Первая страница
Наша команда
Контакты
О нас

    Головна сторінка



Інформації стандарти України нормативні документи щодо захисту інформації в ас-ііб документи на ксзі в ас-ііб програмно-експлуатаційна документація кзз характеристика обчислювальної системи 14 Характеристика фізичного середовища 14

Скачати 330.68 Kb.

Інформації стандарти України нормативні документи щодо захисту інформації в ас-ііб документи на ксзі в ас-ііб програмно-експлуатаційна документація кзз характеристика обчислювальної системи 14 Характеристика фізичного середовища 14




Скачати 330.68 Kb.
Сторінка1/4
Дата конвертації07.04.2017
Розмір330.68 Kb.
ТипІнформації
  1   2   3   4









ЗАТВЕРДЖУЮ







___________



МП

«____» ________ 2012 р.




АВТОМАТИЗОВАНА СИСТЕМА КЛАСУ «1»

_______________________________________

(ПРИМІЩЕННЯ №33)

_____________________________________

_____________________________________________

КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ

ПЛАН ЗАХИСТУ




















2013

Зміст

2.
Інформаці́йна безпе́ка - це стан захищеності систем обробки і зберігання даних, при якому забезпечено конфіденційність, доступність і цілісність інформації, або комплекс заходів, спрямованих на забезпечення захищеності інформації від несанкціонованого доступу, використання, оприлюднення, руйнування, внесення змін, ознайомлення, перевірки, запису чи знищення (у цьому значенні частіше використовують термін «захист інформації»).
1 Нормативно-правова база щодо захисту інформації 8

2.
Нормати́вно-правови́й а́кт - офіційний письмовий документ, прийнятий уповноваженими фізичними особами у визначеній законодавством формі та за встановленою законодавством процедурою, спрямований на регулювання суспільних джерел права що містить норми права, має неперсоніфікований характер і розрахований на неодноразове застосування.
2 Стандарти України 8


2.3 Нормативні документи щодо захисту інформації в АС-ІІБ 8

2.5 Документи на КСЗІ в АС-ІІБ 8

2.6 Програмно-експлуатаційна документація КЗЗ 9

7.1 Характеристика обчислювальної системи 14

7.2 Характеристика фізичного середовища 14

7.3 Характеристика середовища користувачів 14

7.4 Особливості технології обробки інформації в АС-ІІБ 15

8.1 Основні положення 17

8.2 Відповідальність посадових осіб щодо реалізації політики безпеки 18

8.
Обчи́слювальна систе́ма (англ. computer system) - сукупність ЕОМ та їх програмного забезпечення, що призначені для організації ефективного обчислювального процесу;
Обробка інформації́ - вся сукупність операцій (збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація), що здійснюються за допомогою технічних і програмних засобів, включаючи обмін по каналах передачі даних [6.
Посадо́ва осо́ба - особа, в якої наявні організаційно-розпорядчі або адміністративно-господарські функції.
3 Правила розмежування доступу 18


8.
Розмежування доступу (англ. access mediation) - сукупність процедур, що реалізують перевірку запитів на доступ і оцінку на підставі Правил розмежування доступу можливості надання доступу.
4 Оцінка ризиків 18


Загроза 19

Джерело загрози 19

Рівень ризику 19

Тип дії порушника 19

Загроза 19

Джерело загрози 19

Рівень ризику 19

Тип дії 19

Загроза 20

Джерело загрози 20

Рівень ризику 20

Тип дії 20

Загроза 20

Джерело загрози 20

Рівень ризику 20

Тип дії 20

Загроза 20

Джерело загрози 20

Рівень ризику 20

Тип дії 20

Загроза 20

Джерело загрози 20

Рівень ризику 20

Тип дії 20

Загроза 21

Джерело загрози 21

Рівень ризику 21

Тип дії 21

Загроза 21

Джерело загрози 21

Рівень ризику 21

Тип дії 21

Загроза 21

Джерело загрози 21

Рівень ризику 21

Тип дії 21

Загроза 21

Джерело загрози 21

Рівень ризику 21

Тип дії 21

8.5 Заходи та механізми реалізації політики безпеки в АС-ІІБ 22

8.5.1 Захист від НСД 22

8.6 Контроль захисту інформації в АС-ІІБ 23

1.1 Організаційні та контрольно-правові заходи 25

1.2 Профілактичні заходи 26

1.3 Інженерно-технічні заходи 27

1.4 Планування роботи з кадрами 29

Перелік умовних позначень та скорочень
В цьому документі використовуються такі позначення і скорочення:

