

9.4.4. Проверка правильности классификации ВТ производится в соответствии с требованиями РД Гостехкомиссии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации» и раздела 6 СТР на основании следующих определяющих признаков:
*уровней конфиденциальности (степени секретности) обрабатываемой информации;
*уровней полномочий по доступу к конфиденциальной информации различных пользователей;
*режимов обработки данных на объекте ВТ - многопользовательский или однопользовательский;
*максимального уровня конфиденциальности обрабатываемой информации. Полученный класс объекта ВТ сравнивается с установленным на объекте аттестации.

9.4.5. Проверка правильности категорирования объектов ВТ производится в соответствии с требованиями раздела 3 СТР на основании следующих исходных данных:
*максимального уровня конфиденциальности (степени секретности) обрабатываемой на объекте ВТ информации;
*условий расположения объекта ВТ.

Указанные исходные данные должны быть подтверждены документально заключениями об уровне конфиденциальности информации, актами, планами размещения и другими документами.

Производится категорирование объектов ВТ. Результаты категорирования сравниваются с категориями, указанными в актах категорирования соответствующих объектов ВТ.

9.4.6 Проверка уровня подготовки кадров и распределения ответственности производится на основе следующих показателей:
*экспертной оценки знания инструкций по безопасности информации пользователями и эксплуатационным персоналом;
*наличия разрешительной системы доступа персонала к защищаемым ресурсам, определяющей полномочия по доступу к конфиденциальной информации и процедуры их оформления, системы распределения ответственности персонала за выполнение требований по безопасности информации, оформленной приказами и распоряжениями руководителя предприятия (объекта информатизации);
*экспертной оценки системы технической учебы и повышения квалификации персонала и пользователей объекта ВТ.

Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях.

9.4.7. Производится проверка наличия документов, подтверждающих возможность применения технических и программных средств ВТ, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза отчетов и протоколов по специальным исследованиям СВТ, предписаний на эксплуатацию СВТ, а также их соответствия требованиям нормативных документов.

9.4.8. При проверке помещений производится оценка их соответствия требованиям действующей инструкции по обеспечению режима секретности в министерствах, ведомствах, на предприятиях.

Производится проверка выполнения требований руководящих документов по условиям размещения СВТ в рабочих помещениях, которые исключали бы возможность несанкционированного просмотра информации с экранов мониторов, с распечаток принтеров и с других устройств ввода-вывода информации лицами, не имеющими права доступа к обрабатываемой информации.

Если средства ВТ установлены в выделенных помещениях, то проверяются документы, подтверждающие защищенность информации в этих средствах от утечки за счет электроакустических преобразований в соответствии с требованиями раздела 4 СТР.

9.4.9. По результатам проверки комиссия должна сделать выводы о соответствии (или несоответствии) предъявленных документов и исходных данных установленным требованиям по безопасности информации.

===9.5 Испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН===

9.5.1. Проверка выполнения требований по защите информации от утечки за счет ПЭМИ СВТ.

9.5.1.1. Проверка проводится в объеме, указанном в табл. 5.2.

Таблица 5.2

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка соответствия фактических размеров контролируемой зоны представленным документам
|width=50% |9.5.1.2
|-
|width=50% |Проверка соответствия размеров контролируемой зоны требованиям предписаний на эксплуатацию СВТ и других документов, определяющих требования к размеру зоны 2
|width=50% |9.5.1.3
|-
|width=50% |Проверка работоспособности средств защиты информации, выполнения правил их эксплуатации
|width=50% |9.5.1.4
|-
|width=50% |Экспертная оценка результатов аппаратурного контроля защищенности СВТ
|width=50% |9.5.1.5
|-
|width=50% |Аппаратурные испытания эффективности защиты информации от утечки за счет ПЭМИН СВТ
|width=50% |9.5.1.6
|}

9.5.1.2. Производится выборочная проверка соответствия размеров контролируемой зоны (КЗ) в представленных документах (планы объекта, планы размещения СВТ, акты обследования и др.) фактическим размерам контролируемой зоны. Определяются минимальные значения расстояний от источников информативных сигналов до границы КЗ.

9.5.1.3. Сравниваются требуемые значения расстояний до границы КЗ, указанные в предписаниях на эксплуатацию СВТ (радиусы зоны 2), с фактическими значениями этих расстояний. Значения R2 должны укладываться в расстояния от СВТ до границ КЗ. В противном случае должны применяться дополнительные меры и средства защиты.

9.5.1.4. Проверка средств защиты информации производится по следующим показателям:
*соответствие видов и типов установленных средств защиты тем, что указаны в предписаниях на эксплуатацию СВТ (САЗ, экранирующие конструкции, фильтры);
*наличие сертификатов соответствия на средства защиты;
*выполнение правил монтажа и эксплуатации средств защиты;
*наличие актов ввода в эксплуатацию и протоколов контроля средств защиты;
*работоспособность средств защиты.

9.5.1.5. Производится экспертная оценка результатов контроля эффективности защиты информации в СВТ по следующим признакам:
*использованные методики контроля;
*использованные тестовые средства;
*полнота проведенных измерений по объему и видам измерений (частотный спектр, режимы работы СВТ, измеренные составляющие электромагнитного поля, направления распространения информативных сигналов в пространстве);
*использованная измерительная аппаратура;
*схема измерений;
*достоверность результатов измерений.

9.5.1.6. Аппаратурные испытания защищенности информации от утечки за счет ПЭМИ СВТ производятся выборочно для отдельных СВТ в соответствии с действующими нормами эффективности защиты информации от утечки за счет ПЭМИН, методикой контроля защищенности объектов ВТ, методиками специальных исследований СВТ, утвержденными (согласованными) Гостехкомиссией России.

9.5.2. Проверка выполнения требований по защите информации от утечки за счет наводок на вспомогательные средства и системы.

9.5.2.1. Проверка проводится в объеме, указанном в табл. 5.3

9.5.2.2. Производится проверка выполнения требований по размещению вспомогательных технических средств и систем (ВТСС), имеющих выход за пределы контролируемой зоны объекта, на расстояниях не менее чем г и г' от основных технических средств и систем (ОТСС), обрабатывающих конфиденциальную информацию, где г и г'- требуемые в соответствии с разделом 5 СТР минимальные расстояния, согласно предписаниям на эксплуатацию СВТ.

Таблица 5.3

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка взаимного размещения СВТ и вспомогательных средств на соответствие требованиям предписания на эксплуатацию СВТ и других документов, определяющих размеры зон г и г'
|width=50% |9.5.2.2
|-
|width=50% |Проверка работоспособности средств защиты, выполнения правил их монтажа и эксплуатации
|width=50% |9.5.1.4
|-
|width=50% |Экспертная оценка результатов аппаратурного контроля защищенности информации
|width=50% |9.5.1.6
|-
|width=50% |Аппаратурные испытания защиты информации от утечки за счет наводок на вспомогательные средства и системы
|width=50% |9.4.2.3
|}

9.5.2.3. Производятся выборочные аппаратурные испытания защищенности информации от утечки за счет наводок на ВТСС в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России.

9.5.3. Проверка выполнения требований по защите информации от утечки по цепям заземления и электропитания.

9.5.3.1. Проверка проводится в объеме, указанном в табл. 5.4.

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка выполнения требований к схеме организации электропитания технических средств ВТ, монтажу питающих кабелей, фильтрации опасных сигналов в цепях питания
|width=50% |9.5.3.2
|-
|width=50% |Проверка выполнения требований руководящих документов по выполнению схемы заземления, правилам монтажа за земляющих конструкций, величине сопротивления заземлителя и регламентному контролю его значении
|width=50% |9.5.3.3
|-
|width=50% |Проверка работоспособности использованных в составе объекта ВТ средств защиты информации, выполнения правил их монтажа и эксплуатации
|width=50% |9.5.1.4
|-
|width=50% |Экспертная оценка результатов контроля эффективности мер и средств защиты информации в цепях электропитания и заземления
|width=50% |9.5.1.5
|-
|width=50% |Аппаратурные испытания эффективности защиты информации от утечки по цепям заземления и электропитания средств ВТ
|width=50% |9.5.3.4
|}

9.5.3.2. Производится проверка выполнения требований разделов 9 и 10 СТР по выполнению схемы энергопитания средств ВТ:
*по размещению трансформаторной подстанции;
*по монтажу фидерных линий, их экранированию и фильтрации;
*по монтажу САЗ и сетевых фильтров.

9.5.3.3. Производится проверка выполнения следующих требований:
*по размещению очага заземления и величине его сопротивления;
*наличию протоколов измерения величины сопротивления току растекания очага заземления;
*отсутствию соединений системы заземления с металлоконструкциями, выходящими за пределы контролируемой зоны.

9.5.3.4. Производятся выборочные аппаратурные испытания защищенности информации от утечки по цепям заземления и электропитания СВТ в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России.

9.5.4.Проверка выполнения требований по защите информации от утечки по кабельным линиям передачи данных СВТ и сетей связи.

…

9.5.5. Комплексные испытания объекта ВТ на соответствие требованиям по защите информации от утечки за счет ПЭМИН.

Комплексные испытания объекта ВТ проводятся в рабочих эксплутационных режимах технических средств и средств защиты информации. При этом оценивается работоспособность средств защиты информации, а также средств контроля и сигнализации и их электромагнитная совместимость со средствами обработки информации.

В процессе испытаний по выбору комиссии могут моделироваться нештатные ситуации, связанные с выходом из строя средств защиты и т.п.

9.5.6. Рекомендации по результатам испытаний

По результатам испытаний должны быть сделаны выводы о соответствии (или несоответствии) объекта ВТ требуемому уровню защиты информации от утечки за счет ПЭМИН СВТ.

Комиссия может рекомендовать следующие меры по устранению недостатков:
*применение дополнительных организационных и технических мер по защите информации;
*применение дополнительных сертифицированных средств защиты информации;
*исключение отдельных технических средств, обрабатывающих конфиденциальную информацию, из состава объекта.
===9.6 Проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации===

Проверяется наличие актов или заключений о специальной проверке импортных СВТ, применяемых для обработки секретной информации.

===9.7 Испытания на соответствие требованиям по защите информации от несанкционированного доступа===

Испытания проводятся в объеме, указанном в табл. 5.5.

Объем испытаний на соответствие требованиям по ЗИ от НСД может уточняться в зависимости от установленного класса АС.

Таблица 5.5

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Анализ и оценка технологического процесса обработки информации
|width=50% |9.7.2
|-
|width=50% |Выбор инструментальных средств и методики испытаний
|width=50% |9.7.3
|-
|width=50% |Испытания подсистемы управления доступом
|width=50% |9.7.4
|-
|width=50% |Проверка механизма идентификации
|width=50% |9.7.4.1-9.7.4.2
|-
|width=50% |Проверка механизма аутентификации
|width=50% |9.7.4.3-9.7.4.4
|-
|width=50% |Проверка механизма контроля доступа
|width=50% |9.7.4.5
|-
|width=50% |Проверка механизмов управления потоками информации
|width=50% |9.7.4.6-9.7.4.7
|-
|width=50% |Испытания подсистемы регистрации и учета
|width=50% |9.7.5
|-
|width=50% |Испытания подсистемы обеспечения целостности
|width=50% |9.7.6
|}

9.7.2. Анализ и оценка технологического процесса обработки информации в части НСД.

9.7.2.1. Комиссии представляется описание технологического процесса обработки информации в аттестуемом объекте ВТ, включающее в себя следующую информацию:
*перечень объектов доступа;
*перечень субъектов доступа;
*перечень штатных средств доступа к информации на объекте ВТ;
*перечень средств защиты информации;
*описание реализованных правил разграничения доступа;
*описание информационных потоков.

9.7.2.2. В качестве объектов доступа в зависимости от класса СВТ могут быть приняты:
*система в целом;
*терминалы, ЭВМ, узлы сети ЭВМ, каналы связи, внешние устройства ЭВМ;
*программы;
*тома, каталоги, файлы, записи, поля записей;
*все виды памяти ЭВМ, в которых может находиться информация.

Информационные носители могут иметь метку конфиденциальности (гриф секретности) и находиться на учете.

9.7.2.3. В качестве субъектов доступа могут рассматриваться лица и процессы (программы пользователей), имеющие возможность доступа к объектам штатными средствами объекта ВТ.

Субъекты доступа могут иметь официальное разрешение (допуск) к информации определенного уровня конфиденциальности.

9.7.2.4. Под штатными средствами доступа к информации на объекте ВТ понимаются общесистемные и прикладные системы, средства и программы, предоставляющие субъектам документированные возможности доступа к объектам доступа.

9.7.2.5. Комиссия проверяет соответствие описания технологического процесса обработки и хранения конфиденциальной информации реальному процессу.

Особое внимание уделяется выявлению возможностей переноса информации большего уровня конфиденциальности на информационный носитель меньшего уровня.

9.7.2.6. Проводится анализ разрешенных и запрещенных связей между субъектами и объектами доступа с привязкой к конкретным СВТ и штатному персоналу, оценка их соответствия разрешительной системе доступа персонала к защищаемым ресурсам на всех этапах обработки.

9.7.3. Выбор методики испытаний и инструментальных средств.

9.7.3.1. Методика испытаний АС на соответствие требованиям защиты информации от НСД уточняется на основании результатов анализа технологического процесса обработки информации в АС

Методика испытаний должна включать в себя перечень инструментальных средств, используемых при испытаниях и проверках данной АС.

Методика испытаний может дополняться, уточняться и корректироваться в процессе испытаний руководителем аттестационной комиссии по согласованию с заявителем.

9.7.3.2. В качестве тестирующих средств для проведения испытаний могут быть выбраны технические и программные средства, принятые в установленном порядке для такого рода деятельности.

Перечень принятых тестирующих средств с описанием их возможностей и местонахождения хранится в органе по аттестации объектов информатики и предоставляется для ознакомления заинтересованным сторонам.

9.7.3.3. При отсутствии необходимых тестирующих средств они могут быть специально разработаны в период проведения аттестационных испытаний. Возможность их применения при испытаниях подтверждается председателем аттестационной комиссии и согласовывается с заявителем. После окончания испытаний документация на эти тестирующие средства прилагается к протоколам испытаний и отсылается в орган по аттестации.

9.7.4. Испытания подсистемы управления доступом.

9.7.4.1. Проверка правильности идентификации объектов доступа в АС проверяется путем обращения к ним субъектов доступа по идентификаторам объектов. Обращение должно осуществляться однозначно только к данному объекту.

Объекты доступа определяются в соответствии с РД Гостехкомиссии России «Автоматизированные системы Защита от НСД к информации. Классификация АС и требования по защите информации» и актом классификации АС.

9.7.4.2. Проверка правильности идентификации субъектов доступа проверяется путем обращения субъектов доступа АС к объектам доступа при помощи штатных средств.

При обращении должна проводиться проверка принадлежности предъявленного субъектом идентификатора множеству всех зарегистрированных в АС идентификаторов субъектов.

Если субъект доступа предъявляет идентификатор, не известный системе, то средства управления должны прекращать процесс предоставления доступа.

9.7.4.3. При подтверждении подлинности (аутентификации) проверяется действительная принадлежность субъекту доступа предъявленного им идентификатора.

В качестве идентификатора могут быть использованы, например, биометрические признаки субъекта, специальные устройства (магнитная карточка, жетон и т.д.), пароль временного действия.

9.7.4.4. При проверке надежности аутентификации должна оцениваться вероятность подбора или несанкционированного получения (хищения) секретного (личного) признака или устройства посторонним субъектом доступа за период действия этого признака (устройства).

9.7.4.5. Правильность определения системой полномочий и предоставления доступа субъектам по отношению к объектам проверяется следующим образом.

По описанию применения СЗИ выявляются виды полномочий (читать, изменять, выполнять, передавать и т.д.), по которым различаются права субъектов на доступ к объектам. Проверяется правильность предоставления доступа в соответствии с установленными правами субъектов по отношению к конкретным объектам.

9.7.4.6. Управление потоками информации осуществляется на основании сопоставления меток конфиденциальности объектов доступа. Необходимо проверить наличие меток конфиденциальности на всех информационных объектах доступа. Метки конфиденциальности (грифы) должны быть ранжированы по важности помечаемой информации.

9.7.4.7. Наличие и надежность средств управления потоками информации в АС проверяется путем моделирования информационных потоков в реальном технологическом процессе по всем выявленным средствам перемещения информации. В АС должен блокироваться перенос информации с более высоким уровнем конфиденциальности на объекты с меньшим уровнем.

9.7.5. Испытания подсистемы регистрации и учета.

9.7.5.1. Регистрация и учет событий, определенных требованиями по безопасности информации к установленному классу АС, должны производиться на всех этапах технологического процесса хранения и обработки конфиденциальной информации. Регистрация должна охватывать все события, определенные указанным РД Гостехкомиссии России для АС установленного класса.

9.7.5.2. Для проверки необходимо при помощи стандартных средств АС просмотреть результаты регистрации всех действий, которые были произведены с защищаемыми ресурсами при проверках по п. 7.4 данных рекомендаций. Должны быть зарегистрированы все требуемые события с требуемыми параметрами регистрации.

9.7.5.3. Для проверки регистрации изменения полномочий субъектов доступа необходимо произвести эти изменения при помощи средств СЗИ и просмотреть результаты регистрации.

9.7.5.4. Для проверки процедуры автоматического учета создаваемых, инициируемых защищаемых информационных ресурсов необходимо смоделировать создание (инициацию) защищаемого носителя информации на тех этапах технологического процесса, где используются СВТ.

При помощи средств СЗИ просматриваются результаты учета. Должны быть автоматически учтены все созданные (инициированные) защищаемые информационные ресурсы с требуемыми параметрами учета.

9.7.5.5. Проверяется ведение учета всех защищаемых носителей информации, осуществляемого вручную персоналом, путем проверки технологических инструкций, степени ознакомления с ними конкретных исполнителей, проверки правильности ведения карточек и журналов учета.

9.7.5.6. Проверка средств очистки (обнуления, обезличивания) освобождаемых областей оперативной и внешней памяти ЭВМ осуществляется путем записи в область памяти пользователем некоторой определенной информации, фиксирования конкретного физического адреса области, освобождения области данным пользователем, попытки считывания информации из данной области по зафиксированному адресу и сравнения считанного с первоначально записанной в эту область информацией. При нормальной работе средств очистки освобождаемых областей памяти ранее записанная информация должна отличаться от считанной.

9.7.5.7.Проверка средств сигнализации попыток нарушения защиты осуществляется путем моделирования несанкционированных обращений к защищаемым объектам доступа и отслеживания появления определенных сигналов в местах интерфейса с администратором системы защиты и нарушителем.

9.7.6. Испытания подсистемы обеспечения целостности.

9.7.6.1. Проверка подсистемы обеспечения целостности СЗИ от НСД проводится по перечню функций, определенных указанным РД Гостехкомиссии России для данного класса АС.

9.7.6.2. Надежность функций контроля целостности программных средств может быть проверена при помощи внесения изменений в отдельные программы или их подмены. При этом отслеживается реакция системы защиты на произведенные нарушения.

9.7.6.3. При проверке обеспечения неизменности программной среды определяется наличие и работоспособность технологии внесения новых программных средств в операционную среду, предусматривающую процедуры экспертной оценки или верификации новых программных средств для выявления потенциально опасных для СЗИ программных функций, критерии санкционирования ввода программ в операционную среду и допуска определенных категорий пользователей к этим программам.

Проверяется наличие и работоспособность средств и мер предотвращения несанкционированного ввода программ в операционную среду.

9.7.6.4. По результатам анализа технологического процесса обработки и хранения конфиденциальной информации в АС проверяется выполнение требований по физической охране средств АС и носителей информации в АС, пропускному режиму и оборудованию помещений необходимыми защитными средствами.

Проверяется наличие в системе администратора системы защиты информации, оценивается его уровень подготовленности и степень оснащения его рабочего места необходимыми средствами оперативного контроля и сопровождения СЗИ.

9.7.6.5. Проверяется наличие и работоспособность средств периодического тестирования всех функций СЗИ НСД, наличие графика проведения тестирования. Средства тестирования должны давать однозначную информацию о всех функциях СЗИ НСД, предусмотренных требованиями к данному классу АС.

9.7.6.6. Приводится выборочная проверка используемых в системе программных средств на наличие компьютерных вирусов.

9.7.6.7. Проверяется наличие и работоспособность технологии восстановления программных средств защиты информации в АС, ведения архива программных средств защиты, условия и периодичность их обновления и тестирования.

Автоматическое оперативное восстановление функций СЗИ НСД при сбоях проверяется путем моделирования сбойных ситуаций и последующей проверки (тестирования) функций СЗИ НСД.

9.7.6.8. Если для данного класса АС требуется наличие сертифицированных средств защиты, проверяется наличие таких сертификатов соответствия, а также установленные в них классы защищенности.

9.7.7 Рекомендации по результатам испытаний.

Комиссия может рекомендовать следующие меры по устранению недостатков:
*применение дополнительных организационно-технических мероприятий по защите информации;
*доработка организационно-распорядительной документации;
*применение дополнительных сертифицированных средств защиты информации;
*исключение отдельных программных средств из состава АС.

==10. Подготовка отчетной документации==

10.8.1. Результаты аттестационных испытаний объекта ВТ по всем рассмотренным выше направлениям обеспечения безопасности информации оформляются протоколом испытаний.

На основании подученных результатов испытаний принимается заключение, которое должно включать:
*оценку соответствия объекта ВТ требованиям по безопасности информации;
*вывод о возможности выдачи «Аттестата соответствия»;
*перечень выявленных недостатков и нарушений;
*рекомендации по устранению выявленных недостатков и нарушений.
==11. Методика аттестационных испытаний выделенных помещений по требованиям безопасности информации==
===11.1 Общие положения===

Настоящая методика определяет условия и порядок проведения аттестационных испытаний выделенных помещений … на соответствие требованиям по безопасности информации.

Объектом аттестационных испытаний являются выделенные помещения второй и третьей категории расположенные в кабинетах административного здания …

Целью аттестационных испытаний ВП … является оценка соответствия данных объектов информатизации требованиям руководящих документов по защите информации.
===11.2 Условия и порядок проведения аттестационных испытаний===

Испытания проводятся в эксплуатационных режимах работы объекта информатизации с использованием тестирующих технических средств.

Для проведения испытаний выделенных помещений заявитель представляет аттестационной комиссии следующие исходные данные и документацию:
*оформленный технический паспорт на объект информатизации (в соответствии с приложением №1 СТР);
*акт категорирования выделенных помещений;
*план контролируемой зоны предприятия (учреждения);
*перечень защищаемых ресурсов с документальным подтверждением максимальной степени секретности обсуждаемых в выделенном помещении вопросов;
*инструкции по эксплуатации средств защиты информации;
*предписания на эксплуатацию технических средств и систем;
*протоколы специальных исследований технических средств и систем;
*акты или заключения о специальной проверке технических средств;
*сертификаты соответствия требованиям безопасности информации на средства и системы обработки и передачи информации, используемые средства защиты информации;
*данные по уровню подготовки кадров, обеспечивающих защиту информации;
*данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
*данные о наличии нормативной и методической документации по защите информации и контролю эффективности защиты.

Аттестационные испытания проводятся в следующем порядке:
*проверка на соответствие организационно-техническим требованиям по защите информации;
*испытания на соответствие требованиям по защите информации от утечки по каналам ПЭМИН;
*испытания на соответствие требованиям по защите информации от утечки по акустическому и виброакустическому каналам;
*проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации;
*подготовка отчетной документации.
===11.3 Проверка на соответствие организационно-техническим требованиям по защите информации===

11.3.1. Проверка ВП на соответствие организационно-техническим требованиям по защите информации проводится в объеме, указанном в таблице 6.1.

Таблица 6.1

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации
|width=50% |11.3.2
|-
|width=50% |Проверка соответствия состава и структуры технических средств обработки информации представленной документации
|width=50% |11.3.3
|-
|width=50% |Проверка правильности категорирования ВП
|width=50% |11.3.4
|-
|width=50% |Проверка уровня подготовки кадров и распределения ответственности персонала
|width=50% |11.3.5
|-
|width=50% |Проверка наличия сертификатов соответствия на ОТСС, ВТСС и средства защиты информации, экспертиза отчетов и протоколов по специальным исследованиям, предписаний на эксплуатацию
|width=50% |11.3.6
|-
|width=50% |Проверка выполнения требований к помещениям
|width=50% |11.3.7
|}

11.3.2. Производится проверка достаточности представленных документов и соответствия их содержания требованиям стандартов и иных руководящих документов по безопасности информации Гостехкомиссии России и других органов государственного управления в пределах компетенции.

11.3.3. Состав и структура технических средств, включенных в реальный технологический процесс обработки информации, сверяется с представленной документацией.

11.3.4. Проверка правильности категорирования ВП производится в соответствии с требованиями раздела 3 СТР на основании следующих исходных данных:
*максимального уровня конфиденциальности (степени секретности) обрабатываемой в ВП;
*условий расположения ВП.

Указанные исходные данные должны быть подтверждены документально заключениями об уровне конфиденциальности информации, актами, планами размещения и другими документами.

Производится категорирование ВП. Результаты категорирования сравниваются с категориями, указанными в актах категорирования.

11.3.5. Проверка уровня подготовки кадров и распределения ответственности производится на основе следующих показателей:
*экспертной оценки знания инструкций по безопасности информации пользователями;
*экспертной оценки системы технической учебы и повышения квалификации персонала.

Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях.

11.3.6. Производится проверка наличия документов, подтверждающих возможность применения технических средств обработки информации, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза отчетов и протоколов по специальным исследованиям, предписаний на эксплуатацию, а также их соответствия требованиям нормативных документов.

11.3.7. При проверке помещений производится оценка их соответствия требованиям раздела 4.1.2. СТР, а также требований действующей инструкции по обеспечению режима секретности в министерствах, ведомствах, на предприятиях.

11.3.8.По результатам проверки комиссия должна сделать выводы о соответствии (или несоответствии) предъявленных документов и исходных данных установленным требованиям по безопасности информации.
===11.4 Испытания на соответствие требованиям по защите информации от утечки каналам ПЭМИН===

11.4.1. Проверка выполнения требований по защите информации от утечки за счет ПЭМИ ОТСС.

11.4.1.1. Проверка проводится в объеме, указанном в табл. 6.2.

Таблица 6.2

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка соответствия фактических размеров контролируемой зоны представленным документам
|width=50% |11.4.1.2
|-
|width=50% |Проверка соответствия размеров контролируемой зоны требованиям предписаний на эксплуатацию ОТСС и других документов, определяющих требования к размеру зоны 2
|width=50% |11.4.1.3
|-
|width=50% |Проверка работоспособности средств защиты информации, выполнения правил их эксплуатации
|width=50% |11.4.1.4
|-
|width=50% |Экспертная оценка результатов аппаратурного контроля защищенности ОТСС
|width=50% |11.4.1.5
|-
|width=50% |Аппаратурные испытания эффективности защиты информации от утечки за счет ПЭМИН
|width=50% |11.4.1.6
|}

11.4.1.2. Производится выборочная проверка соответствия размеров контролируемой зоны (КЗ) в представленных документах (планы объекта, планы размещения ОТСС и ВТСС, акты обследования и др.) фактическим размерам контролируемой зоны. Определяются минимальные значения расстояний от источников информативных сигналов до границы КЗ.

11.4.1.3. Сравниваются требуемые значения расстояний до границы КЗ, указанные в предписаниях на эксплуатацию ОТСС (радиусы зоны 2), с фактическими значениями этих расстояний. Значения R2 должны укладываться в расстояния от ОТСС до границ КЗ. В противном случае должны применяться дополнительные меры и средства защиты.

11.4.1.4. Проверка средств защиты информации производится по следующим показателям:
*соответствие видов и типов установленных средств защиты тем, что указаны в предписаниях на эксплуатацию ОТСС (САЗ, экранирующие конструкции, фильтры);
*наличие сертификатов соответствия на средства защиты;
*выполнение правил монтажа и эксплуатации средств защиты;
*наличие актов ввода в эксплуатацию и протоколов контроля средств защиты;
*работоспособность средств защиты.

11.4.1.5. Производится экспертная оценка результатов контроля эффективности защиты информации в ОТСС по следующим признакам:
*использованные методики контроля;
*использованные тестовые средства;
*полнота проведенных измерений по объему и видам измерений (частотный спектр, режимы работы ОТСС, измеренные составляющие электромагнитного поля, направления распространения информативных сигналов в пространстве);
*использованная измерительная аппаратура;
*схема измерений;
*достоверность результатов измерений.

11.4.1.6. Аппаратурные испытания защищенности информации от утечки за счет ПЭМИ ОТСС производятся выборочно для отдельных средств в соответствии с действующими нормами эффективности защиты информации от утечки за счет ПЭМИН, методиками специальных исследований, утвержденными (согласованными) Гостехкомиссией России.

11.4.2. Проверка выполнения требований по защите информации от утечки за счет наводок на вспомогательные средства и системы.

11.4.2.1. Проверка проводится в объеме, указанном в табл. 6.3.

11.4.2.2.Производится проверка выполнения требований по размещению вспомогательных технических средств и систем (ВТСС), имеющих выход за пределы контролируемой зоны объекта, на расстояниях не менее чем г и г' от основных технических средств и систем (ОТСС), обрабатывающих конфиденциальную информацию, где г и г'- требуемые в соответствии с разделом 5 СТР минимальные расстояния, согласно предписаниям на эксплуатацию ОТСС.

Таблица 6.3

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка взаимного размещения ОТСС и вспомогательных средств на соответствие требованиям на эксплуатацию ОТСС и других документов, определяющих размеры зон г и г'
|width=50% |11.4.2.2
|-
|width=50% |Проверка работоспособности средств защиты, выполнения правил их монтажа и эксплуатации
|width=50% |11.4.1.4
|-
|width=50% |Экспертная оценка результатов аппаратурного контроля защищенности информации
|width=50% |11.4.1.5
|-
|width=50% |Аппаратурные испытания защиты информации от утечки за счет наводок на вспомогательные средства и системы
|width=50% |11.4.2.3
|}

11.4.2.3. Производятся выборочные аппаратурные испытания защищенности информации от утечки за счет наводок на ВТСС в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России.

11.4.3. Проверка выполнения требований по защите информации от утечки по цепям заземления и электропитания.

11.4.3.1. Проверка проводится в объеме, указанном в табл. 6.4

Таблица 6.4

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка выполнения требований к схеме организации электропитания ОТСС, монтажу питающих кабелей, фильтрации опасных сигналов в цепях питания
|width=50% |11.4.3.2
|-
|width=50% |Проверка выполнения требований руководящих документов по выполнению схемы заземления, правилам монтажа заземляющих конструкции, величине сопротивления заземлителя и регламентному контролю его значении
|width=50% |11.4.3.3
|-
|width=50% |Проверка работоспособности использованных в составе оборудования ВП средств защиты информации, выполнения правил их монтажа и эксплуатации
|width=50% |11.4.1.4
|-
|width=50% |Экспертная оценка результатов контроля эффективности мер и средств защиты информации в цепях электропитания и заземления
|width=50% |11.4.1.5
|-
|width=50% |Аппаратурные испытания эффективности защиты информации от утечки по цепям заземления и электропитания ОТСС
|width=50% |11.4.3.4
|}

11.4.3.2 Производится проверка выполнения требований разделов 9 и 10 СТР по выполнению схемы энергопитания ОТСС:
*по размещению трансформаторной подстанции;
*по монтажу фидерных линий, их экранированию и фильтрации;
*по монтажу САЗ и сетевых фильтров.

11.4.3.3. Производится проверка выполнения следующих требований:
*по размещению очага заземления и величине его сопротивления;
*наличию протоколов измерения величины сопротивления току растекания очага заземления;
*отсутствию соединений системы заземления с металлоконструкциями, выходящими за пределы контролируемой зоны.

11.4.3.4. Производятся выборочные аппаратурные испытания защищенности информации от утечки по цепям заземления и электропитания ОТСС в соответствии с методиками, утвержденными (согласованными) Гостехкомиссией России.

11.4.5. Комплексные испытания ВП на соответствие требованиям по защите информации от утечки за счет ПЭМИН.

Комплексные испытания ВП проводятся в рабочих эксплутационных режимах технических средств и средств защиты информации. При этом оценивается работоспособность средств защиты информации, а также средств контроля и сигнализации и их электромагнитная совместимость со средствами обработки информации.

В процессе испытаний по выбору комиссии могут моделироваться нештатные ситуации, связанные с выходом из строя средств защиты и т.п.

11.4.6. Рекомендации по результатам испытаний.

По результатам испытаний должны быть сделаны выводы о соответствии (или несоответствии) ВП требуемому уровню защиты информации от утечки за счет ПЭМИН.

Комиссия может рекомендовать следующие меры по устранению недостатков:
*применение дополнительных организационных и технических мер по защите информации;
*применение дополнительных сертифицированных средств защиты информации;
*исключение отдельных технических средств, обрабатывающих конфиденциальную информацию, из состава ВП.
===11.5 Испытания на соответствие требованиям по защите информации от утечки по акустическому и виброакустическому каналам===

11.5.1. Проверка проводится в объеме, указанном в табл. 6.5.

Таблица 6.5

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=50% |<center>Наименование проверок и испытаний</center>
|width=50% |<center>Пункт методических рекомендаций</center>
|-
|width=50% |Проверка соответствия фактического расположения и конструкции ВП требованиям по ЗИ от утечки по акустическому каналу
|width=50% |11.5.2
|-
|width=50% |Проверка соответствия фактического расположения и конструкции ВП требованиям по ЗИ от утечки по виброакустическому каналу
|width=50% |11.5.3
|-
|width=50% |Проверка работоспособности средств защиты информации, выполнения правил их эксплуатации
|width=50% |11.5.4
|-
|width=50% |Аппаратурные испытания эффективности защиты информации от утечки по акустическому каналу
|width=50% |11.5.5
|-
|width=50% |Аппаратурные испытания эффективности защиты информации от утечки по виброакустическому каналу
|width=50% |11.5.6
|}

11.5.2. Производится проверка соответствия фактического расположения и конструкции ВП требованиям по акустической защите. Определяются разведопасные направления.

11.5.3. Производится проверка соответствия фактического расположения и конструкции ВП требованиям по виброакустической защите. Определяются разведопасные направления.

11.5.4. Проверка средств защиты информации производится по следующим показателям:
*соответствие видов и типов установленных средств защиты тем, что указаны в паспорте на выделенное помещение;
*наличие сертификатов соответствия на средства защиты;
*выполнение правил монтажа и эксплуатации средств защиты;
*наличие актов ввода в эксплуатацию и протоколов контроля средств защиты;
*работоспособность средств защиты.

11.5.5. Аппаратурные испытания защищенности информации от утечки по акустическому каналам производятся в местах возможного перехвата информации, в соответствии с требованиями п. 4.1.4. СТР, по методикам утвержденным (согласованным) Гостехкомиссией России.

11.5.6. Аппаратурные испытания защищенности информации от утечки по виброакустическому каналам производятся в местах возможного перехвата информации, в соответствии с требованиями п. 4.1.5. СТР, по методикам утвержденным (согласованным) Гостехкомиссией России.
===11.6 Проверка выполнения требований по защите информации от утечки за счет специальных электронных устройств перехвата информации===

Проверяется наличие актов или заключений о специальной проверке импортных ОТСС и ВТСС, установленных в ВП.
===11.7 Подготовка отчетной документации===

Результаты аттестационных испытаний ВП по всем рассмотренным выше направлениям обеспечения безопасности информации оформляются протоколом испытаний.

