
Открытая лекция Аттестация ОИ.ppt
- Количество слайдов: 46
ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАНОСТИ Лектор КУЛИШКИН ВИТАЛИЙ АЛЕКСАНДРОВИЧ Кандидат военных наук, доцент 2/17/2018 11: 30 AM 1
Аттестация объектов информатизации ВОПРОСЫ ЛЕКЦИИ 1. Общие положения, основные понятия и определения. Исходные данные по аттестуемому объекту информатизации. 2. Порядок аттестации объектов информатизации по требованиям безопасности информации. Алгоритм аттестации. 3. Документы на аттестованные объекты информатизации. 2/17/2018 11: 30 AM 2
НОРМАТИВНАЯ ПРАВОВАЯ БАЗА ДЕЯТЕЛЬНОСТИ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ 1. ФЗ 27 июля 2006 года № 149 -ФЗ, «Об информации, информационных технологиях и о защите информации» 2. ФЗ 08. 2001 № 128 -ФЗ «О лицензировании отдельных видов деятельности» 3. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» 4. Постановление Правительства РФ от 03 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» 5. Постановление Правительства РФ от 11 февраля 2002 г. № 135 «О лицензировании отдельных видов деятельности» 6. Постановление Правительства РФ от 30 апреля 2002 г. № 290 «О лицензировании деятельности по технической защите конфиденциальной 2/17/2018 11: 30 AM 3 информации»
НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ ПО АТТЕСТАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ Положение по аттестации объектов информатизации по требованиям безопасности информации Утверждено Председателем Государственной технической комиссии при Президенте Российской Федерации Ю. Яшиным 25 ноября 1994 г. Нормативно-методический документ «Специальные требования и рекомендации по защите конфиденциальной информации» . Введён Приказом Гостехкомиссии России от 30. 08. 2002 г. № 282. (СТР-К) Сборник временных методик оценки защищённости конфиденциальной информации от утечки по техническим каналам, Утверждены Председателем Гостехкомиссии России 08. 11. 2001 «Временные методические указания управлениям Гостехкомиссии России по федеральным округам о порядке аттестации объектов информатизации по требованиям безопасности информации» . Утверждены Председателем Гостехкомиссии России 21. 07. 2002 г. Требования государственных стандартов Российской Федерации (ГОСТ Р 51275 -2006, Р 51583 -2000) 2/17/2018 11: 30 AM 4
лицензирование деятельности организаций в области работы с информацией ограниченного доступа; лицензирование деятельности организаций в области защиты информации; сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи КЛАССИФИКАЦИЯ АС; Содержание организационных мероприятий защиты информации создание и применение информационных и автоматизированных систем управления в защищенном исполнении введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите; категорирование вооружения и военной техники, предприятий (объектов. ) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности государства; применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи аттестация объектов информатизации по выполнению требований обеспечения защиты информации проведении работ, связанных с 2/17/2018 11: 30 AM использованием сведений, составляющих государственную тайну; 5
Система аттестации объектов информатизации по требованиям безопасности информации является составной частью единой системы сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации, которым является ФСТЭК России. 2/17/2018 11: 30 AM 6
АТТЕСТАЦИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ процесс комплексной проверки выполнения заданных функций автоматизированной системы по обработке защищаемой информации на соответствие требованиям стандартов и/или нормативных документов в области защиты информации и оформления документов о ее соответствии выполнять функции по обработке защищаемой информации на конкретном объекте информатизации 2/17/2018 11: 30 AM 7
АТТЕСТАЦИЯ ОБЪЕКТА В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ официальное подтверждение наличия на объекте защиты необходимых и достаточных условий, обеспечивающих выполнение установленных требований руководящих документов и норм эффективности защиты информации 2/17/2018 11: 30 AM 8
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ комплекс организационно-технических мероприятий, в результате которых специальным документом - Аттестатом соответствия подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России 2/17/2018 11: 30 AM 9
