Аттестация ФСТЭК. part2

Привет, продолжаем тему аттестации. С чего же начать подготовку? Естественно с организационно-распорядительной документации (ОРД). Пишется она достаточно легко, если знать че писать :). Ну или если знать, где взять. В сети есть несколько источников шаблонов документации, которая должна быть на объекте информатизации.

Если кратко, то:

  • Приказ руководителя о назначении комиссии по сопровождению аттестации (АС или помещения).
  • Перечень автоматизированных систем, используемых для обработки конфиденциальной информации (опять же, если требуется, то и защищаемых помещений, в которых проводятся конфиденциальные мероприятия).
  • Перечень сведений конфиденциального характера (То, что составляет вашу тайну — техническая документация, финансовые потоки, персональные данные и т.п.)
  • Акт классификации автоматизированной системы (Группой лиц, составляющих комиссию из первого пункта, посидели и на основании того-то решили, что класс защищенности у нас такой-то).
  • Схема границы контролируемой зоны (Обычно по стенам, но могут быть и исключения).
  • Перечень лиц, обслуживающих автоматизированную систему (имхо, здесь нужно указать как сисадмина, так и пользователя).
  • Приказ о назначении администратора информационной безопасности (самого крайнего 🙂 );
  • Данные по уровню подготовки кадров, обеспечивающих защиту информации (Ну про высшее образование мы даже не говорим, но если оно не профильное, то пишите курсы по ЗИ. Дай бог, вы на них были);
  • Инструкция по обеспечению защиты конфиденциальной информации, обрабатываемой в автоматизированной системе (Нельзя оставлять рабочее место, нельзя выносить конфиденциальную инфу, нельзя передавть пароли, порядок работы с СЗИ, ответственность, ознакомление под роспись).
  • Состав программного обеспечения автоматизированной системы (Операционное и прикладное ПО, ПО для СЗИ)
  • Перечень лиц, имеющих право самостоятельного доступа в помещение с автоматизированной системой (Описываем всех, не только пользователей).
  • Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы ( Вот тут только пользователей).
  • Технический паспорт автоматизированной системы (Самый интересный документ. Описываем расположение, состав системы, средства защиты, ОТСС — основные технические средства, ВТСС — вспомогательные, кабельные соединения, все красочно, с картинками — в этом плане очень удобен Visio)
  • Перечень защищаемых ресурсов автоматизированной системы и уровень их конфиденциальности (какие именно данные вы собираетесь защищать — базы данных, каталоги, документы)
  • Матрица доступа субъектов автоматизированной системы к ее защищаемым информационным ресурсам (В виде таблички, где по горизонтали пользователи, а по вертикали — ресурсы. В пересечении — права: запись, чтение, выполнение, удаление).
  • Акт установки системы защиты информации от несанкционированного доступа в автоматизированной системе. (пишете, что такого то числа, такими то людьми установлена такая то СЗИ на такую то машину.)
  • Описание настроек системы разграничения доступа системы защиты информации от несанкционированного доступа автоматизированной системы (а тут пишете, как ее настроили)
  • Описание технологического процесса обработки информации в автоматизированной системе (В виде схемы рисуем, как у нас циркулирует информация, с указаниме мер защиты на каждом фрагменте АС).

Вот вроде и все.  Не будут лишними должностные инструкции персонала и регламент работы вашей АС. Вперед, за клавиатуру!

Связанные записи

Метки: , ,