На основании полученных результатов испытаний составляется заключение, которое должно включать:
*оценку соответствия ВП требованиям по безопасности информации;
*вывод о возможности выдачи "Аттестата соответствия";
*перечень выявленных недостатков и нарушений.
===11.8 Подготовка отчетной документации по аттестации выделенных помещений и средств вычислительной техники, оценка результатов испытаний===

11.8.1. Результаты аттестационных испытаний оформляются протоколом испытаний, в общем случае содержащим:
*состав комиссии, дату испытаний, наименование объекта аттестационных испытаний;
*цель испытаний;
*перечень нормативных документов и методик испытаний;
*результаты испытаний на момент окончания.

11.8.2. На основании полученных результатов испытаний принимается заключение, которое должно включать:
*оценку соответствия объекта информатизации требованиям по безопасности информации;
*перечень выявленных недостатков и нарушений;
*рекомендации по устранению выявленных недостатков и нарушений;
*вывод о возможности выдачи "Аттестата соответствия".

11.8.3. Оценка соответствия объекта информатизации требованиям по безопасности информации производится на основании анализа общих результатов испытаний и выявленных в процессе испытаний конкретных недостатков и нарушений.

11.8.4. В случае несоответствия объекта информатизации установленным требованиям по защите информации комиссия может рассмотреть предложения заявителя по оперативному устранению выявленных недостатков и нарушений. При этом могут рекомендоваться следующие меры:
*доработка организационно-распорядительной документации;
*снижение класса объекта ВТ;
*исключение отдельных средств из состава объекта ВТ;
*применение дополнительных организационно-технических мер защиты;
*применение дополнительных сертифицированных средств защиты информации.

11.8.5. Если в процессе аттестационных испытаний выявлены недостатки, не приводящие к нарушениям установленных требований и норм защищенности информации, то комиссия может рекомендовать следующие меры:
*оперативное устранение выявленных недостатков в процессе аттестационных испытаний;
*устранение установленных недостатков и нарушений в согласованные с комиссией сроки с представлением необходимых документов в Орган по аттестации;
*проведение дополнительных частичных испытаний в согласованные сроки и по дополнительному соглашению.

{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |Руководитель аттестационной комиссии
|width=99% |  <hr>
|-
|width=1% nowrap="nowrap" | 
|width=99% |<small><center><sup>(число, подпись)</sup></center></small>
|}

{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |Члены аттестационной комиссии
|width=99% |  <hr>
|-
|width=1% nowrap="nowrap" | 
|width=99% |<small><center><sup>(число, подпись)</sup></center></small>
|-
|width=1% nowrap="nowrap" | 
|width=99% |  <hr>
|-
|width=1% nowrap="nowrap" | 
|width=99% |<small><center><sup>(число, подпись)</sup></center></small>
|}

[[Категория:Документы, разрабатываемые при создании выделенного помещения]]
[[Категория:Соответствие нормативным требованиям]]

Протокол контроля выполнения норм противодействия акустической речевой разведки (Аттестация ВП)

2011-05-03T09:07:45Z

Majestic: Новая страница

<big><center>'''ПРОТОКОЛ № _____'''</center></big>
<center>контроля выполнения норм противодействия</center>
<center>акустической речевой разведки</center>

1. Объект контроля (наименование здания, помещения и т.п.).

''Органом по аттестации объектов информатизации (ОИ) Гостехкомиссии России (аттестат аккредитации №_____________ , лицензия на деятельность в области защиты информации № _________.) проведен инструментальный контроль выделенного помещения – комнаты № ___ помещения управления _____________.''

2. Назначение объекта и его краткое описание (расположение помещения, степень секретности защищаемой речевой информации, границы контролируемой зоны).

3. Вид контроля (периодический, аттестация и т.п.).

4. Вид канала перехвата речевой информации:

''Акустический – при непосредственном прослушивании на разведопасном направлении. Информативными сигналами являются акустические речевые сигналы.''

''Оптико-электронный – при съеме информативных сигналов с оконных стекол на разведопасном направлении из-за пределов контролируемой зоны с помощью лазерных устройств. Информативными сигналами являются вибрационные колебания оконных стекол, возникающие в результате воздействия на эти оконные стекла акустических речевых сигналов.''

''Виброакустический – при съеме информации с элементов конструкций и коммуникаций здания, в котором находится помещение.''

…

5. Контролируемые ограждающие конструкции и элементы технических систем (например, окно (окна), дверь (двери), стена (стены), пол, потолок, вентиляционный люк, коммуникации систем отопления и кондиционирования и др.).

6. Описание применяемых мер и средств защиты.

7. Измерительная аппаратура (тип, заводской номер, дата поверки).

8. Метод проведения измерений (краткое описание или ссылка на документ).

''Контроль выполнения норм противодествия АРР осуществлялся инструментально-расчетным методом с использованием методик Гостехкомиссии России:

…''

9. Таблицы результатов измерений и расчетов показателя противодействия таблица 1, таблица 2).

Таблица 1 – Результаты определения отношений "сигнал/шум" в октавных полосах в контрольной точке № …

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=20% |<center><small>Номер октавной полосы, i</small></center>
|width=20% |<center><small>Уровень акустического (вибрационного) шума в контрольной точке Lш<sub>i</sub> (Vш<sub>i</sub>), дБ</small></center>
|width=20% |<center><small>Уровень суммарного акустического (вибрационного) сигнала и акустического (вибрационного) шума в контрольной точке L(с+ш)<sub>i</sub>), дБ</small></center>
|width=20% |<center><small>Уровень акустического (вибрационного) сигнала в контрольной точке Lс<sub>i</sub>(Vc<sub>i</sub>), дБ</small></center>
|width=20% |<center><small>Отношение сигнал/шум в контрольной точке Е<sub>i</sub>, д</small></center>
|-
|width=20% nowrap="nowrap" |<center>1</center>
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |<center>2</center>
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |<center>3</center>
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |<center>4</center>
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |<center>5</center>
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}

Таблица 2 – Результаты расчета значения показателя противодействия акустической речевой разведке в контрольной точке № …

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=25% |<center><small>Номер октавной полосы, i</small></center>
|width=25% |<center><small>Значение октавного индекса артикуляции r<sub>i</sub></small></center>
|width=25% |<center><small>Значение интегрального индекса артикуляции R</small></center>
|width=25% |<center><small>Значение показателя противодействия W</small></center>
|-
|width=25% nowrap="nowrap" |<center>1</center>
|width=25% nowrap="nowrap" | 
|rowspan="5" width=25% nowrap="nowrap" | 
|rowspan="5" width=25% nowrap="nowrap" | 
|-
|width=25% nowrap="nowrap" |<center>2</center>
|width=25% nowrap="nowrap" | 
|-
|width=25% nowrap="nowrap" |<center>3</center>
|width=25% nowrap="nowrap" | 
|-
|width=25% nowrap="nowrap" |<center>4</center>
|width=25% nowrap="nowrap" | 
|-
|width=25% nowrap="nowrap" |<center>5</center>
|width=25% nowrap="nowrap" | 
|}

10. Приложения (схемы размещения рабочего места, средств защиты на рабочем месте и контрольно-измерительной аппаратуры при проведении контроля).

…

11. ВЫВОДЫ

…

<center><big>Заключение о выполнении норм противодействия</big></center>

<center>___________________________________________________________________</center>

<center><small>(Указывается: нормы выполняются, нормы не выполняются)</small></center>

{|border="0" cellpadding="0" cellspacing="10" align="center" width=100%
|width=2% nowrap="nowrap" |Контроль выполнили: 
|width=49% | <hr>
|width=49% | <hr>
|-
|width=2% nowrap="nowrap" | 
|width=49% |<center><small>(должность, фамилия, инициалы)</small></center>
|width=49% |<center><small>(подписи)</small></center>
|}

{|border="0" cellpadding="0" cellspacing="10" align="center" width=100%
|width=4% nowrap="nowrap" |в присутствии представителей: 
|width=32% | <hr>
|width=32% | <hr>
|width=32% | <hr>
|-
|width=4% nowrap="nowrap" | 
|width=32% |<center><small>(наименование организации)</small></center>
|width=32% |<center><small>(должность, фамилия, инициалы)</small></center>
|width=32% |<center><small>(подписи)</small></center>
|}

Дата проведения контроля "____" ____________ 20___года.

[[Категория:Документы, разрабатываемые при создании выделенного помещения]]
[[Категория:Соответствие нормативным требованиям]]

Протокол инструментального технического контроля эффективности защиты объекта вычислительной техники от разведки ПЭМИН (Аттестация ВП)

2011-05-03T08:23:39Z

Majestic: Новая страница

__NOTOC__

<big><center>'''ПРОТОКОЛ № ____'''</center></big>
<center>инструментального технического контроля эффективности защиты</center>
<center>объекта вычислительной техники от разведки ПЭМИН</center>

1. Объект контроля (наименование здания, помещения и т.п.).

2. Назначение объекта и его краткое описание (расположение помещения, степень секретности защищаемой информации, границы контролируемой зоны).

3. Вид контроля (периодический, аттестация и т.п.).

4. Вид канала перехвата информации (ПЭМИ, наводки на токопроводящие коммуникации, утечка по цепям электропитания и заземления).

5. Контролируемые технические средства (тип, серийный номер), параметры тестовых сигналов, режимы работы исследуемых технических средств.

6. Описание применяемых мер и средств защиты.

7. Измерительная аппаратура (тип, заводской номер, дата поверки), режимы ее работы.

8. Метод проведения измерений (краткое описание или ссылка на документ).

<center><big>Заключение о выполнении норм эффективности защиты информации</big></center>

<center>___________________________________________________________________</center>

<center><small>(Указывается: нормы выполняются, нормы не выполняются)</small></center>

{|border="0" cellpadding="0" cellspacing="10" align="center" width=100%
|width=2% nowrap="nowrap" |Контроль выполнили: 
|width=49% | <hr>
|width=49% | <hr>
|-
|width=2% nowrap="nowrap" | 
|width=49% |<center><small>(должность, фамилия, инициалы)</small></center>
|width=49% |<center><small>(подписи)</small></center>
|}

{|border="0" cellpadding="0" cellspacing="10" align="center" width=100%
|width=4% nowrap="nowrap" |в присутствии представителей: 
|width=32% | <hr>
|width=32% | <hr>
|width=32% | <hr>
|-
|width=4% nowrap="nowrap" | 
|width=32% |<center><small>(наименование организации)</small></center>
|width=32% |<center><small>(должность, фамилия, инициалы)</small></center>
|width=32% |<center><small>(подписи)</small></center>
|}

Дата проведения контроля "____" ____________ 20___года.

Приложения:

Таблицы результатов измерений и расчетов показателя эффективности защиты информации по каждому из исследуемых технических средств.

Схемы размещения рабочего места, средств защиты на рабочем месте и контрольно-измерительной аппаратуры при проведении контроля.

Таблица № ___

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=12,5% |<center><small>Номер частотного интервала<br />i</small></center>
|width=12,5% |<center><small>Частота<br />f, МГц</small></center>
|width=12,5% |<center><small>Уровень тест-сигнала<br />U, дБ</small></center>
|width=12,5% |<center><small>Уровень напряженности поля тест-сигнала<br />Ei, мкВ/м</small></center>
|width=12,5% |<center><small>Относительная погрешность измерения,<br />дБ</small></center>
|width=12,5% |<center><small>Уровень напряженности поля шума, Eшni (Eшi),<br />мкВ/м</small></center>
|width=12,5% |<center><small>Отношение сигнал/шум<br />Δ</small></center>
|width=12,5% |<center><small>Вып. Норм</small></center>
|-
|width=12,5% | 
|width=12,5% | 
|width=12,5% | 
|width=12,5% | 
|width=12,5% | 
|width=12,5% | 
|width=12,5% | 
|width=12,5% | 
|}

[[Категория:Документы, разрабатываемые при создании выделенного помещения]]
[[Категория:Соответствие нормативным требованиям]]

Предписание на эксплуатацию объекта вычислительной техники (Аттестация ВП)

2011-05-03T07:37:21Z

Majestic: Новая страница

__NOTOC__
{|border="0" cellpadding="0" cellspacing="0" align="center" width=90%
|width=70% | 
|width=30% |<center>УТВЕРЖДАЮ</center>
|-
|width=70% | 
|width=30% | <hr>
|-
|width=70% | 
|width=30% |<center>"___"___________ 20__ года</center>
|}

<big><center>'''ПРЕДПИСАНИЕ НА ЭКСПЛУАТАЦИЮ'''</center></big>
<center>объекта вычислительной техники</center>
<center>______________________________</center>
<center>(принадлежащего … , установленного по адресу … , в помещении №_____)</center>

1. ОБЩИЕ СВЕДЕНИЯ ОБ ОБЪЕКТЕ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ВТ)

1.1 Наименование объекта вычислительной техники: …

1.2 Расположение объекта ВТ: …

1.3 Класс защищенности и категория объекта: …

В соответствии с актом категорирования №… от … объекту ВТ присвоена … категория. В соответствии с актом классификации №… от … для АС установлен класс …

2. СОСТАВ ОТСС и ВТСС ОБЪЕКТА ВТ

2.1 Состав ОТСС объекта приведен в таблице № 1.

Таблица № 1

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=25% |<center>№ п/п</center>
|width=25% |<center>Тип ОТСС</center>
|width=25% |<center>Заводской (серийный) номер</center>
|width=25% |<center>Примечание</center>
|-
|width=25% | 
|width=25% | 
|width=25% | 
|width=25% | 
|}

2.2 Состав ВТСС объекта приведен в таблице № 2.

Таблица № 2

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=25% |<center>№ п/п</center>
|width=25% |<center>Тип ВТСС</center>
|width=25% |<center>Заводской (серийный) номер</center>
|width=25% |<center>Примечание</center>
|-
|width=25% | 
|width=25% | 
|width=25% | 
|width=25% | 
|}

2.3. Структура, топология и размещение ОТСС относительно границ контролируемой зоны объекта:

ОТСС на объекте ВТ располагаются внутри контролируемой зоны (КЗ), расстояние до границы КЗ составляет не более … метров, что не удовлетворяет требованиям "[[Предписание на эксплуатацию персонального компьютера (Аттестация ВП)|Предписание на эксплуатацию персонального компьютера]]".

С целью предотвращения утечки информации за счет побочных электромагнитных излучений от СВТ, входящих в состав объекта ВТ, в комнате № … установлен сертифицированный по требованиям безопасности информации генератор шума … (зав. № ___), обеспечивающий требуемое соотношение уровней информативного сигнала ПЭМИ для каждого СВТ и помех на границе реальной КЗ в … метров.

2.4. Размещение ВТСС, расположение линий и коммуникаций:

Требования "[[Предписание на эксплуатацию персонального компьютера (Аттестация ВП)|Предписание на эксплуатацию персонального компьютера]]" по обеспечению минимального расстояния до ВТСС, имеющих выход за пределы контролируемой зоны, выполняются (rфакт > r1макс. = … метра).

Требования "[[Предписание на эксплуатацию персонального компьютера (Аттестация ВП)|Предписание на эксплуатацию персонального компьютера]]" по обеспечению минимального расстояния до кабелей (проводов) посторонних линий связи, сигнализации и т.п., имеющих выход за пределы КЗ, выполняются (r факт > r1’макс. = … метра).

2.5. Электропитание и заземление объекта вычислительной техники:

Электропитание объекта ВТ осуществляется через сертифицированный сетевой помехо-подавляющий фильтр … (зав. № ___), установленный в комнате № __. В помещении имеется система защитного заземления.

2.6. Состав средств защиты информации:

Таблица 3

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=20% |<center>№ п/п</center>
|width=20% |<center>Наименование и тип технического средства защиты</center>
|width=20% |<center>Заводской (серийный) номер</center>
|width=20% |<center>Сведения о сертификате</center>
|width=20% |<center>Место установки</center>
|-
|width=20% | 
|width=20% | 
|width=20% | 
|width=20% | 
|}

3. СВЕДЕНИЯ О СООТВЕТСТВИИ ОТСС ОБЪЕКТА ВТ ТРЕБОВАНИЯМ ПО БЕЗОПАСНОСТИ ИНФОРМАЦИИ.

3.1. Сведения о проверке технических средств на возможно внедренные средства перехвата информации:

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=25% |<center>№ п/п</center>
|width=25% |<center>Наименование объекта</center>
|width=25% |<center>Заводской серийный номер</center>
|width=25% |<center>Заключение о проведении спецпроверки</center>
|-
|width=25% | 
|width=25% | 
|width=25% | 
|width=25% | 
|}

3.2. Сведения о специсследованиях объекта ВТ:

По результатам проведения объектовых специсследований, на объект ВТ оформлены следующие документы:
*[[Протокол лабораторных специсследований техсредств, входящих в состав объекта вычислительной техники, по каналу ПЭМИН (Аттестация ВП)|Протоколы проведения специальных исследований]] и [[Предписание на эксплуатацию средств вычислительной техники (Аттестация АС)|Предписания на эксплуатацию ОТСС]] № … от …;
*Протоколы проверки эффективности средств пассивной и активной защиты № … от …

Проведение объектовых специсследований показало:
*Средства пассивной защиты обеспечивают требуемое затухание информативного сигнала по цепям электропитания СВТ.
*Средства активной защиты обеспечивают требуемое соотношение уровней информационного сигнала ПЭМИ для каждого СВТ и помех на границе реальной КЗ в 10 метров.

4. ПРИ ЭКСПЛУАТАЦИИ ОБЪЕКТА ВТ ЗАПРЕЩАЕТСЯ:

*Менять состав ОТСС и ВТСС объекта ВТ;
*Менять состав средств защиты информации, установленных на объекте ВТ;
*Привлекать иностранных специалистов к монтажу, наладке и обслуживанию объекта ВТ;
*Размещать ВТСС, имеющие выход за пределы контролируемой зоны, от ОТСС на удалении менее … метра (без применения САЗ).
*Размещать кабели (провода), проходящие через помещение объекта ВТ и выходящие за пределы контролируемой зоны, от ОТСС на удалении менее … метра (без применения САЗ).
*Менять состав операционной системы и прикладных программ, расположение ОТСС относительно границ контролируемой зоны и мест установки САЗ;
*Проводить обработку секретной информации без использования средств активной защиты на базе генератора шума типа … и сетевого помехоподавляющего фильтра …
*Подключать к ОТСС нештатные блоки и устройства, не прошедшие специальные исследования и специальную проверку и не имеющие предписания на эксплуатацию;
*Обрабатывать информацию с грифом выше …

5. Действие "Предписания …" прекращается в случаях:
*Изменений, приводящих к нарушению требований данного "Предписания …";
*Выявления несоответствия уровней ПЭМИН от ОТСС объекта ВТ действующим нормам, при проведении инструментального контроля.

6. Контроль за выполнением требований настоящего "Предписания …" осуществляет ответственный за объект ВТ.

{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |Руководитель аттестационной комиссии
|width=99% |  <hr>
|-
|width=1% nowrap="nowrap" | 
|width=99% |<small><center><sup>(число, подпись)</sup></center></small>
|}

[[Категория:Документы, разрабатываемые при создании выделенного помещения]]
[[Категория:Соответствие нормативным требованиям]]

Протокол лабораторных специсследований техсредств, входящих в состав объекта вычислительной техники, по каналу ПЭМИН (Аттестация ВП)

2011-01-14T09:32:24Z

Majestic: Новая страница

<big><center>'''ПРОТОКОЛ'''</center></big>
<center>лабораторных специальных исследований технических средств,</center>
<center>входящих в состав объекта вычислительной техники, по каналу ПЭМИН</center>

1. Специальные исследования (СИ) проводились в помещении №__ корпуса №______ "___" на испытательной площадке № 1 на основании лицензии Гостехкомиссии России № ___ от _________ года.

2. Вид канала перехвата информации (ПЭМИ, наводки на токопроводящие коммуникации, утечка по цепям электропитания и заземления, акустоэлектрические преобразования, наличие паразитной генерации).

3. Контролируемое техническое средство (дисплей, принтер и др.) и его номер.

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=10% nowrap="nowrap" |<center>№ п/п</center>
|width=30% nowrap="nowrap" |<center>Наименование</center>
|width=30% nowrap="nowrap" |<center>Модель</center>
|width=30% nowrap="nowrap" |<center>Серийный номер</center>
|-
|width=10% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|}

4. Измерительная аппаратура (тип, заводской номер, дата поверки).

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=20% nowrap="nowrap" |<center>№ п/п</center>
|width=20% nowrap="nowrap" |<center>Наименование</center>
|width=20% nowrap="nowrap" |<center>Модель</center>
|width=20% nowrap="nowrap" |<center>Серийный номер</center>
|width=20% nowrap="nowrap" |<center>Дата очередной поверки</center>
|-
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}

5. Метод проведения измерений (краткое описание или ссылка на документ).

5.1. Специальные исследования ПЭВМ проводились в соответствии с требованиями, изложенными в следующих нормативно-методических документах:
*"Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР)", Гостехкомиссия России, 1997 г.;
*"Сборник норм по защите информации от утечки за счет побочных электромагнитных излучений и наводок", Гостехкомиссия России, 1998 г.
*"Сборник методических документов по контролю защищенности информации, обрабатываемой средствами вычислительной техники, от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН)", Гостехкомиссия России, 2002 г.
*...

5.2. Специальные исследования проводились в следующих режимах работы ПЭВМ:
*режим вывода информации на экран монитора;
*режим записи-считывания информации HDD;
*режим записи-считывания информации FDD;
*режим набора информации с клавиатуры;
*режим вывода информации на принтер;
*режим сканирования и передачи информации ПЭВМ.
*...

5.3. Условия проведения специальных исследований.

5.3.1. Измерения электрической составляющей электромагнитного поля:
*диапазон, расстояния от антенны до исследуемого средства (d) и высота подъема (h) антенн по диапазонам: от ... до ... МГц: d = ... м, h = ... м;
*используемые антенны и полосы пропускания приемника по диапазонам: …

5.3.2. Измерения магнитной составляющей электромагнитного поля:
*диапазон, расстояние от антенны до исследуемого средства, высота антенны: от ... до ... : d= ... м, h= ... м;
*используемые антенны и полосы пропускания приемника по диапазонам: …

5.3.3. Измерения наводок на цепи электропитания и заземления:

5.3.4 Измерения информативных электрических сигналов возникающих за счет, образующихся из акустических информативных сигналов в результате микрофонного эффекта и распространяющихся по линиям и проводным цепям.

6. Параметры тест-сигнала, режимы работы контролируемого технического средства.

7. Таблицы результатов измерений и расчетов показателя противодействия, параметры тестовых сигналов.

Таблица 1

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=20% |<center>Номер частотного интервала, i</center>
|width=20% |<center>Значение частоты f, МГц</center>
|width=20% |<center>Измеренное значение уровня сигнала, U дБ</center>
|width=20% |<center>Уровень напряженности поля, Ei, мкВ/м</center>
|width=20% |<center>Относительная погрешность измерения, дБ</center>
|-
|width=20% nowrap="nowrap" |1
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |...
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |n
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}

Таблица 2

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=30% |<center>Интервал суммирования</center>
|width=30% |<center>Суммарный уровень сигнала</center>
|width=10% |<center>Значение R2 для 1-й категории</center>
|width=10% |<center>Значение R2</center>
|width=10% |<center>Значение r1</center>
|width=10% |<center>Значение r1’</center>
|-
|width=30% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|width=10% nowrap="nowrap" | 
|width=10% nowrap="nowrap" | 
|width=10% nowrap="nowrap" | 
|width=10% nowrap="nowrap" | 
|}

8. Выводы по результатам специсследования ПЭВМ

8.1. Минимально необходимые размеры зон, которые требуется обеспечить при эксплуатации технических средств ПЭВМ в составе, приведенном в п.3 настоящего протокола, составляют:

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=40% nowrap="nowrap" |<center>Категория</center>
|width=20% nowrap="nowrap" |<center>R2, м</center>
|width=20% nowrap="nowrap" |<center>r1,м</center>
|width=20% nowrap="nowrap" |<center>r1’,м</center>
|-
|width=40% nowrap="nowrap" |Первая
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=40% nowrap="nowrap" |Вторая
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=40% nowrap="nowrap" |Третья
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}

Примечание:

<small>
Расстояния r1 и r1’ до случайных антенн вычислены для затухания транспортирующей цепи, равного 0 дБ. При иных значениях затухания транспортирующих цепей ССА и РСА значения r1 и r1’ уточняются при проведении объектовых специальных исследований.</small>

8.2. Минимальное затухание фильтра питания при эксплуатации технических средств, указанных в п.3 настоящего протокола должно составлять:
*для 1-й категории ... дБ;
*для 2-й категории ... дБ;
*для 3-й категории ... дБ.

Примечание:

<small>Затухание фильтра питания рассчитано для сети, подводящие линии которой обеспечивают собственное затухание от места подключения технического средства до выхода за границу контролируемой территории, равное 0 дБ. При других значениях собственного затухания подводящих линий питания требуется проведение дополнительных измерений в условиях объекта, на котором размещается техническое средство.</small>

8.3 Электрических сигналов, возникающих посредством преобразования информативных сигналов из акустических в электрические за счет микрофонного эффекта и распространяющихся по линиям и проводным цепям, не обнаружено.

8.4 Сигналов паразитной генерации от технических средств из состава ПЭВМ не обнаружено.

Контроль выполнили:

{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=45% nowrap="nowrap" |  <hr>
|width=10% | 
|width=45% |  <hr>
|-
|width=45% nowrap="nowrap" |<small><center><sup>(должность, фамилия, инициалы)</sup></center></small>
|width=10% | 
|width=45% |<small><center><sup>(подписи)</sup></center></small>
|}

Дата проведения контроля «_____» ______________ 200__года.

Приложение: Схема расположения технических средств испытуемого устройства и соединительных кабелей.

[[Категория:Документы, разрабатываемые при создании выделенного помещения]]
[[Категория:Соответствие нормативным требованиям]]

Предписание на эксплуатацию персонального компьютера (Аттестация ВП)

2011-01-13T12:27:13Z

Majestic: Новая страница

<big><center>'''ПРЕДПИСАНИЕ'''</center></big>
<center>на эксплуатацию персонального компьютера</center>

1. Настоящее предписание распространяется на персональный компьютер (далее по тексту ПЭВМ) в составе, указанном в таблице 1.

Таблица 1
{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=10% nowrap="nowrap" |<center>№ п/п</center>
|width=30% nowrap="nowrap" |<center>Наименование</center>
|width=30% nowrap="nowrap" |<center>Модель</center>
|width=30% nowrap="nowrap" |<center>Серийный номер</center>
|-
|width=10% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|}

2. Предписание содержит перечень требований и рекомендаций по защите информации различных степеней секретности, обрабатываемой ПЭВМ, от утечки за счет электрических сигналов, образующихся из акустических информативных сигналов в результате микрофонного эффекта и распространяющихся в окружающем пространстве за счет ЭМВ, а также по линиям и проводным цепям.

3. В соответствии с действующими нормативными документами и результатами специальных исследований разрешается эксплуатировать ПЭВМ в составе, приведенном в п.1, для обработки и хранения информации различных степеней секретности на объектах информатизации при условии выполнения требований раздела 4 настоящего "Предписания...".

4. Требования при эксплуатации.

4.1. При обработке и хранении техническими средствами ПЭВМ информации различных степеней секретности необходимо выполнять следующие требования:

…

4.1.1. Обеспечить размеры контролируемой зоны от технических средств ПЭВМ, не менее R2 (таблица 2) для соответствующей категории объекта эксплуатации.

Категория технических средств и систем устанавливается в зависимости от степени секретности обрабатываемой информации и условий их расположения относительно постоянных представительств иностранных государств, обладающих правом экстерриториальности.

4.1.2. Размещать вспомогательные технические средства и системы (ВТСС) и их кабели, имеющие выход за пределы контролируемой зоны, относительно ПЭВМ на расстояниях, не менее r1 и r1’, указанных в таблице 2.

Таблица 2
{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=20% nowrap="nowrap" |<center>Категория</center>
|width=20% nowrap="nowrap" |<center>R2, м</center>
|width=20% nowrap="nowrap" |<center>r1,м</center>
|width=20% nowrap="nowrap" |<center>r1’,м</center>
|width=20% nowrap="nowrap" |<center>Кф, дБ</center>
|-
|width=20% nowrap="nowrap" |Первая
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |Вторая
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=20% nowrap="nowrap" |Третья
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}

Примечания:

<small>1.В таблице обозначены:
*R2 – минимально необходимый размер контролируемой зоны;
*r1 – минимально необходимое расстояние от элементов технического средства до сосредоточенных случайных антенн (телефонные аппараты, концентраторы, электрические часы и т.д.), линии связи и коммуникации которых имеют выход за пределы контролируемой территории;
*r1’ – минимально необходимое расстояние от элементов технического средства до рассредоточенных случайных антенн (линии связи и коммуникации), имеющих выход за пределы контролируемой территории.
2.Расстояния r1 и r1’ до случайных антенн вычислены для затухания транспортирующей цепи, равного 0 дБ. При иных значениях затухания транспортирующих цепей ССА и РСА значения r1 и r1’ уточняются при проведении объектовых специальных исследований.

3.Затухание фильтра питания Кф рассчитано для сети, подводящие линии которой обеспечивают собственное затухание от места подключения технического средства до выхода за границу контролируемой территории, равное 0 дБ. При других значениях собственного затухания подводящих линий питания требуется проведение дополнительных измерений в условиях объекта, на котором размещается техническое средство.</small>

4.1.3. Электропитание технических средств ПЭВМ осуществлять:

4.1.3.1. Относящихся к объектам информатизации 1-ой категории – от трансформаторной подстанции, расположенной в пределах контролируемой зоны объекта, через сертифицированные по требованиям безопасности информации сетевые помехоподавляющие фильтры, имеющие коэффициент затухания (Кф) не менее указанных в таблице 2, либо через систему "двигатель-генератор";

4.1.3.2. Относящихся к объектам информатизации 2-ой категории – от трансформаторной подстанции, расположенной в пределах контролируемой зоны объекта, через сертифицированные по требованиям безопасности информации сетевые помехоподавляющие фильтры, имеющие коэффициент затухания (Кф) не менее указанных в таблице 2, либо с использованием системы активного зашумления;

4.1.3.3. Относящихся к объектам информатизации 3-ей категории – от трансформаторной подстанции, расположенной в пределах контролируемой зоны объекта, без применения дополнительных мер защиты.

Допускается для объектов 2-ой и 3-ей категорий осуществлять электропитание от трансформаторных подстанций, расположенных за пределами контролируемой зоны объекта, при условии использования сертифицированных по требованиям безопасности информации сетевых помехоподавляющих фильтров или систем активного зашумления.

4.1.4. Заземление технических средств ПЭВМ осуществлять на контур заземления, расположенный в пределах контролируемой зоны объекта.

Заземляющее устройство (очаг заземления) необходимо располагать в пределах контролируемой зоны на следующих расстояниях от границ контролируемой зоны и от подземных коммуникаций, имеющих выход за пределы этой зоны:
*не менее 15 м для объектов 1 категории;
*не менее 10 м для объектов 2 и 3 категорий.
В качестве заземляющих и нулевых защитных проводников рекомендуется использовать специально проложенные для этой цели проводники. Величина сопротивления заземляющего устройства не должна превышать 4 Ом в любое время года.

Допускается осуществлять заземление (зануление) ПЭВМ через контакт "земля" розетки электропитания штатным кабелем.

4.1.5. При невозможности обеспечения зон R2, r1 и r1’ рекомендуется использовать сертифицированные пассивные или активные средства защиты. После установки средств защиты проводятся объектовые специальные исследования для оценки эффективности принимаемых мер по защите информации.

4.1.6. Работа ПЭВМ в локальной вычислительной сети (ЛВС) допускается после проведения объектовых специсследований с выдачей аттестата соответствия на данную ЛВС.

4.1.7. Подключение ПЭВМ к внешним закрытым каналам связи допускается в случае использования сертифицированных ФАПСИ средств сопряжения с закрытым каналом связи, после проведения объектовых специальных исследований и экспертизы результатов специсследований ФАПСИ.

4.2. При обработке и хранении техническими средствами ПЭВМ информации различных грифов секретности запрещается:
*подключать ПЭВМ (через МОДЕМ) к внешним открытым каналам связи;
*вносить изменения в конфигурацию, схемы, монтаж, и конструкцию ПЭВМ без согласования с ...
*использовать нештатные кабели и разъемы;
*изменять электрические параметры и ремонтировать ПЭВМ;
*нарушать целостность конструкции, работать со снятым кожухом (корпусом) и незатянутыми винтами разъемов;
*подключать к распределительному устройству трансформаторных подстанций, питающих категорированные объекты, со стороны низшего напряжения посторонних потребителей, расположенных за пределами контролируемой зоны;
* использовать в качестве заземляющих и защитных проводников металлические конструкции зданий, металлические конструкции производственного назначения, оболочки кабелей и трубопроводы различного назначения.

4.3. Изменения условий эксплуатации, состава ПЭВМ и размещения, приводящие к нарушению требований данного предписания, должны быть согласованы с ...

5. Контроль за выполнением требований предписания.

Контроль за выполнением требований настоящего предписания возлагается на подразделение ПД ТСР эксплуатирующей организации.

{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=80% nowrap="nowrap" | 
|width=20% |  <hr>
|-
|width=80% nowrap="nowrap" | 
|width=20% |<small><center><sup>(число, подпись)</sup></center></small>
|}

[[Категория:Документы, разрабатываемые при создании выделенного помещения]]
[[Категория:Соответствие нормативным требованиям]]

Акт категорирования выделенного помещения (Аттестация ВП)

2011-01-13T10:49:02Z

Majestic: Новая страница

Технический паспорт на выделенное помещение (Аттестация ВП)

2010-12-30T11:30:53Z

Majestic: Новая страница

__NOTOC__
{|border="0" cellpadding="0" cellspacing="0" align="center" width=90%
|width=60% | 
|width=40% |<center>УТВЕРЖДАЮ</center>
|-
|width=60% | 
|width=40% | <hr>
|-
|width=60% | 
|width=40% |<small><center><sup>(Ф.И.О., должность руководителя организации-заявителя)</sup></center></small>
|-
|width=60% | 
|width=40% |<center>"___"___________ 20__ года</center>
|}

<big><center>'''ТЕХНИЧЕСКИЙ ПАСПОРТ'''</center></big>
<center>помещения № ___</center>
<center>расположенного в помещении № ___ по адресу: ________</center>
====1. Общие сведения об объекте====
{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |1.1. Наименование объекта:
|width=99% | <hr>
|-
|width=1% | 
|width=99% |<small><center><sup>(полное наименование объекта)</sup></center></small>
|}
{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |1.2. Расположение объекта:
|width=99% | <hr>
|-
|width=1% | 
|width=99% |<small><center><sup>(адрес, здание, строение, этаж, комнаты)</sup></center></small>
|}
{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |1.3. Категория объекта:
|width=99% | ..., [[Акт категорирования выделенного помещения (Аттестация ВП)|Акт категорирования...]] <hr>
|-
|width=1% | 
|width=99% |<small><center><sup>(категория, основание)</sup></center></small>
|}
{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |1.4. Сведения о вводе объекта в эксплуатацию:
|width=99% | <hr>
|-
|width=1% | 
|width=99% |<small><center><sup>(номер и дата акта ввода объекта в эксплуатацию)</sup></center></small>
|}
====2. Состав оборудования объекта====
Перечень объектов, находящихся в выделенном помещении:

Таблица 1
{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=10% nowrap="nowrap" |<center>№ п/п</center>
|width=50% nowrap="nowrap" |<center>Наименование</center>
|width=20% nowrap="nowrap" |<center>Заводской (инвентарный) номер</center>
|width=20% nowrap="nowrap" |<center>Примечание</center>
|-
|width=10% nowrap="nowrap" | 
|width=50% nowrap="nowrap" |ОТСС:
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=10% nowrap="nowrap" | 
|width=50% nowrap="nowrap" |ВТСС:
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|-
|width=10% nowrap="nowrap" | 
|width=50% nowrap="nowrap" |Мебель:
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}
2.1 Схема контролируемой зоны объекта:

Организация занимает ___ этажи. Контролируемой зоной является ... Допуск на территорию предприятия осуществляется ...