КОНТРОЛЬ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты; проверка соответствия качественных и количественных показателей эффективности мероприятий по защите информации требованиям или нормам эффективности защиты информации 2/17/2018 11: 30 AM 10
ФОРМЫ ОЦЕНКИ СООТВЕТСТВИЯ Гос. контроль (надзор) Аккредитация Регистрация Испытания Приёмка и ввод в эксплуатацию Иные формы Подтверждение соответствия ФОРМЫ ΠОДТВЕРЖДЕНИЯ СООТВЕТСТВИЯ Добровольное подтверждение соответствия Добровольная сертификация 2/17/2018 11: 30 AM Обязательное подтверждение соответствия Принятие декларации о соответствии Обязательная 11 сертификация
Этапы подтверждения соответствия при работе с информацией ограниченного доступа Лицензировани е на право работ с информацией ограниченного доступа 2/17/2018 11: 30 AM Создание АС в защищенном исполнении Категорирование ОИ Лицензирование на право работ по защите ИОД Классификация АС Аттестование ОИ 12
Организационную структуру системы аттестации объектов информатизации образуют: • федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасности информации – ФСТЭК России; • органы по аттестации объектов информатизации по требованиям безопасности информации; • испытательные центры (лаборатории) по сеpтификации продукции по тpебованиям безопасности инфоpмации; • заявители (заказчики, владельцы, pазpаботчики аттестуемых объектов информатизации). 2/17/2018 11: 30 AM 13
Пpи аттестации объекта информатизации подтвеpждается его соответствие тpебованиям по защите инфоpмации от несанкциониpованного доступа, в том числе от компьютеpных виpусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации. Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в pеальных условиях эксплуатации с целью оценки соответствия применяемого комплекса меp и сpедств защиты тpебуемому уpовню безопасности информации. 2/17/2018 11: 30 AM 14
Аттестация пpоводится оpганом по аттестации в установленном Положением по аттестации поpядке в соответствии со схемой, выбираемой этим оpганом на этапе подготовки к аттестации из следующего основного перечня работ: • • анализ исходных данных по аттестуемому объекту информатизации; пpедваpительное ознакомление с аттестуемым объектом информатизации; проведение экспеpтного обследования объекта информатизации и анализ разработанной документации по защите инфоpмации на этом объекте с точки зpения ее соответствия тpебованиям ноpмативной и методической документации; пpоведение испытаний отдельных сpедств и систем защиты инфоpмации на аттестуемом объекте информатизации с помощью специальной контpольной аппаpатуpы и тестовых сpедств; пpоведение испытаний отдельных сpедств и систем защиты инфоpмации в испытательных центpах (лабоpатоpиях) по сеpтификации средств защиты информации по тpебованиям безопасности инфоpмации; пpоведение комплексных аттестационных испытаний объекта информатизации в pеальных условиях эксплуатации; анализ pезультатов экспеpтного обследования и комплексных 2/17/2018 11: 30 AM аттестационных испытаний объекта информатизации и утвеpждение 15 заключения по pезультатам аттестации.
Перечень средств защиты информации, подлежащих сертификации в системе сертификации средств защиты информации по требованиям безопасности информации 1. Технические средства защиты информации от утечки по техническим каналам, включая средства контроля эффективности принятых мер защиты информации, основные и вспомогательные технические средства и системы в защищенном исполнении. 2. Средства защиты информации (технические, программные, программно-технические) от НСД, блокировки доступа и нарушения целостности. 3. Средства контроля эффективности применения средств защиты информации. 4. Защищенные программные средства обработки информации. 5. Программные средства общего назначения. 2/17/2018 11: 30 AM 16
Классификация объектов информатизации - Средства и системы информатизации (СВТ, АС различного уровня), средства и системы связи и передачи данных; - программные средства; - средства защиты информации, используемые для обработки конфиденциальной информации. ОБЪЕКТЫ ИНФРМАТИЗАЦИИ (ОБЪЕКТЫ ЗАЩИТЫ) Защищаемые помещения 2/17/2018 11: 30 AM Технические средства и системы не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается 17
