Проектирование системы безопасности автоматизированных систем обработки информации

8949,6

Итого

127126,93

Из табл. 6.7 видно, что эксплуатационные затраты в год для разрабатываемой системы составляют 127126,93 руб.

Основными статьями затрат являются заработная плата администратора безопасности и амортизационные отчисления.

Таким образом, учитывая важность защищаемой информации, возможные финансовые затраты на ее восстановление при реализации существующих угроз, и сферу работ на региональном уровне, общие затраты на построение системы безопасности АС можно считать оправданными:

· 20722,96 руб. - разработка;

· 853324 руб. - внедрение;

· 127126,93 руб. - эксплуатационные затраты в год.

6.6 РАЗРАБОТКА ОРГАНИЗАЦИОННЫХ МЕРОПРИЯТИЙ ПО ВНЕДРЕНИЮ СИСТЕМЫ БЕЗОПАСНОСТИ АС ОИ

Согласно РД «ЗИ. Порядок создания АС в защищенном исполнении. Общие положения» стадия внедрения включает в себя следующие этапы:

Подготовка АСЗИ к вводу в действие,

· подготовка персонала;

· комплектация АС поставляемыми изделиями (программными и ТС);

· работы по внедрению;

· проведение предварительных испытаний;

· проведение опытной эксплуатации.

Разработка осуществлялась на отдельном ОИ, а внедрение и эксплуатация АС осуществляется на ОИ в отрасли в соответствии с организационно-распорядительной и проектной документацией:

· положение о порядке организации и проведения на ОИ работ по внедрению системе безопасности АС;

· матрица прав доступа сотрудников ОИ к защищаемой информации, определяющий особенности системы допуска в процессе разработки и функционирования системы безопасности АС;

· приказы, указания, решения о создании соответствующих подразделений разработчиков, о формировании группы обследования, о создании экспертных комиссий;

· о назначении уполномоченных службы безопасности;

· проектная документация различных стадий создания системы безопасности АС.

Для подготовки системы безопасности АС к вводу в действие проводятся такие мероприятия, как:

· разработка требований к организационным мерам по защите;

· реализация проектных решений по организационной структуре системы безопасности АС;

· разработка требований к организационным мерам по ЗИ.

Организационные меры по защите конфиденциальной информации изложены в РД «Специальных требованиях и рекомендациях по технической защите конфиденциальной информации (СТР-К)» и другой нормативно-методической документации.

Разработка требований к организационным мерам по ЗИ включает:

· требования к организации системы безопасности АС ОИ;

· требования к организации доступа субъектов к защищаемой информации.

Реализация проектных решений по организационной структуре системы физической защиты информации включает в себя:

· организацию системы безопасности АС ОИ, которая исключает НСД к конфиденциальной информации, ее хищение и нарушение работоспособности, хищение носителей информации;

· разработку и реализацию разрешительной системы доступа пользователей и эксплуатационного персонала к обрабатываемой на ОИ;

· выполнение других мероприятий, специфичных для объекта.

Для проведения этих мероприятий оформляется следующая эксплуатационная документация:

· план организационно-технических мероприятий по подготовке объекта к внедрению ТС и мер защиты;

· приказы, указания и решения:

Ш на проектирование системы безопасности АС;

Ш о назначение ответственных лиц за проведение работ, связанной с системой безопасности АС.

В ходе работ по внедрению могут возникнуть следующие трудности:

· несогласие руководства объекта с затратами на оснащение системой безопасности;

· невыполнение поставщиками своих обязанностей по срокам поставки.

Решение возникших трудностей с руководством может быть следующим. Следует убедить руководство, что в случае реализации угроз, потери будут составлять достаточно большую сумму, учитывая, что на восстановление утерянных материальных и информационных ресурсов и работоспособности уйдет какое-то время. Что касается невыполнения обязательств организациями подрядчиками, следует руководствоваться подписанным договором. На его основании можно обратиться в соответствующие инстанции для разрешения спорных ситуаций.

ЗАКЛЮЧЕНИЕ

Информационная эра привела к драматическим изменениям в способе выполнения своих обязанностей для большинства профессий. Теперь служащий имеет в своем распоряжении большое количество точной и оперативной информации.

Но использование компьютеров и автоматизированных технологий приводит к появлению ряда проблем. Компьютеры, часто объединенные в сети, могут предоставлять доступ к колоссальному количеству самых разнообразных данных. Поэтому люди беспокоятся о БИ и наличии рисков, связанных с автоматизацией и предоставлением гораздо большего доступа к конфиденциальным, персональным или другим критическим данным. Увеличивается число компьютерных преступлений, что может привести, в конечном счете, к подрыву экономики. И поэтому должно быть ясно, что информация - это ресурс, который надо защищать.

Т.к. автоматизация привела к тому, что теперь операции с ВТ выполняются простыми служащими организации, а не специально подготовленным техническим персоналом, нужно, чтобы конечные пользователи знали о своей ответственности за ЗИ.

При проектировании системы безопасности АС ОИ были сформулированы требования к разрабатываемой системе. Сделать это наилучшим образом помогла организационно-нормативная документация. На ОИ разработана внутренняя нормативная документация: политика ИБ, методика определения ценности и критичности различных данных, правила реагирования на инциденты в области нарушения ИБ и другие.

Разрабатываемая система безопасности адекватна уровню важности и критичности защищаемой информации. При этом стоимость системы безопасности не превосходит возможный ущерб от утечки или разглашения защищаемой информации. И в то же время преодоление системы безопасности экономически нецелесообразно по сравнению с возможной выгодой от получения доступа, уничтожения, модификации или блокировки защищаемой информации.