2.2. Размещение ОТСС, ВТСС, мебели, расположение линий и коммуникаций.

Размещение ОТСС, ВТСС, а также схемы прокладки линий и коммуникаций представлены в приложении ... Пульт охранной сигнализации располагается на 1 этаже здания ...

2.3. Системы электропитания и заземления:

Электропитание ОТСС осуществляется от трансформаторной подстанции, расположенной …, через фильтр сетевой помехоподавляющий ..., установленный ... На объекте организовано электропитание с глухо-заземленной нейтралью. Заземляющие устройства располагаются ... Отдельный контур заземления ... Схемы электропитания и заземления объекта представлены в приложении ...

2.4. Состав средств защиты информации:

Таблица 2
{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=10% nowrap="nowrap" |<center>№ п/п</center>
|width=30% nowrap="nowrap" |<center>Наименование и тип</center>
|width=20% nowrap="nowrap" |<center>Заводской номер</center>
|width=20% nowrap="nowrap" |<center>Сведения о сертификате</center>
|width=20% nowrap="nowrap" |<center>Место и дата установки</center>
|-
|width=10% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}

====3. Сведения о соответствии выделенного помещения требованиям по безопасности информации====
3.1. Сведения о специальных проверках ОТСС объекта:

"Заключение по результатам проведения специальной проверки ..." уч. №... от ..., выдано ... (кем);

3.2. Сведения о лабораторных специсследованиях ВТ установленной в ВП:

[[Предписание на эксплуатацию средств вычислительной техники (Аттестация АС)| "Предписание на эксплуатацию ...", уч. № ..., выдано ... (кем);]]

3.3. Сведения об объектовых специсследованиях ВТ установленной в ВП:

[[Предписание на эксплуатацию объекта вычислительной техники (Аттестация АС)|"Предписание на эксплуатацию ...", уч. № ..., выдано ... (кем);]]

3.4. Сведения об аттестации выделенного помещения на соответствие требованиям по безопасности информации:

...
====4. Учет проведения регламентных проверок====
Таблица 3
{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=10% nowrap="nowrap" |<center>№ п/п</center>
|width=30% nowrap="nowrap" |<center>Наименование организации, проводившей проверку</center>
|width=20% nowrap="nowrap" |<center>Дата проведения проверки</center>
|width=20% nowrap="nowrap" |<center>Номер протокола</center>
|width=20% nowrap="nowrap" |<center>Примечание</center>
|-
|width=10% nowrap="nowrap" | 
|width=30% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|width=20% nowrap="nowrap" | 
|}
====5. Лист регистрации изменений====
(Изменения состава и размещения ОТСС, ВТСС и средств защиты объекта ВТ)

Таблица 4

{|border="1" cellpadding="5" cellspacing="0" align="center" width=100% style="border-collapse:collapse;"
|width=25% |<center>Порядковый № __ и дата введения изменений</center>
|width=25% |<center>Наименование документа, фиксирующего изменения</center>
|width=25% |<center>№№ замененных (исправленных) листов технического паспорта</center>
|width=25% |<center>Подпись лица, внесшего изменения</center>
|-
|width=25% | 
|width=25% | 
|width=25% | 
|width=25% | 
|}

{|border="0" cellpadding="0" cellspacing="0" align="center" width=100%
|width=1% nowrap="nowrap" |Руководитель ответственный за эксплуатацию АС
|width=99% |  <hr>
|-
|width=1% nowrap="nowrap" | 
|width=99% |<small><center><sup>(число, подпись)</sup></center></small>
|}
====Приложения====
=====Схема контролируемой зоны=====
...
=====Схема расположения ОТСС, ВТСС=====
...
=====Схема сети электропитания=====
...
=====Схема заземления=====
...
[[Категория:Документы, разрабатываемые при создании выделенного помещения]]
[[Категория:Физическая безопасность]]
[[Категория:Соответствие нормативным требованиям]]

Положение о реагировании на инциденты

2010-12-24T10:01:46Z

Majestic: Перенос в другую категорию

__TOC__
Настоящее Положение разработано в соответствии с Политикой информационной безопасности Банка, Стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2010 (принят и введен в действие Распоряжением ЦБ РФ от 21.06.2010 N Р-705) и Положением об организации внутреннего контроля в кредитных организациях и банковских группах от 16.12.2004 г. № 242-П.
==1.Термины и опеределения ==
1.1. Инцидент информационной безопасности – событие, в результате наступления которого нанесен ущерб Банку в виде финансовых потерь, операционных и репутационных рисков (хищение денежных средств со счета клиента, атака на информационные ресурсы Банка, разглашение конфиденциальной информации, нарушение работоспособности ИСБ, внесение несанкционированных изменений, утечка или разглашение персональных данных клиентов и т.д.).
==2. Общие положения==
2.1. Целью настоящего Положения является определение порядка расследования инцидентов информационной безопасности Банка.
==3. Порядок регистрации==
3.1. Источником информации об инциденте информационной безопасности может служить следующее:
*сообщения работников, клиентов, контрагентов Банка направленные в Банк в виде сообщений по электронной почте, служебных записок, писем, заявлений и т.д.
*уведомления/сообщения ЦБ, иных органов осуществляющих контроль или надзор за деятельностью Банка.
*данные, полученные на основании анализа журналов регистрации информационных систем, систем защиты.
3.2. При получении сообщения об инциденте информационной безопасности по электронной почте или по телефонному звонку необходимо убедиться в достоверности полученной информации (например путем совершения "обратного" звонка по указанным в сообщении телефонам, проверки данных указанных в подписи сообщения или названных при звонке).

3.3. Сотрудник, получивший информацию об инциденте, должен сообщить об этом начальнику отдела информационной безопасности и в службу поддержки пользователей. Отдел информационной безопасности сообщает начальнику службы безопасности и начальнику подразделения, в котором случился инцидент.

3.4. Сотрудники отдела поддержки пользователей регистрируют инцидент в системе "Итилиум".

3.5. Все инциденты информационной безопасности должны регистрироваться в электронной системе управления инцидентами. База инцидентов информационной безопасности должна постоянно актуализироваться.

3.6. В течение одного рабочего дня сотрудниками отдела информационной безопасности оформляется информационное сообщение (Приложение 1) для службы внутреннего контроля.
==4. Порядок разбора==
4.1. Для разбора инцидентов информационной безопасности создается комиссия.

4.2. В состав комиссии могут входить сотрудники следующих подразделений Банка:
*Отдел информационной безопасности.
*Служба безопасности.
*Начальник управления информационных технологий.
*Начальник отдела, в котором произошел инцидент.
4.3. Комиссия собирает и анализирует все данные об обстоятельствах инцидента (электронные письма, логи информационных систем, показания сотрудников и др.).

4.4. Комиссия обязана установить имела ли место утечка сведений и обстоятельства ей сопутствующие, установить лица, виновные в нарушении предписанных мероприятий по защите информации, установить причины и условия, способствовавшие нарушению.

4.5. По окончании разбора инцидента информационной безопасности комиссией оформляется отчет, в котором указываются основные "контрольные точки" инцидента.

4.6. Отчет предоставляется начальнику управления информационных технологий, службе внутреннего контроля и Заместителю Председателя Правления. В конце отчета указывается причина возникновения инцидента и предложения по недопущению подобных инцидентов в будущем.

4.7. После окончания расследования комиссия принимает решение о наказании виновных лиц.
==5. Контроль исполнения настоящего положения==
5.1. Контроль надлежащего исполнения требований настоящего Положения осуществляется начальником Управления информационных технологий.
==6. Внесение изменений и дополнений==
6.1. Изменения и дополнения могут вноситься в настоящее Положение по инициативе сотрудников УИТ с согласования руководителя УИТ или при необходимости.
==Приложение 1 - Информационное сообщение==
<br />
{|border="1" style="border-collapse:collapse;background-color:#fff;" align="center" width=90%
|<br /><br /><br /><center>'''Информационное сообщение'''</center>
<br />
<br />
{|border="0" style="background-color:#fff;" cellpadding="0" cellspacing="0" align="center" width=90%
|-
| 
|-
|<div style="text-align:right;">Руководителю подразделения</div>
|-
| 
|-
| 
|-
|"___"______________ 20___ года
|-
| <br /><br /><br /><br />
|-
| 
|-
|1.Наименование подразделения, ФИО сотрудника, занимаемая должность:
|-
| 
|-
|<hr>
|-
|<small><center><sup>(допустившего отклонения, установившего факты в выполнении операций, собирающегося совершить операции по данным перечням, совершившего операции, попадающие по признакам к сделкам)</sup></center></small>
|-
| 
|-
|2.Реквизиты клиента, который является участником операций, выполняемых не в стандартной форме с отклонением от общих норм и правил:
|-
| 
|-
|<hr>
|-
|<small><center><sup>(наименование организации, N р/cчета ,юридический адрес, тел. факс , ФИО физического лица, паспортные данные, местожительство)</sup></center></small>
|-
| 
|-
|3. Факты установленных нарушений или возникших подозрений по поводу возможных отклонений в выполнении операций от установленных стандартов, норм, и правил с указанием предмета сделок, их объемов, даты совершения операций:
|-
|<br>
|-
|<hr>
|-
|<br>
|-
|<hr>
|-
|<br>
|-
|<hr>
|-
|<br>
|-
|<hr>
|-
|<br>
|-

{|border="0" style="background-color:#fff;" cellpadding="0" cellspacing="0" align="center" width=90%
|width=40% |Дата составления сообщения:
|width=60% |<hr>
|}

{|border="0" style="background-color:#fff;" cellpadding="0" cellspacing="0" align="center" width=90%
|width=40% |Подпись и ФИО составителя:
|width=60% |<hr>
|}

{|border="0" style="background-color:#fff;" cellpadding="0" cellspacing="0" align="center" width=90%
|width=40% |Дата регистрации поступившего сообщения:
|width=60% |<hr>
|}

{|border="0" style="background-color:#fff;" cellpadding="0" cellspacing="0" align="center" width=90%
|width=40% |Информация о принятых мерах:
|width=60% |<hr>
|-
|width=40% |<br><hr>
|width=60% |<br><hr>
|-
|width=40% |<br><hr>
|width=60% |<br><hr>
|-
|width=40% |<br><hr>
|width=60% |<br><hr>
|}

{|border="0" style="background-color:#fff;" cellpadding="0" cellspacing="0" align="center" width=90%
|width=45% |"___" _____________ 20___ г.
|width=24% |<hr>
|width=2% | 
|width=29% |<hr>
|-
|width=45% | 
|width=24% |<small><center><sup>(подпись)</sup></center></small>
|width=2% | 
|width=29% |<small><center><sup>(фамилия и инициалы)</sup></center></small>
|}

::Согласовано:

|}

[[Категория:Управление инцидентами]]

Концепция обеспечения информационной безопасности предприятия

2010-12-23T09:19:42Z

Majestic: Новая страница

__TOC__
Настоящий документ представляет собой концепцию обеспечения информационной безопасности предприятия и определяет:
*Основные принципы формирования перечня критичных ресурсов, нуждающихся в защите, формируемого в процессе проведения аудита безопасности и анализа рисков. Данный перечень должен включать в себя описание физических, программных и информационных ресурсов с определением стоимости ресурсов и степени их критичности для предприятия.
*Основные принципы защиты, определяющие стратегию обеспечения информационной безопасности (ИБ) и перечень правил, которыми необходимо руководствоваться при построении системы обеспечения информационной безопасности (СОИБ) предприятия.
*Модель нарушителя безопасности, определяемую на основе обследования ресурсов системы и способов их использования.
*Модель угроз безопасности и оценку рисков, связанных с их осуществлением, формируемую на основе перечня критичных ресурсов и модели нарушителя, которая включает определение вероятностей угроз и способов их осуществления, а также оценку возможного ущерба.
*Требования безопасности, определяемые по результатам анализа рисков.
*Меры обеспечения безопасности организационного и программно-технического уровня, предпринимаемые для реализации перечисленных требований.
*Ответственность сотрудников предприятия за соблюдение установленных требований ИБ при эксплуатации информационной системы (ИС) предприятия.
==Общие положения==
СОИБ предприятия представляет собой совокупность мер организационного и программно-технического уровня, направленных на защиту информационных ресурсов предприятия от угроз информационной безопасности. Меры защиты организационного уровня реализуются путем проведения соответствующих мероприятий, предусмотренных документированной политикой информационной безопасности. Меры защиты программно-технического уровня реализуются при помощи соответствующих программно-технических средств и методов защиты информации.

Экономический эффект от внедрения СОИБ должен проявляться в виде снижения величины возможного материального, репутационного и иных видов ущерба, наносимого предприятию, за счет использования мер, направленных на формирование и поддержание режима ИБ. Эти меры призваны обеспечить:
*доступность информации (возможность за приемлемое время получить требуемую информационную услугу);
*целостность информации (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
*конфиденциальность информации (защита от несанкционированного ознакомления);
*неотказуемость (невозможность отрицания совершенных действий);
*аутентичность (подтверждение подлинности и достоверности электронных документов).
Концепция ИБ предприятия определяет состав критичных информационных ресурсов и основные принципы их защиты. Принципы обеспечения ИБ обуславливают необходимость применения определенных методов и технологий защиты. Определение способов реализации этих принципов путем применения конкретных программно-технических средств защиты информации (СЗИ) и системы организационных мероприятий является предметом конкретных проектов и политик информационной безопасности, разрабатываемых на основе данной Концепции.

Настоящая концепция должна пересматриваться по мере выявления новых методов и технологий осуществления атак на информационные ресурсы. Подобный пересмотр также должен производиться по мере развития информационных систем (ИС) предприятия. Рекомендуемый срок пересмотра концепции составляет три года (при условии отсутствия коренных изменений в структуре системы, в технологиях управления и передачи информации).

Подготовка настоящего документа, внесение в него изменений и общий контроль выполнения требований по обеспечению ИБ предприятия осуществляется сотрудниками отдела ИБ предприятия.

Ответственность за выполнение требований ИБ, определяемых настоящей Концепцией и другими организационно-распорядительными документами предприятия, возлагается на пользователей и администраторов корпоративной сети передачи данных предприятия, а также их руководителей.

Перечень необходимых мер защиты информации определяется по результатам аудита информационной безопасности ИС предприятия и анализа рисков с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения доступности информации и работоспособности программно-технических средств, обрабатывающих эту информацию.

Стратегия обеспечения ИБ должна строиться в соответствии с Российским законодательством в области защиты информации, требованиями международных, отраслевых и технологических стандартов.

Настоящая концепция разработана на основе нормативных и распорядительных документов в области информационной безопасности Российской Федерации.
==Описание объекта защиты==
Объектом защиты являются автоматизированные системы (как собственной, так и сторонней разработки), входящие в состав информационной системы предприятия.

Информационная система предприятия представляет собой совокупность территориально разнесенных объектов, информационный обмен между которыми осуществляется посредством использования открытых каналов связи, предоставленных сторонними операторами электросвязи. Передача информации осуществляется в кодированном виде на основе протокола кодирования, проверки целостности и конфиденциальности информационных потоков HASH64. Кодирование входящих и исходящих информационных потоков осуществляется на магистральных маршрутизаторах.
===Назначение и основные функции информационной системы===
ИС предназначена для обеспечения работоспособности информационной инфраструктуры предприятия, предоставления сотрудникам структурных подразделений различных видов информационных сервисов, автоматизации финансовой и производственной деятельности, а также бизнес-процессов предприятия.
===Группы задач, решаемых в информационной системе===
Корпоративная сеть предприятия предназначена для обеспечения автоматизации бизнес процессов организационной структуры предприятия. Решение функциональных задач реализуется на базе информационной инфраструктуры корпоративной сети с использованием специализированных программных приложений и общедоступных информационных сервисов.

К специализированным приложениям относится система бухгалтерского учета, геоинформационная система, а также система электронного документооборота на базе сервисного программного обеспечения Lotus Notes Server.

К общедоступным сетевым сервисам относятся средства обработки информационных потоков на сетевом и операционном уровне, такие как:
*Система обмена электронной почтой на основе специализированных протоколов Lotus внутри предприятия и протокола SMTP для внешнего информационного обмена.
*Файловый сервис на основе протоколов Netware.
===Классификация пользователей системы===
Пользователем ИС является любой сотрудник предприятия, зарегистрированный в сети, в соответствии с установленным порядком, и прошедший идентификацию в службе каталогов, которому предоставляется доступ к информационным ресурсам корпоративной сети и приложениям, в соответствии с его должностными обязанностями.

Доступ к специализированным автоматизированным системам утверждается руководством департамента ИТ в соответствии должностными инструкциями, утвержденными руководством предприятия.

Особую категорию пользователей корпоративной сети составляет руководство предприятия. АРМ данной категории пользователей подключены к ИС и нуждаются в использовании дополнительных (усиленных) мер защиты информации, с целью предотвращения кражи информации, составляющей коммерческую тайну предприятия.
===Организационная структура обслуживающего персонала===
Административно-техническая поддержка ИС предприятия осуществляется департаментом информационных технологий, в состав которого входят:
*Отдел развития и эксплуатации информационных систем.
*Отдел информационной безопасности.
*Отдел технической поддержки.
*Информационно-аналитический отдел.
*Сотрудники отделов информационных технологий филиалов предприятия.
===Структура и состав комплекса программно-технических средств===
ИС объекта защиты включает в себя корпоративную сеть предприятия в составе:
*Серверы.
*Рабочие станции.
*Линии связи и активное сетевое оборудование.
*Магистральные средства передачи данных.
*Корпоративную телефонную систему.
===Корпоративная сеть предприятия===
В качестве базового сетевого протокола в корпоративной сети используется протокол TCP/IP.

В качестве адресного пространства используется сеть класса А – 10.0.0.0/8, определенная документом IETF RFC 1597 для частных IP-сетей. В корпоративной сети предприятия выделяются следующие типы адресных пространств:
*адресные пространства, выделенные филиальным фрагментам;
*адресные пространства, выделенные аппарату управления предприятием;
*адресное пространство для адресации магистрального сегмента корпоративной сети;
*резервное адресное пространство.
Используемая схема распределения адресного пространства маркируется следующим образом 10.x.y.z, где:
x – номер филиала;
y – номер виртуальной сети (VLAN) внутри филиала;
z – номер устройства внутри виртуальной сети.
====Серверы====
Серверная группа корпоративной сети работает под управлением ОС Microsoft Windows. Функционально она подразделяется на серверы поддержки специализированных приложений, серверы поддержки общедоступных сервисов и серверы, поддерживающие технологические службы корпоративной сети.
====Рабочие станции====
К информационной системе предприятия подключены автоматизированные рабочие места пользователей, функционирующих на базе ОС Microsoft Windows XP.
====Линии связи и активное сетевое оборудование====
Основу ИС составляет стек коммутаторов Cisco Catalyst, производства компании Cisco Systems Inc.

Выделенные магистральные каналы обмена данными используются для обеспечения внешнего информационного взаимодействия ИС с филиалами предприятия, районными эксплуатационными службами, а также для доступа к глобальной информационной сети Интернет.
====Виды информационных ресурсов, хранимых и обрабатываемых в системе====
В ИС предприятия хранятся и обрабатываются различные виды открытой и служебной конфиденциальной информации.

К конфиденциальной и служебной информации, циркулирующей в КСПД, относятся:
*персональные данные сотрудников предприятия и партнеров, хранимые в БД и передаваемые по сети;
*сообщения электронной почты и информация БД, содержащие служебные сведения, информацию о деятельности предприятия и т.п.;
*конструкторская и технологическая документация, перспективные планы развития, модернизации производства, реализации продукции и другие сведения, составляющие научно-техническую и технологическую информацию, связанную с деятельностью предприятия;
*финансовая документация, бухгалтерская отчетность, аналитические материалы исследований о конкурентах и эффективности работы на финансовых рынках;
*другие сведения, составляющие деловую информацию о внутренней деятельности предприятия.

К строго конфиденциальной информации, которая потенциально может циркулировать в ИС, относятся сведения стратегического характера, разглашение которых может привести к срыву выполнения функций предприятия, прямо влияющих на его жизнедеятельность и развитие, нанести невосполнимый ущерб деятельности и престижу предприятия, сорвать решение стратегических задач, проводимой ей политики и, в конечном счете, привести к ее краху.

К категории открытой относится вся прочая информация, не относящаяся к конфиденциальной.
====Структура информационных потоков====
=====Внутренние информационные потоки=====
Внутри ИС выделяются следующие информационные потоки:
*Передача файлов между файловыми серверами и пользовательскими рабочими станциями по протоколу SMB (протокол открытого обмена информацией между АРМ пользователей и серверами на основе стека TCP/IP).
*Передача сообщений электронной почты, посредством использования хешированного соединения программного обеспечения Lotus Notes.
*Передача юридической и справочной информации между серверами БД и пользовательскими рабочими станциями.
*Деловая переписка.
*Передача отчетной информации.
*Передача бухгалтерской информации между пользовательскими рабочими станциями и сервером БД в рамках автоматизированных систем «1С Бухгалтерия», «1С Зарплата и Кадры», «Оперативный учет».
=====Внешние информационные потоки=====
В качестве внешних информационных потоков используются:
*Передача отчетных документов (производственные данные) от филиалов предприятия, по каналам корпоративной сети, а также с использованием магнитных носителей.
*Передача платежных документов в Банки.
*Передача финансовых и статистических отчетных документов от филиалов предприятия;
*Внутриведомственный и межведомственный обмен электронной почтой.
*Передача информации по коммутируемым каналам удаленным пользователям.
*Различные виды информационных обменов между ИС и сетью Интернет.
====Характеристика каналов взаимодействия с другими системами и точек входа====
В ИС предприятия используются следующие каналы взаимодействия с внешними сетями:
*Выделенный магистральный канал взаимодействия с корпоративной сетью, посредством использования технологии VPN.
*Резервная линия связи с сетью Интернет.
*Коммутируемый канал связи, посредством использования технологии GPRS.
Защита подключений к внешним сетям осуществляется при помощи МЭ и встроенных средств защиты магистрального роутера.

Доступ к информационным ресурсам сети Интернет открыт для всех пользователей ИС, посредством использования кеширующего прокси сервера на основе программного обеспечения Squid.
==Основные факторы, влияющие на информационную безопасность предприятия==
Основными факторами, влияющими на информационную безопасность предприятия, являются:
*расширение сотрудничества предприятия с партнерами;
*автоматизация бизнес-процессов на предприятии;
*расширение кооперации исполнителей при построении и развитии информационной инфраструктуры предприятия;
*рост объемов информации предприятия, передаваемой по открытым каналам связи;
*рост компьютерных преступлений.
==Основные принципы обеспечения информационной безопасности==
Построение архитектуры СОИБ предприятия должно базироваться на соблюдении следующих основных принципов обеспечения ИБ:
*Простота архитектуры, минимизация и упрощение связей между компонентами, унификация и упрощение компонентов, использование минимального числа протоколов сетевого взаимодействия. Система должна содержать лишь те компоненты и связи, которые необходимы для ее функционирования (с учетом требований надежности и перспективного развития).
*Апробированность решений, ориентация на решения, возможные риски для которых и меры противодействия этим рискам прошли всестороннюю теоретическую и практическую проверку.
*Построение системы из компонентов, обладающих высокой надежностью, готовностью и обслуживаемостью.
*Управляемость, возможность сбора регистрационной информации обо всех компонентах и процессах, наличие средств раннего выявления нарушений информационной безопасности, нештатной работы аппаратуры, программ и пользователей.
*Простота эксплуатации, автоматизация максимального числа действий администраторов сети.
*Эшелонированность обороны – для каждого канала утечки информации и для каждой угрозы безопасности должно существовать несколько защитных рубежей. Создание защитных рубежей осуществляется с учетом того, чтобы для их преодоления потенциальному злоумышленнику требовались профессиональные навыки в нескольких невзаимосвязанных областях.
*Непрерывность защиты в пространстве и времени, невозможность обхода защитных средств – системы должны находиться в защищенном состоянии на протяжении всего времени их функционирования. В соответствии с этим принципом принимаются меры по недопущению перехода систем в незащищенное состояние.
*Равнопрочность обороны по всем направлениям – осуществляется регламентация и документирование всех способов доступа к ресурсам корпоративной сети. В соответствии с этим принципом запрещается создавать несанкционированные подключения к корпоративной сети и другими способами нарушать установленный порядок предоставления доступа к информационным ресурсам, который определяется «Политикой управления доступом к ресурсам корпоративной сети», «Политикой обеспечения ИБ при взаимодействии с сетью Интернет» и «Политикой обеспечения ИБ удаленного доступа к ресурсам корпоративной сети предприятия».
*Профилактика нарушений безопасности – в большинстве случаев для предприятия экономически оправданным является принятие предупредительных мер по недопущению нарушений безопасности в отличие от мер по реагированию на инциденты, связанных с принятием рисков осуществления угроз информационной безопасности. Однако это не исключает необходимости принятия мер по реагированию на инциденты и восстановлению поврежденных информационных ресурсов. В соответствии с данным принципом должен проводиться анализ рисков, опирающийся на модель угроз безопасности и модель нарушителя, определяемые настоящей Концепцией. Многие риски можно уменьшить путем принятия превентивных мер защиты.
*Минимизация привилегий - политика безопасности должна строиться на основе принципа «все, что не разрешено, запрещено». Права субъектов должны быть минимально достаточными для выполнения ими своих служебных обязанностей;
*Разделение обязанностей между администраторами корпоративной сети, определяется должностными инструкциями и регламентами администрирования.
*Экономическая целесообразность. Обеспечение соответствия ценности информационных ресурсов предприятия и величины возможного ущерба (от их разглашения, утраты, утечки, уничтожения и искажения) уровню затрат на обеспечение информационной безопасности. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать экономические показатели работы автоматизированных систем предприятия, в которых эта информация циркулирует.
*Преемственность и непрерывность совершенствования. Обеспечение постоянного совершенствования мер и средств защиты информационных ресурсов и информационной инфраструктуры на основе преемственности организационных и технических решений, кадрового аппарата, анализа функционирования систем защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по ее защите, достигнутого передового отечественного и зарубежного опыта в этой области. При выборе программно-технических решений по обеспечению ИБ предприятия, предпочтение отдается решениям, обеспечивающим соблюдение основных принципов ИБ, а также удовлетворяющих следующим критериям:
:*Поддержка международных, национальных, промышленных и Интернет стандартов (предпочтение отдается международным стандартам).
:*Поддержка наибольшей степени интеграции с корпоративными программно-аппаратными платформами и используемыми СЗИ;
:*Унификация разработчиков и поставщиков используемых продуктов.
:*Унификация средств и интерфейсов управления подсистемами ИБ.
==Организация работ по защите информации==
Организация и проведение работ по обеспечению ИБ предприятия определяются настоящей концепцией, действующими государственными и международными стандартами и другими нормативными и методическими документами.

Организация работ по обеспечению ИБ возлагается на руководителя департамента информационных технологий, осуществляющего эксплуатацию и сопровождение ИС, а методическое руководство и контроль над эффективностью предусмотренных мер защиты информации - на руководителя отдела ИБ предприятия.

Эксплуатация ИС предприятия осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией, с учетом требований и положений, изложенных в соответствующих разделах настоящего документа.

Комплекс мер по защите информации на предприятии включает в себя следующие мероприятия:
*Назначение ролей и распределение ответственности за использование информационных ресурсов корпоративной сети.
*Разработка, реализация, внедрение и контроль исполнения планов мероприятий, политик безопасности и других документов по обеспечению ИБ.
*Подготовка пользователей и технических специалистов к решению проблем, связанных с обеспечением ИБ.
*Проектирование, развертывание и совершенствование технической инфраструктуры СОИБ.
*Аудит состояния ИБ предприятия.
Техническая инфраструктура СОИБ предназначена для решения следующих задач:
*Защиты внешнего периметра корпоративной сети предприятия от угроз со стороны внешних сетей за счет использования межсетевого экранирования, контроля удаленного доступа и мониторинга информационных взаимодействий.
*Защиты корпоративных серверов за счет использования механизмов управления доступом к серверам баз данных, файловым, информационным и почтовым серверам, регистрации и учета событий, связанных с осуществлением доступа к ресурсам корпоративных серверов, механизмов мониторинга и аудита безопасности.
*Комплексной антивирусной защиты систем, входящих в состав корпоративной сети за счет распределения антивирусных средств (антивирусных сканеров, резидентных антивирусных мониторов и файловых ревизоров) по следующим уровням:
:*Защиты внешнего шлюза в сеть Интернет.
:*Защиты корпоративных серверов.
:*Защиты рабочих мест пользователей.
*Мониторинга сетевого трафика в реальном масштабе времени с целью выявления злоумышленных действий пользователей корпоративной сети и попыток осуществления НСД к ресурсам корпоративной сети со стороны внешних злоумышленников.
*Защиты прикладных подсистем, функционирующих в составе корпоративной сети, обеспечение доступности предоставляемых ими прикладных сервисов.
*Защиты межсетевых взаимодействий между сегментами ИС предприятия.
==Меры обеспечения информационной безопасности==
===Меры обеспечения информационной безопасности организационного уровня===
СОИБ реализуется путем сочетания мер организационного и программно-технического уровней. Организационные меры состоят из мер административного уровня и процедурных мер защиты информации. Основой мер административного уровня, то есть мер, предпринимаемых руководством предприятия, является политика информационной безопасности. Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию предприятия в области ИБ, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.

Политика безопасности предприятия определяется настоящим документом, а также другими нормативными и организационно-распорядительными документами предприятия, разрабатываемыми на основе настоящей концепции. К числу таких документов относятся следующие:
*Политика защиты от НСД к информации;
*Политика предоставления доступа пользователей в ИС;
*Политика управления паролями;
*Политика восстановления работоспособности АС в случае аварии;
*Политика резервного копирования и восстановления данных;
*Политика предоставления доступа к ресурсам сети Интернет;
*Политика управления доступом к информационным ресурсам ИС предприятия;
*Политика внесений изменений в программное обеспечение;
*Политика управления доступом к АРМ Пользователя;
*Политика использования электронной почты;
*Политика анализа защищенности ИС предприятия;
*Программа, методика и регламенты тестирования функций СЗИ от НСД к информации;
*Инструкция, определяющая порядок и правила регистрации распечатываемых документов, содержащих конфиденциальную информацию, в соответствии с перечнем информации, составляющей конфиденциальную и служебную информацию;
*Должностные инструкции для операторов, администраторов и инженеров, осуществляющих эксплуатацию и обслуживание ИС предприятия;
*Инструкции для операторов, администраторов и инженеров по обеспечению режима информационной безопасности;
*Документированная процедура контроля целостности программной и информационной частей ИС предприятия.
===Меры обеспечения информационной безопасности процедурного уровня===
К процедурному уровню относятся меры безопасности, реализуемые сотрудниками предприятия. Выделяются следующие группы процедурных мер, направленных на обеспечение информационной безопасности:
*управление персоналом;
*физическая защита;
*поддержание работоспособности;
*реагирование на нарушения режима безопасности;
*планирование восстановительных работ.
В рамках управления персоналом для каждой должности должны существовать квалификационные требования по информационной безопасности. В должностные инструкции должны входить разделы, касающиеся защиты информации. Каждого сотрудника предприятия необходимо обучить мерам обеспечения информационной безопасности теоретически и отработать выполнение этих мер практически.

Информационная безопасность ИС предприятия зависит от окружения, в котором она работает. Необходимо принять меры для обеспечения физической защиты зданий и прилегающей территории, поддерживающей инфраструктуры и самих компьютеров.

При разработке проекта СОИБ предполагается адекватная реализация мер физической защиты офисных зданий и других помещений, принадлежащих предприятию, по следующим направлениям:
*физическое управление доступом;
*противопожарные меры;
*защита поддерживающей инфраструктуры.
Предполагается также адекватная реализация следующих направлений поддержания работоспособности:
*поддержка пользователей ИС;
*поддержка программного обеспечения;
*конфигурационное управление;
*резервное копирование;
*управление носителями;
*документирование;
*регламентные работы.
Программа информационной безопасности должна предусматривать набор оперативных мероприятий, направленных на обнаружение и нейтрализацию нарушений режима безопасности. Важно, чтобы в подобных случаях последовательность действий была спланирована заранее, поскольку меры нужно принимать срочные и скоординированные.

Реакция на нарушения режима информационной безопасности преследует две главные цели:
*блокирование нарушителя и уменьшение наносимого вреда;
*недопущение повторных нарушений.

На предприятии должен быть выделен сотрудник, доступный 24 часа в сутки, отвечающий за реакцию на нарушения. Все пользователи ИС должны знать координаты этого человека и обращаться к нему при первых признаках опасности. В случае невозможности связи с данным сотрудником, должны быть разработаны и внедрены процедуры первичной реакции на информационный инцидент.

Планирование восстановительных работ позволяет подготовиться к авариям ИС, уменьшить ущерб от них и сохранить способность к функционированию, хотя бы в минимальном объеме.

Механизмы контроля, существенные для предприятия с юридической точки зрения, включают в себя:
*Защиту данных и тайну персональной информации;
*Охрану документов организации;
*Права на интеллектуальную собственность.

В соответствии с международным стандартом ISO 17799, а также руководящими документами ФСТЭК, ключевыми также являются следующие механизмы контроля:
*Политика информационной безопасности;
*Распределение ролей и ответственности за обеспечение информационной безопасности;
*Обучение и тренинги по информационной безопасности;
*Информирование об инцидентах безопасности;
*Управление непрерывностью бизнеса.

Меры обеспечения информационной безопасности программно-технического уровня
Программно-технические средства защиты располагаются на следующих рубежах:
*Защита внешнего периметра КСПД;
*Защита внутренних сетевых сервисов и информационных обменов;
*Защита серверов и рабочих станций;
*Защита системных ресурсов и локальных приложений на серверах и рабочих станциях;
*Защита выделенного сегмента руководства компании.
На программно-техническом уровне выполнение защитных функций ИС осуществляется следующими служебными сервисами обеспечения информационной безопасности:
*идентификация/аутентификация пользователей ИС;
*разграничение доступа объектов и субъектов информационного обмена;
*протоколирование/аудит действий легальных пользователей;
*экранирование информационных потоков и ресурсов КСПД;
*туннелирование информационных потоков;
*шифрование информационных потоков, критической информации;
*контроль целостности;
*контроль защищенности;
*управление СОИБ.
На внешнем рубеже информационного обмена располагаются средства выявления злоумышленной активности и контроля защищенности. Далее идут межсетевые экраны, защищающие внешние подключения. Они, вместе со средствами поддержки виртуальных частных сетей, объединяемых с межсетевыми экранами, образуют внешний периметр информационной безопасности, отделяющий информационную систему предприятия от внешнего мира.

