Андрей Обласов - Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов

– перечень программных продуктов, установленных на каждом из средств информатизации или доступных с этого средства в сети и информации, обрабатываемой этими программными продуктами;

– список сотрудников подразделения с указанием закрепленных за ними средств информатизации и выделенных для них прав доступа;

2) Протоколы категорирования:

– информации;

– средств информатизации;

– помещений подразделения;

– сотрудников управления;

3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;

4) Частный Акт информационного обследования подразделения, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;

5) План устранения недостатков и реализации рекомендаций информационного обследования.

Мероприятия обследования локальной вычислительной сети организует начальник Управления информационных систем и технологий, а непосредственно проводят сотрудники Управления по защите информации и администратор сети. Результатом обследования сети являются документы:

1) Информационная схема локальной вычислительной сети (исполняется администратором сети) в составе:

– топологическая схема сети с указанием трасс прокладки кабелей, мест размещения серверов, сетевого оборудования и рабочих станций, привязанная к поэтажному плану здания;

– перечень программных продуктов, установленных в сети и информации, обрабатываемой этими программными продуктами;

– список пользователей сети с указанием выделенных им прав доступа;

2) Протокол категорирования программных продуктов и информации сети;

3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;

4) Частный Акт информационного обследования локальной вычислительной сети, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;

5) План устранения недостатков и реализации рекомендаций информационного обследования.

Контрольные информационные обследования проводятся по планам Управления по защите информации и вне планов в случаях:

– реорганизации подразделений;

– крупных изменений в системе делопроизводства, составе оборудования и программного обеспечения;

– перемещений подразделений в другие помещения.

2.4. Категорирование

Категорирование – это специальная классификация различных объектов, имеющих отношение к информационной системе ХХХХ, по признаку конфиденциальности используемой информации и, соответственно, требуемого уровня ее защиты. В ходе категорирования все объекты разбиваются на группы (категории), для каждой из которых разрабатывается собственный уникальный комплекс мер защиты.

Категорированию подвергаются:

– используемая информация;

– средства;

– помещения;

– сотрудники подразделений.

Категорирование производится в ходе первичного информационного обследования и уточняется при контрольных обследованиях. Настоящей Инструкцией вводятся следующие категории объектов информационной системы:

2.5. Документирование

Основной формой документа в системе информационной безопасности является двусторонний Акт, который составляется и подписывается сотрудниками подразделения, в котором проводится мероприятие, с одной стороны, и сотрудниками Управления по защите информации с другой стороны. Акт утверждается начальником этого подразделения и начальником Управления по защите информации. К Акту прилагаются необходимые в каждом конкретном случае документы: протоколы, справки, схемы и т.д., исполненные в произвольной форме.

По решению Члена Правления – Директора по безопасности и защите информации Акты могут докладываться для ознакомления и принятия решения Правлению ХХХХ.