Перечень объектов информатизации, подлежащих аттестации в системе сертификации средств защиты информации по требованиям безопасности информации 1. Автоматизированные системы различного уровня и назначения. 2. Системы связи, приема, обработки и передачи данных. 3. Системы отображения и размножения. 4. Помещения, предназначенные для ведения конфиденциальных переговоров. 2/17/2018 11: 30 AM 18
ОБЪЕКТЫ ИНФОРМАТИЗАЦИИ, ПОДЛЕЖАЩИЕ ОБЯЗАТЕЛЬНОЙ АТТЕСТАЦИИ обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров 2/17/2018 11: 30 AM 19
МЕТОДЫ ПРОВЕРОК И ИСПЫТАНИЙ Экспертно – документальный Измерение и оценка уровней защищенности для отдельных технических средств и каналов утечки 2/17/2018 11: 30 AM Проверка функций защиты информации от НСД с помощью тестирующих средств Попытка «взломать» систему 20
Планирование процедуры аттестации 2/17/2018 11: 30 AM 21
П Р И К А З '' ''-------200 г. г. Санкт-Петербург О назначении комиссии по подготовке и проведению аттестации объектов информатизации [названия объектов] В связи с подготовкой объектов информатизации [названия объектов] к проведению аттестации ПРИКАЗЫВАЮ: 1. Создать комиссию по подготовке и обеспечению проведения аттестации объектов информатизации [названия объектов] из числа сотрудников Управления безопасности в составе: Председатель комиссии ______(ФИО) –должность; Члены комиссии : _______ (ФИО ) - должность ; _______ (ФИО ) - должность ; 2. В своей работе комиссии руководствоваться документами: "Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные приказом Гостехкомиссии России № 282 от 30 августа 2002 г. , "Положение по аттестации объектов информатизации по требованиям безопасности информации" от 25 ноября 1994 г. , ‘’Постановления Правительства РФ от 11. 02. 2002 г. » Об утверждении положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» 3. Комиссии провести работы и подготовить необходимую документацию в соответствии с пп. ___ Технического задания (инв. № ______). Упомянутые документы представить мне на утверждение до ______. 4. Комиссии обеспечить проведение аттестационных испытаний объектов информатизации [названия объектов] в период с _____ по _____. 5. Контроль за исполнением приказа возложить на ___ ____ - начальника Управления безопасности Начальник управления безопасности 2/17/2018 11: 30 AM 22
Исходные данные по аттестуемому объекту инфоpматизации • 1. Полное и точное наименование объекта информатизации и его назначение. • 2. Хаpактеp (научно-техническая, экономическая, пpоизводственная, финансовая, военная, политическая) и уpовень секpетности (конфиденциальности) обpабатываемой инфоpмации определен (в соответствии с какими пеpечнями (госудаpственным, отpаслевым, ведомственным, пpедпpиятия). 3. Оpганизационная стpуктуpа объекта информатизации. 4. Пеpечень помещений, состав комплекса технических сpедств (основных и вспомогательных), входящих в объект информатизации, в котоpых (на котоpых) обpабатывается указанная инфоpмация (pасположенных в помещениях, где она циркулирует). 5. Особенности и схема pасположения объекта информатизации с указанием гpаниц контpолиpуемой зоны. 6. Стpуктуpа пpогpаммного обеспечения (общесистемного и пpикладного), используемого на аттестуемом объекте информатизации и пpедназначенного для обpаботки защищаемой инфоpмации, используемые пpотоколы обмена инфоpмацией. 7. Общая функциональная схема объекта информатизации, включая схему инфоpмационных потоков и pежимы обpаботки защищаемой инфоpмации. 8. Наличие и хаpактеp взаимодействия с дpугими объектами информатизации. 9. Состав и стpуктуpа системы защиты инфоpмации на аттестуемом объекте информатизации. 10. Пеpечень технических и пpогpаммных сpедств в защищенном исполнении, сpедств защиты и контpоля, используемых на аттестуемом объекте информатизации и имеющих соответствующий сеpтификат, пpедписание на эксплуатацию. 11. Сведения о pазpаботчиках системы защиты инфоpмации, наличие у стоpонних pазpаботчиков (по отношению к пpедпpиятию, на котоpом pасположен аттестуемый объект информатизации) лицензий на пpоведение подобных pабот. 12. Наличие на объекте информатизации (на пpедпpиятии, на котоpом pасположен объект информатизации) службы безопасности инфоpмации, службы администpатоpа (автоматизиpованной системы, сети, баз данных). 13. Наличие и основные хаpактеpистики физической защиты объекта информатизации (помещений, где обpабатывается защищаемая инфоpмация и хpанятся инфоpмационные носители). 14. Наличие и готовность пpоектной и эксплуатационной документации на объект информатизации и дpугие исходные данные по аттестуемому объекту информатизации, влияющие на безопасность инфоpмации. • • • 2/17/2018 11: 30 AM 23