Сервис активного аудита СОИБ (как и управление) должен присутствовать во всех критически важных компонентах и, в частности, в защитных. Это позволит быстро обнаружить атаку, даже, если по каким-либо причинам, она окажется успешной.
Управление доступом также должно присутствовать на всех сервисах, функционально полезных и инфраструктурных. Доступу пользователя к ИС предприятия должна предшествовать идентификация и аутентификация субъектов информационного обмена (пользователей и процессов).

Средства шифрования и контроля целостности информации, передаваемой по каналам связи, целесообразно выносить на специальные шлюзы, где им может быть обеспечено квалифицированное администрирование.

Последний рубеж образуют средства пассивного аудита, помогающие оценить последствия реализации угроз информационной безопасности, найти виновного, выяснить, почему успех атаки стал возможным.

Расположение средств обеспечения высокой доступности определяется критичностью соответствующих сервисов или их компонентов.
==Распределение ответственности и порядок взаимодействия==
Ответственным за разработку мер и контроль над обеспечением защиты информации является руководитель УИТ. Специалистами УИТ осуществляются следующие виды работ по защите информации:
*Контроль защищенности ИТ инфраструктуры предприятия от угроз ИБ осуществляется посредством:
:*Проведения аудита безопасности ИС;
:*Контроля выполнения правил утвержденных политик безопасности администраторами и пользователями корпоративной сети;
:*Контроля доступа к сетевым ресурсам.
*Предотвращение, выявление, реагирование и расследование нарушений ИБ посредством:
:*Анализа и мониторинга журналов аудита критичных компонентов корпоративной сети, включая активное сетевое оборудование, МЭ, серверы, рабочие станции и т.п.;
:*Мониторинга сетевого трафика с целью выявления сетевых атак;
:*Контроля процесса создания новых учетных записей пользователей и предоставления доступа к ресурсам корпоративной сети;
:*Опроса пользователей и администраторов информационных систем;
:*Внедрения и эксплуатации специализированных программных и программно-технических средств защиты информации;
:*Координации деятельности всех структурных подразделений предприятия по поддержанию режима ИБ.
*Менеджером информационной безопасности осуществляется планирование и реализация организационных мер по обеспечению ИБ, включая:
:*Анализ и управление информационными рисками;
:*Разработку, внедрение, контроль исполнения и поддержание в актуальном состоянии политик, руководств, концепций, процедур, регламентов и других организационно-распорядительных документов по обеспечению ИБ;
:*Разработку планов мероприятий по повышению уровня ИБ предприятия;
:*Обучение пользователей информационных систем, с целью повышения их осведомленности в вопросах ИБ.
Наряду с УИТ, в разработке и согласовании организационно-распорядительных и нормативных документов по защите информации, включая составление перечней информационных ресурсов подлежащих защите, также участвуют следующие подразделения предприятия:
*Служба безопасности;
*Юридическое управление;
*Отдел кадров;
*Функциональные подразделения, в которых обрабатывается информация, требующая защиты.
Квалификационные требования, предъявляемые к сотрудникам подразделений, отвечающих за обеспечение ИБ, содержатся в должностных инструкциях. Специалисты по защите информации должны проходить регулярную переподготовку и обучение.

Предоставление, изменение, отмена и контроль доступа к ресурсам корпоративной сети передачи данных производится сотрудниками УИТ исключительно по утвержденным заявкам, в соответствии с «Политикой предоставления доступа пользователей в КСПД».

Сотрудники УИТ отвечают за осуществление настройки параметров информационной безопасности серверов и рабочих станций корпоративной сети передачи данных, в соответствии с утвержденными корпоративными стандартами, определяющими требуемые уровни обеспечения защиты информации для различных структурных и функциональных компонентов корпоративной сети. ОТиИБ УИТ отвечает за разработку соответствующих спецификаций и рекомендаций по настройке параметров безопасности, а также за осуществление контроля их исполнения.

Обеспечение внешних подключений корпоративной сети передачи данных предприятия к сети Интернет и другим внешним сетям, предоставление сотрудникам удаленного доступа к корпоративной сети и организация VPN-каналов связи осуществляется сотрудниками УИТ с соблюдением требований информационной безопасности, определяемых «Политикой предоставления доступа к ресурсам сети Интернет» и «Политикой управления доступом к информационным ресурсам КСПД».

Договоры на обслуживание клиентов заключаются по утвержденной типовой форме функциональными подразделениями. Если договоры предполагают электронное обслуживание с использованием технологических ресурсов предприятия, то организация и контроль процедур безопасности осуществляется сотрудниками ОТиИБ УИТ.

При взаимодействии со сторонними организациями в случаях, когда сотрудникам этих организаций предоставляется доступ к конфиденциальной информации, либо к ИС предприятия, с этими организациями должно быть заключено «Соглашение о конфиденциальности», либо «Соглашение о соблюдении режима ИБ при выполнении работ в ИС». Подготовка типовых вариантов этих соглашений осуществляется УИТ предприятия, совместно с юридическим управлением.
==Порядок категорирования защищаемой информации==
Различаются следующие категории информационных ресурсов, подлежащих защите в предприятия:
*Информация, составляющая коммерческую тайну;
*Информация, составляющая служебную тайну;
*Персональные данные сотрудников;
*Конфиденциальная информация (включая коммерческую тайну, служебную тайну и персональные данные), принадлежащая третьей стороне;
*Данные, критичные для функционирования ИС и работы бизнес подразделений.
Первые четыре категории информации представляют собой сведения ограниченного распространения, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности информации путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.

К последней категории «критичных» данных, относятся информационные ресурсы предприятия, нарушение целостности или доступности которых может привести к сбоям функционирования ИС либо бизнес подразделений.

В первую очередь к коммерческой информации относятся:
*Знания и опыт в области реализации продукции и услуг;
*Сведения о конъюнктуре рынка, маркетинговые исследования;
*Анализ конкурентоспособности продукции и услуг;
*Информация о потребителях, заказчиках и посредниках;
*Банковские отношения, кредиты, ссуды, долги;
*Знание наиболее выгодных форм использования денежных средств, ценных бумаг, акций, капиталовложений;
*Бухгалтерские и финансовые отчеты, сведения о зарплате;
*Предполагаемые объемы коммерческой деятельности, материалы договоров (условия, реализация, порядок передачи продукции);
*Списки клиентов и деловая переписка;
*Цены и расценки, формы и виды расчетов.
Правила отнесения информации к коммерческой тайне и порядок работы с документами, составляющими коммерческую тайну, определяются «Инструкцией по обеспечению режима конфиденциальности», «Положением о конфиденциальности», а также «Перечнем конфиденциальных сведений».

Подходы к решению проблемы защиты информации на предприятии, в общем виде, сводятся к исключению неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования бизнес процессов предприятия. Для этого выполняются следующие мероприятия:
*Определяется порядок работы с документами, образцами, изделиями и др., содержащими конфиденциальные сведения;
*Разрабатываются правила категорирования информации, позволяющие относить ее к различным видам конфиденциальных сведений и определять степень ее критичности для предприятия;
*Устанавливается круг лиц и порядок доступа к подобной информации;
*Вырабатываются меры по контролю обращения документов, содержащих конфиденциальные сведения;
*В трудовые договоры с сотрудниками включаются обязательства о неразглашении конфиденциальных сведений и определяются санкции за нарушения порядка работы с ними и их разглашение.

Форма подписки о неразглашении конфиденциальной информации содержится в трудовом договоре, который подписывается всеми сотрудниками при приеме на работу.

Защита конфиденциальной информации, принадлежащей третьей стороне, осуществляется на основании договоров, заключаемых Компанией с другими организациями.

Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

На предприятии должен быть документально оформлен «Перечень конфиденциальных сведений». Все работники должны быть ознакомлены с этим перечнем в части их касающейся.

Ответственность за составление «Перечня конфиденциальных сведений» несет руководитель УИТ.
==Модель нарушителя информационной безопасности==
Под нарушителем ИБ понимается лицо, которое в результате умышленных или неумышленных действий может нанести ущерб информационным ресурсам предприятия.

Под атакой на ресурсы корпоративной сети понимается попытка нанесения ущерба информационным ресурсам систем, подключенных к сети. Атака может осуществляться как непосредственно нарушителем, так и опосредованно, при помощи процессов, выполняющихся от лица нарушителя, либо путем внедрения в систему программных или аппаратных закладок, компьютерных вирусов, троянских программ и т. п.

В соответствии с моделью, все нарушители по признаку принадлежности к подразделениям, обеспечивающим функционирование ИС, делятся на внешних и внутренних.
===Внутренние нарушители===
Внутренним нарушителем может быть лицо из следующих категорий сотрудников обслуживающих подразделений:
*обслуживающий персонал (системные администраторы, администраторы БД, администраторы приложений и т.п., отвечающие за эксплуатацию и сопровождение технических и программных средств);
*программисты, отвечающие за разработку и сопровождение системного и прикладного ПО;
*технический персонал (рабочие подсобных помещений, уборщицы и т. п.);
*сотрудники бизнес подразделений предприятия, которым предоставлен доступ в помещения, где расположено компьютерное или телекоммуникационное оборудование.

Предполагается, что несанкционированный доступ на объекты системы посторонних лиц исключается мерами физической защиты (охрана территории, организация пропускного режима и т. п.).

Предположения о квалификации внутреннего нарушителя формулируются следующим образом:
*внутренний нарушитель является высококвалифицированным специалистом в области разработки и эксплуатации ПО и технических средств;
*знает специфику задач, решаемых обслуживающими подразделениями ИС предприятия;
*является системным программистом, способным модифицировать работу операционных систем;
*правильно представляет функциональные особенности работы системы и процессы, связанные с хранением, обработкой и передачей критичной информации;
*может использовать как штатное оборудование и ПО, имеющиеся в составе системы, так и специализированные средства, предназначенные для анализа и взлома компьютерных систем.
В зависимости от способа осуществления доступа к ресурсам системы и предоставляемых им полномочий внутренние нарушители подразделяются на пять категорий.

Категория А: не зарегистрированные в системе лица, имеющие санкционированный доступ в помещения с оборудованием. Лица, относящиеся к категории А могут: иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи корпоративной сети; располагать любыми фрагментами информации о топологии сети, об используемых коммуникационных протоколах и сетевых сервисах; располагать именами зарегистрированных пользователей системы и вести разведку паролей зарегистрированных пользователей.

Категория B: зарегистрированный пользователь системы, осуществляющий доступ к системе с удаленного рабочего места. Лица, относящиеся к категории B: располагают всеми возможностями лиц, относящихся к категории А; знают, по крайней мере, одно легальное имя доступа; обладают всеми необходимыми атрибутами, обеспечивающими доступ к системе (например, паролем); имеют санкционированный доступ к информации, хранящейся в БД и на файловых серверах корпоративной сети, а также на рабочих местах пользователей. Полномочия пользователей категории B по доступу к информационным ресурсам корпоративной сети предприятия должны регламентироваться политикой безопасности, принятой на предприятии.

Категория C: зарегистрированный пользователь, осуществляющий локальный либо удаленный доступ к системам входящим в состав корпоративной сети. Лица, относящиеся к категории С: обладают всеми возможностями лиц категории В; располагают информацией о топологии сети, структуре БД и файловых систем серверов; имеют возможность осуществления прямого физического доступа к техническим средствам ИС.

Категория D: зарегистрированный пользователь системы с полномочиями системного (сетевого) администратора. Лица, относящиеся к категории D: обладают всеми возможностями лиц категории С; обладают полной информацией о системном и прикладном программном обеспечении ИС; обладают полной информацией о технических средствах и конфигурации сети; имеют доступ ко всем техническим и программным средствам ИС и обладают правами настройки технических средств и ПО. Концепция безопасности требует подотчетности лиц, относящихся к категории D и осуществления независимого контроля над их деятельностью.

Категория E: программисты, отвечающие за разработку и сопровождение общесистемного и прикладного ПО, используемого в ИС. Лица, относящиеся к категории E: обладают возможностями внесения ошибок, программных закладок, установки троянских программ и вирусов на серверах корпоративной сети; могут располагать любыми фрагментами информации о топологии сети и технических средствах ИС.
===Внешние нарушители===
К внешним нарушителям относятся лица, пребывание которых в помещениях с оборудованием без контроля со стороны сотрудников предприятия невозможно.

Внешний нарушитель: осуществляет перехват, анализ и модификацию информации, передаваемой по линиям связи, проходящим вне контролируемой территории; осуществляет перехват и анализ электромагнитных излучений от оборудования ИС.

Предположения о квалификации внешнего нарушителя формулируются следующим образом:
*является высококвалифицированным специалистом в области использования технических средств перехвата информации;
*знает особенности системного и прикладного ПО, а также технических средств ИС;
*знает специфику задач, решаемых ИС;
*знает функциональные особенности работы системы и закономерности хранения, обработки и передачи в ней информации;
*знает сетевое и канальное оборудование, а также протоколы передачи данных, используемые в системе;
*может использовать только серийно изготовляемое специальное оборудование, предназначенное для съема информации с кабельных линий связи и из радиоканалов.

При использовании модели нарушителя для анализа возможных угроз ИБ необходимо учитывать возможность сговора между внутренними и внешними нарушителями.
==Модель угроз информационной безопасности==
===Защита информационных компонентов и группы угроз===
В качестве объектов защиты, рассматриваемых в рамках настоящей концепции, выступают следующие виды информационных ресурсов предприятия:
*Информация (данные, телефонные переговоры и факсы) передаваемая по каналам связи.
*Информация, хранимая в базах данных, на файловых серверах и рабочих станциях, на серверах каталогов, в почтовых ящиках пользователей корпоративной сети и т.п.
*Конфигурационная информация и протоколы работы сетевых устройств, программных систем и комплексов.
Исходя из перечисленных свойств, все угрозы информационным ресурсам системы можно отнести к одной из следующих категорий:
*Угрозы доступности информации, хранимой и обрабатываемой в ИС и информации, передаваемой по каналам связи;
*Угрозы целостности информации, хранимой и обрабатываемой в ИС и информации, передаваемой по каналам связи;
*Угрозы конфиденциальности информации хранимой и обрабатываемой в ИС и информации, передаваемой по каналам связи.
Угрозы безопасности информационных ресурсов, сточки зрения реализации, можно разделить на следующие группы:
*Угрозы, реализуемые с использованием технических средств;
*Угрозы, реализуемые с использованием программных средств;
*Угрозы, реализуемые путем использования технических каналов утечки информации.
===Угрозы, реализуемые с использованием технических средств===

'''Общее описание'''

Технические средства системы включают в себя приемо-передающее и коммутирующее оборудование, оборудование серверов и рабочих станций, а также линии связи. К данному классу относятся угрозы доступности, целостности и, в некоторых случаях конфиденциальности информации, хранимой, обрабатываемой и передаваемой по каналам связи системы, связанные с повреждениями и отказами технических средств ИС, приемо-передающего и коммутирующего оборудования и повреждением линий связи.

'''Виды угроз'''

Для технических средств характерны угрозы, связанные с их умышленным или неумышленным повреждением, ошибками конфигурации и выходом из строя:
*Вывод из строя (умышленный или неумышленный);
*Несанкционированное либо ошибочное изменение конфигурации активного сетевого оборудования и приемо-передающего оборудования;
*Физическое повреждение технических средств, линий связи, сетевого и каналообразующего оборудования;
*Перебои в системе электропитания;
*Отказы технических средств;
*Установка непроверенных технических средств или замена вышедших из строя аппаратных компонент на неидентичные компоненты;
*Хищение технических средств и долговременных носителей конфиденциальной информации вследствие отсутствия контроля над их использованием и хранением.

'''Источники угроз'''.

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, так и природные явления. Среди источников угроз для технических средств можно отметить:
*стихийные бедствия;
*пожар;
*кража оборудования;
*саботаж;
*ошибки обслуживающего персонала;
*терроризм и т. п.
===Угрозы, реализуемые с использованием программных средств===

'''Общее описание'''

Это наиболее многочисленный класс угроз конфиденциальности, целостности и доступности информационных ресурсов, связанный с получением НСД к информации, хранимой и обрабатываемой в системе, а также передаваемой по каналам связи, при помощи использования возможностей, предоставляемых ПО ИС.
Большинство рассматриваемых в этом классе угроз реализуется путем осуществления локальных или удаленных атак на информационные ресурсы системы внутренними и внешними злоумышленниками. Результатом успешного осуществления этих угроз становится получение НСД к информации БД и файловых систем корпоративной сети, данным, хранящимся на АРМ операторов, конфигурации маршрутизаторов и другого активного сетевого оборудования.

'''Виды угроз'''

В этом классе рассматриваются следующие основные виды угроз:
*Внедрение вирусов и других разрушающих программных воздействий;
*Нарушение целостности исполняемых файлов;
*Ошибки кода и конфигурации ПО, активного сетевого оборудования;
*Анализ и модификация ПО;
*Наличие в ПО недекларированных возможностей, оставленных для отладки, либо умышленно внедренных;
*Наблюдение за работой системы путем использования программных средств анализа сетевого трафика и утилит ОС, позволяющих получать информацию о системе и о состоянии сетевых соединений;
*Использование уязвимостей ПО для взлома программной защиты с целью получения НСД к информационным ресурсам или нарушения их доступности;
*Выполнение одним пользователем несанкционированных действий от имени другого пользователя («маскарад»);
*Раскрытие, перехват и хищение секретных кодов и паролей;
*Чтение остаточной информации в ОП компьютеров и на внешних носителях;
*Ошибки ввода управляющей информации с АРМ операторов в БД;
*Загрузка и установка в системе не лицензионного, непроверенного системного и прикладного ПО;
*Блокирование работы пользователей системы программными средствами.
Отдельно следует рассмотреть угрозы, связанные с использованием сетей передачи данных. Данный класс угроз характеризуется получением внутренним или внешним нарушителем сетевого доступа к серверам БД и файловым серверам, маршрутизаторам и активному сетевому оборудованию.
Здесь выделяются следующие виды угроз, характерные для КСПД предприятия:
*перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика;
*замена, вставка, удаление или изменение данных пользователей в информационном потоке;
*перехват информации (например, пользовательских паролей), передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации;
*статистический анализ сетевого трафика (например, наличие или отсутствие определенной информации, частота передачи, направление, типы данных и т. п.).

'''Источники угроз'''

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители.

===Угрозы утечки информации по техническим каналам связи===

'''Виды технических каналов утечки информации'''

При проведении работ с использованием конфиденциальной информации и эксплуатации технических средств ИС возможны следующие каналы утечки или нарушения целостности информации или работоспособности технических средств:
*побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
*акустическое излучение информативного речевого сигнала или сигнала, обусловленного функционированием технических средств обработки информации;
*несанкционированный доступ к информации, обрабатываемой в автоматизированных системах;
*хищение технических средств с хранящейся в них информацией или отдельных носителей информации;
*просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
*воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения) информации, работоспособности технических средств.
Наибольшую опасность в настоящее время представляют технические средства разведки:
*Акустическая разведка;
*Разведка побочных электромагнитных излучений и наводок электронных средств обработки информации (далее - ПЭМИН);
*В отдельных ситуациях, могут использоваться: телевизионная, фотографическая и визуальная оптическая разведка, обеспечивающая добывание информации, содержащейся в изображениях объектов, получаемых в видимом диапазоне электромагнитных волн с использованием телевизионной аппаратуры.
Кроме перехвата информации техническими средствами разведки возможно непреднамеренное попадание конфиденциальной информации к лицам, не допущенным к ней, но находящимся в пределах контролируемой зоны.
Утечка информации возможна по следующим каналам:
*Радиоканалы;
*ИК-канал;
*Ультразвуковой канал;
*Проводные линии.
В качестве проводных линий при передаче информации к внешним средствам регистрации могут быть использованы:
*сети переменного тока;
*линии телефонной связи;
*радиотрансляционные и технологические (пожарной, охранной сигнализации, кабели телеантенн и т.п.) линии;
*специально проложенные проводные линии.
При применении лазерной аппаратуры дистанционного прослушивания, фиксирующей информативные колебания стекол в окнах помещений, возможен съем акустической информации из выделенных помещений, в которых установлены элементы системы.

'''Источники угроз'''

В качестве источников угроз безопасности для технических средств системы выступают как внешние и внутренние нарушители, оснащенные специализированными средствами технической разведки.
==Требования по обеспечению информационной безопасности==
===Требования к составу основных подсистем СОИБ===
В состав СОИБ должны входить следующие подсистемы:
*подсистема управления политикой информационной безопасности;
*подсистема анализа и управления рисками;
*подсистема идентификации и аутентификации;
*подсистема разграничения доступа;
*подсистема протоколирования и пассивного аудита;
*подсистема активного аудита;
*подсистема контроля целостности данных;
*подсистема контроля защищенности;
*подсистема удостоверяющий центр;
*подсистема сегментирования ЛВС и межсетевого экранирования;
*подсистема VPN;
*подсистема антивирусной защиты;
*подсистема фильтрации контента;
*подсистема управления безопасностью;
*подсистема предотвращения утечки информации по техническим каналам.
===Требования к подсистеме управления политикой безопасности===
Подсистема управления политикой ИБ предназначена для поддержания в актуальном состоянии политик и других организационно-распорядительных документов по обеспечению ИБ, ознакомление всех пользователей и технического персонала ИС с содержанием этих документов, контроля осведомленности и контроля выполнения требований политики безопасности и других регламентирующих документов. Всем сотрудникам предприятия предоставляется персонифицированный доступ к внутреннему информационному Web-серверу, на котором публикуются действующие нормативные документы, списки контрольных (проверочных) вопросов, предназначенных для контроля осведомленности, а также Web-формы для составления сообщений и отчетов об инцидентах, связанных с нарушением правил политики безопасности.

Подсистема управления политикой безопасности должна:
*поддерживать, актуализировать и контролировать исполнение корпоративной политики безопасности;
*обеспечивать определение единого набора правил обеспечения безопасности;
*позволять создавать новые и модифицировать уже созданные политики, правила и инструкции для обеспечения информационной безопасности;
*учитывать отраслевую специфику;
*обеспечивать централизованный персонифицированный доступ сотрудников к текстам корпоративных политик на основе Web-доступа;
*информировать пользователей о создании и утверждении новых политик;
*фиксировать факт ознакомления пользователя с политиками;
*проверять усвоенные знания политик;
*контролировать нарушение политик пользователями;
*контролировать выполнение единого набора правил защиты информации;
*информировать административный персонал о фактах нарушения политик безопасности пользователями;
*иметь средства создания отчетов.
===Требования к подсистеме анализа и управления рисками===
Подсистема анализа и управления рисками представляет собой комплекс инструментальных средств, установленных на рабочем месте специалиста по анализу рисков и предназначенных для сбора и анализа информации о состоянии защищенности ИС, оценки рисков, связанных с реализацией угроз ИБ, выбора комплекса контрмер (механизмов безопасности), адекватных существующим рисками и контроля их внедрения.

Подсистема анализа и управления рисками должна обеспечивать:
*автоматизацию идентификации рисков;
*возможность создания шкал и критериев, по которым можно измерять риски;
*оценку вероятностей событий;
*оценку угроз;
*анализ допустимого уровня риска;
*выбор контрмер и оценку их эффективности;
*позволять контролировать необходимый уровень обеспечения информационной и физической безопасности (информационные риски, сбои в системах, служба охраны, охранно-пожарная сигнализация и пожаротушение, охрана периметра и т.п.).
===Требования к подсистеме идентификации и аутентификации===
Подсистема идентификации и аутентификации представляет собой комплекс программно-технических средств, обеспечивающих идентификацию пользователей ИС и подтверждение подлинности пользователей при получении доступа к информационным ресурсам. Подсистема идентификации и аутентификации включает в себя компоненты, встроенные в операционные системы, межсетевые экраны, СУБД и приложения, которые обеспечивают управление идентификационными данными пользователей, паролями и ключевой информацией, а также реализуют различные схемы подтверждения подлинности при входе пользователя в систему и получении доступа к системным ресурсам и приложениям. Встроенные средства идентификации и аутентификации дополняются наложенными средствами, обеспечивающими синхронизацию учетных данных пользователей в различных хранилищах (например, Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, прикладные системы и т.п.) и предоставление единой точки доступа и администрирования для всех пользователей ИС.

Подсистема идентификации и аутентификации должна обеспечивать:
*Поддержание идентичности и синхронизацию учетных данных в разных хранилищах (Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, автоматизированные системы);
*Комбинирование идентификационной информации из множества каталогов;
*Обеспечение единого представления всей идентификационной информации для пользователей и ресурсов;
*Предоставление единой точки доступа и администрирования;
*Безопасный вход в домен ОС Windows (Windows-десктоп и сеть) при помощи электронного идентификатора (USB-ключа или смарт-карты);
*Усиленную аппаратную двухфакторную аутентификацию пользователей (электронный идентификатор и пин-код);
*Вход в сеть предприятия с любой рабочей станции, посредством хранения электронного сертификата в защищенной области памяти электронного идентификатора;
*Хранение паролей к различным ресурсам (в том числе Web) и электронных сертификатов в защищенной области памяти электронного идентификатора
*Централизованное управление данными об используемых электронных идентификаторах (USB-ключа или смарт-карты);
*Блокирование компьютера или автоматическое отключение от сети в перерывах между работой и отсоединением электронного идентификатора.

Механизмы идентификации и аутентификации должны быть реализованы на всех рубежах защиты информации в следующих объемах:
*На рубеже защиты внешнего периметра КСПД предприятия – идентификация и аутентификация внешних пользователей сети для доступа к информационным ресурсам ЛВС на МЭ и сервере удаленного доступа;
*На рубеже сетевой инфраструктуры должна осуществляться идентификация и аутентификация пользовательских рабочих станций по именам и сетевым адресам при осуществлении доступа к сетевым сервисам ЛВС;
*На рубеже защиты серверов и рабочих станций должна осуществляться идентификация и аутентификация пользователей при осуществлении локальной или удаленной регистрации в системе;
*На рубеже прикладного ПО должна осуществляться идентификация и аутентификация пользователей указанного ПО для получения доступа к информационным ресурсам при помощи данного ПО.

Аутентификация внутренних и внешних пользователей системы осуществляется на основе следующей информации:
*На рубеже защиты внешнего периметра для аутентификации пользователей на МЭ и сервере удаленного доступа используются схемы, устойчивые к прослушиванию сети потенциальными злоумышленниками, построенные на основе одноразовых сеансовых ключей и/или аппаратных носителей аутентификационной информации;
*На рубеже защиты сетевых сервисов ЛВС используются параметры клиентов сетевого уровня (IP-адреса, имена хостов) в сочетании с параметрами канального уровня (MAC-адреса) и парольными схемами аутентификации;
*На рубежах защиты серверов, рабочих станций и приложений используются парольные схемы аутентификации с использованием аппаратных носителей аутентификационной информации.
===Требования к подсистеме разграничения доступа===
Подсистема разграничения доступа (авторизации) использует информацию, предоставляемую сервисом аутентификации. Авторизация пользователей для доступа к информационным ресурсам ИС осуществляется на следующих уровнях программно-технической защиты:
*На уровне защиты внешнего периметра ЛВС предприятия (при их подключении к внешним сетям и сети Интернет) МЭ осуществляет разграничение доступа внешних пользователей к сервисам ЛВС и внутренних пользователей к ресурсам сети Интернет и внешних сетей в соответствии с правилами «Политики обеспечения информационной безопасности при взаимодействии с сетью Интернет».
*На уровне защиты сетевых сервисов ЛВС используются внутренние механизмы авторизации пользователей, встроенные в сетевые сервисы, либо специализированные серверы авторизации.
*На уровне защиты серверов и рабочих станций ЛВС используются механизмы авторизации, встроенные в ОС, в сочетании с наложенными средствами разграничения доступа.
*На уровне защиты приложений, функциональных подсистем ИС и системных ресурсов используются механизмы авторизации, встроенные в эти приложения, а также средства разграничения доступа ОС и СУБД.
Средства разграничения доступа должны исключать возможность доступа к ресурсам системы неавторизованных пользователей.
===Требования к подсистеме протоколирования и пассивного аудита===
Подсистема протоколирования и пассивного аудита предназначена для осуществления контроля за наиболее критичными компонентами сети, включающими в себя серверы приложений, баз данных и прочие сетевые серверы, межсетевые экраны, рабочие станции управления сетью и т.п. Компоненты этой подсистемы располагаются на всех перечисленных выше рубежах защиты (разграничения доступа) и осуществляют протоколирование, централизованный сбор и анализ событий, связанных с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.). Они включают в себя как встроенные средства, имеющиеся в составе ОС, СУБД, приложений и т.п. и предназначенные для регистрации событий безопасности, так и наложенные средства (программные агенты) служащие для агрегирования и анализа данных аудита, полученных из различных источников. Все данные аудита поступают на выделенный сервер аудита, где осуществляется их хранение и обработка. Просмотр и анализ этих данных осуществляется с консоли администратора аудита.

Подсистема пассивного аудита безопасности выполняет следующие основные функции:
*Отслеживание событий, влияющих на безопасность системы;
*Регистрация событий, связанных с безопасностью в журнале аудита;
*Выявление нарушений безопасности, путем анализа данных журналов аудита администратором безопасности в фоновом режиме.
Средства протоколирования и аудита должны применяться на всех рубежах защиты в следующем объеме:
*На рубеже защиты внешнего периметра должны протоколироваться следующие события:
:*Информация о состоянии внешнего маршрутизатора, МЭ, сервера удаленного доступа, модемов;
:*Действия внешних пользователей по работе с внутренними информационными ресурсами;
:*Действия внутренних пользователей по работе с внешними информационными ресурсами;
:*Попытки нарушения правил разграничения доступа на МЭ и на сервере удаленного доступа;
:*Действия администраторов МЭ и сервера удаленного доступа.
*На рубеже сетевой инфраструктуры должно осуществляться протоколирование информации о состоянии структурированной кабельной системы (СКС) и активного сетевого оборудования, а также структуры информационного обмена на сетевом и транспортном уровнях;
*На рубеже защиты серверов и рабочих станций средствами подсистем аудита безопасности ОС должно обеспечиваться протоколирование всех системных событий, связанных с безопасностью, включая удачные и неудачные попытки регистрации пользователей в системе, доступ к системным ресурсам, изменение политики аудита и т. п.;
*На уровне приложений должна обеспечиваться регистрация событий, связанных с их функционированием, средствами этих приложений.
Эффективность функционирования системы пассивного аудита безопасности определяется следующими основными свойствами этой системы:
*наличие средств аудита, обеспечивающих возможность выборочного контроля любых происходящих в системе событий, связанных с безопасностью;
*наличие средств централизованного управления журналами аудита, политикой аудита и централизованного анализа данных аудита по всем контролируемым системам;
*непрерывность контроля над критичными компонентами ЛВС во времени.
===Требования к подсистеме активного аудита безопасности===
Подсистема активного аудита безопасности предназначена для автоматического выявления нарушений безопасности критичных компонентов ИС и реагирования на них в режиме реального времени. К числу критичных компонентов ИС, с наибольшей вероятностью подверженных атакам со стороны злоумышленников, относится внешний защищенный шлюз в сеть Интернет, сервер удаленного доступа, серверная группа и рабочие станции управления сетью. Данная подсистема тесно интегрирована с подсистемой протоколирования и пассивного аудита, т.к. она частично использует данные аудита, полученные из этой подсистемы, для выявления атак и активизации алгоритмов автоматического реагирования.

Подсистема активного аудита строится на традиционной для подобных систем архитектуре агент-менеджер-управляющая консоль. Для сбора информации и реагирования на инциденты используются программные агенты, программа-менеджер размещается на сервере аудита и отвечает за агрегирование, хранение и обработку данных аудита, управление агентами и автоматическую активизацию алгоритмов реагирования. Управление всей подсистемой осуществляется с консоли администратора аудита.

Анализатор сетевого трафика должен обнаруживать известные типы сетевых атак, включая атаки, направленные против следующих приложений:
*СУБД, Web, FTP, TELNET и почтовые серверы;
*Серверы NIS, DNS, WINS, NFS и SMB;
*Почтовые агенты и Web-браузеры;
*Выявление сетевых и локальных атак и других нарушений безопасности, а также реагирование на них должны осуществляться в реальном времени.
===Требования к подсистеме контроля целостности===
Подсистема контроля целостности программных и информационных ресурсов ИС предназначена для контроля и оперативного восстановления целостности критичных файлов ОС и приложений на серверах и рабочих станциях сети, включая конфигурационные файлы, файлы данных, программы и библиотеки функций. Контроль целостности информационных ресурсов осуществляет путем регулярного подсчета контрольных сумм файлов и их сравнения с эталонной базой данных контрольных сумм. В случае несанкционированной модификации контролируемых файлов они могут быть восстановлены с использованием средств резервного копирования и восстановления данных. Подсистема контроля целостности может входить в состав подсистемы активного аудита в качестве одного из ее функциональных компонентов.

Система контроля целостности программной и информационной части ЛВС должна обеспечивать контроль неизменности атрибутов критичных файлов и их содержимого, своевременное выявление нарушений целостности критичных файлов и их оперативное восстановление.
В составе системы контроля целостности должны быть предусмотрены средства централизованного удаленного администрирования, средства просмотра отчетов по результатам проверки целостности и средства автоматического оповещения администратора безопасности о выявленных нарушениях.
===Требования к подсистеме контроля защищенности===
Подсистема контроля защищенности предназначена для выявления и ликвидации уязвимостей отдельных подсистем СОИБ, сетевых сервисов, приложений, функциональных подсистем, системного ПО и СУБД, входящих в состав ИС. Она включает в себя средства сетевого уровня (сетевые сканеры безопасности), устанавливаемые на рабочей станции администратора безопасности и предназначенные для выявления уязвимостей сетевых ресурсов путем эмуляции действий возможного злоумышленника по осуществлению удаленных атак, а также средства системного уровня, построенные на архитектуре «агент-менеджер-консоль» и предназначенные для анализа параметров конфигурации операционных систем и приложений, выявления уязвимостей, коррекции конфигурационных параметров и контроля изменения состояния операционных систем и приложений.

Сетевой сканер должен осуществлять сканирование всего диапазона TCP и UDP портов, выявлять все доступные сетевые ресурсы и сервисы, обнаруживать уязвимости различных ОС, СУБД, сетевых сервисов и приложений.

Средства анализа защищенности системного и прикладного уровней предназначены для решения следующих основных задач:
*анализ параметров конфигурации операционных систем и приложений по шаблонам с целью выявления уязвимостей, связанных с их некорректной настройкой, определения уровня защищенности контролируемых систем и соответствия политике безопасности организации;
*коррекция конфигурационных параметров операционных систем и приложений;
*контроль изменения состояния операционных систем и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.
Средства контроля защищенности системного уровня должны выполнять проверки привилегий пользователей, политик управления паролями и регистрационных записей пользователей, параметров подсистемы резервного копирования, командных файлов, параметров системы электронной почты, настройки системных утилит и т.п.