Оценен ущерб, который может иметь место в случае утечки информации или при любом другом нарушении системы безопасности, а также вероятность нанесения подобного ущерба. Для определения адекватности стоимости системы защиты сопоставлены размеры ущерба и вероятность его нанесения с размерами затрат на обеспечение защиты. К сожалению, реальную стоимость информации оценить довольно сложно, поэтому применены качественные экспертные оценки. Таким образом, опираясь на построенную модель злоумышленника, построена адекватна система информационной защиты АС.

Единого рецепта, обеспечивающего 100% гарантию сохранности данных и надежной работы сети, не существует. Однако создание комплексной, продуманной концепции безопасности, учитывающей специфику задач ОИ, поможет свести риск потери ценнейшей информации к минимуму.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Об информации, информатизации и ЗИ: ФЗ от 20 февраля 1995 г. № 24-ФЗ (с изменениями от 10 января 2003 г.).

Об ЭЦП: ФЗ от 10 января 2003 г. № 1-ФЗ.

О правовой охране программ для ЭВМ и баз данных: закон РФ от 23 сентября 1992 г. № 3523-1 (с изменениями от 24 декабря 2002 г.).

Об утверждении перечня сведений конфиденциального характера: указ Президента РФ от 6 марта 1997 г. № 188.

О мерах по обеспечению ИБ РФ в сфере международного информационного обмена: указ Президента РФ от 12 мая 2004 г. № 611.

О сертификации средств ЗИ: постановление Правительства РФ от 26 июня 1995 г. № 608 (с изменениями от 23 апреля 1996 г, 29 марта 1999 г.).

Об утверждении Положения о порядке разработки, производства, реализации и использования СКЗИ с ограниченным доступом, не содержащей сведений, составляющих государственную тайну: приказ ФАПСИ от 23 сентября 1999 г. № 158.

Методические рекомендации об организации и функционировании системы представления налоговых деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам связи: приказ МНС России от 10 декабря 2002 г. № БГ-3-32/705.

О порядке представления налоговой декларации в электронном виде по телекоммуникационным каналам связи: приказ МНС России от 2 апреля 2002 г. № БГ-3-32/169.

Доктрина ИБ РФ от 9 сентября 2000 г. № ПР-1895.

АС. Защита от НСД к информации. Классификация АС и требования по ЗИ: РД. - М.: Гостехкомиссия России, 1992.

АС обработки и передачи данных. Система БИ: РД (проект) // Зегжда, Д.П. Основы безопасности информационных систем. - М.: Горячая линия - Телеком, 2000. - 452 с.

Временное положение по организации разработки, изготовления и эксплуатации программных и ТС ЗИ от НСД в АС и средствах ВТ: РД. - М.: Гостехкомиссия России, 1992.

Защита от НСД к информации. Термины и определения: РД. - М.: Гостехкомиссия России, 1992.

Концепция защиты средств ВТ и АС от НСД к информации: РД. - М.: Гостехкомиссия России, 1992.

Специальные требования и рекомендации по технической защите конфиденциальной информации: СТР-К. - М.: Гостехкомиссия России, 1992.

Средства антивирусной защиты. Показатели защищенности и требования по защите от вирусов: РД. - М.: Гостехкомиссия России, 1992.

Средства ВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации: РД. - М.: Гостехкомиссия России, 1992.

Средства ВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации: РД. - М.: Гостехкомиссия России, 1992.

Библиографическая запись. Библиографическое описание: общие требования и правила составления: ГОСТ 7.1-2003.

ЗИ. Система стандартов. Основные положения: ГОСТ Р 52069.0-2003.

Информационная технология. Криптографическая ЗИ. Система ЭЦП на базе асимметричного криптографического алгоритма: ГОСТ Р 34.10-1994.

Информационная технология. Криптографическая ЗИ. Функция хеширования: ГОСТ Р 34.11-1994.

Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования: ГОСТ 28147-1989.

ССБТ. Пожарная безопасность. Общие требования: ГОСТ 12.1.004-1991.

Санитарно-эпидемиологические правила и нормативы. Гигиенические требования к ПЭВМ и организации работ: СанПиН 2.2.2/2.4.1340-2003.

Естественное и искусственное освещение: СНиП.

Герасименко, В.А. ЗИ в АС обработки данных / В.А. Герасименко. - М.: Энергоатомиздат, 1994.

Зегжда, Д.П. Основы безопасности информационных систем / Д.П. Зегжда, А.М. Ивашко. - М.: Горячая линия - Телеком, 2000. - 452 с.

Мельников, В.В. БИ в АС / В.В. Мельников. - М.: Финансы и статистика, 2003. - 368 с.

Петраков, А.В. Защита и охрана личности, собственности, информации: справ. пособие / А.В. Петраков. - М.: Радио и связь, 1997. - 320 с.

Расторгуев, С.П. Программные методы ЗИ в компьютерах и сетях / С.П. Расторгуев. - М.: Яхтсмен. - 1993. - 188 с.

Романец, Ю.В. ЗИ в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин / под ред. В.Ф. Шаньгина. - М.: Радио и связь, 1999.- 328 с.

Торокин, А.А. Основы инженерно-технической ЗИ / А.А. Торокин. - М.: Ось-89, 1998. - 336 с.

Фомин, А.Д. Руководство по охране труда / А.Д. Фомин. - 2-е изд., перераб. и доп. - М.: Апрохим - Пресс, 2004. - 216 с.

Хофман Л. Современные методы ЗИ / Л. Хофман. - М., 1995.

Шульмин, В.А. Экономическое обоснование в дипломных проектах: учеб. пособие / В.А. Шульмин, Т.С. Усынина. - Йошкар-Ола: МарГТУ, 2004. - 164 с.