Дополнительно представляемые исходные данные и документы по аттестуемому объекту информатизации (ОИ) 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. Техническое задание на ОИ(в т. ч. на АС в защищенном исполнении и СЗИ) Технический паспорт на ОИ Приёмо – сдаточную документацию на ОИ Акты категорирования ВП, технических средств и систем Акты классификации АС по требованиям защиты информации Состав технических и программных средств, входящих в АС План – схемы размещения ОТСС и ВТСС Состав и схемы размещения средств защиты информации План контролируемой зоны предприятия Схемы прокладки линий передачи данных Схемы и характеристики систем электропитания и заземления ОИ Перечень защищаемых в АС ресурсов с документальным подтверждением степени секретности каждого ресурса (или максимальной степени секретности обсуждаемых в ВП вопросов) Организационно – распорядительные документы разрешительной системы доступа персонала к защищаемым ресурсам Ас (обсуждаемым вопросам) Описание технологического процесса обработки информации в АС Технологические инструкции пользователям АС и администратору безопасности информации Инструкции по эксплуатации средств защиты информации Инструкции по эксплуатации технических средств и систем Протоколы спец. исследований технических средств и систем Акты или заключения о спец. проверке ВП и технических средств Сертификаты соответствия требованиям по безопасности информации на средства и системы обработки и передачи информации, используемые средства защиты информации Данные по уровню подготовки кадров, обеспечивающих защиту информации Данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке. 2/17/2018 11: 30 AM 24 Нормативную и методическую документацию по защите информации (и контролю эффективности защиты)
I ЭТАП III 2/17/2018 11: 30 AM ЭТАП 25
Содержание работ по аттестации объектов информатизации • Программа аттестационных испытаний, включающая перечень работ и их продолжительность, перечень используемых утвержденных методик, перечень используемой контрольной аппаратуры и средств тестирования на аттестуемом объекте информатизации; • Методики испытаний необходимы для испытаний технических и программных средств на объекте информатизации; • Мероприятия по контролю состояния защищенности информации и условий эксплуатации объекта информатизации в процессе его эксплуатации включаются в программу аттестационных испытаний. 2/17/2018 11: 30 AM 26
2/17/2018 11: 30 AM 27
1 этап работы. (подготовительный) 2/17/2018 11: 30 AM 28
Решаемые задачи. • Подача и рассмотрение заявки на аттестацию объекта информатизации (ОИ) • Предварительное ознакомление с аттестуемым объектом ( в случаях, когда исх. Данные недостаточны) • Испытания несертифицированных средств и СЗИ • Разработка программ и методики аттестационных испытаний • Заключение договора на аттестацию 2/17/2018 11: 30 AM 29
Порядок действий, содержание работ по аттестации объектов информатизации. Заявитель. • Заблаговременно направляет в ОА: • Заявку по форме « Положения по аттестации…» • Исходные данные по ОИ. 2/17/2018 11: 30 AM Орган по аттестации В месячный срок: • Рассматривает заявку и проводит анализ исходных данных; • Выбирает схему аттестации и согласовывает ее с Заявителем; • Принимает решение о проведении аттестации ОИ 30
Порядок действий, содержание работ по аттестации объектов информатизации. Орган по Заявитель. аттестации. Предоставляет доступ При недостаточности к объекту исходных данных: информатизации и Включает в схему необходимой аттестации работы документации по предварительному ознакомлению с объектом; Проводит их до этапа аттестации. 31 2/17/2018 11: 30 AM
Порядок действий, содержание работ по аттестации объектов информатизации. Заявитель. Уведомляет ОА об использовании несертифицированных средств защиты информации и : Проводит испытания несертифицированных СЗИ в испытательном центре(лаборатории) К началу аттестационных испытаний представляет заключения органов по сертификации. 2/17/2018 11: 30 AM Орган по аттестации. Может включать в схему аттестации работы по испытаниям: В испытательных центрах(лабораториях) по сертификации; Непосредственно на объекте. 32