Средства контроля защищенности системного уровня должна поддерживать распределенные конфигурации и быть интегрированы с сетевыми сканерами и со средствами сетевого управления.
===Требования к подсистеме «удостоверяющий центр»===
Подсистема удостоверяющий центр предназначена для создания, распределения и управления цифровыми сертификатами пользователей ИС, ключами шифрования и ЭЦП. Она строится на инфраструктуре открытых ключей (PKI) и предоставляет базовые сервисы по управлению ключевой информацией для подсистемы аутентификации пользователей, средств VPN и подсистемы контроля целостности. На базе удостоверяющего центра стоятся системы электронного документооборота предприятия, включающие в себя защищенную электронную почту, внутренний информационный портал, офисные приложения и средства обмена документами в рамках подсистем судебного и общего делопроизводства.

Подсистема удостоверяющий центр должна поддерживать реализацию следующих функций:
*электронно-цифровую подпись, контроль целостности информации и кодирование данных в рамках электронного документооборота (корпоративная система электронной почты, внутренний информационный портал, офисные приложения) на базе электронных сертификатов X.509;
*кодирование данных и контроль целостности информации при передаче ее с помощью носителей информации и по открытым каналам в рамках взаимодействия компонентов и пользователей информационной системы на базе электронных сертификатов X.509;
*кодирование данных и контроль целостности информации при удаленном доступе мобильных сотрудников на базе электронных сертификатов X.509;
*аутентификация пользователей и активного сетевого оборудования в рамках информационного взаимодействия на базе электронных сертификатов X.509
*управление сервисом распределения электронных сертификатов;
*безопасную транспортировку электронных сертификатов конечным пользователям;
*поддержку жизненного цикла электронных сертификатов (генерация, распределение, отзыв, подтверждение);
*поддержку хранения электронных сертификатов и паролей на внешних носителях (USB-токены, смарт-карты);
*поддержка стандартов PKCS#11, PKCS#7.
===Требования к подсистеме сегментирования и межсетевого экранирования===
Подсистема сегментирования и межсетевого экранирования предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС предприятия от сетевых атак со стороны сети Интернет и внешних сетей. В рамках системы должна быть сформирована и определена архитектура подключения к сетям общего пользования и создания демилитаризованной зоны (DMZ), которая может включать межсетевой экран, VPN-сервер, Web-сервер, транслятор (relay) электронной почты, вторичный кэширующий DNS-сервер, LDAP-сервер и подсистему защищенного удаленного доступа.

На рубеже сетевой инфраструктуры должны применяться средства сегментирования ЛВС. Средства сегментирования ЛВС должны строиться на технологии виртуальных ЛВС (VLAN) в соответствии с организационной структурой объединения и логикой работы подразделений предприятия с информационными ресурсами.

Серверы ЛВС должны быть расположены в выделенном сегменте (сегментах). Должно быть обеспечено отсутствие рабочих мест пользователей в указанных сегментах ЛВС.

На рубеже внешнего информационного обмена должны применяться средства межсетевого экранирования. Межсетевой экран должен обеспечивать фильтрацию сетевого трафика на сетевом, транспортном и прикладном уровнях.
===Требования к подсистеме VPN===
Подсистема VPN применяется на рубеже внешнего информационного обмена для защиты конфиденциальной информации, передаваемой между ЛВС различных удаленных офисов предприятия, которые не связаны между собой выделенными каналами, а также для подключения к ЛВС мобильных пользователей. Средства VPN реализуются на основе протокола IPSec и интегрируются со средствами межсетевого экранирования.

Средства VPN должны соответствовать спецификациям стандарта IPSec.

Средства VPN должны обеспечивать передачу данных как в зашифрованном, так и в открытом виде в зависимости от источника и получателя информации.

Средства VPN должны быть интегрированы с МЭ.
===Требования к подсистеме антивирусной защиты===
Подсистема антивирусной защиты сети предназначена для решения следующих задач:
*Перекрытие всех возможных каналов распространения вирусов, к числу которых относятся: электронная почта, разрешенные для взаимодействия с сетью Интернет сетевые протоколы (HTTP и FTP), съемные носители информации (дискеты, CD-ROM и т.п.), разделяемые папки на файловых серверах;
*Непрерывный антивирусный мониторинг и периодическое антивирусное сканирование всех серверов и рабочих станций, подключаемых к ЛВС;
*Автоматическое реагирование на заражение компьютерными вирусами и на вирусные эпидемии, включающее в себя: оповещения, лечение вирусов, удаление троянских программ и очистку системы, подвергнувшейся заражению;
Она строится из следующих компонентов:
*Средства управления, включающие в себя управляющую консоль, серверные компоненты системы антивирусной защиты, средства протоколирования и генерации отчетов;
*Средства антивирусной защиты серверов ЛВС;
*Средства антивирусной защиты рабочих станций;
*Средства антивирусной защиты почтовой системы (внутренних почтовых серверов и SMTP-шлюзов на внешнем периметре сети);
*Антивирусный шлюз, осуществляющий антивирусный контроль HTTP и FTP трафика.
===Требования к подсистеме фильтрации контента===
Подсистема фильтрации контента предотвращает утечку ценной конфиденциальной информации из ИС по протоколам HTTP, FTP и SMTP, осуществляет фильтрацию спама и прочей нежелательной корреспонденции. Она реализуется на рубеже защиты внешнего периметра сети и интегрируется со средствами межсетевого экранирования.

Подсистема фильтрации контента должна:
*Предотвращать утечку ценной конфиденциальной информации из ЛВС по протоколам HTTP, FTP и SMTP путем ее блокирования и задержания до утверждения отправки руководством;
*Обеспечивать увеличение производительности труда сотрудников путем уменьшения рекламы, рассылок и прочих, не имеющих отношения к делу, сообщений. Обнаружение спама, рассылаемого и получаемого сотрудниками предприятия;
*Обеспечивать помощь в выявлении неблагонадежных сотрудников, рассылающих свои резюме и посещающих Web-сервера в поисках работы;
*Обеспечивать контроль электронной почты, работающей через WEB-интерфейсы;
*Обеспечивать контроль над всей выходящей корреспонденцией путем отсеивания сообщений, содержащих непристойное содержание для защиты репутации предприятия и сотрудников путем предотвращения случайного или намеренного распространения писем непристойного содержания с адреса предприятия;
*Обеспечивать русскоязычный поиск и фильтрацию почтовых сообщений;
*Обеспечивать контроль использования корпоративного выхода в Internet в личных целях;
*Разграничивать доступ сотрудников предприятия к ресурсам Internet и обеспечивать блокирование обращений к нежелательным сайтам.
*В случае необходимости, осуществлять полное или частичное архивирование данных протоколов HTTP, FTP, SMTP.
===Требования к подсистеме управления безопасностью===
Подсистема управления безопасностью предназначена для осуществления централизованного управления всеми компонентами и подсистемами СОИБ. Управление всеми компонентами СОИБ осуществляется с консоли администратора безопасности, на которой устанавливаются соответствующие средства администрирования и мониторинга.

Средства управления безопасностью должны обеспечивать реализацию следующих функций:
*управлять пользователями и ролями в кросс-платформенном окружении;
*проверять, отслеживать, уведомлять в реальном времени и записывать изменения в групповых политиках безопасности;
*устанавливать факт кем и когда были сделаны изменения параметров безопасности;
*иметь средства, расширяющие встроенные возможности администрирования и управления безопасностью операционной системы;
*иметь средства, управления парольной политикой – синхронизация, отслеживание истории изменений, распределение политики в кросс-платформенном окружении.
Доступ к элементам управления должен предоставляться только после обязательной процедуры аутентификации. Для аутентификации администраторов безопасности должны использоваться схемы, устойчивые к прослушиванию сети потенциальным злоумышленником.

С целью обеспечения реализации принципа минимизации административных полномочий, минимизации количества ошибочных и неправомерных действий со стороны администраторов ЛВС, должен быть определен, документирован, согласован и утвержден состав административных групп. При определении состава административных групп следует опираться на стандартный набор административных групп, имеющийся в ОС Windows 2003, а также в Windows XP.

Определение состава административных групп и выделенных им полномочий, а также порядка осуществления контроля над составом административных групп и действиями администраторов ЛВС должно содержаться в «Регламенте администрирования корпоративной сети». Каждой административной группе предоставляются только те полномочия, которые необходимы для выполнения задач администрирования определенных в Регламенте.

С целью упрощения задач управления доступом пользователей к ресурсам ЛВС назначение прав доступа осуществляется на уроне групп безопасности. Каждая пользовательская учетная запись входит в состав одной или нескольких групп в зависимости от принадлежности пользователя к тому или иному подразделению и его должностными обязанностями.
===Требования к подсистеме предотвращения утечки информации по техническим каналам===
Подсистема предотвращения утечки информации по техническим каналам предназначена для обеспечения защиты информации при ее обработке, хранении и передаче по каналам связи, а также конфиденциальной речевой информации, циркулирующей в специально предназначенных помещениях для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). Она представляет собой совокупность организационно-технических мер по физической защите помещений, каналов передачи информации и технических средств, электромагнитной развязке между информационными цепями, по которым циркулирует защищаемая информация, развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров и другие меры защиты, предпринимаемые в соответствии с требованиями и рекомендациями нормативных документов.

При проведении работ по защите конфиденциальной речевой информации, циркулирующей в защищаемых помещениях, необходимо руководствоваться соответствующими требованиями СТР-К, направленными на исключение возможности перехвата конфиденциальной речевой информации в системах звукоусиления и звукового сопровождения кино- и видеофильмов, при осуществлении ее магнитной звукозаписи и передачи по каналам связи.

Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы контролируемой зоны, и радиоканалам должна быть исключена. При необходимости передачи информации следует использовать защищенные линии связи. Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.

При защите конфиденциальной цифровой информации от утечки по техническим каналам необходимо руководствоваться следующими требованиями СТР-К:
*использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
*использование сертифицированных средств защиты информации;
*размещение объектов защиты на максимально возможном расстоянии от границы контролируемой зоны;
*размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;
*использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);
*развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;
*электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация, и линиями связи, другими цепями вспомогательных технических средств и систем, выходящими за пределы контролируемой зоны;
*использование защищенных каналов связи;
*размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;
*организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации.
==Технические требования к смежным подсистемам==
===Требования к структурированной кабельной системе===
С точки зрения информационной безопасности при прокладке кабелей СКС необходимо иметь в виду следующее:
*Открытая прокладка кабелей не допускается во избежание их механических повреждений. Механическое повреждение может привести как к обрыву линии, так и к ухудшению технических характеристик UTP-кабеля. Кроме того, механические повреждения приведут к аннулированию гарантии на компоненты.
*Качество разделки кабеля на соединительных устройствах непосредственно влияет на излучающие свойства кабельной системы в целом. Таким образом, отклонения от правил заделки кабелей, указанных в стандарте EIA/TIA-568A, не допускаются.
===Требования по физической защите===
Физическая защита компонентов корпоративной сети должна представлять собой комплексную защиту помещений, персонала, аппаратуры, программ, данных, оборудования, зданий и прилегающей территории с использованием следующих средств:
*Естественных особенностей объекта, ограждений, автоматических устройств сигнализации;
*Внутренних и внешних датчиков, электронных средств поиска;
*Замкнутой системы телевидения;
*Системы оповещения и отображения;
*Линий передачи данных, радио- и телефонной связи;
*Управления безопасностью, оружия, транспорта, защитных средств;
*Специальных входов и выходов из помещений, автоматической системы доступа, средств идентификации и проверки персонала;
*Тренировок персонала системы защиты, проведения оперативных мероприятий, обследований, осуществления контроля доступа.
Надежная система физической защиты должна исключить:
*Неправомочный доступ к аппаратуре обработки информации;
*Неразрешенный вынос носителей информации;
*Неправомочное использование систем обработки информации и незаконное получение данных;
*Доступ к системам обработки информации посредством нестандартных (самодельных) устройств;
*Неконтролируемое считывание, модификацию или удаление данных в процессе их передачи или транспортировки носителей информации.
Современный комплекс защиты территории охраняемых объектов должен включать следующие основные компоненты:
*Механическая система защиты – механические конструкции, создающие для нарушителя реальное физическое препятствие;
*Система оповещения о попытках вторжения – представляет собой систему тревожной сигнализации;
*Система опознавания нарушителей – использует телевизионные установки дистанционного наблюдения;
*Инфраструктура связи – проводные средства передачи информации, структурированные линии связи, оптико-волоконные системы, широкополосные радиомодемы и др.;
*Центральный пост охраны - осуществляет сбор, анализ, регистрацию и отображение поступающих данных, а также управление периферийными устройствами;
*Персонал охраны — патрули, дежурные на центральном посту
==Ответственность сотрудников за нарушение безопасности==
На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности предприятия, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.

За умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники предприятия несут материальную ответственность в полном размере причиненного ущерба (Ст. 243 Трудового кодекса РФ).
==Механизм реализации концепции==
Реализация Концепции обеспечения информационной безопасности предприятия должна осуществляться на основе утвержденных конкретных программ и планов, которые ежегодно уточняются с учетом:
*федерального законодательства и нормативной базы в области защиты информации;
*международных и отраслевых стандартов в области информационной безопасности и IT-безопасности;
*организационно-распорядительных документов предприятия;
*реальных потребностей в средствах обеспечения информационной безопасности;
*объемов финансирования, выделяемых на обеспечение информационной безопасности предприятия.
[[Категория:Политика безопасности]]

Приказ о введении в действие стандартов Банка России СТО БР ИББС (финансовые организации)

2010-10-21T04:23:51Z

Majestic: Новая страница

<table style="border: 1px solid #000; background-color:#fff;" width="90%" border="0" cellspacing="10" cellpadding="10" align="center">
<tr>
<td>

<center>Приказ №______________</center>

<div style="text-align:right;">"___"_______________20___ года</div>

В целях обеспечения информационной безопасности '''"ВАША ОРГАНИЗАЦИЯ"'''

ПРИКАЗЫВАЮ:

1. Ввести в действие и считать обязательным для исполнения комплекс документов в области стандартизации Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации" (далее - Комплекс БР ИББС).

2. Руководствоваться требованиями Комплекса БР ИББС при проведении и организации работ по защите информации, отнесенной к персональным данным, банковской и коммерческой тайн.

3. Отделу информационной безопасности:
*провести самооценку соответствия уровня обеспечения информационной безопасности;
*по результатам проведения самооценки разработать план приведения в соответствие требованиям Комплекса БР ИББС;
*направить уведомление об уровне соответствия требованиям стандарта в адрес Главного управления Центрального Банка Российской Федерации, а также в территориальные органы Роскомнадзора, ФСБ, ФСТЭК.

4. Контроль за исполнением настоящего приказа оставляю за собой.

Председатель Правления '''"ВАША ОРГАНИЗАЦИЯ"'''

</td>
</tr>
</table>

[[Категория:Комплект документов по информационной безопасности для финансовых организаций]]
[[Категория:Организация информационной безопасности]]

Положение о сканировании уязвимостей

2010-10-13T04:03:03Z

Majestic: Новая страница

==Термины и определения==
*Порт — идентифицируемый номером системный ресурс, выделяемый приложению, выполняемому на некотором узле сети, для связи с приложениями, выполняемыми на других узлах сети (в том числе с другими приложениями на этом же узле сети).
*IP-адрес (ай-пи адрес, сокращение от англ. Internet Protocol Address) — сетевой адрес узла в сети, построенной по протоколу IP.
*Средство защиты информации – техническое, программное средство, вещество и(или) материал, предназначенные или используемые для защиты информации.
*Уязвимость — недостаток в программном обеспечении или средстве защиты информации используя который, возможно нарушить работоспособность данного программного обеспечения или средства защиты информации, либо выполнить какие-либо несанкционированные действия в обход установленных разрешений в программном обеспечении и(или) в средстве защиты информации.
*Сканирование уязвимостей — полностью или частично автоматизированный процесс сбора информации о доступности сетевого узла информационной сети (персональные компьютеры, серверы, телекоммуникационное оборудование), сетевых службах и приложениях используемых на данном узле и их идентификации, используемых данными службами и приложениями портах, с целью определения существующих или возможных уязвимостей.
*Сканирование портов — полностью или частично автоматизированный процесс сбора информации о доступности сетевого узла информационной сети (персональные компьютеры, серверы, телекоммуникационное оборудование), сетевых службах и приложениях используемых на данном узле, их идентификации и используемых ими портах.
*Сканер уязвимостей — программное обеспечение выполняющее сбор информации об узлах информационной сети и, при помощи различных методик анализа, определение уязвимостей в сетевых службах и приложениях, содержащихся в базе данных сканера уязвимостей. Сканер уязвимости включает в себя функционал сканера портови (сканера сети).
*Сканер сети (Сканер портов) — программное обеспечение выполняющее сбор информации об узлах информационной сети (IP-адрес, открытые порты) и идентификацию сетевых служб и приложений использующихся на данном узле.
==Цели настоящего положения==
Настоящее Положение определяет цели и порядок проведения сканирования уязвимостей (далее – сканирование) в информационной сети Организации, ответственных за проведение сканирования, а также действия, предпринимаемые по результатам сканирования.

Настоящее положение водится приказом руководства Организации и действует бессрочно до замены его новым положением.

Все изменения в настоящее положение вносятся приказом.
==Цели проведения сканирования==
Сканирование информационной сети Организации производится с целью сбора информации об активных узлах информационной сети Организации, сетевых службах и приложениях выполняющихся на данных узлах, используемых ими портах, а также обнаружения уязвимостей данных сетевых служб и приложений.

Сканирование является внутренним аудитом информационной сети Организации на предмет выявления несанкционированно подключенных к информационной сети сетевых узлов, корректности настроек, в части обеспечения безопасности, сетевых служб и приложений, обнаружения несанкционированно установленного, либо вредоносного программного обеспечения, осуществляющего сетевое взаимодействие.

Сканированию подлежат все внутренние узлы информационной сети Организации, а также внутренние узлы доступные из внешней сети (сеть связи общего пользования – Интернет). Сканирование внутренних узлов производится из внутренней сети по всем существующим диапазонам IP-адресов использующихся в Организации, сканирование узлов, доступных из внешней сети, производится из сети Интернет по диапазону(списку) IP-адресов выданных внешним узлам.
==Требования к программному обеспечению==
Сканирование уязвимостей производится с использованием специализированного программного обеспечения – сканеров уязвимостей.

Программное обеспечение сканера уязвимости приобретается за счет средств Организации и передается отделу информационной безопасности для проведения сканирования информационной сети Организации.

Разработчиком программного обеспечения сканера уязвимостей должна предоставляться техническая поддержка (по телефону и(или) электронной почте со сроком реакции не более 2-х суток), а также регулярные, не реже двух раз в месяц, обновления баз данных уязвимостей. Лицензионная политика разработчика программного обеспечения сканера уязвимостей должна обеспечивать возможность увеличения количества сканируемых IP-адресов и изменения их значений.

Для проведения сканирования уязвимостей в используемых в Организации СУБД и (или) Web-сайтов(Web-серверов) а также иных специфических приложений, могут приобретаться специализированные сканеры уязвимостей.

Дополнительно, для проведения сканирования уязвимостей и (или) сканирования портов, допускается использование свободно распространяемого программного обеспечения.
==Порядок проведения сканирования==
Сканирование уязвимостей узлов информационной сети Организации проводится один раз в квартал.

Внеплановому сканированию подлежат:
*новые узлы, впервые подключаемые к информационной сети Организации;
*существующие узлы, на которых была произведена переустановка операционной системы, либо установлены комплексные обновления ОС и(или) прикладного программного обеспечения осуществляющего сетевое взаимодействие;
*существующие узлы, на которых была произведена смена версии прикладного программного обеспечения осуществляющего сетевое взаимодействие;
*узлы (группы узлов) на которых была обнаружена или заподозрена вирусная активность;
*узлы (группы узлов) подвергшиеся хакерской атаке (взлому);
*узлы, использующие программное обеспечение для которого в общедоступных источниках была опубликована критическая уязвимость.
Для новых узлов, при типовом наборе программного обеспечения данного узла (для данного набора программного обеспечения уже проводилось сканирование уязвимостей), либо существующих узлов при установке версии операционной системы и версий и (или) обновлений программного обеспечения для которых ранее проводилось плановое сканирование, возможно проведение сканирования без определения уязвимостей – сканирование портов.

Проведение сканирования нового узла должно производиться до момента его подключения в информационную сеть Организации.
==Действия по результатам сканирования==
Отдел информационной безопасности производит анализ обнаруженных в ходе сканирования уязвимостей, на предмет степени критичности данной уязвимости для функционирования информационной системы и возможных последствий при использовании данной уязвимости злоумышленником. Анализ проводится как на основании информации предоставляемой разработчиком сканера уязвимости (в том числе описание уязвимости, содержащееся в базе данных сканера уязвимостей), так и на основании информации содержащейся в общедоступных источниках (Интернет).

На основании результатов анализа отделом информационной безопасности производится дополнительная проверка выявленных уязвимостей и в случае подтверждения результатов полученных в ходе сканирования, установка обновлений исправляющих данную уязвимость, в случае их наличия у разработчика, либо передача информации об уязвимости разработчику программного обеспечения в котором данная уязвимость была обнаружена.

После установки обновления устраняющего найденную уязвимость, необходимо проведение повторного, внепланового, сканирования данного узла.

В случае отсутствия у разработчика программного обеспечения необходимого обновления, устраняющего найденную критическую уязвимость, отделом информационной безопасности разрабатываются мероприятия снижающие риск использования данной критической уязвимости. В том числе возможно проведение попыток практической реализации атаки использующей найденную уязвимость.

В качестве дополнительной проверки возможности практического использования злоумышленником найденных критических уязвимостей, для которых не существует обновлений устраняющих их, может привлекаться специализированная организация, для осуществления тестов на проникновение.
==Ответственные за проведение сканирования==
Ответственным за проведение сканирования информационной сети Организации является отдел информационной безопасности.

Отдел информационной безопасности, определяет:
*перечень узлов информационной сети подлежащих сканированию;
*время проведения сканирования для каждого узла (группы узлов) с учетом загрузки данных узлов, каналов связи и критичности данного узла (группы узлов) с точки зрения основных бизнес процессов Организации;
*место расположения сканера в информационной сети Организации, с целью минимизации загрузки каналов связи в моменты проведения сканирования.

Перечень узлов подлежащих сканированию и время его проведения оформляется в виде «Плана сканирования», согласуется с начальником управления информационных технологий и заинтересованными руководителями других отделов и передается в отдел информационной безопасности.

Сотрудники отдела информационной безопасности, ответственные за проведение сканирования, обязаны отслеживать появление информации о новых уязвимостях в общедоступных источниках информации (например, подписка на получение рассылок или уведомлений со специализированных сайтов).
==Отечность по результатам сканирования==
По результатам сканирования отделом информационной безопасности формируется отчет, в котором отражаются обнаруженные критические уязвимости, программное обеспечение в котором данная уязвимость была найдена, а так же действия, предпринятые для ее устранения (снижению риска ее использования злоумышленником).

Отчетность по результатам сканирования передается начальнику управления информационных технологий и руководству Организации.

Лог файлы, отчеты формируемые сканером уязвимости, отчеты о результатах сканирования должны храниться в электронном виде в течении года.
==Обеспечение безопасности при проведении сканирования==
В целях обеспечения стабильного и бесперебойного функционирования информационной сети при проведении сканирования запрещается одновременное сканирование более 20-ти сетевых узлов, а также применение настроек разрешающих использование найденных уязвимостей и проверок, потенциально способных привести к нарушению работоспособности сканируемого узла. При проведении сканирования с использованием потенциально опасной конфигурации сканера безопасности необходимо уведомить администратора информационной системы и проводить сканирование в моменты присутствия администратора данной информационной системы на рабочем месте.

При проведении сканирования узлов, на которых выполняются критически важные, для осуществления текущей деятельности Организации приложения, необходимо:
*Предварительно проверить безопасность конфигурации сканера уязвимостей, путем проведения сканирования узла на котором функционирует тестовая версия (при наличии) критически важного приложения, и в случае, если настройки сканера приводят к нарушению работоспособности приложения, сканирование узла, на котором функционирует рабочая версия данного критического приложения, с такими настройками, не допускается.
*Перед проведением сканирования, произвести резервное копирование информации необходимой для восстановления работоспособности приложения (узла), а в случае изменения данной информации в режиме реального времени и отсутствия возможностей восстановления информации, проводить сканирование в моменты, когда данная информация изменяется (пополняется) с наименьшей скоростью.
*Проводить сканирование в присутствии администратора данного приложения, для обеспечения возможности максимально быстрого восстановления работоспособности данного приложения.
==Конфиденциальность==
Лог файлы полученные в ходе проведения сканирования уязвимостей, а также информация об обнаруженных уязвимостях является конфиденциальной информацией. Полный доступ к информации, полученной в ходе сканирования предоставляется сотрудникам отдела информационной безопасности и руководству Организации.

Доступ к информации, полученной в ходе проведения сканирования, может быть предоставлен сотрудникам ответственным за сопровождение прикладных систем, в которых обнаружены уязвимости, но только в части информации имеющей непосредственное отношение к сопровождаемым системам.

Допускается предоставление информации об обнаруженных уязвимостях в программном обеспечении, разработчикам данного программного обеспечения, при этом разработчику предоставляется только та часть информации о уязвимостях, которая имеет непосредственное отношение к данному программному обеспечению.

При привлечении сторонней организации для проведения тестирования на проникновение необходимо заключение договора предусматривающего обязательное соблюдение конфиденциальности информации предоставленной данной Организации, а также информации собранной в ходе выполнения работ и результатов их выполнения.
[[Категория:Управление коммуникациями и процессами]]

Положение о защите персональных данных

2010-09-02T04:04:47Z

Majestic: Новая страница

==1. Общие положения==
1.1. Настоящее Положение разработано в соответствии с [[Конституция Российской Федерации|Конституцией РФ]], [[Выдержки из Трудового Кодекса Российской Федерации|Трудовым кодексом РФ № 197-ФЗ от 30.12.2001 г.]], [[Федеральный закон N 149-ФЗ от 27 июля 2006 года|Федеральным законом РФ "Об информации, информационных технологиях и о защите информации" № 149-ФЗ от 27.07.2006 г.]], [[Федеральный закон N 152-ФЗ от 27 июля 2006 года|Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27.07.2006 г.]], [[Указ Президента Российской Федерации N 188 от 6 марта 1997 года|Указом Президента РФ "Об утверждении перечня сведений конфиденциального характера" № 188 от 06.03.1997 г.]] и другими нормативными правовыми актами.

1.2. Настоящее Положение определяет порядок обработки персональных данных работников '''"ВАША ОРГАНИЗАЦИЯ"''' (далее Организация) и гарантии конфиденциальности сведений, предоставляемых работником работодателю.

1.3. Персональные данные работника являются конфиденциальной информацией.
==2. Понятие и состав персональных данных работника==
2.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника.

К персональным данным работника относятся:
*фамилия, имя, отчество, год, месяц, дата и место рождения, а также иные данные, содержащиеся в удостоверении личности работника;
*данные о семейном, социальном и имущественном положении;
*данные об образовании работника, наличии специальных знаний или подготовки;
*данные о профессии, специальности работника;
*сведения о доходах работника;
*данные медицинского характера, в случаях, предусмотренных законодательством;
*данные о членах семьи работника;
*данные о месте жительства, почтовый адрес, телефон работника, а также членов его семьи;
*данные, содержащиеся в трудовой книжке работника и его личном деле, страховом свидетельстве государственного пенсионного страхования, свидетельстве о постановке на налоговый учет;
*данные, содержащиеся в документах воинского учета (при их наличии);
*иные персональные данные, при определении объема и содержания которых работодатель руководствуется настоящим Положением и законодательством РФ.
==3. Обработка персональных данных работника==
3.1. Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
Обработка персональных данных работника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ и актами работодателя.

3.2. Работодатель не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 [[Конституция Российской Федерации|Конституции Российской Федерации]] работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Работодатель не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.3. На основании норм [[Выдержки из Трудового Кодекса Российской Федерации|Трудового кодекса РФ (ст. 86)]], а также исходя из положений п. 2 ст. 6 [[Федеральный закон N 152-ФЗ от 27 июля 2006 года|ФЗ РФ "О персональных данных"]], обработка персональных данных осуществляется работодателем без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.
===Получение===
3.4. Все персональные данные о работнике работодатель может получить у него самого.

3.5. Работник обязан предоставлять работодателю достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Работодатель имеет право проверять достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися у работника документами.

3.6. В случаях, когда работодатель может получить необходимые персональные данные работника только у третьего лица, работодатель должен уведомить об этом работника и получить от него письменное согласие по установленной форме (Приложение 1).

Работодатель обязан сообщить работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение.
===Хранение персональных данных работника===
3.7. Персональные данные работника хранятся в отделе кадров в личном деле работника. Личные дела хранятся в бумажном виде в папках и находятся в сейфе или в несгораемом шкафу.

Персональные данные работника в отделе кадров хранятся также в электронном виде на локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечиваются системой паролей. Пароли устанавливаются начальником отдела кадров и сообщаются индивидуально сотрудникам отдела кадров, имеющим доступ к персональным данным работников.

:'''Примечание:''' Хранение персональных данных работников в бухгалтерии и иных структурных подразделениях работодателя, сотрудники которых имеют право доступа к персональным данным, осуществляется в порядке исключающим к ним доступ третьих лиц.

3.8. Сотрудник работодателя, имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:
*обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные работников (соблюдение "политики чистых столов").
*при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое локальным актом Организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.

:'''Примечание:''' В случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.

При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
===Использование (доступ, передача, комбинирование и т.д.) персональных данных работника===
3.9. Доступ к персональным данным работника имеют сотрудники работодателя, которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей (Приложение 2).

В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя Организации, доступ к персональным данным работника может быть предоставлен иному работнику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным работника Организации, и которым они необходимы в связи с исполнением трудовых обязанностей.

3.10. В случае если работодателю оказывают услуги юридические и физические лица на основании заключенных договоров (либо иных оснований) и в силу данных договоров они должны иметь доступ к персональным данным работников Организации, то соответствующие данные предоставляются работодателем только после подписания с ними соглашения о неразглашении конфиденциальной информации.

В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника.

3.11. Процедура оформления доступа к персональным данным работника включает в себя:
*ознакомление работника под роспись с настоящим Положением.
:'''Примечание:''' При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление работника под роспись.
*истребование с сотрудника (за исключением руководителя Организации) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки, подготовленного по установленной форме (Приложение 3).
3.12. Сотрудники работодателя, имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работника, которые необходимы им для выполнения конкретных трудовых функций.
3.13. Доступ к персональным данным работников без специального разрешения имеют работники, занимающие в организации следующие должности:
*руководитель Организации;
*заместитель руководителя Организации;
*главный бухгалтер;
*работники отдела кадров;
*инженеры-программисты отдела информационных технологий;
*начальники структурных подразделений – в отношении персональных данных работников, числящихся в соответствующих структурных подразделениях.
3.14. Допуск к персональным данным работника других сотрудников работодателя, не имеющих надлежащим образом оформленного доступа, запрещается.

3.15. Работник имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи (за исключением случаев предусмотренных федеральным законом), содержащей его персональные данные. Работник имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.

3.16. Отдел кадров вправе передавать персональные данные работника в бухгалтерию и иные структурные подразделения, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.

При передаче персональных данных работника, сотрудники отдела кадров предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство в соответствии с п. 3.11. настоящего Положения.

3.17. Передача (обмен и т.д.) персональных данных между подразделениями работодателя осуществляется только между сотрудниками, имеющими доступ к персональным данным работников.
===Доступ к персональным данным работника третьих лиц (физических и юридических)===
3.18. Передача персональных данных работника третьим лицам осуществляется только с письменного согласия работника, которое оформляется по установленной форме (Приложение 4) и должно включать в себя:
*фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
*наименование и адрес работодателя, получающего согласие работника;
*цель передачи персональных данных;
*перечень персональных данных, на передачу которых дает согласие работник;
*срок, в течение которого действует согласие, а также порядок его отзыва.
:'''Примечание:''' Согласия работника на передачу его персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника; когда третьи лица оказывают услуги работодателю на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.

3.19. Не допускается передача персональных данных работника в коммерческих целях без его письменного согласия, оформленного по установленной форме (Приложение 5).

3.20. Сотрудники работодателя, передающие персональные данные работников третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные работников. Акт составляется по установленной форме (Приложение 6), и должен содержать следующие условия:
*уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
*предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.

Передача документов (иных материальных носителей), содержащих персональные данные работников, осуществляется при наличии у лица, уполномоченного на их получение:
*договора на оказание услуг Организации;
*соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;
*письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные работника, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.

Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника Организации несет работник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.

3.21. Представителю работника (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
*нотариально удостоверенной доверенности представителя работника;
*письменного заявления работника, написанного в присутствии сотрудника отдела кадров работодателя (если заявление написано работником не в присутствии сотрудника отдела кадров, то оно должно быть нотариально заверено).

Доверенности и заявления хранятся в отделе кадров в личном деле работника.

3.22. Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.

3.23. Персональные данные работника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого работника, за исключением случаев, когда передача персональных данных работника без его согласия допускается действующим законодательством РФ.

3.24. Документы, содержащие персональные данные работника, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
==4. Организация защиты персональных данных работника==
4.1. Защита персональных данных работника от неправомерного их использования или утраты обеспечивается работодателем.

4.2. Общую организацию защиты персональных данных работников осуществляет начальник отдела кадров.

4.3. Начальник отдела кадров обеспечивает:
*ознакомление сотрудника под роспись с настоящим Положением.

При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных работника, с данными актами также производится ознакомление сотрудника под роспись.
*истребование с сотрудников (за исключением лиц, указанных в пункте 3.13 настоящего Положения) письменного обязательства о соблюдении конфиденциальности персональных данных работника и соблюдении правил их обработки.
*общий контроль за соблюдением сотрудниками работодателя мер по защите персональных данных работника.
4.4. Организацию и контроль за защитой персональных данных работников структурных подразделениях работодателя, сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

4.5. Защите подлежит:
*информация о персональных данных работника;
*документы, содержащие персональные данные работника;
*персональные данные, содержащиеся на электронных носителях.

4.6. Защита сведений, хранящихся в электронных базах данных работодателя, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учетной записи и системой паролей.
==5. Заключительные положения==
5.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных работника, определяются также должностными инструкциями.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.

5.3. Разглашение персональных данных работника Организации (передача их посторонним лицам, в том числе, работникам Организации, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные работника, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Организации, влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.

Сотрудник работодателя, имеющий доступ к персональным данным работника и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба работодателю (п.7 ст. 243 Трудового кодекса РФ).