Шумский, А.А. Системный анализ в ЗИ: учеб. пособие для студентов вузов / А.А. Шумский, А.А. Шелупанов. - М.: Гелиос АРВ, 2005. - 224 с.

Щербаков, А.Ю. Введение в теорию и практику компьютерной безопасности / А.Ю. Щербаков. - М.: Молгачева С.В., 2001. - 352 с.

Ярочкин, В.И. ИБ / В.И. Ярочкин. - М.: Мир, 2003. - 640 с.

Расчет искусственного освещения: метод. указания к выполнению практических работ и дипломного проектирования / Сост. Т.Н. Мазуркина, О.А. Глухов, Ю.Ф. Кичкин. - 3-е изд., перераб. - Йошкар-Ола: МарГТУ, 1998. - 37 с.

Основы организационного обеспечения ИБ ОИ: учеб. пособие / С.Н. Семкин [и др.]. - М.: Гелиос АРВ, 2005. - 192 с.

Программно-аппаратные средства обеспечения ИБ. Защита программ и данных: учеб. пособие для вузов / П.Ю. Белкин [и др.]. - М.: Радио и связь, 2000. - 168 с.

Теоретические основы компьютерной безопасности: учеб. пособие для вузов / П.Н. Девянин [и др.]. - М.: Радио и связь, 2000. - 192 с.

Балашов, П.А. Оценка рисков ИБ на основе нечеткой логики / П.А. Балашов, В.П. Безгузиков, Р.И. Кислов // ЗИ. Конфидент. - 2003. - № 5. - С. 56-59.

Ведеев, Д. ЗИ в компьютерных сетях / Д. Ведеев // Открытые системы. - 1995. - № 3.

Генне, О.В. Нам с тобой - защита, вирусам - гроза / О.В. Генне // ЗИ. Конфидент. - 2001. - №6.

Гостев, И.М. Безопасность - бесполезная трата денег или их выгодное вложение? / И.М. Гостев // ЗИ. Конфидент. - 2003. - № 1. - С. 12-15.

Крошкин, А.Н. Техническое задание на создание интегрированной системы безопасности ОИ / А.Н. Крошкин // ЗИ. Конфидент. - 2003. - № 3. - С. 92-96.

Левин, В.К. ЗИ в информационно-вычислительных системах и сетях / В.К. Левин // Программирование. - 1994. - № 5.

Пархоменко, Н.Г. Угрозы ИБ. Новые реалии и адекватность классификации / Н.Г. Пархоменко [и др.] // ЗИ. Конфидент. - 2003. - № 6. - С. 16-21.

Петренко, С.А. Новые инициативы российских компаний в области защиты конфиденциальной информации / С.А. Петренко, С.В. Симонов // ЗИ. Конфидент. - 2003. - № 1. - С. 56-62.

Петренко, С.А. Оценка затрат на ИБ / С.А. Петренко, Ю.И. Попов // ЗИ. Конфидент. - 2003. - № 1. - С. 68-76.

Петренко, С.А. Построение эффективной системы антивирусной защиты / С.А. Петренко // ЗИ. Конфидент. - 2001. - № 6.

Онучин, С. Устройства ЗИ. Критерии выбора / С. Онучин // Мир связи: Connect! - 1999. - № 9.

Теренин, А.А. ИБ экономических субъектов / А.А. Теренин, В.В. Погуляев // ЗИ. Конфидент. - 2003. - № 2. - С. 37-41.

Ткачев, А.В. Законодательное регулирование правового статуса ЭЦП. Основные положения / А.В. Ткачев // ЗИ. Конфидент. - 2003. - № 1. - С. 18-22.

Фролов, А. Защита от компьютерных вирусов / А. Фролов, Г. Фролов // Byte Россия. - 2002. - № 8.

Хуотаринен, А.В. Метод объединения программной и аппаратной защиты устройств вычислительной системы / А.В. Хуотаринен // ЗИ. Конфидент. - 2003. - № 1. - С. 82-85.

Борисов, В.И. Организация системы антивирусной защиты информационных систем / В.И. Борисов. - (http://www.citforum.ru/security/virus).

Рогожкин, И. Секретная сетевая плата / И. Рогожкин. - (http://www.pcweek.ru).

Трубников, А.Н. Оценка эффективности систем ЗИ от НСД / А.Н. Трубников. - (http://contrterror.tsure.ru/site/magazine).

Шрамко, В.Н. Защита компьютеров: электронные системы идентификации и аутентификации / В.Н. Шрамко // PCWeek. - 2004. - № 12. - (http://www.infosec.ru).

Приложение 1

ПОЭТАЖНОЕ РАЗМЕЩЕНИЕ РАБОЧИХ МЕСТ В ЗДАНИИ ОИ

Этаж 1

Этаж 2

Этаж 3

ЭКСПЛИКАЦИЯ ПОМЕЩЕНИЙ

№	Наименование	Примечание
122	Маркетинговый отдел
123	Юридическая группа
205	Информационный пункт
206	Инженеры-программисты
207	Группа организации и оплаты труда
208	Группа эксплуатации
210	Отдел управления персоналом
211	Приемная
216	Участок сортировки
302	Отдел производственных и информационных технологий
303	Экономисты
304	Отдел услуг
306	Участок распространения
309	Приемная
310	Директор
312, 313, 323, 324	Бухгалтерия
325	Главный бухгалтер
315	Расчетная группа
321	Контрольно-ревизионный отдел
322	Плановый отдел
327	Отдел технологий
328	Отдел внедрения и новой техники