Порядок действий, содержание работ по аттестации объектов информатизации. Заявитель. Орган по аттестации. Согласует программу аттестационных испытаний По результатам первого этапа разрабатывает: • Программу аттестационных испытаний(определяет перечень работ и их продолжительность); • Методики испытаний(либо применяет типовые методики); • Определяет и назначает состав аттестационной комиссии; • Определяет необходимость использования аппаратуры контроля; • Определяет необходимость привлечения органов по сертификации; • Представляет Заявителю программу аттестационных испытаний для 33 согласования. 2/17/2018 11: 30 AM
Порядок действий, содержание работ по аттестации объектов информатизации. Заявитель. Заключает договор с ОА 2/17/2018 11: 30 AM Орган по аттестации. Оформляет договор с Заявителем на проведение аттестации. Заключает договоры(контракты) с привлекаемыми экспертами. Оформляет предписания о допуске аттестационной комиссии к проведению испытаний. 34
2 Этап работы. (аттестационные испытания) 2/17/2018 11: 30 AM 35
Решаемые задачи. Проведение комплексных аттестационных испытаний объектов информатизации в реальных условиях эксплуатации 2/17/2018 11: 30 AM 36
Порядок действий, содержание работ по аттестации объектов информатизации. Орган по аттестации. Соответственно «Положению по аттестации Заявитель. ОИ…» Соответственно «Положению по аттестации 1. Осуществляется анализ: ОИ…» Организационной и технической структуры ОИ; Осуществляет подготовку ОИ путем реализации организационно-технических системы защиты информации; мероприятий по защите информации; Разработанной документации. Предоставляет органу по аттестации 2. Определяется правильность: необходимые документы и условия для Категорирования и классификации; проведения аттестации. Применения сертифицированных и Привлекает, в необходимых случаях, несертифицированных средств и СЗИ. испытательные центры по сертификации. 3. Проводятся испытания несертифицированных средств или СЗИ. Либо анализ результатов испытаний органами по сертификации. 4. Проверяется уровень подготовки кадров и распределения ответственности. 5. Проводятся комплексные аттестационные испытания ОИ в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах обработки информации. 6. Оформляются: Протоколы испытаний; Заключение по результатам аттестации. 2/17/2018 11: 30 AM 37
3 Этап работы. (заключительный) 2/17/2018 11: 30 AM 38
Решаемые задачи. 1. Анализ результатов экспертного обследования и комплексных аттестационных испытаний. Утверждение заключения по результатам аттестации. 2. Оформление, регистрация и выдача «Аттестата соответствия» 2/17/2018 11: 30 AM 39
Заключение по результатам аттестации. Заявитель. Заключение доводится до сведения заявителя 2/17/2018 11: 30 AM Орган по аттестации. Оформляет заключение. Заключение содержит: • Краткую оценку ОИ требованиям по безопасности информации; • Вывод о возможности выдачи «Аттестата соответствия» ; • Необходимые рекомендации. Подписывается членами аттестационной комиссии. К заключению прилагаются протоколы испытаний: • Подтверждающие результаты испытаний; • Обосновывающие вывод «Заключения…» . Подписываются экспертами-членами аттестационной комиссии. Заключение и протоколы испытаний утверждаются руководителем ОА. 40
Заключение по результатам аттестации. Орган по аттестации. Принимает решение и оформляет «Аттестат соответствия» : На ОИ, отвечающий требованиям по безопасности информации; после утверждения заключения по результатам аттестации; На период, в течении которого обеспечивается неизменность условий функционирования ОИ и технологии обработки защищаемой информации, но не более, чем на 3 года. Установленных условий При наличии замечаний непринципиального функционирования ОИ; характера «Аттестат соответствия» может Технологии обработки защищаемой выдаваться после проверки устранения этих информации; замечаний. Требований по безопасности Принимает решение об отказе в выдаче информации. «Аттестата соответствия» : При несоответствии аттестуемого объекта требованиям по безопасности информации или при невозможности оперативно устранить недостатки - может предлагать срок повторной аттестации при условии устранения недостатков. Осуществляет регистрацию «Аттестата соответствия» по отраслевому или 2/17/2018 11: 30 AM 41 территориальным признакам. Заявитель. По получении «Аттестата соответствия» объявляет приказом о вводе в эксплуатацию ОИ и разрешает обработку информации ограниченного доступа (Указанной в «Аттестате соответствия» ). Несет ответственность за выполнение: • • •