5.4. Сотрудники работодателя, имеющие доступ к персональным данным работника, виновные в незаконном разглашении или использовании персональных данных работников работодателя без согласия работников из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со [[Выдержки из Уголовного Кодекса Российской Федерации|ст. 183 Уголовного кодекса РФ]].
==Приложение 1 - Письменное согласие работника на получение его персональных данных у третьей стороны==
<table style="border: 1px solid #000; background-color:#fff;" width="90%" border="0" cellspacing="10" cellpadding="10" align="center">
<tr>
<td>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="50%"> </td>
<td width="20%"><p align="right"> </p> </td>
<td width="30%"><center>Руководителю '''"ВАША ОРГАНИЗАЦИЯ"'''</center></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">от</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%"><center><sup><small>(ФИО, должность работника)</small></sup></center></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%"><small><sup><center>(год рождения)</center></sup></small></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">проживающий по адресу:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">паспорт:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">выдан:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>

<center>'''Письменное согласие работника на получение его персональных данных у третьей стороны'''</center>

<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="1%" nowrap="nowrap">Я,</td>
<td width="99%" style="border-bottom: 1px solid #000;"><div style="text-align:right;">, </div></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap"><div style="text-align:right;"><div style="text-align:left;">в соответствии со ст. 86 ТК РФ</div></div></td>
<td width="80%" style="border-bottom: 1px solid #000;"> </td>
<td width="10%" nowrap="nowrap">получение моих персональных данных, </td>
</tr>
<tr>
<td width="10% nowrap="nowrap"> </td>
<td width="80%"><center><small><sup>(согласен, не согласен)</sup></small></center></td>
<td width="10%" nowrap="nowrap"> </td>
</tr>
</table>
а именно:
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="1%" nowrap="nowrap"><div style="text-align:left;">у</div></td>
<td width="99%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="1% nowrap="nowrap"> </td>
<td width="99%"><center><small><sup>(Ф.И.О. физического лица или наименование организации, у которых получается информация)</sup></small></center></td>
</tr>
</table>
О целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение предупрежден.

<div style="text-align:right;">"____" ______________20___г.</div>

<table style="background-color:#fff;" width="40%" border="0" cellspacing="10" cellpadding="0" align="right">
<tr>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50% nowrap="nowrap"><center><small><sup>(подпись)</sup></small></center></td>
<td width="50%"><center><small><sup>(Ф.И.О. работника)</sup></small></center></td>
</tr>
</table>

<small>Примечание:
#Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника.
#Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров.
#Перечень персональных данных уточняется исходя из целей получения согласия.</small>

</td>
</tr>
</table>
==Приложение 2 - Перечень должностей сотрудников, имеющих доступ к персональным данным работника Организации и которым они необходимы в связи с исполнением трудовых обязанностей==
<table style="border: 1px solid #000; background-color:#fff;" width="90%" border="0" cellspacing="10" cellpadding="10" align="center">
<tr>
<td>

<center>'''Перечень должностей сотрудников, имеющих доступ к персональным данным работника Организации и которым они необходимы в связи с исполнением трудовых обязанностей'''</center>

#Руководитель Организации
#Заместитель руководителя Организации
#Главный бухгалтер
#Ведущий бухгалтер
#Старший бухгалтер
#Бухгалтер
#Ведущий экономист
#Экономист
#Начальник отдела кадров
#Старший инспектор отдела кадров
#Инспектор отдела кадров
#Техник (по кадрам)
#Начальник отдела
#Старший инспектор
#Руководитель группы
#Ведущий инженер
#Ведущий инженер-электроник
#Инженер-электроник
#Начальник бюро пропусков
#Дежурный бюро пропусков

</td>
</tr>
</table>
==Приложение 3 - Обязательство о соблюдении режима конфиденциальности персональных данных работника==
<table style="border: 1px solid #000; background-color:#fff;" width="90%" border="0" cellspacing="10" cellpadding="10" align="center">
<tr>
<td>
<center>'''Обязательство о соблюдении режима конфиденциальности персональных данных работника'''</center>

<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="1%" nowrap="nowrap">Я,</td>
<td width="99%" style="border-bottom: 1px solid #000;"><div style="text-align:right;">, </div></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap"><div style="text-align:right;"><div style="text-align:left;">работая по должности (профессии)</div></div></td>
<td width="80%" style="border-bottom: 1px solid #000;"> </td>
<td width="10%" nowrap="nowrap">в '''"ВАША ОРГАНИЗАЦИЯ"'''</td>
</tr>
<tr>
<td width="10% nowrap="nowrap"> </td>
<td width="80%"> </td>
<td width="10%" nowrap="nowrap"> </td>
</tr>
</table>
1. Не разглашать, не раскрывать публично, а также соблюдать установленный Положением о защите персональных данных работника '''"ВАША ОРГАНИЗАЦИЯ"''' порядок передачи третьим лицам сведений, составляющих персональные данные работников, которые мне будут доверены или станут известны по работе.

Выполнять относящиеся ко мне требования Положения о защите персональных данных работника, приказов, распоряжений, инструкций и других локальных нормативных актов по обеспечению конфиденциальности персональных данных работников и соблюдению правил их обработки.

2. В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные работника, немедленно сообщить руководителю структурного подразделения и начальнику отдела кадров.

3. В случае моего увольнения, все носители, содержащие персональные данные работников (документы, копии документов, дискеты, диски, магнитные ленты, распечатки на принтерах, черновики, кино- и фотонегативы, позитивы и пр.), которые находились в моем распоряжении в связи с выполнением мною трудовых обязанностей во время работы у работодателя, передать руководителю структурного подразделения или другому сотруднику по указанию руководителя структурного подразделения.

4. Об утрате или недостаче документов или иных носителей, содержащих персональные данные работников (удостоверений, пропусков и т.п.); ключей от хранилищ, сейфов (металлических шкафов) и о других фактах, которые могут привести к разглашению персональных данных работников, а также о причинах и условиях возможной утечки сведений немедленно сообщить руководителю структурного подразделения и начальнику отдела кадров.

Я ознакомлен под роспись:

с Положением о защите персональных данных работника '''"ВАША ОРГАНИЗАЦИЯ"''',
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>
Мне известно, что нарушение мною обязанностей по защите персональных данных работников может повлечь дисциплинарную, гражданско-правовую, уголовную и иную ответственность в соответствии с законодательством РФ.

<div style="text-align:right;">"____" ______________20___г.</div>

<table style="background-color:#fff;" width="40%" border="0" cellspacing="10" cellpadding="0" align="right">
<tr>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50% nowrap="nowrap"><center><small><sup>(подпись)</sup></small></center></td>
<td width="50%"><center><small><sup>(Ф.И.О. работника)</sup></small></center></td>
</tr>
</table>

</td>
</tr>
</table>
==Приложение 4 - Письменное согласие работника на передачу его персональных данных третьей стороне==
<table style="border: 1px solid #000; background-color:#fff;" width="90%" border="0" cellspacing="10" cellpadding="10" align="center">
<tr>
<td>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="50%"> </td>
<td width="20%"><p align="right"> </p> </td>
<td width="30%"><center>Руководителю '''"ВАША ОРГАНИЗАЦИЯ"'''</center></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">от</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%"><center><sup><small>(ФИО, должность работника)</small></sup></center></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%"><small><sup><center>(год рождения)</center></sup></small></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">проживающий по адресу:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">паспорт:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">выдан:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>

<center>'''Письменное согласие работника на передачу его персональных данных третьей стороне'''</center>

<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="1%" nowrap="nowrap">Я,</td>
<td width="99%" style="border-bottom: 1px solid #000;"><div style="text-align:right;">, </div></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap"><div style="text-align:right;"><div style="text-align:left;">в соответствии со ст. 86 ТК РФ</div></div></td>
<td width="80%" style="border-bottom: 1px solid #000;"> </td>
<td width="10%" nowrap="nowrap">передачу моих персональных данных, </td>
</tr>
<tr>
<td width="10% nowrap="nowrap"> </td>
<td width="80%"><center><small><sup>(согласен, не согласен)</sup></small></center></td>
<td width="10%" nowrap="nowrap"> </td>
</tr>
</table>
а именно:

#фамилия, имя, отчество;
#паспортные данные;
#год, месяц, дата и место рождения;
#адрес;
#семейное, социальное, имущественное положение;
#образование;
#профессия;
#сведения о трудовом и общем стаже;
#доходы, полученные мной в данном учреждении;
#сведения о воинском учете;
#домашний телефон
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">для обработки в целях</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">следующим лицам</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><center><sup><small>(указываются Ф.И.О. физического лица или наименование организации, которым сообщаются данные)</small></sup></center></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>
Согласие на передачу персональных данных третьей стороне действительно в течение всего срока действия трудового договора.

Подтверждаю, что ознакомлен с Положением о защите персональных данных работника в '''"ВАША ОРГАНИЗАЦИЯ"''', права и обязанности в области защиты персональных данных мне разъяснены, а также право работодателя обрабатывать (в том числе и передавать) часть моих персональных данных без моего согласия, в соответствии с законодательством РФ.

Подтверждаю, что отзыв согласия производится в письменном виде в соответствии с действующим законодательством. Всю ответственность за неблагоприятные последствия отзыва согласия беру на себя.

<div style="text-align:right;">"____" ______________20___г.</div>

<table style="background-color:#fff;" width="40%" border="0" cellspacing="10" cellpadding="0" align="right">
<tr>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50% nowrap="nowrap"><center><small><sup>(подпись)</sup></small></center></td>
<td width="50%"><center><small><sup>(Ф.И.О. работника)</sup></small></center></td>
</tr>
</table>

<small>Примечание:
#Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника.
#Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров.
#Перечень персональных данных не является исчерпывающим и уточняется исходя из целей получения согласия.
</small>
</td>
</tr>
</table>
==Приложение 5 - Письменное согласие работника на передачу его персональных данных в коммерческих целях==
<table style="border: 1px solid #000; background-color:#fff;" width="90%" border="0" cellspacing="10" cellpadding="10" align="center">
<tr>
<td>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="50%"> </td>
<td width="20%"><p align="right"> </p> </td>
<td width="30%"><center>Руководителю '''"ВАША ОРГАНИЗАЦИЯ"'''</center></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">от</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%"><center><sup><small>(ФИО, должность работника)</small></sup></center></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"> </td>
<td width="30%"><small><sup><center>(год рождения)</center></sup></small></td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">проживающий по адресу:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">паспорт:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50%"> </td>
<td width="20%"><div style="text-align:right;">выдан:</div></td>
<td width="30%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>

<center>'''Письменное согласие работника на передачу его персональных данных в коммерческих целях'''</center>

<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="1%" nowrap="nowrap">Я,</td>
<td width="99%" style="border-bottom: 1px solid #000;"><div style="text-align:right;">, </div></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap"><div style="text-align:right;"><div style="text-align:left;">в соответствии со ст. 86 ТК РФ</div></div></td>
<td width="80%" style="border-bottom: 1px solid #000;"> </td>
<td width="10%" nowrap="nowrap">передачу моих персональных данных, </td>
</tr>
<tr>
<td width="10% nowrap="nowrap"> </td>
<td width="80%"><center><small><sup>(согласен, не согласен)</sup></small></center></td>
<td width="10%" nowrap="nowrap"> </td>
</tr>
</table>
а именно:
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
</table>
в коммерческих целях
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">следующим лицам</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><center><sup><small>(указываются Ф.И.О. физического лица или наименование организации, которым сообщаются данные)</small></sup></center></td>
</tr>
</table>

<div style="text-align:right;">"____" ______________20___г.</div>

<table style="background-color:#fff;" width="40%" border="0" cellspacing="10" cellpadding="0" align="right">
<tr>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
<td width="50%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="50% nowrap="nowrap"><center><small><sup>(подпись)</sup></small></center></td>
<td width="50%"><center><small><sup>(Ф.И.О. работника)</sup></small></center></td>
</tr>
</table>

<small>Примечание:
#Вместо паспорта могут указываться данные иного основного документа, удостоверяющего личность работника.
#Письменное согласие работника заполняется и подписывается им собственноручно, в присутствии сотрудника отдела кадров.
#Перечень персональных данных уточняется исходя из целей получения согласия.
</small>
</td>
</tr>
</table>
==Приложение 6 - Акт приема-передачи документов (иных материальных носителей), содержащих персональные данные работника==
<table style="border: 1px solid #000; background-color:#fff;" width="90%" border="0" cellspacing="10" cellpadding="10" align="center">
<tr>
<td>

<center>'''Акт приема-передачи документов (иных материальных носителей), содержащих персональные данные работника'''</center>

<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">Во исполнение договора на оказание услуг №</td>
<td width="80%" style="border-bottom: 1px solid #000;"> </td>
<td width="10%" nowrap="nowrap">от ______20___года,</td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">заключенного между '''"ВАША ОРГАНИЗАЦИЯ"''' и</td>
<td width="90%" style="border-bottom: 1px solid #000;">,</td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><small><sup><center>(наименование организации, принимающей документы (иные материальные носители), содержащие персональные данные работника)</center></sup></small></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">'''"ВАША ОРГАНИЗАЦИЯ"''', в лице</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><small><sup><center>(Ф.И.О., должность работника '''"ВАША ОРГАНИЗАЦИЯ"''', осуществляющего передачу персональных данных работника)</center></sup></small></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">передает, а</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><small><sup><center>(наименование организации, принимающей документы (иные материальные носители), содержащие персональные данные работника)</center></sup></small></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">в лице</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><small><sup><center>(Ф.И.О., должность представителя организации, принимающей документы (иные материальные носители), содержащие персональные данные работника)</center></sup></small></td>
</tr>
</table>
получает документы
(Ф.И.О., должность представителя организации, принимающей документы (иные материальные носители), содержащие персональные данные работника) (иные материальные носители), содержащие персональные данные работника на срок __________ и в целях:
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="100%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="100%"><small><sup><center>(указать цель использования)</center></sup></small></td>
</tr>
</table>

'''Перечень документов (иных материальных носителей), содержащих персональные данные работника'''

<table style="background-color:#fff;border-collapse:collapse;" width="100%" border="1" cellspacing="0" cellpadding="0">
<tr>
<td width="10%"><center>№ п/п</center></td>
<td width="70%"> </td>
<td width="20%"><center>Кол-во</center></td>
</tr>
<tr>
<td width="10%"> </td>
<td width="70%"> </td>
<td width="20%"> </td>
</tr>
<tr>
<td width="10%"> </td>
<td width="70%"> </td>
<td width="20%"> </td>
</tr>
<tr>
<td width="80" colspan="2"><center>Всего</center></td>
<td width="20%"> </td>
</tr>
</table>
Полученные персональные данные работника могут быть использованы лишь в целях, для которых они сообщены. Незаконное использование предоставленных персональных данных путем их разглашения, уничтожения и другими способами, установленными федеральными законами, может повлечь соответствующую гражданско-правовую, материальную, дисциплинарную, административно-правовую и уголовную ответственность.

<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">Передал</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><small><sup><center>(Ф.И.О., должность работника '''"ВАША ОРГАНИЗАЦИЯ"''', осуществляющего передачу персональных данных работника)</center></sup></small></td>
</tr>
</table>
<table style="background-color:#fff;" width="100%" border="0" cellspacing="0" cellpadding="0">
<tr>
<td width="10%" nowrap="nowrap">Принял</td>
<td width="90%" style="border-bottom: 1px solid #000;"> </td>
</tr>
<tr>
<td width="10%" nowrap="nowrap"> </td>
<td width="90%"><small><sup><center>(Ф.И.О., должность, представителя организации – приемщика документов (иных материальных носителей), содержащих персональные данные работника)</center></sup></small></td>
</tr>
</table>

</td>
</tr>
</table>
[[Категория:Безопасность персонала]]
[[Категория:Соответствие нормативным требованиям]]

==См. также==
*[[Положение о защите персональных данных (соответствие ФЗ "О персональных данных")]]

План защиты информационных ресурсов от несанкционированного доступа

2010-06-02T09:31:13Z

Majestic: Новая страница

==Назначение плана==
Настоящий План определяет организацию, порядок осуществления работ, основные требования и рекомендации, способы и средства защиты информации, циркулирующей в ИС, технических средствах и помещениях Компании, и является основным руководящим документом для сотрудников Компании (в части их касающейся).

План разработан на основании действующих законодательных актов и руководящих документов.

ИС подвергаются различным видам рисков, начиная с потери данных в результате ошибок пользователей и кончая стихийными бедствиями. Наиболее серьезные угрозы, вызывающие прекращение работы системы, такие как стихийные бедствия, обычно рассматриваются в плане ликвидации последствий аварии. Другие угрозы безопасности связаны со злонамеренной технической активностью (такой как компьютерные вирусы или действия нарушителей информационной безопасности).

Назначением настоящего Плана является документирование согласованных решений по предотвращению, выявлению, реагированию и ликвидации последствий нарушения режима информационной безопасности. Комплексный подход реализуется за счет охвата всех уровней управления: административного, процедурного и программно-технического.
==Основные положения плана==
Подготовка Плана защиты информационных ресурсов Компании от НСД и контроль его исполнения осуществляется ОИБ. Внесение изменений и дополнений в настоящий План осуществляется по инициативе заинтересованных подразделений после согласования и утверждения руководителем ОИБ. Ответственность за исполнение положений Плана возлагается на пользователей и обслуживающий персонал ИС Компании (в части, их касающейся).

План состоит из пяти частей. Первая часть Плана определяет состав и последовательность административных мероприятий, проводимых с целью организации защиты от НСД к информации. Ее цель – создать условия и подготовить сотрудников ОИТ и ОИБ к проведению работ по предотвращению, выявлению и реагированию на нарушения безопасности, а также по ликвидации последствий нарушений безопасности. Для успешного проведения этих мероприятий необходимо, чтобы была правильно распределена ответственность между должностными лицами, отвечающими за обеспечение информационной безопасности, и чтобы каждый сотрудник знал свои должностные обязанности. Кроме того, необходимо разработать, протестировать и распространить среди персонала инструкции и регламенты по обеспечению информационной безопасности, провести работу с пользователями и проверить наличие необходимых ресурсов, в том числе и специализированных СЗИ от НСД.

Во второй части Плана описывается состав мероприятий и порядок действий по предотвращению нарушений безопасности. Необходим непрерывный контроль состояния ИС, действий пользователей, своевременное выявление и ликвидация уязвимостей в системе защиты. Этим целям служат мониторинг и аудит безопасности. Под мониторингом понимается отслеживание опасных состояний системы и подозрительных действий пользователей, производимое в реальном времени, либо строго периодически. Аудит предполагает проведение регулярных проверок процесса функционирования ИС посредством анализа журналов регистрации событий системного и прикладного ПО.

Третья часть Плана содержит пошаговые инструкции по анализу нарушений безопасности. Анализ позволяет установить, действительно ли нарушение имеет (имело) место, была ли попытка НСД успешной, а также насколько серьезно система была скомпрометирована.

Четвертая часть Плана определяет действия по реагированию на нарушения безопасности, предусматривающие применение мер процедурного и программно-технического уровня.

Пятая часть Плана определяет систему мероприятий по ликвидации последствий нарушений безопасности. Она содержит рекомендации по организации восстановительных работ, переводу системы в защищенное состояние, анализу и ликвидации уязвимостей системы защиты.
==Организация режима информационной безопасности==
===Назначение ролей и распределение ответственности===
====Права и обязанности руководителя и сотрудников ОИБ====
В данном разделе определяются обязанности руководителя и сотрудников ОИБ по предупреждению, реагированию и ликвидации последствий нарушений безопасности.

Организация режима информационной безопасности и эксплуатация СЗИ ИС Компании осуществляется ОИБ, выполняющим следующие задачи:
*Классификация и определение степени критичности и конфиденциальности информационных ресурсов ИС;
*Анализ рисков, связанных с нарушениями информационной безопасности;
*Выбор адекватных методов и средств защиты информации, применяемых для защиты ИС;
*Изучение, сравнительный анализ и принятие решений о целесообразности использования тех или иных программно-технических средств защиты информации;
*Разработка и контроль выполнения планов, процедур, регламентов и инструкций по обеспечению информационной безопасности;
*Администрирование и сопровождение комплекса СЗИ, входящих в состав ПИБ;
*Выявление возможных каналов утечки информации и разработка системы мер по их устранению;
*Проведение профилактических мероприятий по предотвращению нарушений информационной безопасности, проведение инструктажей пользователей и обслуживающего персонала ИС, повышение их осведомленности в вопросах обеспечения информационной безопасности;
*Проведение предварительного тестирования СЗИ, системного и прикладного ПО на предмет адекватной реализации механизмов безопасности и соответствия требованиям по защите информации;
*Организация процедур аттестации ИС и сертификации СВТ в системе сертификации Гостехкомиссии России;
*Мониторинг внешних источников информации, с целью своевременного выявления новых уязвимостей эксплуатируемого ПО;
*Обеспечение режима конфиденциальности сведений ограниченного распространения.

В соответствии с должностными инструкциями руководителя и сотрудников ОИБ для выполнения ими своих обязанностей по обеспечению информационной безопасности они наделяются следующими правами:

Руководитель ОИБ вправе:
*Знакомиться с проектами решений Руководства Компании, касающимися деятельности ОИБ;
*Осуществлять взаимодействие с руководителями всех структурных подразделений Компании по вопросам защиты информации;
*Подписывать и визировать документы в пределах своей компетенции.
*Вносить на рассмотрение Руководства Компании представления о назначении, перемещении и освобождении от занимаемых должностей подчиненных ему работников; предложения о поощрении отличившихся работников; предложения о привлечении к материальной и дисциплинарной ответственности виновных в утечке информации, составляющей государственную и коммерческую тайну;
*Запрашивать и получать от руководителей структурных подразделений Компании, специалистов и рабочих информацию и материалы, необходимые для организации работы ОИБ.

Специалист по защите информации имеет право:
*Осуществлять взаимодействие с руководителями всех структурных подразделений Компании по вопросам защиты информации;
*Подписывать и визировать документы в пределах своей компетенции;
*Запрашивать лично или по поручению своего непосредственного руководителя от специалистов подразделений информацию и документы, необходимые для выполнения его должностных обязанностей;
*В пределах своей компетенции сообщать непосредственному руководителю о всех выявленных в процессе осуществления должностных обязанностей недостатках в деятельности Компании (ее структурных подразделений) и вносить предложения по их устранению;
*Привлекать специалистов отдельных структурных подразделений к решению задач, возложенных на него (если это предусмотрено положениями о структурных подразделениях, если нет — то с разрешения их руководителей);
*Требовать от своего непосредственного руководителя или Руководства Компании оказания содействия в исполнении своих должностных обязанностей и прав.
====Распределение обязанностей между администраторами ИС====
Согласно регламентам проведения административных мероприятий различают пять областей администрирования:
#системное администрирование;
#сетевое администрирование;
#администрирование приложений;
#администрирование средств защиты информации (администратор безопасности);
#аудит безопасности.

1. Системный администратор производит настройку системного ПО, осуществляет мониторинг состояния вычислительных систем, входящих в состав ИС, выполняет анализ производительности сети, настройку средств защиты информации, встроенных в системное ПО, резервное копирование информации и ее восстановление после сбоев.

Деятельность системного администратора включает в себя:
*Администрирование файловых систем:
:*Анализ и планирование файловых систем;
:*Создание файловых систем;
:*Монтирование файловых систем;
*Копирование файловых систем;
*Системный администратор, совместно с администратором безопасности, производит настройку встроенных с системное ПО средств защиты информации в соответствии с предоставляемыми пользователям правами;
*Резервирование и восстановление информации;
*Контроль использования дискового пространства;
*Консультирование пользователей по вопросам функционирования системного ПО.
Системный администратор производит диагностику и поиск ошибок:
*Начальной загрузки и закрытия системы;
*Проверку целостности файловой системы;
*Анализ аварийных дампов;
*Диагностирование проблем с аппаратурой и замена испорченной аппаратуры.

Системный администратор выполняет добавление устройств и драйверов в систему, форматирование дисков и разделение их на разделы. Производит установку нового системного программного обеспечения и пакетов программных коррекций для ОС.

Совместно с другими администраторами проводит анализ случаев НСД к ресурсам ИС.

В обязанности системного администратора входит сопровождение и поддержка в актуальном состоянии документации на ИС (структурная схема ИС, планы размещения серверов и АРМ пользователей, перечень установленного системного программного обеспечения, сведения о функциональном назначении ИС, общие сведения о задачах, решаемых в системе и т.п.).

2. Сетевой администратор отвечает за выполнение административных мероприятий по конфигурированию активного сетевого оборудования и СКС.

Деятельность сетевого администратора включает в себя:
*Анализ и планирование развития кабельной структуры и сетевого оборудования;
*Настройку и конфигурирование коммутаторов, маршрутизаторов, мостов, концентраторов и т.п.;
*Мониторинг производительности сети (в части СКС и сетевого оборудования);
*Устранение неисправностей в функционировании сети (в части СКС и сетевого оборудования);
*Организацию замены и ремонта вышедшего из строя оборудования;
*Консультирование пользователей по вопросам, касающимся его функциональных обязанностей;
*Сетевой администратор совместно с администратором безопасности проводит настройку сетевого оборудования в соответствии с требованиями политики безопасности организации;
*В обязанности сетевого администратора входит организация мероприятий по надежному размещению сетевого оборудования. Данные мероприятия направлены на исключение возможности несанкционированного доступа к сетевому оборудованию и СКС;
*Сетевой администратор контролирует действия пользователей с целью исключения возможности несанкционированного подключения к ИС Компании различных технических средств;
*Совместно с другими администраторами проводит анализ случаев НСД к ресурсам ИС.

3. Администратор приложений отвечает за выполнение административных мероприятий по установке, настройке и поддержанию в работоспособном состоянии прикладного программного обеспечения, эксплуатируемого в организации.

Деятельность администратора приложений включает в себя:
*Участие в работе по созданию приложений. Администратор приложений в силу своих функциональных обязанностей обязан принимать участие в обсуждении всех этапов создания приложения. Он должен четко знать алгоритм обработки данных приложением, особенности настройки и эксплуатации, методы аутентификации и разграничения доступа, реализованные в приложении (в случае, если это было реализовано разработчиками приложения);
*Установку и настройку серверной части приложения;
*Установку и настройку клиентской части на АРМ пользователей;
*Администратор приложений проводит консультации с пользователями по вопросам, касающимся эксплуатации, установленных приложений;
*Совместно с администратором безопасности, на основании заявок по предоставлению доступа к ресурсам, производит настройку средств защиты информации;
*Администратор приложений ведет и поддерживает в актуальном состоянии перечень задач и эксплуатационную документацию к ним. Для каждой задачи должен быть составлен список пользователей, работающих с ней, а также перечень ресурсов, к которым эти пользователи допущены;
*Администратор следит за функционированием приложений. В случае сбоев в процессе работы приложения проводит анализ причин и самостоятельно, либо совместно с разработчиком, устраняет их;
*Осуществляет мониторинг производительности установленных приложений;
*Совместно с другими администраторами проводит анализ случаев НСД к ресурсам ИС.

4. Администратор безопасности отвечает за выполнение административных мероприятий по установке, настройке, поддержке в работоспособном состоянии средств защиты информации, эксплуатируемых в ИС Компании.

Деятельность администратора безопасности включает в себя:
*Реализацию требований политики информационной безопасности, принятой в Компании. Администратор информационной безопасности координирует деятельность других администраторов (системного, сетевого, приложений, аудита) с целью достижения необходимого уровня защиты информации в ИС;
*Анализ состояния информационной безопасности ИС;
*Анализ используемых средств и методов защиты информации;
*Планирование развития подсистемы информационной безопасности;
*Администратор безопасности осуществляет настройку средств защиты информации, эксплуатируемых в ИС. Настройки выполняются в соответствии с предоставляемыми пользователям сервисами и правами доступа. При выполнении настроек администратор должен руководствоваться принципом минимизации привилегий – "что не разрешено, то запрещено";
*Администратор безопасности составляет и поддерживает в актуальном состоянии документацию по размещению и конфигурации средств защиты информации;
*Для каждого пользователя администратор заводит имя и регистрирует пароль в соответствии со схемой, принятой в организации;
*На основании письменной заявки каждому пользователю, в соответствии с выполняемыми функциональными обязанностями, предоставляется доступ к ресурсам и сервисам ИС. Администратор безопасности, совместно с другими администраторами, выполняет настройку средств защиты в соответствии с заявкой. Администратор безопасности несет личную ответственность за корректность предоставленных прав доступа к ресурсам и сервисам ИС. Исполненные заявки сохраняются и документируются администратором безопасности;
*Администратор безопасности ведет и поддерживает в актуальном состоянии список пользователей, допущенных к работе в ИС, а также перечень предоставленных пользователям прав на доступ к ресурсам и сервисам;
*Администратор безопасности осуществляет постоянный контроль за работоспособностью средств защиты информации. В случае неисправности либо ненадлежащего функционирования действует в соответствии с правилами, принятыми в организации;
*Администратор безопасности обязан постоянно проводить мониторинг средств защиты. При выявлении попытки НСД к информации проводит анализ и в случае необходимости докладывает об этом своему непосредственному начальнику;
*В случае НСД к информации администратор безопасности докладывает о факте НСД своему непосредственному начальнику и совместно с другими администраторами проводит анализ ситуации. В результате анализа вырабатываются предложения по предотвращению повторного НСД к информации.

5. Администратор аудита отвечает за выполнение административных мероприятий по установке, настройке, поддержке в работоспособном состоянии средств аудита, эксплуатируемых в ИС Компании.

Средства аудита предназначены для контроля и обнаружения различных угроз, которым подвергается ИС и ее информационные ресурсы, а также для реагирования на эти угрозы в реальном масштабе времени.

Деятельность администратора аудита включает в себя:
*Установку и настройку средств аудита. Настройки выполняются в соответствии с политикой информационной безопасности, принятой в Компании;
*Анализ состояния информационной безопасности ИС;
*Администратор аудита составляет и поддерживает в актуальном состоянии документацию по размещению и конфигурации средств аудита;
*Администратор аудита осуществляет постоянный контроль за работоспособностью средств аудита информационной безопасности ИС. В случае неисправности либо ненадлежащего функционирования этих средств действует в соответствии с правилами, принятыми в Компании;
*В случае обнаружения угрозы либо факта осуществления НСД к информации администратор аудита докладывает о факте угрозы своему непосредственному начальнику и совместно с другими администраторами проводит анализ ситуации. В результате анализа вырабатываются предложения по ликвидации угрозы.
*Совместно с другими администраторами проводит анализ случаев НСД к ресурсам ИС.
====Определение рабочих профилей пользователей ИС====
На этапе настройки системы аудита безопасности предприятия определяются рабочие профили пользователей ИС.

Рабочий профиль пользователя – это набор характеристик, позволяющих администратору безопасности и системам автоматического выявления нарушений безопасности отождествлять пользователей системы с производимыми ими действиями и выявлять подозрительную активность, несвойственную данным пользователям. Рабочий профиль включает следующие характеристики:
*выполняемые функции;
*приложения, с которыми работает пользователь;
*группы, членами которых является пользователь;
*используемый командный интерпретатор;
*системное окружение, в котором работает пользователь;
*уровень пользовательских полномочий;
*роли, присвоенные пользователю в СУБД;
*режим работы;
*стиль работы;
*и т. п.

Процедуры по предупреждению компьютерного мошенничества выполняются регулярно сотрудниками ОИБ. Они включают в себя фиксацию и анализ критических отклонений в поведении пользователей ИС Компании от стандартных параметров, определяющих их типичное поведение и содержащихся в профилях пользователей. Выявление критических отклонений в поведении пользователей осуществляется по результатам анализа данных аудита безопасности.
====Требования безопасности, предъявляемые к пользователям ИС====
Пользователями ИС являются сотрудники Компании, зарегистрированные соответствующим образом в системе и получившие права на доступ к ресурсам ЛВС в соответствии с функциональными обязанностями.

Все пользователи ИС должны быть ознакомлены с содержанием данного Плана и других документов, регламентирующих работу в ИС, в части, их касающейся. За нарушение установленных правил работы в ИС Компании пользователи несут персональную ответственность.

Всем пользователям ИС присваивается уникальное имя и предлагается выбрать пароль. При регистрации в системе пользователю необходимо ввести свое уникальное имя. Пароль служит доказательством того, что пользователь является именно тем, за кого себя выдает. Имя и пароль пользователи обязаны держать в секрете, никому не сообщать и нигде не записывать.

При выборе пароля пользователь должен руководствоваться следующими основными правилами:
*выбирать пароли длиной не менее семи символов;
*при выборе паролей не следует использовать: даты, фамилии, инициалы, регистрационные номера автомобилей, названия организаций и населенных пунктов, номера телефонов, пользовательские идентификаторы, повторяющиеся последовательности символов, слова русского или английского языков и т.п.;
*осуществлять регулярную смену паролей (через каждые 90 дней), избегать повторного использования старых паролей;
*для привилегированных пользователей необходима более частая смена паролей (через каждые 45 дней);
*изменять пароль каждый раз, когда есть подозрение о его компрометации;
*не включать пароли в сценарии для автоматического входа в системы (например, в макросы).

Установку системного и прикладного программного обеспечения на рабочем месте пользователя, его конфигурирование выполняет администратор. Пользователю запрещается самостоятельно устанавливать любое ПО на свое рабочее место. В случае необходимости установки дополнительных программных средств пользователь подает письменную заявку своему непосредственному начальнику. После рассмотрения заявки и в случае положительного решения администратор производит установку необходимых программ. Конфигурация рабочего места каждого пользователя фиксируется в документации, хранимой у администратора.

Пользователю запрещается самостоятельно вскрывать компьютер, производить замену или установку аппаратной части. Пользователь несет персональную ответственность за сохранность защитных знаков, которыми опечатан компьютер. В случае необходимости замены вышедшего из строя аппаратного обеспечения либо установки дополнительного пользователь обращается с письменной заявкой к непосредственному начальнику. После рассмотрения заявки производятся работы в соответствии с правилами, принятыми в организации.

Пользователь ИС обязан использовать АРМ и предоставленные ему сервисы только для выполнения своих функциональных обязанностей. Не допускается выполнение посторонних работ, обмен информацией с сетью Интернет в обход принятой в Компании технологии. Категорически запрещается создавать дополнительные каналы выхода в сеть Интернет (устанавливать внешние модемы, подключаться через стороннего провайдера и т.п.).

При работе в сети Интернет запрещена загрузка и установка на свой компьютер программного обеспечения. Не разрешается использование почтовых ящиков, предоставляемых сторонними провайдерами.

Пользовать не имеет права сообщать посторонним лицам техническую информацию по конфигурации и настройке ИС (состав ЛВС, количество компьютеров, их модели, используемые средства защиты, IP-адреса, имена доменов, почтовых ящиков и т.д.).

Передача вышеупомянутой информации допускается в связи с производственной необходимостью партнерам Компании с личного разрешения непосредственного начальника. Непосредственный начальник, с ведома которого произошла передача информации, обязан сообщить об этом в ОИБ.

Пользователь обязан знать правила и уметь работать с антивирусными программами, установленными на компьютер. Вся входящая информация перед открытием должна проверятся на наличие вирусов. Пользователь обязан проводить периодическое тестирование своего АРМ. Периодичность тестирования программного обеспечения устанавливается в соответствии с антивирусной политикой. В случае обнаружения компьютерного вируса, необычной работы компьютера либо приложения пользователь обязан сообщить об этом непосредственному начальнику и администратору, и действовать в соответствии с их указаниями.

Пользователи должны обеспечить надлежащую защиту оборудования, оставленного без присмотра. Оборудование, установленное на рабочих местах пользователей (например, рабочие станции или файловые серверы), может потребовать организации защиты от НСД.

Пользователи должны знать процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. Предлагаются следующие рекомендации:
*завершить сеансы связи по окончании работы, если их нельзя защитить посредством соответствующей блокировки;
*использовать логическое отключение от серверов по окончании сеанса связи. Не ограничиваться только выключением ПК или терминала;
*защитить неиспользуемые ПК или терминалы путем блокировки ключом или другими средствами контроля доступа.