Приложение 2

ПЕРЕЧЕНЬ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ НА ОИ

№ п/п	Наименование защищаемой информации	Код
1. Сфера организации управления:
1	сведения о переписке с государственными органами, связанные с управлением, финансами и другой деятельностью ОИ, разглашение, передача, утечка которых может нанести ущерб его интересам	11
2	сведения о разрабатываемых аппаратных или программных средствах обеспечения деятельности ОИ, степени их защиты	12
3	сведения, содержащиеся в базах данных информационно-вычислительных систем, функционирующих в ОИ	13
4	сведения об электронных ключах, паролях доступа внешних источников к базам данных и иных средствах защиты, применяемых в информационных системах ОИ	14
5	сведения об организационно-штатных расписаниях ОИ, включая анкетные данные руководителей конкретных структур, сведения об их интеллектуальном потенциале, деловых и моральных качествах	15
6	сведения о проведении и содержании рабочих совещаний, если преждевременное распространение этих данных может нанести ущерб интересам ОИ	16
7	сведения о судебных спорах между сотрудниками и ОИ	17
2. Сфера коммерческой политики:
1	сведения о перспективных планах развития и новых проектах ОИ, данные их экспертных оценок и методах подготовки	21
2	результаты маркетинговых исследований и сведения о применяемых методиках изучения рынка	22
3	сведения о новых технических решениях, технологиях, методиках и т.п., разработанных сотрудниками ОИ, либо используемых ими в производственной деятельности	23
4	сведения в отношении партнеров ОИ по совместно реализуемым проектам	24
5	сведения о разногласиях, жалобах, претензиях со стороны представителей заказчиков, а также факты расторжения договоров (до опубликования этих данных в СМИ)	25
6	сведения о ведении переговоров и других деловых встреч с партнерами (конкурентами) ОИ, директивы по их проведению, содержание, итоги	26
7	сведения, раскрывающие отношения руководителей (сотрудников) ОИ к организациям (фирмам) конкурентов, партнеров и непосредственно к их руководству	27
8	сведения о предполагаемом объявлении ОИ конкурсов, торгов (до опубликования этих данных в СМИ)	28
3. Сфера финансовой деятельности:
1	сведения о бюджетах ОИ	31
2	сведения о финансовых операциях ОИ, порядке проведения расчетов и т.п.	32
3	сведения о предполагаемых инвестициях ОИ	33
4	сведения о вводе в действие основных фондов и объемах капитальных вложений ОИ	34
5	сведения об уровне доходов ОИ	35
6	сведения о налогах, уплачиваемых ОИ в бюджеты всех уровней	36
7	суммы и условия банковских кредитов, получаемых ОИ	37
8	сведения о состоянии банковских счетов ОИ	38
9	сведения, содержащиеся в первичных учетных бухгалтерских документах ОИ	39
10	сведения о должностных окладах сотрудников ОИ	30
4. Сфера обеспечения безопасности деятельности:
1	сведения об организации охраны объектов, в том числе о пропускном и внутриобъектовом режимах, охранных и защитных ТС и т.п.	41
2	сведения об обстоятельствах и последствиях чрезвычайных происшествий (аварии, пожары, затопления, стихийные бедствия), данные о понесенном (предотвращенном) материальном ущербе, а также информация о ходе и результатах расследования до официального опубликования этих сведений в СМИ	42
3	сведения о порядке и состоянии организации защиты конфиденциальной информации	43
4	сведения о специальных ТС, применяемых для обеспечения сохранности защищаемой информации	44
5	сведения, раскрывающие возможности применяемых программно-аппаратных средств и содержание мероприятий по защите информационных систем от НСД и вмешательства	45

Приложение 3

ИНСТРУКЦИЯ ПО ОБЕСПЕЧЕНИЮ СОХРАННОСТИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ ОИ

Сотрудники ОИ должны выполнять следующие требования:

Передача посторонним лицам или организациям сведений, указанных в Перечне защищаемой информации на ОИ (далее Перечень), возможна только с ведома их вышестоящего начальника.

В случае попытки посторонних лиц или организаций получить сведения, указанные в Перечне, немедленно сообщить об этом своему руководителю и в Дирекцию безопасности ОИ.

До работников ОИ доводить только ту информацию, которая относится к роду их деятельности. Из документов, предназначенных для различных подразделений или категорий сотрудников, делать выписки и направлять их индивидуально по подразделениям или категориям.

При работе на ПЭВМ закрывать доступ к информационным ресурсам индивидуальным паролем. В случае если пароль стал известен посторонним лицам, он должен быть изменен.

Немедленно сообщать руководителю и в Дирекцию безопасности об утрате материалов или документов, содержащих сведения, указанные в Перечне.

Руководитель подразделения обязан обеспечить должный учет и хранение документов и материалов, содержащих сведения, указанные в Перечне.

Руководитель подразделения должен определить конкретных ответственных сотрудников, которые будут заниматься тиражированием особо важным документов.

Исполнители документов, содержащих сведения, указанные в Перечне, должны с помощью имеющихся в подразделении возможностей уничтожить черновики и расходные материалы.

Руководители ОИ в приказном порядке определяют круг лиц, которым разрешено заказывать пропуска на посещение здания предприятия.

Ответственность за полученную посетителем информацию полностью возлагается на сотрудника, заказавшего ему пропуск.

Во время нахождения в помещении посетителя по необходимости должна быть прекращена работа с документами и базами данных ЭВМ, содержащими сведения, указанные в Перечне.

Ответственный за ведения переговоров с партнерами, клиентами и конкурентами обязан тщательно продумывать тактику их ведения, обязательно привлекать к ним руководителей ОИ, сотрудников, имеющих значительный опыт проведения деловых бесед.