В случае изменения условий и технологии обработки информации Заявитель. Обязан известить ОА 2/17/2018 11: 30 AM Орган по аттестации. Принимает решение о необходимости дополнительной проверки эффективности системы защиты информации на ОИ. 42
"Аттестат соответствия" выдается владельцу аттестованного объекта информатизации оpганом по аттестации на пеpиод, в течение котоpого обеспечивается неизменность условий функциониpования объекта информатизации и технологии обpаботки защищаемой инфоpмации, могущих повлиять на хаpактеpистики, опpеделяющие безопасность инфоpмации (состав и стpуктуpа технических сpедств, условия pазмещения, используемое пpогpаммное обеспечение, pежимы обpаботки инфоpмации, сpедства и меpы защиты), но не более, чем на 3 года 2/17/2018 11: 30 AM 43
Алгоритм разработан на основании « Положения по аттестации объектов информатизации по требованиям безопасности информации» , утвержденного Председателем Гостехкомиссии России 25. 11. 1994 г. 2/17/2018 11: 30 AM 44
ПРИКАЗ № '' '' 200 г. г. Санкт-Петербург О порядке ввода в эксплуатацию объектов информатизации, допуска сотрудников к работе на ПЭВМ, и соблюдению требований безопасности при обработке служебной информации на СВТ. К работе на ПЭВМ в ___ допускаются сотрудники, имеющие соответствующую квалификацию (прошедшие подготовку), после сдачи ими зачета по знанию "Инструкции по обеспечению режима конфиденциальности при использовании СВТ" по заявлению установленного образца. Все приобретенные компьютеры, независимо от источника их получения в 10 -дневный срок должны пройти проверку в ВЦ _____. Пуско-наладочные работы по вводу ПЭВМ в эксплуатацию и последующее техническое обслуживание СВТ осуществляется специалистами ВЦ. На ПЭВМ устанавливается только необходимое, сертифицированное проверенное программное обеспечение (ПО), Узлы и блоки оборудования СВТ, к которым в процессе эксплуатации доступ не требуется, опечатываются специалистами ВЦ с целью обнаружения несанкционированного вскрытия оборудования. По всем фактам несанкционированного вскрытия узлов и блоков СВТ проводится служебное разбирательство. Замена или подключение других технических средств, не входящих в комплект объекта ЭВТ, не допускается. З А П Р Е Щ А Е Т С Я : - устанавливать и использовать нештатное ПО без согласования с ВЦ; - производить обработку служебной информации на СВТ, не прошедших соответствующую проверку в ВЦ, регистрацию, классификацию и не имеющих предписания на эксплуатацию; - сообщать устно или письменно кому бы то ни было, если это не вызвано служебной необходимостью, любые сведения о характере выполняемой на СВТ работы; о применяемых системах защиты информации; о паролях, используемых в средствах защиты; о системе охраны и пропускном режиме; - перевозить машинные носители информации и документы общественным транспортом, заходить с ними в места, не связанные с выполнением задания, и транспортировать их без соответствующей упаковки. КАТЕГОРИЧЕСКИ ЗАПРЕЩАЕТСЯ : - осуществлять ремонт СВТ с установленными магнитными носителями в сторонних организациях без согласования с ВЦ и ____. Ответственность за обеспечение режима конфиденциальности и выполнение мероприятий по защите информации, 45 2/17/2018 11: 30 AM обрабатываемой на СВТ, несет начальник подразделения.
Документы на аттестованные объекты информатизации 1. Аттестаты соответствия требованиям по безопасности информации на объекты информатизации с приложениями. 2. Приказ о вводе защищаемых помещений в эксплуатацию и назначении ответственных сотрудников за соблюдение правил их использования. 3. Приказ о вводе в эксплуатацию (начале обработки информации ограниченного доступа на аттестованном ОИ) средств вычислительной техники, обрабатывающих конфиденциальную информацию и назначении ответственных лиц. 2/17/2018 11: 30 AM 46
Открытая лекция Аттестация ОИ.ppt