По окончании работы с компьютером пользователь должен выключить его в соответствии с процедурой, предусмотренной в техническом описании.
====Назначение ответственных за внесение изменений в системное ПО, распространение версий и изменение конфигурации====
Процесс контроля за внесением изменений, распространением версий и изменением конфигурации ПО касается всех сотрудников ОИТ, ответственных за его эксплуатацию и администрирование. Наблюдение за соблюдением правил внесения изменений возлагается на сотрудников ОИБ.
====Назначение ответственных за связь с другими организациями и определение их обязанностей====
Политика безопасности должна определять процедуры для взаимодействия с другими организациями, в число которых входят правоохранительные органы, а также другие организации, затронутые инцидентом.

Должны быть назначены сотрудники, ответственные за связь с этими организациями. Во избежание ситуаций, когда невозможно связаться с ответственным сотрудником, необходимо иметь более одного человека для каждой области ответственности.

Политика безопасности должна определять также следующие вопросы:
*Виды контактов с общественностью и ответственного за связь с прессой;
*В каких ситуациях следует обращаться в правоохранительные органы;
*Виды информации, которая может быть доступна общественности и другим организациям.
====Назначение ответственных за проведение мониторинга внешних источников информации====
Помимо определения того, с какими организациями нужно установить связь в случае нарушения безопасности, политикой безопасности также определяются сотрудники (назначаемые из числа администраторов ИС), ответственные за проведение мониторинга внешних источников информации с тем, чтобы оставаться в курсе текущих исследований в этой области, актуальных вопросов и проблем.

Ответственные сотрудники должны использовать списки рассылки и группы новостей для участия в обсуждении представляющих интерес вопросов информационной безопасности, используя ресурсы сети Интернет.
====Определение обязанностей руководителя и координаторов восстановительных работ====
В данном разделе определяются обязанности руководителя и координаторов работ по восстановлению целостности и/или доступности ресурсов ИС, нарушенных в результате осуществления НСД к информации.

Персонал, принимающий участие в восстановительных работах, назначается из состава ОИТ.

В обязанности руководителя восстановительных работ входит:
*определение жизненно важных функций системы;
*определение максимального допустимого времени простоя системы;
*разработка, контроль исполнения и изменение совокупности организационных мероприятий, проводимых в случае осуществления НСД к информации. Восстановление данных проводится в соответствии с процедурой резервного копирования и восстановления данных;
*постоянный учет и документирование технических и информационных ресурсов ЛВС (в печатном и/или электронном виде, где фигурировали бы все компоненты ИС, их состояния, связи между ними, процессы, ассоциируемые с этими объектами и связями);
*проработка сценариев критических ситуаций, связанных с осуществлением НСД к информационным ресурсам Компании, и процедур восстановления информационных ресурсов и работоспособности ИС;
*разработка программы тренинга обслуживающего персонала ИС по проведению восстановительных работ;
*заключение стратегических союзов с другими предприятиями/организациями (например, с поставщиками программных или технических средств, сервисными центрами) с целью проведения работ по восстановлению работоспособности ИС.
====Разработка мероприятий, формальных процедур и других технологических процессов по обеспечению информационной безопасности====
=====Формальная процедура установки прав доступа к системным сервисам и ресурсам=====
Предоставление прав доступа пользователей к сетевым ресурсам осуществляется в соответствии с политикой управления доступом к ресурсам корпоративной сети Компании.

При предоставлении доступа к ресурсам ИС реализуется дискреционный принцип контроля доступа.

Для ИС Компании разрабатывается матрица доступа, в которой для каждого субъекта доступа (пользователя) и каждого объекта (ресурса) в явном виде указываются типы доступа. Данная матрица служит основой дискреционной политики управления доступом.
====Процедура внесения изменений в системное ПО, процедура управления распространением версий и внесения конфигурационных изменений====
Внесение изменений в системное ПО проводится в случаях установки программных коррекций используемого ПО, установки новых версий ОС и СУБД.

Допускается эксплуатация только лицензионного ПО, приобретенного непосредственно у разработчика, либо его официального представителя. Перед установкой ПО на действующую ИС необходимо провести тестовые испытания ПО на стенде. Факт внесения изменений документируется для каждого СВТ, эксплуатируемого в ИС, с указанием конфигурационных параметров установленного ПО.

Ведение журналов по внесению изменений в системное и прикладное ПО ИС Компании возлагается на сотрудников ОИТ.
====Планирование обучения и собраний персонала ИС====
Необходимо спланировать процесс обучения администраторов и пользователей ИС действиям по предотвращению и реагированию на нарушения безопасности, а также обсудить с ответственными сотрудниками отдельные аспекты политики безопасности. Для этого необходимо:
*Разработать планы и графики проведения занятий с администраторами и пользователями ИС с целью разъяснения степени ответственности и области компетенции каждого сотрудника при обеспечении информационной безопасности, а также действий персонала по реагированию на нарушения безопасности.
*Предусмотреть проведение собраний администраторов и пользователей ИС для обсуждения требований политики безопасности. Важно, чтобы эти требования не создавали пользователям препятствий при выполнении их должностных обязанностей, иначе будет существовать устойчивая тенденция обойти ограничения, накладываемые политикой безопасности.

Квалификация персонала должна быть подтверждена соответствующими сертификатами и периодически проверяться при проведении плановых аттестаций сотрудников ОИБ.
====Восстановление работоспособности ИС====
Мероприятия по восстановлению работоспособности ИС в случае аварии предусматривают возможность замены пришедших в негодность технических средств, восстановление или переустановку ПО, восстановление информации с архивных копий, либо носителей резервного копирования в соответствии с регламентом резервного копирования и восстановления данных.
===Подготовка пользователей ИС к решению проблем, связанных с обеспечением информационной безопасности===
====Подготовка списков контактных лиц====
Необходимо подготовить и распространить среди пользователей ИС и ответственных лиц списки контактных лиц (телефоны, факсы, адреса электронной почты, номера пейджеров и т.п.) для связи в случае выявления фактов нарушения информационной безопасности.
====Подготовка рекомендаций по обеспечению информационной безопасности====
Необходимо распространить среди пользователей ИС и ответственных лиц рекомендации по обеспечению информационной безопасности в части:

1. Использования лицензионного и только проверенного ПО.

:К эксплуатации в ИС Компании допускается только лицензионное ПО, приобретенное непосредственно у разработчика либо его официального представителя. Перед вводом в эксплуатацию ПО должно проходить тестирование (проверку работоспособности и функционального соответствия) на стенде. В случае успешного прохождения тестирования ПО допускается к эксплуатации.

2. Предотвращения и ликвидации последствий действия компьютерных вирусов

:Используемые средства антивирусной защиты должны выполнять проверку всей входящей и исходящей электронной почты, а так же файлов, хранящихся на серверах и рабочих станциях пользователей ИС Компании.

:Допускается использование только лицензионных средств антивирусной защиты, с регулярно обновляемыми базами данных антивирусных сигнатур.

:Периодичность проведения проверок определяется по согласованию с ОИБ в зависимости от критичности информации, хранимой на СВТ, и интенсивностью информационного обмена.

:При обнаружении компьютерного вируса пользователь обязан доложить об этом своему непосредственному начальнику и в ОИБ. После чего под руководством сотрудника ОИБ либо системного администратора произвести удаление вируса и восстановление информации с использованием антивирусных средств.

:Каждый случай заражения вирусом должен быть тщательно проанализирован и результаты анализа представлены в ОИБ.

3. Требований и рекомендаций по выбору паролей и использованию другой аутентификационной информации

4. Правил пользования сетевыми сервисами

:Пользователям предоставляются сетевые сервисы в зависимости от решаемых задач. Набор сервисов должен быть минимален. Настройка рабочих мест пользователей должна производиться под контролем администраторов и документироваться в паспорте на СВТ. Самовольно изменять конфигурацию категорически запрещается.
===Тестирование процедур и регламентов по обеспечению информационной безопасности===
Необходимо тщательно протестировать отдельные процедуры и регламенты, предусмотренные настоящим Планом, отработать последовательность действий персонала, администраторов ИС и ОИБ при реагировании на нарушения безопасности. При тестировании следует обращать особое внимание на подготовленность ответственных сотрудников к выполнению регламентов и процедур, наличие необходимого инструментария для обслуживания системы и других программно-аппаратных ресурсов, а также соответствие настоящего Плана, процедур и регламентов реальному положению дел.
===Проверка наличия и работоспособности специализированных программно-технических средств защиты информации===
Необходимо проверить наличие и работоспособность специализированных программно-технических средств защиты информации, таких как средства мониторинга, аудита безопасности, межсетевые экраны, антивирусные средства и т.п.
===Заключение стратегических союзов с другими предприятиями и/или организациями===
В случае необходимости должны быть заключены стратегические союзы, соглашения и договора с другими предприятиями или организациями (поставщиками, сервисными центрами, консалтинговыми фирмами и т.п.) с целью проведения мероприятий по восстановлению работоспособности ИС с привлечением дополнительных средств союзников и расследования нарушений безопасности.
==Предупреждение нарушений безопасности==
===Мониторинг состояния ИС===
Мониторинг состояния ИС проводится администраторами регулярно в соответствии с планом.
====Мониторинг функционирования аппаратных компонентов====
В соответствии с утвержденным регламентом должен систематически проводиться мониторинг работоспособности аппаратных компонентов ИС. Наиболее существенные компоненты системы, имеющие встроенные средства контроля работоспособности (серверы ЛВС, активное сетевое оборудование) должны контролироваться постоянно в рамках работы дежурных администраторов.
====Управление паролями пользователей====
Пароль является одним из основных средств аутентификации в ИС Компании. Зарегистрировавшись на сервере под конкретным паролем, пользователь получает доступ к тем ресурсам, к которым ему предоставлены права доступа в соответствии с выполняемыми функциями. Узнав имя пользователя и его пароль, злоумышленник может выполнять действия и просматривать информационные ресурсы от имени легального пользователя. В данной ситуации возможны как финансовые потери от действий злоумышленника, так и потеря доверия со стороны клиентов и партнеров Компании.

Возможно использование двух схем выработки паролей:
#Пароли генерируются для каждого пользователя с использованием специального ПО.
#Каждый пользователь самостоятельно выбирает для себя пароль.
В первой схеме, с использованием специализированного ПО, гарантируется необходимая стойкость пароля (длина, уникальность, необходимая мощность алфавита, невозможность подбора методом полного перебора и т.д.). Но возникают трудности для пользователей с запоминанием сгенерированных паролей.

Кроме того, используя данную схему, необходимо решить ряд организационных вопросов:
*Процедуру выдачи паролей пользователям;
*Способ хранения носителя с выданным паролем (например, индивидуальный сейф в охраняемом помещении);
*Контроль использования носителя и его дальнейшее уничтожение после смены пароля.

Данную схему целесообразно применять при наличии отлаженных механизмов режимного делопроизводства.

Вторая схема лишена перечисленных недостатков, но при ее реализации не гарантирована необходимая стойкость пароля (по статистике около 80% пользователей используют очень простые, легко ассоциируемые с самим пользователем пароли).

Ниже приведены общие правила работы с паролями, обязательные для использования в ИС Компании.
#Идентификаторы пользователей и их пароли должны быть уникальными для каждого пользователя.
#Пароли должны состоять как минимум из 7 символов.
#Пароль должен быть трудноугадываемым. Пароль не должен совпадать с именем пользователя. Паролем не может быть слово на русском или иностранном языках. В пароле не должна в явном виде использоваться информация, ассоциируемая с владельцем пароля (имя, фамилия, дата рождения, номер автомобиля, имена близких родственников и т.п.).
#Пароли должны держаться в секрете, то есть не должны сообщаться другим людям, не должны вставляться в тексты программ, и не должны записываться на бумаге либо на обратной стороне клавиатуры и т.п.
#Пароли должны меняться каждые 90 дней (или через другой период, определенный ответственным лицом). Большинство систем могут заставить принудительно поменять пароль через определенное время и предотвратить использование того же самого или легко угадываемого пароля. Для привилегированных пользователей необходима более частая смена паролей (через каждые 45 дней).
#Пользователи и администраторы ИС обязаны изменять пароль каждый раз, когда есть подозрение о его компрометации.
#Средства защиты должны быть сконфигурированы таким образом, что бы учетные записи пользователей блокировались после 3 неудачных попыток входа в систему. Все случаи неверно введенных паролей должны быть записаны в системный журнал, используемый для анализа попыток проникновения в систему.
#При успешном входе в систему должны отображаться дата и время последнего входа в систему.
#Сеансы пользователей с сервером должны блокироваться после 15-минутной неактивности пользователя (или по истечении другого указанного периода времени). Для возобновления сеанса должен снова требоваться ввод пароля.
#Учетные записи пользователей должны блокироваться после определенного времени неиспользования.
#Должно производиться периодическое тестирование специальными программными средствами (взломщиками паролей) процедуры выбора паролей для случайно выбранных пользователей. Целью тестирования является выявление легко угадываемых паролей.
#Не следует включать пароли в сценарии для автоматического входа в системы (например, в макросы).
#Рекомендуется использовать однонаправленные хэш-функции и алгоритмы шифрования для защиты пользовательских паролей, хранимых в системе.

Пользователи, в результате действий (ненадлежащим образом выбран пароль) которых произошло раскрытие критичной информации, несут ответственность в соответствии с правилами, установленными в Компании.

Контроль за выполнением настоящих рекомендаций возлагается на администратора безопасности. Для усиления политики управления паролями и контроля надежности пользовательских паролей администратору безопасности необходимо:
*Установить программу, осуществляющую проверку пользовательских паролей на очевидность с целью выявления слабых паролей, которые легко угадать, или дешифровать с помощью специализированных программных средств (взломщиков паролей), или использовать встроенные системные средства;
*Периодически использовать взломщики паролей для выявления слабых паролей и принуждения пользователей к их смене.

Для выполнения своих функциональных обязанностей по управлению паролями и контролю надежности пользовательских паролей администратору безопасности должны быть предоставлены соответствующие полномочия, позволяющие осуществлять доступ к системным файлам, содержащим пользовательские пароли.
====Мониторинг целостности и анализ защищенности====
Мониторинг целостности и анализ защищенности ИС включает в себя следующее:
*проверка контрольных сумм и цифровых подписей файлов,
*контроль изменения параметров системного и прикладного ПО,
*проверка прав доступа, связей и размеров файлов и каталогов,
*регистрация фактов добавления и удаления файлов в контролируемых каталогах,
*обнаружение дубликатов идентификаторов пользователей и групп,
*контроль правильности системных конфигурационных файлов.
====Активный аудит====
Для предупреждения и своевременного выявления попыток несанкционированного входа в систему используются средства активного аудита, которые осуществляют:
*Фиксацию неудачных попыток входа в систему в системном журнале;
*Протоколирование работы сетевых сервисов;
*Выявление фактов сканирования диапазона сетевых портов;
*Выявление различных видов локальных и сетевых атак на ресурсы ИС;
*Оповещение администратора безопасности и другие действия по реагированию на несанкционированные действия в отношении ресурсов ИС со стороны пользователей ИС и внешних нарушителей.
====Мониторинг производительности====
Косвенной причиной уменьшения производительности системы может являться нарушение безопасности. Мониторинг производительности проводится регулярно в соответствии с планом.

Каждый компонент сети должен иметь контрольно-измерительные средства. Если они отсутствуют, обеспечить бесперебойную работу или даже выяснить причину снижения производительности невозможно.

Если приложение в сети работает недостаточно производительно, то в первую очередь необходимо выявить причину проблемы.

При определении причины недостаточной производительности первоначально нужно выяснить, является ли она постоянной или временной. Например, всегда ли приложение работает непроизводительно или только в период пиковой нагрузки. Если верно первое, то имеет место статическое снижение производительности, если второе – динамическое.

Для того чтобы собрать требуемую информацию, необходимо встретиться с пользователями и выяснить природу возникновения проблемы.

Как только определено, является ли падение производительности статическим или динамическим, можно начинать поиск возможных причин. Динамическое снижение производительности обычно указывает на недостаток ресурсов, к примеру, пропускной способности разделяемой сети или недостаточной производительности процессора хоста, и проблемы, с ними связанные, возникают, как правило, в разделяемых областях инфраструктуры: в сети или на серверах. Сетевые проблемы проявляются в сегментах сети или, что происходит заметно чаще, на промежуточных маршрутизаторах, коммутаторах или шлюзах. Серверные проблемы связаны с нехваткой таких ресурсов, как емкость памяти, мощность процессора или скорость обмена с диском. Динамическое падение производительности происходит в тех случаях, когда потребности в ресурсах превосходят возможности имеющихся ресурсов.

Правильное размещение в сети контрольно-измерительных средств позволит диагностировать и установить причину возникновения динамического снижения производительности, поскольку оно связано с очевидным недостатком ресурсов.

Статическое снижение производительности устранить сложнее, так как очевидных ограничений на ресурсы в этом случае нет. Данные проблемы вызваны в основном недостатками архитектуры. К примеру, сеть не имеет необходимой пропускной способности, клиенты и серверы обладают недостаточной памятью, мощности процессора не хватает, а скорость внутренней шины обмена с диском низка. Неправильное размещение приложений и чрезмерный объем кода графического интерфейса, элементов данных и исполняемых модулей также относятся к изъянам архитектуры.

Зачастую для определения источника статических или архитектурных недостатков необходим сложный анализ, поскольку установленные датчики не всегда правильно указывают причину низкой производительности. В частности, с одной стороны, мониторы производительности, отслеживающие сетевой трафик или загрузку процессора на сервере, не обнаруживают перегрузки, а с другой – приложение не отвечает требованиям пользователей к производительности. Приложение, например, может производить слишком большое число обменов по сети в рамках одной транзакции или чересчур много небольших транзакций, связанных с чтением/записью на диск.

Как только будет определено, в чем состоит проблема, необходимо решить, производить ли модернизацию оборудования или придется изменить архитектуру приложения.

Классификация причин снижения производительности приведена ниже.

Проблемы производительности:
*'''Динамические'''
:*Сеть
::#Узкие места в маршрутизации
::#Недостаточная временная пропускная способность
:*Сервер
::#Процессор
::#Диск
::#Память
*'''Статические'''
:*Приложение
::#Код графического интерфейса
::#Избыточность элементов данных
::#Неоптимальный исполняемый модуль
:*Клиент
::#Память
::#Диск
::#Процессор
::#Шина
:*Сервер
::#Память
::#Шина
::#Процессор
::#Диск
:*Сеть
::#Узкие места в маршрутизации
::#Недостаточная пропускная способность
====Синхронизация системных часов====
Синхронизация системных часов производится регулярно при помощи соответствующих сетевых программных средств (программных агентов) и является важным условием правильного функционирования системы аутентификации пользователей сети и обеспечения точности записей журналов аудита.
====Антивирусные мероприятия====
Целесообразно использовать антивирусные программные средства для защиты от вирусов рабочих станций, а также серверов:
*Антивирусные сканеры, тестирующие и восстанавливающие файлы и загрузочные секторы дисков, дезактивирующие резидентные части вирусов и тестирующие файлы и системные секторы на наличие неизвестных вирусов;
*Резидентные антивирусные мониторы, контролирующие подозрительные действия программ;
*Утилиты для обнаружения и анализа новых вирусов (дисассемблеры, редакторы ОП, трассировщики прерываний и т.п.).

План проведения антивирусных мероприятий состоит из трех основных частей:
#Предотвращение – мероприятия и правила, позволяющие предотвратить заражение вирусами;
#Обнаружение – мероприятия, позволяющие определить, что данный выполняемый файл, загрузочная запись или файл данных содержит вирус;
#Удаление – удаление вируса из зараженной компьютерной системы может потребовать удаления вируса из зараженного файла, удаления файлов или переинсталляции ОС.

Вероятность заражения вирусами пропорциональна частоте появления новых файлов или приложений на компьютере. Изменения в конфигурации для работы в Интернете, для чтения электронной почты и загрузка файлов из внешних источников – все это увеличивает риск заражения вирусами.

Вирусы обычно появляются в системе из-за действий пользователя (например, установки приложения, получения файла по FTP, чтения электронного письма и т.п.). Поэтому в плане проведения антивирусных мероприятий особое внимание обращено на ограничения по загрузке потенциально зараженных программ и файлов.

Чем выше критичность приложения, обрабатываемого на компьютере, или данных, хранящихся в нем, тем более строгие мероприятия необходимо проводить для предотвращения заражения вирусами.

Все серверы и АРМ пользователей в соответствии с данным критерием (критичность информации) разбиваются на три группы:
#К группе низкого риска относятся СВТ, на которых обрабатывается и хранится информация, не являющаяся критичной. Кроме того, поток входящих данных минимален либо отсутствует;
#К группе среднего риска относятся СВТ, на которых обрабатывается и хранится информация, не являющаяся критичной. Поток входящих и исходящих данных средней интенсивности;
#К группе высокого риска относятся все СВТ, на которых обрабатывается и хранится информация, являющаяся критичной. Кроме того, к данной группе относятся СВТ, обрабатывающие некритичную информацию, но с высоким трафиком входящих и исходящих данных.

Результаты проведенной классификации СВТ оформляются документально и утверждаются руководителем ОИБ.

'''Низкий риск'''

Мероприятия по антивирусной защите СВТ с низким риском содержат шаги по доведению до пользователей их обязанностей по регулярной проверке АРМ на наличие вирусов.

''Предотвращение''

Пользователи должны знать о возможных путях заражения вирусами и о том, как использовать антивирусные средства.

''Обнаружение''

Антивирусные средства должны использоваться для еженедельной проверки на вирусы. Ведение журналов проверки СВТ на наличие вирусов не является необходимым.

Сотрудники должны информировать администратора ЛВС о любом обнаруженном вирусе, изменении конфигурации или необычном поведении компьютера или программы. После получения информации об обнаружении вируса администратор должен информировать всех пользователей, имеющих доступ к программам или файлам данных, которые могли быть заражены вирусом, что, возможно, вирус заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса администратору.

Администратор обязан доложить о факте заражения вирусом своему непосредственному начальнику.

''Удаление''

Любая система, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети. Система не должна подключаться к сети до тех пор, пока администратор не удостоверится в том, что вирус удален.

'''Средний риск'''

Мероприятия по антивирусной защите СВТ со средним риском предполагают проведение более частых проверок на вирусы, а также использование антивирусных средств для проверки серверов, связанных с данным СВТ, и электронной почты.

''Предотвращение''

Программы, инсталлированные на СВТ, должны устанавливаться только администратором (который проверяет их на вирусы и тестирует).

На файловые сервера должны быть установлены антивирусные программы для ограничения распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на серверах на наличие вирусов. АРМы пользователей должны иметь резидентные антивирусные программы, сконфигурированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Все приходящие электронные письма должны проверяться на вирусы. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения проверки этих файлов на вирусы.

С сотрудниками компании должны проводиться периодические семинары, содержащие следующую информацию о риске заражения вирусами:

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены раньше. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно (еженедельно) обновляться для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

''Обнаружение''

Должны использоваться лицензионные антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы (базы сигнатур) должны обновляться каждую неделю. Все программы или данные, импортируемые в компьютер (с дискет, электронной почты и т.д.), должны перед использованием проверяться на вирусы.

Должны вестись журналы проверки АРМ на наличие вирусов. Данные журналы должны просматриваться администратором.

Сотрудники должны информировать администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

При получении информации о заражении вирусом администратор должен информировать всех пользователей, имеющих доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус, возможно, заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы. Пользователи должны сообщить о результатах проверки на вирусы и удаления вируса администратору.

Администратор обязан доложить о факте заражения вирусом своему непосредственному начальнику.

''Удаление''

Любая система, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети. Система не должна подключаться к сети до тех пор, пока администратор не удостоверится в том, что вирус удален.

'''Высокий риск'''

Системы с высоким уровнем риска содержат данные и приложения, которые являются критическими для деятельности Компании. Заражение вирусами может вызвать значительные потери времени, данных и нанести ущерб репутации Компании. Из-за заражения может пострадать большое число компьютеров. Следует принять все возможные меры для предотвращения заражения вирусами.

''Предотвращение''

Установка ПО на серверы и АРМ пользователей производится непосредственно администраторами. К эксплуатации в ИС допускается только лицензионное ПО, приобретенное непосредственно у производителя либо его официального представителя. Перед установкой ПО должно пройти тестовые испытания на стенде. Конфигурация ПО на АРМ пользователей должна проверяться еженедельно на предмет выявления программ, самостоятельно установленных пользователями.

С целью ограничения риска заражения ПО должно устанавливаться только с разрешенных внутренних серверов либо с лицензионных носителей. Запрещено загружать ПО из Интернета.

На серверах должны быть установлены антивирусные средства для предотвращения заражения и распространения вирусов в сети. Должна производиться ежедневная проверка всех программ и файлов данных на серверах на наличие вирусов.

На АРМ пользователей должны устанавливаться резидентные антивирусные средства, сконфигурированные так, что все файлы проверяются на вирусы при загрузке на компьютер. Запрещается запускать программы и открывать файлы с помощью приложений, уязвимых к макровирусам, до проведения проверки этих файлов на вирусы.

Все приходящие письма и файлы, полученные из сети, должны проверяться на вирусы при получении. Рекомендуется использование антивирусных средств, установленных на межсетевых экранах. Данные средства способны выполнять "на лету" проверку всего входящего и исходящего трафика сегмента сети.

С сотрудниками компании должны проводиться периодические семинары, содержащие следующую информацию о риске заражения вирусами:

Антивирусные программы могут обнаружить только те вирусы, которые уже были кем-то обнаружены ранее. Постоянно разрабатываются новые, более изощренные вирусы. Антивирусные программы должны регулярно (ежемесячно) обновляться для того, чтобы можно было обнаружить самые новые вирусы. Важно сообщать администратору о любом необычном поведении компьютера или приложений. Важно сразу же отсоединить компьютер, который заражен или подозревается в заражении, от сети, чтобы уменьшить риск распространения вируса.

Невыполнение данных мероприятий должно вести к наказанию сотрудника согласно правилам, принятым в Компании.

''Обнаружение''

Должны использоваться лицензионные антивирусные программы для ежедневных проверок на вирусы. Антивирусные программы (базы сигнатур) должны обновляться каждую неделю. Все данные, импортируемые в компьютер (с дискет, электронной почты и т.д.), должны перед использованием проверяться на вирусы.

Должны вестись журналы проверки АРМ пользователей на наличие вирусов. Данные журналы должны просматриваться и анализироваться администратором.

Проверка серверов должна производиться каждый день в обязательном порядке. Результаты проверок должны протоколироваться, автоматически собираться и анализироваться администраторами.

Сотрудники обязаны информировать администратора об обнаруженных вирусах, изменениях в конфигурации или странном поведении компьютера или приложений.

При получении информации о заражении вирусом администратор должен информировать всех пользователей, имеющих доступ к программам и файлам данных, которые могли быть заражены вирусом, что вирус, возможно, заразил их системы. Пользователям должен быть сообщен порядок определения, заражена ли их система, и удаления вируса из системы.

Администратор обязан доложить о факте заражения вирусом своему непосредственному начальнику.

''Удаление''

Любая система, которая подозревается в заражении вирусом, должна быть немедленно отключена от сети. Система не должна подключаться к сети до тех пор, пока администратор не удостоверится в удалении вируса. Для удаления вируса должны использоваться только лицензионные программы, приобретенные непосредственно у разработчика либо его официального представителя.

Если используемые антивирусные средства не могут удалить вирус либо предупреждают о некорректном восстановлении поврежденной информации, то необходимо обратиться по телефону либо электронной почте к фирме-изготовителю с целью получения обновленной версии программы-антивируса. Также возможен вариант вызова специалиста из фирмы, оказывающей экстренную помощь при заражении компьютерными вирусами.

В крайнем случае допускается уничтожение вируса путем форматирования носителя информации (предварительно загрузившись с "чистой" операционной системы), с дальнейшим восстановлением программного обеспечения и данных с резервных копий.

После восстановления СВТ должно быть повторно проверено на наличие вирусов.

Каждый случай заражения сервера или АРМ пользователя должен тщательным образом анализироваться. На основе выводов должны быть сформулированы предложения и внесены изменения в технологическую цепочку обработки критичной информации.

Пользователи ИС, в результате действий которых произошло искажение (уничтожение) критичной информации, подлежат наказанию в соответствии с правилами, принятыми в Компании.
===Мониторинг внешних источников информации===
Мониторинг внешних источников информации производится администратором безопасности регулярно в соответствии с планом и включает в себя получение информации об уязвимостях используемых ОС и МЭ, выпуске пакетов программных коррекций и других вопросах безопасности.
===Аудит безопасности===
Аудит безопасности производится администратором аудита регулярно, а также в ситуациях, требующих проведения расследования инцидента, связанного с нарушением информационной безопасности ИС.
====Обзоры безопасности====
Обзоры безопасности проводятся с целью проверки соответствия текущего состояния ИС тому уровню защищенности, который удовлетворяет требованиям политики безопасности. Выделяют три уровня защищенности: низкий, средний и высокий. Для каждого из этих уровней описывается состояние системы в терминах неизменности системной конфигурации и целостности системных файлов (таблиц), системных программ, СУБД, приложений, сетевых сервисов и системных устройств. Обзоры безопасности проводятся с целью выявление всех несоответствий между текущим состоянием системы и состоянием, соответствующим специально составленному списку проверки (например, шаблоны значений параметров настройки ОС). Для проведения проверок и составления отчетов используются автоматизированные программные средства администратора безопасности, работающие либо в интерактивном, либо в фоновом режиме. Обзоры безопасности, как минимум, должны включать следующие пункты:
*Отчеты о безопасности пользовательских ресурсов, включающие наличие повторяющихся пользовательских имен и идентификаторов, неправильных форматов регистрационных записей, пользователей без пароля, неправильной установки домашних каталогов пользователей и уязвимостей пользовательских системных окружений;
*Выявление троянских программ при помощи антивирусных средств и сетевых сканеров;
*Проверка содержимого конфигурационных файлов ОС на соответствие спискам проверки;
*Выявление изменений системных файлов со времени проведения последней проверки (контроль целостности системных файлов);
*Проверка прав доступа и других атрибутов системных файлов (команд, утилит и таблиц);
*Проверка правильности настройки механизмов аутентификации и авторизации сетевых сервисов;
*Проверка корректности конфигурации системных устройств и активного сетевого оборудования (мостов, маршрутизаторов, концентраторов и межсетевых экранов).
====Активное тестирование системы защиты====
Активное тестирование – тестирование механизмов контроля доступа путем осуществления попыток проникновения в систему и других видов атак (с помощью автоматического инструментария или вручную).
====Пассивное тестирование системы защиты====
Пассивное тестирование механизмов контроля доступа, в отличие от активного, осуществляется путем анализа конфигурационных файлов ОС, а также МЭ и прочих СЗИ НСД. Информация об известных уязвимостях извлекается из документации и внешних источников информации. Затем осуществляется проверка конфигурации системы с целью выявления опасных состояний, т.е. таких состояний, в которых могут проявлять себя известные уязвимости. Если система находится в опасном состоянии, то, с целью нейтрализации уязвимостей, необходимо либо изменить конфигурацию системы (для ликвидации условий проявления уязвимости), либо установить программные коррекции, либо установить другие версии программ, в которых данная уязвимость отсутствует, либо отказаться от использования системного сервиса, содержащего данную уязвимость.
====Контроль внесения изменений в системное программное обеспечение и установки программных коррекций====
Внесение изменений производится с уведомлением каждого, кого касается предлагаемое изменение. Контроль внесения изменений осуществляется периодическими проверками состава и конфигурации СВТ и сравнения его с данными, указанными в паспорте на СВТ (ИС).
====Планирование конфигурации подсистемы аудита безопасности====
Планирование конфигурации подсистемы аудита безопасности включает в себя следующие шаги:
*Спланировать хранение журналов аудита:
:#Определить для каждой контролируемой системы классы событий, которые будут регистрироваться.
:#Определить, какие события к какому классу относятся.
:#Определить, какое количество информации аудита необходимо генерировать для каждой контролируемой системы. Найти компромисс между требованиями обеспечения безопасности и количеством доступного для аудита дискового пространства.
:#Определить, какие компьютеры будут выполнять роль серверов аудита и какие будут клиентами для этих серверов.
:#Определить имена и расположение файловых систем для аудита.
:#Спланировать использование файловых систем на серверах аудита.
*Определить, какие действия и для каких пользователей будут отслеживаться:
:#Определить, для каких классов событий желательно осуществлять аудит.
:#Определить, какие пользователи должны быть подвергнуты более тщательному наблюдению.
:#Определить, какое минимальное количество дискового пространства должно оставаться на диске, прежде чем посылать предупреждение администратору аудита.
:#Определить конфигурацию подсистемы аудита безопасности.
:#Определить стратегию аудита - cтратегия аудита определяет различные детали, связанные с аудитом, например, следует ли включать в записи аудита их порядковые номера или данные о группе пользователя, а также следует ли регистрировать информацию об окружении и аргументах командной строки вызываемых программ.
:#Определить стратегию в случае переполнения журнала аудита - yеобходимо решить следует ли, в случае переполнения журнала аудита, запрещать выполнение подконтрольных действий или позволить системе продолжать функционирование и просто регистрировать число потерянных записей аудита.
====Анализ журналов аудита====
Анализ больших объемов информации, содержащейся в журналах системного аудита, осуществляется с использованием специализированного программного инструментария.

В качестве исходных данных для анализа используется информация из следующих источников:
*Журналов аудита ОС;
*Журналов аудита СУБД;
*Журналов аудита приложений;
*Журналов аудита сетевых устройств.
===Внешний аудит безопасности===
В отличие от внутреннего аудита, внешний аудит безопасности производится независимыми экспертами, не имеющими отношения к администрированию системы.

Внешний аудит безопасности входит в состав комплекса работ по аудиту ИС наряду с вопросами анализа надежности, производительности, разрешения проблемных ситуаций и т. д. Целями проведения аудита безопасности являются:
*Анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС;
*Оценка текущего уровня защищенности ИС;
*Локализация узких мест в системе защиты ИС;
*Выработка рекомендаций и требований по обеспечению безопасности ИС.
====Использование криптографических методов защиты информации от НСД====
Для обеспечения конфиденциальности и целостности критичной информации при передаче ее по каналам связи, проходящим вне контролируемой зоны, а также при хранении информации на магнитных носителях, необходимо использовать криптографические методы защиты информации. Программные и/или аппаратные средства криптографической защиты информации выбираются исходя из необходимости обеспечить определенный уровень защиты в соответствии с требованиями политики безопасности. В целом, должно быть предусмотрено:
*Использование систем шифрования с открытыми и закрытыми ключами для обеспечения конфиденциальности электронных документов;
*Использование средств электронной подписи для подтверждения авторства и контроля целостности электронных документов.
==Выявление попыток НСД==
===Анализ инцидента администратором безопасности===
Если администратор безопасности системы подозревает или получил сообщение о том, что вверенная ему система подвергается атаке или уже была скомпрометирована, то он должен установить:
*Факт попытки НСД;
*Продолжается ли НСД в настоящий момент;
*Кто является источником НСД;
*Что является объектом НСД;
*Когда происходила попытка НСД;
*Как и при каких обстоятельствах была предпринята попытка НСД;
*Точка входа нарушителя в систему;
*Была ли попытка НСД успешной;
*Определить системные ресурсы, безопасность которых была нарушена;
*Какова мотивация попытки НСД (получение прибыли, саботаж, шпионаж, любопытство и т.д.).