Руководители ОИ в период оформления увольнения сотрудника обязаны обеспечить возврат им всех документов и магнитных носителей, принадлежащих предприятию.

Приложение 4

МАТРИЦА ПРАВ ДОСТУПА СОТРУДНИКОВ ОИ К ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

Код защищаемой информации в соответствии с Перечнем защищаемой информации (Приложение 2)	Пользователи и группы пользователей
	Администрация	Бухгалтерия	Экономисты	Юридическая группа	Расчетная группа и сотрудники контрольно-ревизионного отдела	Программисты и сотрудники отдела информационных технологий	Служба безопасности	Сотрудники информационного пункта	Сотрудники отдела управления персоналом	Сотрудники маркетингового отдела и отдела услуг
11	w	r		r			r	r
12	r					w	w
13		w	w	w	w	w	w	w	w	w
14						r	w
15	w	r	r				r		w
16	w	r					r
17	w			w			r
21	w						r			w
22	w						r			w
23	w	r	r		r	w	r			w
24	w			w			r
25	w			w			r
26	w			w			r
27	w
28	w	w	w	r
31	w	w	w		r				r
32	w	w	r
33	w	w	r
34	w	w	w						r
35	r	w	r
36	r	w	r
37	w	w	r
38	w	w
39	r	w	r
30	w	w	r						w
41	w						w
42	w						w
43	r					r	w
44	r					r	w
45	r					r	w

Приложение 5

АКТ КЛАССИФИКАЦИИ АС ОИ

Комиссия в составе:

председатель комиссии: начальник службы безопасности Иванов И.И.,

члены комиссии: специалист по ИБ Ерсулова М.В.

специалист по ИБ Петров П.П.,

назначенная Приказом директора ОИ 01.02.2006 г., рассмотрев исходные данные на АС обработки информации:

1 Условия эксплуатации: многопользовательский режим обработки информации с разными правами доступа к защищаемой информации.

2 Характер обрабатываемой информации: конфиденциальная в соответствии с Перечнем защищаемой информации на ОИ (Приложение 2).

3 Состав основных ТС и систем: 84 АРМ с комплектами № 1-85

№ п/п	Тип основного ТС и системы	Заводской номер	Примечание
Комплект № 1
1	ОП DDR 512 Мб	2457689
2	жесткий диск HDD 120,0 Гб Seagate	LTM365
3	дисковод FDD 1,44 Мб 3,5” Panasonic	3869H019
4	CD-ROM Toshiba	JGG16181
5	монитор 17” ViewSonic	42010PSC
6	клавиатура Microsoft Natural Multimedia	8T7G06964
7	мышь Logitech Mouse Optical	58095779YJ
8	принтер Canon LBP-1210	9Y8H12107
9	модем USR Modem 56K	G8612379J2
Комплект № 2 - аналогичен комплекту № 1
Комплект № 3
1	ОП DDR 512 Мб	2457689
2	жесткий диск HDD 120,0 Гб Seagate	LTM365
3	дисковод FDD 1,44 Мб 3,5” Panasonic	3869H019
4	CD-ROM Toshiba	JGG16181
5	монитор 17” ViewSonic	42010PSC
6	клавиатура Microsoft Natural Multimedia	8T7G06964
7	мышь Logitech Mouse Optical	58095779YJ
8	принтер Canon LBP-1210	9Y8H12107
Комплекты № 4-85 - аналогичны комплекту № 3

и в соответствии с РД Гостехкомиссии РФ «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ» и «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)»

РЕШИЛА:

установить АС ОИ

класс защищенности 1Г.

Председатель комиссии: __________ Иванов И.И.

Члены комиссии: __________ Ерсулова М.В.

__________ Петров П.П.

Приложение 6

ИНСТРУКЦИЯ ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ

1 Общие положения.

1.1 Настоящая Инструкция предназначена для организации порядка проведения антивирусного контроля на ОИ и предотвращения возникновения фактов заражения ПО ОИ компьютерными вирусами.

1.2 Инструкция регламентирует действия персонала ОИ при организации антивирусной защиты электронных технологий ОИ.

2 Установка и обновление антивирусных средств.

2.1 К применению допускаются лицензионные антивирусные средства.

2.2 Установка и регулярное обновление антивирусных средств осуществляется отделом внедрения и новой техники.

2.3 Антивирусные средства устанавливаются на всех ПЭВМ ОИ с учетом конкретных особенностей технологических участков.

2.4 Обновление антивирусных баз должно производиться по возможности не реже 1 раза в неделю.

3 Порядок проведения антивирусного контроля.

3.1 Установка (изменение) системного и прикладного ПО ПЭВМ и ЛВС должна осуществляться только в присутствии и под контролем администратора ИБ.

3.2 Устанавливаемое (изменяемое) ПО должно быть проверено на отсутствие компьютерных вирусов. Непосредственно после установки (изменения) ПО ПЭВМ или ЛВС должна быть выполнена антивирусная проверка лицом, установившем (изменившем) ПО, в присутствии и под контролем администратора ИБ.

3.3 Факт установки (изменения) ПО и антивирусной проверки должен регистрироваться в специальном журнале за подписью лица, установившего (изменившего) ПО и администратора ИБ.

3.4 Настройка антивирусных средств должна обеспечивать автоматический антивирусный контроль при каждой перезагрузке ПЭВМ (для серверов ЛВС - при перезапуске).

3.5 Дополнительный антивирусный контроль электронных архивов, находящихся на серверах: файловом, баз данных, почтовом, должен проводиться лицом, исполняющим функции системного администратора ЛВС не реже 1 раза в неделю.

3.6 Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация со съёмных носителей (магнитные диски, CD-ROM и т.п.), получаемых от сторонних лиц и организаций.

3.7 Разархивирование и антивирусный контроль получаемой информации проводится на ПЭВМ в отделе внедрения и новой техники.

3.8 Контроль передаваемой информации производится в подразделении, подготовившем информацию.

3.9 Контроль информации на съёмных носителях производится перед её использованием непосредственно в подразделениях администратором ИБ.

3.10 Особое внимание следует обратить на недопустимость использования съёмных носителей, принадлежащих лицам, временно допущенным к работе на ПЭВМ ОИ (студенты-практиканты, временно замещающие и т.п.). Работа этих лиц должна проводиться под непосредственным контролем администратора ИБ, особенно если работа происходит с использованием ресурсов ЛВС.

4 Действия сотрудников при обнаружении компьютерного вируса.

4.1 При возникновении подозрения на наличие компьютерного вируса сотрудник подразделения, администратор ИБ, или сотрудник, уполномоченный руководителем данного технологического участка, должны провести внеочередной антивирусный контроль, или при необходимости привлечь специалистов отдела внедрения и новой техники ОИ для определения ими факта наличия или отсутствия компьютерного вируса.

4.2 При обнаружении компьютерного вируса сотрудник подразделения, администратор ИБ, или сотрудник, уполномоченный руководителем данного технологического участка, обязаны: приостановить работу, поставить в известность о факте обнаружения заражённых вирусом файлов руководителя подразделения, владельца этих файлов, а также смежные подразделения, использующие эти файлы в работе, совместно с владельцем заражённых вирусом файлов провести анализ необходимости дальнейшего их использования, провести лечение зараженных вирусом файлов штатными антивирусными средствами, при невозможности или неэффективности лечения уничтожить заражённые вирусом файлов способом, исключающим их восстановление.

4.3 Неподдающийся лечению файл на гибком магнитном диске направить в отдел внедрения и новой техники ОИ, для дальнейшей передачи его в фирму, с которой заключён договор на антивирусную поддержку.

5 Ответственность при организации антивирусной защиты.

5.1 Ответственность за организацию антивирусной защиты в подразделении и установление порядка её поведения возлагается на системного администратора ЛВС.

5.2 Ответственность за выполнение положений данной инструкции возлагается на администраторов ИБ.

5.3 Периодический контроль за соблюдением положений данной инструкции возлагается на администратора ИБ.

Приложение 7

ПРАВИЛА ИСПОЛЬЗОВАНИЯ СКЗИ В СИСТЕМЕ ПРЕДСТАВЛЕНИЯ НАЛОГОВЫХ ДЕКЛАРАЦИЙ В ЭЛЕКТРОННОМ ВИДЕ ПО ТЕЛЕКОММУНИКАЦИОННЫМ КАНАЛАМ СВЯЗИ

СКЗИ, в состав которых входят средства шифрования и ЭЦП, интегрированные в программный комплекс сдачи налоговой и бухгалтерской отчетности в электронном виде, предназначены для:

· заверения файлов электронных документов, циркулирующих в системе представления налоговых деклараций в электронном виде по каналам связи, ЭЦП и подтверждения ее подлинности;

· шифрования этих файлов для закрытия содержащейся в них информации от несанкционированного просмотра при передаче по открытым каналам связи и расшифровки их при получении. Средства шифрования и ЭЦП могут использоваться только в системе представления налоговых деклараций в электронном виде по каналам связи (далее Система). Указанные средства могут использоваться для защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.

Для работы с СКЗИ средствами шифрования и ЭЦП привлекаются уполномоченные лица, назначенные соответствующим приказом руководителя организации. Должностные лица, уполномоченные соответствующим приказом руководителя организации эксплуатировать СКЗИ, получать и использовать ключи шифрования и ЭЦП, несут персональную ответственность за:

· сохранение в тайне конфиденциальной информации, ставшей им известной в процессе работы с СКЗИ;

· сохранение в тайне содержания закрытых ключей шифрования и ЭЦП;

· сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями. В организации, сдающей налоговые декларации в электронном виде по каналам связи (далее Пользователь), должны быть обеспечены условия хранения ключевых носителей и карточки отзыва ключей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации и паролей отзыва ключей. Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых дискет, создать рабочие копии. Копии должны быть соответствующим образом маркированы и должны использоваться и храниться так же, как оригиналы. Пользователь несет ответственность за то, чтобы на компьютере, на котором установлены средства шифрования и ЭЦП, не были установлены и не эксплуатировались программы (в том числе вирусы), которые могут нарушить функционирование программных СКЗИ. При обнаружении на рабочем месте, оборудованном СКЗИ, посторонних программ или вирусов, нарушающих работу указанных средств, работа с СКЗИ на данном рабочем месте должна быть прекращена и должны быть организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения.

Не допускается:

· разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;

· вставлять ключевой носитель в дисковод ПЭВМ при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровка информации, заверение файлов ЭЦП, подтверждение ее подлинности), а также в дисководы других ПЭВМ;

· записывать на ключевом носителе постороннюю информацию;

· вносить какие-либо изменения в ПО средств шифрования и ЭЦП;

· использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации путем переформатирования (рекомендуется физическое уничтожение носителей). Посторонние лица не должны допускаться к работе с компьютером, на котором установлены средства шифрования и ЭЦП. Пользователь несет ответственность за проведение в полном объеме организационных и технических мероприятий, обеспечивающих выполнение настоящих правил.