Для выявления нарушений безопасности, на серверах ЛВС, которые могли оказаться скомпрометированными в результате осуществления попытки НСД, системному администратору совместно с администратором безопасности необходимо провести следующие технические мероприятия:
====Выявление активных пользователей====
Необходимо установить, какие пользователи в настоящее время работают в системе, способ входа пользователей в систему, на каких терминалах и какие процессы они выполняют. Выявить подозрительную активность пользователей:
*Проверить допустимость имен пользователей;
*Проверить, что никто из пользователей не работает в системе необычно долго;
*Проверить, что все пользователи вошли в систему со своих рабочих мест (терминалов, рабочих станций и т.п.);
*Проверить, что никто из пользователей не выполняет подозрительных программ и задач, не относящихся к его области деятельности.
====Выявление подозрительных процессов====
Необходимо установить, какие процессы в настоящее время активны в системе, подвергающейся атаке. Выявить подозрительные процессы:
*Процессы, активные в течение промежутков времени более длительных, чем допустимые для них;
*Необычные времена начала выполнения задач (такие как 3.00);
*Необычные имена процессов;
*Процессы, занимающие высокий процент рабочего времени ЦП;
*Процессы, не имеющие управляющего терминала, которые выполняют необычные программы.
====Анализ содержимого системных журналов====
При анализе системных журналов администратору необходимо произвести следующие действия:
*Проверить наличие подозрительных записей системных журналов, сделанных в период предполагаемой попытки НСД, включая вход в систему пользователей, которые должны были бы отсутствовать в этот период времени, входы в систему из неожиданных мест, в необычное время и на короткий период времени;
*Проверить, не уничтожен ли системный журнал;
*Просмотреть списки команд, выполненных пользователями в рассматриваемый период времени;
*Выявить попытки получить полномочия суперпользователя или другого привилегированного пользователя;
*Выявить неудачные попытки входа в систему.
====Анализ содержимого журналов активного сетевого оборудования====
В ходе анализа журналов активного сетевого оборудования необходимо:
*Проверить наличие подозрительных записей, сделанных в период предполагаемой попытки НСД;
*Проверить, не уничтожен ли журнал активного сетевого оборудования;
*Выявить попытки изменения таблиц маршрутизации и другой конфигурационной информации.
====Проверка конфигурации сетевых адаптеров====
Необходимо проверить конфигурацию сетевых адаптеров с целью выявления установленных на скомпрометированных системах программ, используемых для просмотра и анализа сетевого трафика.
*Проверить, не находится ли сетевой адаптер в режиме приема всех пакетов своего сетевого сегмента;
*Проверить, не появились ли в системе новые файлы;
*Проверить, не запущен ли процесс, потребляющий очень высокий процент процессорного времени.
====Проверка системы на наличие в ней файлов или других следов, оставленных злоумышленником====
Для обнаружения в системе оставленных злоумышленником следов в виде файлов, вирусов, троянских программ, а также изменений системной конфигурации, необходимо провести антивирусное сканирование и проверку целостности файловых систем серверов ЛВС с использованием соответствующих антивирусных средств и средств контроля целостности.
====Анализ журналов системного аудита====
Необходимо проанализировать журналы системного аудита согласно процедурам анализа при помощи специализированных и общесистемных программных средств:
*Журналы аудита ОС;
*Журналы аудита СУБД;
*Журналы аудита приложений;
*Журналы аудита сетевых устройств.
===Автоматическое выявление нарушений безопасности===
Автоматическое выявление нарушений безопасности производится с помощью специализированных программных средств и методов для осуществления непрерывного мониторинга действий пользователей в реальном времени с целью обнаружения подозрительной активности. Можно выделить следующие программные средства и методы:
*Использование экспертных систем, базирующихся на установлении рабочих профилей отдельных пользователей (вид и характер работы, особенности работы, скорость работы с клавиатурой и т.п.);
*Использование экспертных систем, базирующихся на определении правил для выявления подозрительных действий при анализе журналов аудита;
*Использование экспертных систем, базирующихся на знании известных уязвимостей системы и сценариев атак;
*Использование ловушек (ложные пользователи, пароли, о попытках использования которых немедленно сообщается администратору системы и т.п.).
==Реагирование на нарушения информационной безопасности==
===Первоначальные действия===
#Известить руководителя ОИБ.
#Определить круг лиц, принимающих участие в предварительном анализе инцидента.
===Анализ инцидента===
====Оценка серьезности инцидента====
#Оценить уровень серьезности инцидента и определить степень риска:
*Уровень 1 – критическое событие. Попытка НСД продолжается и/или серьезная уязвимость в механизмах безопасности системы (или сети) была обнаружена и использована для НСД.
*Уровень 2 – событие, требующее немедленного вмешательства. Вероятность НСД, вызванного уязвимостью, очень высока, но НСД мог еще не произойти.
*Уровень 3 – проблема с компьютером или с сетью, требующая немедленного внимания.
*Уровень 4 – некритическое событие, которое должно быть задокументировано для обеспечения последующих ссылок на него.
*Уровень 5 – только информация, требующая немного либо вообще не требующая внимания.
#Оценить масштаб инцидента – безопасность каких ресурсов нарушена.
#Оценить причиненный ущерб.
====Составление базового профиля нарушителя====
Базовый профиль нарушителя включает следующие сведения:
*Кто является нарушителем (сотрудник Компании либо внешний нарушитель);
*Какова его мотивация (саботаж, шпионаж, любопытство, самоутверждение или получение прибыли);
*Каковы возможности нарушителя.
====Опрос персонала====
Необходимо опросить персонал с целью выяснения подробностей осуществления НСД к информации.
====Взаимодействие с консультантами и поставщиками ПО====
В случае необходимости следует связаться с независимыми консультантами или поставщиками ПО для получения помощи в диагностировании нарушений безопасности.
===Определение состава мероприятий по реагированию на нарушение безопасности===
На основе произведенного анализа инцидента руководитель ОИБ принимает решение о целесообразности дальнейших действий. Если серьезность инцидента соответствует Уровню 5, то никаких действий предпринимать не требуется. Для Уровня 4 необходимо только задокументировать инцидент в соответствующем журнале. В случае, если серьезность инцидента соответствует Уровням 1 – 3, возможны две стратегии реагирования на нарушение безопасности. Первая стратегия заключается в том, чтобы немедленно прервать попытку НСД, защитить ИС от несанкционированных действий, ликвидировать нарушения и позволить пользователям продолжать работу с ИС. Вторая заключается в том, чтобы позволить нарушителю продолжать попытку НСД с целью осуществления мониторинга его действий.

Стратегия немедленной защиты и восстановления выбирается при следующих условиях:
*Если ресурсы ИС недостаточно хорошо защищены от нарушителя;
*Если действия нарушителя могут привести к большому финансовому риску и нанести серьезный ущерб;
*Если преследование нарушителя невыгодно с финансовой точки зрения, либо отсутствует такая возможность, либо желание;
*Если существует значительный риск для пользователей ИС;
*Если возможно предъявление претензий со стороны клиентов Компании.
Стратегия наблюдения за нарушителем и его преследования выбирается при следующих условиях:
*Ресурсы ИС адекватно защищены;
*Последствия возможных последующих попыток НСД перевешивают риск, которому подвергается ИС в настоящий момент;
*Попытка НСД является продолжением предыдущих попыток, уже имевших место ранее;
*Отказ от преследования нарушителя может спровоцировать новые попытки НСД;
*Доступ нарушителя к ресурсам ИС находится под контролем;
*Средства мониторинга в состоянии осуществлять достаточно полное протоколирование действий нарушителя для того, чтобы собрать необходимые доказательства для принятия мер по привлечению нарушителя к ответственности;
*Администраторы ИС достаточно хорошо подготовлены в плане знания ОС, системных утилит, СУБД и прикладных систем, чтобы осуществлять отслеживание действий нарушителя.
===Осуществление мониторинга действий нарушителя безопасности===
Мониторинг действий нарушителя должен осуществляться незаметно для него. Все действия нарушителя должны регистрироваться в журнале попыток НСД с тем, чтобы собрать достаточное количество доказательств для привлечения его к ответственности.

Недостатком этого подхода является то, что нарушитель будет продолжать несанкционированные действия и существует возможность причинения ущерба и предъявления претензий со стороны клиентов Компании.

После того, как с помощью мониторинга попытки НСД будет собрано достаточное количество доказательств для привлечения нарушителя к ответственности, нужно прервать попытку НСД, оценить причиненный ущерб и, в случае необходимости, перейти к ликвидации последствий НСД, либо сразу приступить к принятию мер по привлечению нарушителя к ответственности.
===Немедленное реагирование на нарушение безопасности===
Стратегия немедленного реагирования требует принятия решения относительно целесообразности временной остановки работы отдельных компонентов ИС с целью прекращения несанкционированных действий со стороны нарушителя. После того, как попытка НСД остановлена, следует переходить к ликвидации последствий инцидента.

Недостатком данного подхода является его вынужденность и связанная с этим недостаточная гибкость. Нарушитель узнает о том, что он обнаружен, и предпримет ответные действия с целью скрыть следы своей деятельности. Нарушитель также может изменить стратегию атаки на ресурсы ИС или продолжать попытку НСД к другим ресурсам, ранее не затронутым инцидентом.
==Ликвидация последствий НСД==
===Первоначальные действия===
#Установить приоритет восстановительных работ и распределить обязанности.
#В случае необходимости объявить об инциденте пользователям ИС.

Решение относительно целесообразности уведомления об инциденте пользователей ИС принимается на основании результатов анализа инцидента, исходя из политических и практических соображений, а также в зависимости от уровня серьезности инцидента. Объявление о факте удавшейся попытки НСД подрывает престиж Компании и вызывает у клиентов недоверие к ней. С другой стороны, в некоторых случаях полная ликвидация последствий НСД требует участия пользователей ИС.

В результате попытки НСД пользовательские пароли и файлы могут оказаться скомпрометированными, поэтому пользователи должны сменить свои пароли и проверить целостность своих личных файлов и каталогов. При этом им следует обратить внимание на появление новых файлов (каталогов), исчезновение старых, на изменение контрольных сумм и размеров бинарных файлов, а также на изменение содержимого текстовых файлов.
===Проведение антивирусных мероприятий===
Если обнаружен компьютерный вирус, необходимо провести централизованное сканирование файловых систем на серверах ЛВС и рабочих местах пользователей в соответствии с планом проведения антивирусных мероприятий.
===Восстановление данных с резервных копий===
Восстановление данных, целостность которых была нарушена в результате осуществления несанкционированных действий, на серверах ЛВС осуществляется в соответствии с процедурой резервного копирования и восстановления данных.
===Смена паролей на скомпрометированных системах===
Сменить все пароли на скомпрометированных системах и известить об этом пользователей.
===Анализ выявленных уязвимостей===
При анализе уязвимости, ставшей причиной успешного осуществления НСД к ресурсам ИС, рассматриваются следующие вопросы:
*Легко ли воспроизвести данную уязвимость;
*Присутствует ли она в различных версиях ПО;
*Предоставляет ли уязвимость привилегированный доступ;
*Может ли уязвимость использоваться для получения привилегированного доступа в будущем;
*Какие компоненты ИС подвержены этой уязвимости.
===Ликвидация уязвимости===
Ликвидация уязвимостей ПО обычно осуществляется путем установки соответствующих пакетов программных коррекций либо путем перехода на другую версию ПО.

Установка пакетов программных коррекций, внесение изменений в ПО или в конфигурацию ИС осуществляются в соответствии с процедурой внесения изменений в ПО.
===Воспроизведение картины событий и документирование нарушения безопасности===
Необходимо воспроизвести картину осуществления НСД к ресурсам ИС и задокументировать последовательность событий.

Следует также задокументировать причину инцидента, уязвимости, которые были использованы для осуществления НСД, и последовательность мероприятий по восстановлению целостности данных и работоспособности ИС в журнале регистрации фактов нарушений информационной безопасности.

Решение этой задачи может оказаться невозможным без показаний самого нарушителя безопасности. Также может потребоваться помощь пользователей и персонала ИС.
===Завершающие мероприятия===
#Подготовить информацию для принятия мер, связанных с привлечением нарушителя безопасности к ответственности.
#Провести собрание рабочей группы, принимавшей участие в ликвидации последствий НСД, с целью обсуждения и оценки проделанной работы.
#При необходимости внести изменения и/или дополнения в настоящее План.
#Рассмотреть целесообразность уведомления правоохранительных органов, поставщиков ПО и клиентов Компании.
==Перечень сокращений==
БД - База данных

ОС - Операционная система

ПИБ - Подсистема информационной безопасности

ИС - Информационная система

ПО - Программное обеспечение

СВТ - Средства вычислительной техники

СЗИ - Средства защиты информации

НСД - Несанкционированный доступ

ОИБ - Отдел информационной безопасности

ОИТ - Отдел информационных технологий
[[Категория:Политика безопасности]]

Модель угроз сохранности данных АРМ

2010-06-02T05:08:06Z

Majestic: Новая страница

==Введение==
Настоящий документ определяет модель угроз сохранности данных автоматизированного рабочего места (далее - АРМ), предназначенного для хранения, обработки и последующего использования информации, имеющей гриф ограниченного доступа.
==Особенности функционирования==
* АРМ располагается в отдельном выделенном помещении, защищенном как помещение для ведение конфиденциальных переговоров (бронированная дверь, средства акустического и виброакустического зашумления);
* доступ к защищаемой информации осуществляется в соответствии с уровнем доступа пользователей АРМ;
* АРМ является полностью автономным и не имеют сетевого соединения с локальными и глобальными вычислительными сетями.
==Модель нарушителя==
===Пользователи АРМ===
Пользователями АРМ являются сотрудники организации, допущенные к работе с информацией, имеющей гриф ограниченного доступа, в силу их прямых должностных обязанностей.

Для работы с АРМ от всех сотрудников организации требуется прохождение специальной процедуры для получения соответствующей формы допуска.

Нарушителями по отношению к АРМ могут быть сотрудники организации, имеющие непосредственный допуск для работы с АРМ, сотрудники организации, не имеющие допуск для работы с АРМ, и лица, не являющиеся сотрудниками организации.
===Основные группы и классы нарушителей===
При рассмотрении нарушителей необходимо разделить их на группы по отношению к АРМ и соответственно возможностям воздействия на его компоненты. Групп нарушителей две:
* внешние нарушители (группа О) – физические лица, не обладающие правами доступа внутрь контролируемой зоны и соответственно не имеющие возможности прямого воздействия на компоненты АРМ;
* внутренние нарушители (группа И) – физические лица, обладающие правами доступа внутрь контролируемой зоны и соответственно имеющие доступ к техническим средствам АРМ.
Вне зависимости от групп нарушитель может относиться к одному из четырех классов по возможным действиям:
* первый (низкий) уровень (класс 1) возможностей нарушителя характеризуется запуском задач из фиксированного набора с заранее предусмотренными функциями по обработке информации. Также внешний злоумышленник, использующий технические каналы утечки информации;
* второй (класс 2), включает возможности пользователей первого уровня. Дополнительно имеет возможности создания и запуска собственных программ с новыми функциями по обработке информации. Таким образом, возможна ситуация, когда внешний нарушитель реализует внутренние угрозы;
* третий (класс 3), имеет возможность управления функционированием АРМ, то есть воздействовать на базовое программное обеспечение, его состав и конфигурацию. На этом уровне велика вероятность ошибок или непреднамеренных вредоносных действий законных пользователей;
* четвертый (класс 4), отличается полным объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АРМ, вплоть до включения в состав АСВТ технических средств с новыми функциями по обработке данных.
Различение нарушителей по квалификации, как специалиста в области информационных технологий:
* неопытный пользователь (класс А): нарушитель этого класса предоставляет опасность как источник невнимательных или неверных действий на АРМ, которые редко, но могут привести к сбою или даже отказу работы системы;
* уверенный пользователь (класс Б): данный класс нарушителя может быть источником нарушений работы АРМ, но попытки установить свои программы, воспользоваться внешними ресурсами, в том числе Интернет, будут пресечены системой разграничения доступа;
* высококвалифицированный пользователь (класс В): все попытки нарушителя данного класса обойти установленные правила разграничения доступа должны фиксироваться системой аудита безопасности, блокироваться системой защиты АРМ (данные о нарушениях должны быть своевременно предоставлены куратору безопасности и администратору безопасности АРМ).
===Характеристики группы внешних нарушителей===
С учетом особенностей построения АРМ, а именно:
* наличие двойного контура охраны: контрольно-пропускной пункт при входе на территорию и контрольно-пропускной пункт при входе в здание, где располагается АРМ;
* отсутствие внешних каналов связи, использующихся АРМ;
* возможности внешнего нарушителя крайне ограниченны и выделяется только один вид внешнего нарушителя – осуществляющий атаки на технические каналы утечки информации путем перехвата и анализа побочных электромагнитных излучений и наводок (ПЭМИН) технических средств АРМ, а также с использованием специальных электронных устройств съема информации, внедренные в технические средства АРМ на этапе его изготовления.
Возможности внешнего нарушителя зависят от условий размещения и проверки технических средств АРМ и от условия размещения и технического уровня средств съема и перехвата информации.
===Характеристики группы внутренних нарушителей===
В зависимости от реализованных организационных и технических мер защиты, в обобщенной модели нарушителя АРМ можно выделить четыре вида потенциальных внутренних нарушителей:
* внутренний нарушитель, являющийся зарегистрированным пользователем АРМ, но не являющийся членом групп администраторов безопасности и администраторов программного обеспечения АРМ. Нарушитель этого вида реализует атаки на подлежащие защите информационные ресурсы АРМ, используя возможности по непосредственному доступу к информации ограниченного доступа с использованием доступных ему программно-аппаратных средств взаимодействия с АРМ. Возможности по реализации атак внутреннего нарушителя первого вида сводятся, в основном, к попыткам расширения своих полномочий и преодоления средств защиты информации с использованием только штатных программных и технических средств взаимодействия с АРМ.
* внутренний нарушитель, имеющий санкционированный доступ к техническим средствам АРМ, но не являющийся их зарегистрированным пользователем – обслуживающий персонал (рабочие подсобных специальностей). Нарушитель этого вида реализует атаки на подлежащие защите информационные ресурсы АРМ, используя оставленные без контроля технические средства АРМ, носители информации и так далее, а также путем внедрения аппаратных закладок, программных средств скрытого информационного воздействия и компьютерных вирусов. Возможности внутреннего нарушителя второго вида существенным образом зависят от действующих ограничительных факторов по допуску физических лиц в помещения, в которых расположен АРМ, и контролю за порядком проведения работ.
* внутренний нарушитель, имеющий санкционированный доступ к техническим средствам АРМ, но не являющийся их зарегистрированным пользователем – разработчики аппаратных и программных средств АРМ, осуществляющие их установку, пуско-наладочные работы, сопровождение в период эксплуатации. Нарушитель этого вида реализует атаки на подлежащие защите объекты, используя специальные деструктивные средства – аппаратные закладки, программных средств скрытого информационного воздействия и компьютерные вирусы, которые могут быть внедрены в технические и программные средства на указанных этапах. Особенность внутреннего нарушителя третьего вида в том, что он может осуществлять различные действия в зависимости от алгоритма функционирования, заложенного в специальных деструктивных средствах. Активизация специальных деструктивных средств может произойти в любой момент работы АРМ на протяжении всего его жизненного цикла.
* внутренний нарушитель, имеющий санкционированный доступ к техническим средствам АРМ и являющийся членом групп администраторов безопасности или администраторов программного обеспечения АРМ. Особенность нарушителя четвертого вида в том, что он входит в число доверенного персонала АРМ, что предоставляет ему возможность использования для реализации атак широкие возможности по воздействию на внутреннее состояние компонентов АРМ.
Возможности внутреннего нарушителя существенным образом зависят от действующих ограничительных факторов. Из числа таких факторов основным является реализация комплекса режимных и организационно-технических мер, направленных на предотвращение и пресечение несанкционированных действий, в том числе по подбору и расстановке кадров, допуску физических лиц в помещение, в которых расположен АРМ, и контролю порядка проведения работ.
===Состав групп нарушителей===
Внутренним нарушителем может быть лицо из следующих категорий персонала организации:
* зарегистрированные конечные пользователи АРМ (сотрудники организации);
* сотрудники организации, не допущенные к работе с АРМ;
* персонал, обслуживающий технические средства АРМ;
* технический персонал, обслуживающий здание и помещение, в котором расположен АРМ;
* администраторы безопасности АРМ;
* руководители различных уровней.
Категории лиц, которые могут быть внешними нарушителями:
* уволенные сотрудники организации;
* посетители, являющиеся представителями сторонних организаций, выполняющих какие-либо работы.
При построении системы защиты, планировании работ и мероприятий важно учитывать следующие общие положения:
* нарушитель хорошо осведомлен о средствах обработки информации и технических средствах защиты от НСД, старается обойти систему защиты и скрыть свои действия от системы аудита и средств оперативного реагирования;
* нарушителю заранее неизвестны значения настраиваемых параметров средств защиты, пароли, ключи, идентификаторы, но он обладает адекватными финансовыми средствами для подкупа, шантажа или приобретения специального оборудования;
* сотрудники службы безопасности АРМ и другие осведомленные лица могут осуществлять непреднамеренный НСД (случайный) в результате ошибок, невнимательности, а также из-за недостатков принятой технологии;
* в результате правильно построенной системы подбора кадров и специальных мероприятий исключается коалиция нарушителей или вероятность коалиции пренебрежимо мала;
* НСД осуществляется только штатными средствами АРМ.

С учетом особенностей построения АРМ можно выделить следующие виды нарушителей:
* группа О класс В1;
* группа И всех основных классов нарушителя.

==Модель угроз==
===Основные угрозы сохранности данных АРМ===
Основная задача безопасности АРМ – обеспечение сохранности хранимых данных, а именно:
* обеспечение секретности данных;
* обеспечение надежного хранения данных;
* предотвращение НСД к данным.
В соответствии с данными задачами к основным видам угроз сохранности данных АРМ можно отнести:
* нарушение секретности информации;
* нарушение целостности информации, а также фальсификация данных;
* уничтожение информации;
* несанкционированное изменение алгоритмов функционирования АРМ;
* несанкционированное изменение параметров АРМ;
* несанкционированное использование ресурсов АРМ;
* отказ в обслуживании, блокировка санкционированного доступа к данным.
В результате нарушения секретности информации нарушителям становится известны данные, имеющие гриф ограниченного доступа, что может повлечь за собой большие экономические последствия.

В результате нарушения целостности и достоверности информации пользователям АРМ придется отказаться от данных и приложить дополнительные усилия для восстановления данных. В случае, если нарушение достоверности не было выявлено, то появляются риски принятия пользователями АРМ неверных решений на основе некорректных данных.

В результате несанкционированного изменения алгоритмов функционирования АРМ он, при сохранении внешних признаков корректной работы, не сможет осуществлять решение своих основных задач, что может привести в дальнейшем к увеличению рисков НСД или к необходимости выделения дополнительных ресурсов для исправления изменений.

В результате несанкционированного изменения параметров АРМ увеличиваются риски НСД к информации.

Несанкционированное использование ресурсов АРМ, с одной стороны, является средством раскрытия или компрометации информации, а с другой – имеет самостоятельное значение, поскольку может нанести ущерб пользователям АРМ. Этот ущерб может варьироваться в широких пределах – от задержек при обработке информации до выхода из строя АРМ. Необходимо отметить, что ошибочное использование ресурсов АРМ, будучи даже санкционированным, тем не менее, может привести к раскрытию, искажению или разрушению данных.

В результате отказа в обслуживании становятся возможными срывы своевременного решения задач, стоящих перед АРМ, в связи с нарушением в нем технологических процессов обработки информации.
===Классификация угроз===
Все угрозы можно разделить на классы в зависимости от характера угрозы, вида воздействия, источника и объекта угрозы.
====Технологические====
Данный класс угроз относится к используемому в АРМ аппаратному и программному обеспечению.
=====Физические=====
Физические угрозы относятся ко всем техническим средствам, использующимся в работе АРМ. Физические угрозы применяются только к материальным ресурсам АРМ и лишь косвенно ведут к угрозам сохранности данных АРМ.
В результате нарушения режима работы технических средств или полному выводу их из строя может произойти отказ в обслуживании, а также повышается вероятность НСД к данным АРМ ограниченного доступа и искажение или потеря данных АРМ.

Физические угрозы подразделяются на:
======Форс-мажорные обстоятельства======
Угрозы возникновения обстоятельств непреодолимой силы – событий, на которые владельцы и пользователи АРМ не могут оказать влияния и за возникновение которых они не несут ответственности, например: наводнение, пожар, землетрясение, а также забастовка, правительственные постановления или распоряжения государственных органов.

''Угрозы:''
#''Стихийные бедствия, пожары, радиоактивное излучение.''
======Отказ оборудования======
Угрозы поломок или частичного выхода из строя технических средств АРМ.

''Угрозы:''
#''Отказы и сбои аппаратно-программных средств.''
#''Отказ и сбои средств хранения информации.''
======Человеческий фактор======
Непреднамеренные или умышленные действия пользователей АРМ, в результате которых происходит поломка технических средств АРМ или изменение параметров, алгоритмов функционирования АРМ. Прямое воздействие внешнего злоумышленника на технические средства АРМ не рассматривается с учетом его расположения на охраняемой территории.

Также к человеческому фактору относятся действия злоумышленника, направленные на воздействие на технические средства АРМ с целью перехвата обрабатываемой информации ограниченного доступа.

Перехват может быть осуществлен за счет приема и анализа:
* излучений техническими средствами АРМ электрических, магнитных и электромагнитных полей опасных сигналов;
* излучений электрических, магнитных и электромагнитных полей опасных сигналов за счет паразитной генерации технических средств АРМ;
* наводок опасных сигналов на линии связи, отходящие от технических средств АРМ, на посторонние линии связи и другие токопроводящие коммуникации, проложенные вблизи технических средств АРМ;
* наводок опасных сигналов на провода сети электропитания и заземления технических средств АРМ;
* излучений технических средств АРМ, модулированных речевым сигналом за счет электроакустических и виброэлектрических преобразований на элементах технических средств АРМ, с учетом того, что технические средства АРМ размещены в помещении, где в процессе работы осуществляется проведение секретных переговоров;
* информации по акустическому и виброакустическому каналу, с учетом того, что технические средства АРМ размещены в помещении, где в процессе работы осуществляется проведение секретных переговоров.

Съем информации ограниченного доступа также может вестись с использованием электронных закладок, сделанных как на этапе монтажа АРМ, так и при обслуживании технических средств АРМ и помещения, где установлены технические средства АРМ.

''Угрозы:''
#''Побочные электромагнитные излучения и наводки.''
#''Утечка по акустическому, виброакустическому и электроакустическому каналам.''
#''Ошибки в аппаратном обеспечении.''
#''Непреднамеренные действия пользователей при обращении с техническими средствами.''
#''Закладки в аппаратном обеспечении.''
#''Преднамеренные действия пользователей при обращении с техническими средствами.''
#''Непреднамеренные действия сотрудников, направленные на технические средства.''
#''Преднамеренные действия сотрудников, направленные на технические средства.''
=====Логические=====
Логические угрозы относятся к программному обеспечению, использующемуся в АРМ. К программному обеспечению относятся:
* операционная система;
* программные средства защиты от НСД;
* специальное программное обеспечение для обработки и хранения информации ограниченного доступа.
======Человеческий фактор======
Выделяются непреднамеренные или умышленные действия пользователей АРМ. Действия внешнего злоумышленника не рассматриваются с учетом расположения АРМ на охраняемой территории.

Непреднамеренные действия пользователя АРМ в операционной системе могут повлечь повреждение программных средств и искажение или потерю информации ограниченного доступа.

Умышленные действия пользователей АРМ могут быть направлены на повышение своих полномочий и попытку НСД к информации. Для этого могут быть использованы специальные программные средства, которые могут реализовывать следующие функции:
* копирование информации во время штатных режимов ее обработки или передачи;
* копирование программного обеспечения во время штатных режимов его функционирования;
* считывание информации с внешних носителей;
* сбор остаточной информации из ОЗУ, буферов устройств или с внешних носителей;
* выполнение нештатных функций по обработке информации, в частности ее размножение и несанкционированную запись на внешние носители информации;
* выполнение нештатных изменений конфигурационных параметров программного обеспечения;
* внедрение программных средств скрытого информационного воздействия и компьютерных вирусов.

''Угрозы:''
#''Ошибки в программном обеспечении.''
#''Непреднамеренные действия пользователей при работе с программным обеспечением.''
#''Закладки в программном обеспечении, внедрение вирусов.''
#''Преднамеренные действия пользователей при работе с программным обеспечением.''
====Организационные====
Данный класс угроз относится к организации работы с АРМ и затрагивает регламенты сбора, обработки, хранения и использования информации ограниченного доступа.

Весь персонал подразделяется на пользователей АРМ и персонал, не допущенный к работе с АРМ.

Действия персонала могут быть направлены на получение информации и на осуществление сбоя работы АРМ.

В зависимости от вида воздействия подразделяются угрозы действия персонала и угроза воздействия на персонал внутренними или внешними злоумышленниками.
=====Действия персонала=====
Действия персонала, как допущенного, так и не допущенного к работе с АРМ, подразделяются на умышленные и неумышленные действия и могут быть выполнены в результате:
* отсутствие четкого описания разрешенных и запрещенных действий с техническими и программными средствами АРМ;
* отсутствие механизмов организационного контроля выполняемых действий;
* отсутствия механизмов положительной и отрицательной мотиваций персонала.
======Умышленные действия======
Умышленные действия направлены на получение несанкционированного доступа к информации или нарушение режима работы АРМ и становятся возможны при недостаточной реализации системы организационного контроля за действиями персонала.

''Угрозы:''
#''Преднамеренные действия персонала на получение НСД.''
======Неумышленные действия======
Угрозы безопасности возникают при недостаточной квалифицированности пользователей АРМ и незнании основных организационных особенностей функционирования АРМ.

''Угрозы:''
#''Ошибочные действия персонала, в результате которых происходит НСД.''
=====Воздействие на персонал=====
Воздействие на персонал может вестись как сотрудниками, так и внешними злоумышленниками и проводится для вынуждения персонала на осуществление санкционированного или несанкционированного доступа к АРМ с целью хищения информации или внесения перерывов в работу АРМ.
======Физическое воздействие======
К физическому воздействию относятся меры физического насилия.

''Угрозы:''
#''Раскрытие информации ограниченного доступа пользователями в результате физического насилия.''
======Психологическое воздействие======
К психологическому воздействию относятся шантаж, гипноз, подкуп персонала с целью принуждения к выполнению определенных действий.

Также под психологическим воздействием предполагается возможность давления на персонал с использованием служебных полномочий.

''Угрозы:''
#''Раскрытие информации ограниченного доступа пользователями в результате психологического давления.''
#''Внесение изменений в АРМ под действием психологического давления (в том числе с использованием должностных полномочий).''
==Организационно-технические меры противодействия угрозам==
В качестве типовых организационных мер, способствующих защите от перечисленных выше критических угроз необходимо выполнение следующих действий:
#Регулярное выполнение процедуры резервного копирования информации ограниченного доступа.
#Использование источников бесперебойного питания.
#Установка датчиков регистрации признаков аварии или стихийного бедствия (дыма, наличия открытого огня).
#Установка системы автоматического оповещения об авариях.
#Контроль доступа персонала в защищаемое помещение.
#Контроль доступа персонала к АРМ.
#Выполнение периодических регламентных работ по контролю функционирования АРМ.
#Контроль графика периодического просмотра и анализа протокола работы системы администратором безопасности.
#Регистрация актов уничтожения вышедших из строя компонентов системы.
#Привлечение доверенного квалифицированного персонала для ремонта элементов АРМ.
#Использование охранной сигнализации в защищаемом помещении.
#Регулярный контроль состояния защищаемого помещения.
#Регулярный аудит безопасности работы АРМ.
#Периодическая аттестация администратора безопасности системы.
#Контроль доступа к системной документации на аппаратно-программные средства и настройки.
#Централизованная поддержка и обновление антивирусного программного обеспечения.
#Проведение специального исследования технических средств и специальной проверки.
#Использование специальных технических средств зашумления.
#Обучение пользователей регламентам работы с АРМ.
#Наличие организационно-распорядительных мер безопасности.
#Использование сертифицированного программного обеспечения.
#Проведение кадровой работы для повышения мотиваций сотрудников.
#Проведение кадровой работы для выявления нелояльного персонала.
==Перечень сокращений==
АРМ – Автоматизированное рабочее место

АС – Автоматизированная система

АСВТ – Аппаратные средства вычислительной техники

НСД – Несанкционированный доступ

ОЗУ – Оперативное запоминающее устройство

ПЭМИН – Побочные электромагнитные излучения и наводки
==Термины и определения==
Администратор безопасности – привилегированный пользователь АС, обеспечивающий штатное функционирование средств и системы защиты информации на основе реализации положений политики безопасности.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Автоматизированное рабочее место – программно–технический комплекс, предназначенный для автоматизации определенного вида деятельности.

Безопасность компьютерной информации – достижение требуемого уровня защиты (класса и категории защищенности) объекта информатизации при обработке информации и при ее передаче через сети передачи данных, обеспечивающего сохранение таких ее качественных характеристик (свойств), как: секретность (конфиденциальность), целостность и доступность.

Доступ к информации – ознакомление с информацией или получение возможности ее обработки. Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации. осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации ([[ГОСТ Р 50922-96]]).

Защита от несанкционированного доступа – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации ([[ГОСТ Р 50922-96]]).

Защищаемое помещение – служебный кабинет, специально предназначенный для проведения конфиденциальных мероприятий.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информатизация – организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов

Информационная система – автоматизированная система, состоящая из персонала и комплекса средств автоматизации его деятельности по получению, хранению, обработке и передаче информации. Организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

Информационные ресурсы – логически связанный, целостный и систематизированный набор актуальных данных.
Отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Информационное обеспечение – совокупность системно ориентированных данных, описывающих принятый в системе словарь базовых описаний и актуализируемых данных о состоянии информационной модели объекта информатизации на всех этапах его жизненного цикла.

Информационная технология – технология, основу которой составляют процессы сбора, хранения, преобразования и анализа информационных ресурсов.

Информационные процессы – процессы сбора, обработки, накопления, хранения, поиска и распространения информации.

Конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Комплексная защита информации – комплекс мероприятий по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию.

Контролируемая зона – территория, на которой исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств.

Надежность – комплексное свойство систем сохранять во времени в установленных пределах значения всех параметров, характеризующих способность системы выполнять свои функции в заданных режимах и условиях эксплуатации.
Несанкционированный доступ (несанкционированные действия) – Доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Объект автоматизации – субъект (структурное подразделение) предприятия с отдельной инфраструктурой, на базе которой организуется функционирование и эксплуатация комплекса средств автоматизации.

Пользователь – лицо, участвующее в функционировании системы (АС) или использующее результаты ее функционирования.

Система защиты информации от НСД – комплекс организационных мер и программно-технических средств защиты от несанкционированного доступа к информации в автоматизированной системе.

Технический канал утечки информации – совокупность объекта технической разведки, физической среды и средства технической разведки, которыми добываются разведывательные данные.
[[Категория:Организация информационной безопасности]]