Под компрометацией закрытых ключей понимается их утрата (в том числе с их последующим обнаружением), хищение, разглашение, несанкционированное копирование, передача их по линии связи в открытом виде, увольнение по любой причине сотрудника, имеющего доступ к ключевым носителям или к ключевой информации на данных носителях, любые другие виды разглашения ключевой информации, в результате которых закрытые ключи могут стать доступными несанкционированным лицам и (или) процессам. Пользователь самостоятельно должен определить факт компрометации закрытого ключа и оценить значение этого события для пользователя. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, переданной с использованием СКЗИ, организует и осуществляет сам пользователь. При компрометации ключа пользователя, он должен немедленно прекратить обмен файлами по каналам связи с другими абонентами и поставить в известность своего специализированного оператора связи системы представления налоговых деклараций в электронном виде по каналам связи (далее Оператор системы) о факте компрометации. Информация о компрометации может передаваться по телефону или непосредственно представителю Оператора в его офисе. Не позднее 1 часа после поступления сообщения о компрометации ключа, скомпрометированный ключ будет заблокирован. Разблокировка будет произведена только после замены скомпрометированных ключей. Для получения новых ключей уполномоченный представитель организации - Пользователя, у которой были скомпрометированы ключи, должен обратиться к Оператору системы, имея при себе документы, подтверждающие его полномочия (паспорт и две доверенности, одна из которых на получение материальных ценностей (ключевой дискеты), а вторая на получение ключевых документов). За выдачу новых ключей взимается оплата в соответствии с действующими расценками оператора системы на день оплаты.

Приложение 8

ПОЛОЖЕНИЕ ОБ АДМИНИСТРАТОРЕ БЕЗОПАСНОСТИ ЛВС ОИ

1 Общие положения.

1.1 Настоящее Положение определяет задачи, функции и обязанности администратора ИБ ЛВС ОИ.

1.2 Администратор ИБ ЛВС (далее Администратор) назначается приказом директора ОИ по согласованному представлению начальника отдела технологий и руководителя службы безопасности и режима ОИ.

1.3 Администратор в пределах своих функциональных обязанностей обеспечивает БИ, обрабатываемой, передаваемой и хранимой при помощи средств ВТ в АС ОИ.

1.4 Администратор непосредственно подчиняется начальнику подразделения, в штате которого он состоит.

1.5 Администратор в своей работе руководствуется ФЗ, РД, нормативными актами Гостехкомиссии при Президенте РФ, приказами, инструкциями и другими документами вышестоящего ОИ.

1.6 Администратор осуществляет свою деятельность во взаимодействии со службой безопасности и режима ОИ.

2 Основные задачи и функции Администратора.

2.1 Основными задачами Администратора являются:

· организация эксплуатации технических и программных средств ЗИ;

· текущий контроль работы средств и систем ЗИ;

· контроль над работой пользователей АС;

· выявление и регистрация попыток НСД к АС и защищаемой информации.

2.2 Основными функциями Администратора являются:

· обеспечение функционирования средств и систем ЗИ в пределах возложенных на него обязанностей;

· обучение персонала и пользователей ВТ правилам работы со средствами ЗИ;

· поддержание функционирования ключевых систем, применяемых СКЗИ;

· формирование и распределение реквизитов полномочий пользователей, определяемых эксплуатационной документацией на средства и системы ЗИ;

· участие по согласованию со службой безопасности и режима ОИ в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации;

· организация учета и хранения магнитных носителей информации с конфиденциальной информацией, используемых в технологии обработки защищаемой информации;

· организация антивирусного контроля магнитных носителей информации, поступающих из других подразделений и сторонних организаций.

3 Обязанности Администратора.

3.1 Обеспечивать функционирование и поддерживать работоспособность средств и систем ЗИ.

3.2 Докладывать начальнику отдела технологий и руководителю службы безопасности и режима ОИ о выявленных нарушениях и НСД пользователей и персонала, принимать необходимые меры по восстановлению работоспособности средств и систем ЗИ, устранению нарушений.

3.3 Оказывать содействие сотрудникам службы безопасности и режима ОИ в проведении работ по анализу защищенности АС.

3.4 Проводить инструктаж обслуживающего персонала и пользователей средств ВТ по правилам работы с используемыми средствами и системами ЗИ.

3.5 Обеспечивать работоспособность средств ВТ, предназначенных для обработки конфиденциальной информации.

4 Права Администратора.

4.1 Обращаться к руководству с требованием о прекращении обработки информации в случаях нарушения функционирования средств и систем ЗИ.

4.2 Обращаться в Управление безопасности и ЗИ и к руководителю по безопасности с просьбой об оказании технической и методической помощи в работе по обеспечению технической ЗИ.

5 Ответственность Администратора.

5.1 На Администратора возлагается персональная ответственность за программно-технические и криптографические средства ЗИ, средства ВТ, информационно-вычислительные комплексы, сети и АС обработки конфиденциальной информации, закрепленные за ним приказом директора и за качество проводимых им работ по обеспечению ЗИ в соответствии с функциональными обязанностями, определенными данным Положением.

5.2 Администратор несет ответственность по действующему законодательству за разглашение сведений, составляющих конфиденциальную информацию, ставших известными ему в соответствии с родом работы.

Приложение 9

ИНСТРУКЦИЯ ПОЛЬЗОВАТЕЛЯ АС ОИ

1 Общие положения.

1.1 Настоящая Инструкция содержит общие обязанности пользователя АС по обеспечению ИБ при работе с АС.

1.2 Пользователем АС (далее - Пользователь) является сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, ПО и данным АС.

1.3 Пользователь в своей работе руководствуется, кроме должностных и технологических инструкций, действующими нормативными, организационно-распорядительными документами по вопросам ИБ.

1.4 Положения инструкции обязательны для исполнения всеми пользователями и доводятся под роспись. Пользователь должен быть предупрежден о возможной ответственности за ее нарушение.

2 Обязанности Пользователя.

2.1 При выполнении работ в АС Пользователь обязан:

· строго соблюдать установленные правила обеспечения БИ при работе с программными и ТС АС, правила работы и порядок регистрации в АС, доступа к информационным ресурсам АС;

· знать и строго выполнять правила работы со средствами ЗИ, установленными на его АРМ;

· хранить в тайне свои идентификационные данные (имена, пароли);

· выполнять требования, предъявляемые к парольной системе, осуществлять вход в АС только под своими идентификационными данными;

· передавать для хранения установленным порядком свою личную ключевую дискету и другие реквизиты разграничения доступа в пенале, опечатанном своей личной печатью, только руководителю своего подразделения или администратору ИБ;

· соблюдать требования «Правил использования СКЗИ в системе представления налоговых деклараций в электронном виде по телекоммуникационным каналам связи» в случае применения средств защиты документов, передаваемых по технологическим цепочкам в АС, при помощи ЭЦП;

· надежно хранить и никому не передавать личную печать, предназначенную для опечатывания пенала с личной ключевой дискетой и другими реквизитами доступа при передаче его на хранение администратору ИБ или руководителю подразделения;

· выполнять требования «Инструкции по организации антивирусной защиты» в части, касающейся действий пользователей АС;

· немедленно вызывать администратора ИБ и ставить в известность руководителя подразделения в случае утери личной ключевой дискеты или при подозрении о компрометации личных ключей и паролей, а также при обнаружении нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах ПЭВМ или иных фактов совершения в его отсутствие попыток НСД к защищенной ПЭВМ, несанкционированных изменений в конфигурации программных или аппаратных средств ПЭВМ, некорректного функционирования установленных на ПЭВМ ТС ЗИ, непредусмотренных формуляром ПЭВМ отводов кабелей и подключенных устройств;

· присутствовать при работах по внесению изменений в аппаратно-программную конфигурацию закрепленной за ним ПЭВМ ставить в известность администратора ИБ при необходимости внесения изменения в состав аппаратных и программных средств ПЭВМ;

· работать в АС только в разрешенный период времени;

· немедленно выполнять предписания администраторов АС, предоставлять свою ПЭВМ администратору ИБ для контроля;

· ставить в известность администраторов АС в случае появления сведений или подозрений о фактах НСД к информации, своей или чужой, а также отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию ПЭВМ, выхода из строя или неустойчивого функционирования узлов ПЭВМ или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;

· осуществлять установленным порядком уничтожение информации, содержащей конфиденциальные сведения, с машинных носителей информации и из ОП ПЭВМ;

· уважать права других пользователей на конфиденциальность и право пользования общими ресурсами;

· сообщать руководителю своего подразделения обо всех проблемах, связанных с эксплуатацией АС.

2.2 Пользователю категорически запрещается:

· использовать компоненты аппаратного и ПО АС в неслужебных целях;

· самовольно вносить какие-либо изменения в состав, размещение, конфигурацию аппаратно-программных средств АС или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами ПЭВМ;

· осуществлять обработку информации, содержащей конфиденциальные сведения в присутствии посторонних лиц;

· записывать и хранить конфиденциальную информацию на неучтенных носителях информации (гибких магнитных дисках), в том числе для временного хранения;

· оставлять включенной без присмотра свою ПЭВМ, не активизировав временную блокировку экрана и клавиатуры средствами ЗИ от НСД или ОС;

· передавать кому-либо свою персональную ключевую дискету в нарушение установленного порядка, делать неучтенные копии ключевой дискеты на любой другой носитель, снимать с дискеты защиту записи и вносить какие-либо изменения в файлы ключевой дискеты;

· использовать свою ключевую дискету для формирования ЭЦП любых электронных документов, кроме регламентированных технологическим процессом на его рабочем месте;

· оставлять без личного присмотра на АРМ или в любом другом месте свою персональную ключевую дискету, машинные носители и распечатки, содержащие защищаемую информацию;

· умышленно использовать недокументированные свойства и ошибки в ПО или в настройках АС, которые могут привести к возникновению кризисной ситуации, об обнаружении такого рода ошибок необходимо ставить в известность администратора ИБ и руководителя своего подразделения;

· подбирать и отгадывать чужие пароли, а также собирать информацию о других пользователях;

· осуществлять попытки НСД к ресурсам АС и других пользователей, проводить рассылку ложных, беспокоящих или угрожающих сообщений;

· фиксировать свои учетные данные (пароли, имена, идентификаторы, ключи) на твердых носителях;

· разглашать ставшую известной в ходе выполнения своих обязанностей информацию, содержащую конфиденциальные сведения;

· несанкционированно вносить изменения в файлы, принадлежащие другим пользователю.

3 Ответственность Пользователя.

3.1 Пользователь несет персональную ответственность за ненадлежащее исполнение своих функциональных обязанностей, а также сохранность комплекта ПЭВМ, магнитных носителей информации, ключевых дискет и целостность установленного ПО.

3.2 Ответственность за нарушение функционирования АС, уничтожение, блокирование, копирование, фальсификацию информации несет пользователь, под чьими идентификационными данными было совершено нарушение, мера ответственности устанавливается по итогам служебного расследования.

3.3 Пользователи, виновные в нарушениях несут уголовную, административную, гражданско-правовую или дисциплинарную ответственность в соответствии с действующим законодательством и организационно-распорядительными документами.

Размещено на Allbest.ru

...