АС – автоматизована система;

ДТЗС – додаткові технічні засоби та системи;

ДССЗЗІ – Державна служба спеціального зв’язку та захисту інформації України;

ЗОТ – засіб обчислювальної техніки;

ІзОД – інформація з обмеженим доступом;

КЗЗ – комплекс засобів захисту від несанкціонованого доступу;

КТ – контрольована територія;

КС – комп’ютерна система;

КСЗІ – комплексна система захисту інформації;

Несанкціоно́ваний до́ступ до інформа́ції - доступ до інформації з порушенням посадових повноважень співробітника, доступ до закритої для публічного доступу інформації з боку осіб, котрі не мають дозволу на доступ до цієї інформації.
Автоматизо́вана систе́ма (АС) (англ. automated system) - сукупність керованого об'єкта й автоматичних керуючих пристроїв, у якій частину функцій керування виконує людина. АС являє собою організаційно-технічну систему, що забезпечує вироблення рішень на основі автоматизації інформаційних процесів у різних сферах діяльності (управління, проектування, виробництво тощо) або їх поєднаннях.
Держа́вна слу́жба - професійна діяльність щодо практичного виконання завдань і функцій держави особами, які мають посади в державних органах та одержують заробітну плату за рахунок державних коштів.
Електро́нна обчи́слювальна маши́на (скорочено ЕОМ) - загальна назва для обчислювальних машин, що є електронними (починаючи з перших лампових машин, включаючи напівпровідникові тощо) на відміну від електромеханічних (на електричних реле тощо) та механічних обчислювальних машин.
Комплексна система захисту інформації (КСЗІ) - взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації (ЗІ).

НД – нормативний документ;

НСД – несанкціонований доступ;

ОС – операційна система;

ОТЗС – основні технічні засоби та системи;

ПЗ – програмне забезпечення;

ТЗ – технічне завдання;

ФПЗ – функціональні послуги захисту.

Терміни та визначення

В цьому документі використані терміни та визначення, що встановлені ДСТУ 3396.2-96 «Захист інформації. Технічний захист інформації.

Нормативна документація - документи, які встановлюють правила, загальні принципи чи характеристики різних видів діяльності або їхніх результатів.
Техні́чне завдання́ (ТЗ) (англ. scope statements та англ. statement of work; SOW) - документ, що встановлює основне призначення, показники якості, техніко- економічні та спеціальні вимоги до виробу, обсягу, стадії розроблення та складу конструкторської документації.
Програ́мне забезпе́чення (програ́мні за́соби) (ПЗ; англ. software) - сукупність програм системи обробки інформації і програмних документів, необхідних для експлуатації цих програм.
Операці́йна систе́ма, скорочено ОС (англ. operating system, OS) - це базовий комплекс програм, що виконує управління апаратною складовою комп'ютера або віртуальної машини; забезпечує керування обчислювальним процесом і організовує взаємодію з користувачем.
Технічний захист інформації Техні́чний за́хист інформа́ції (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації.
Терміни та визначення», НД ТЗІ 1.1-003-99 «Термінологія у галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу» та ДСТУ 2226-93 «Автоматизовані системи. Терміни та визначення». Крім того в рамках цього документу використовуються наступні терміни в значенні:



- автоматизована система (АС) - організаційно-технічна система, яка поєднує обчислювальну систему, фізичне середовище, середовище користувачів, оброблювану інформацію і технологію її обробки (далі - середовища функціонування АС);

- персональна електронна обчислювальна машина (ПЕОМ) – одномашинний обчислювальний комплекс, який кожного моменту може забезпечувати роботу тільки одного користувача;
Електро́нна обчи́слювальна маши́на (ЕОМ) - загальна назва для обчислювальних машин, що є електронними (починаючи з перших лампових машин, включаючи напівпровідникові тощо) на відміну від електромеханічних (на електричних реле тощо) та механічних обчислювальних машин.


- комплексна система захисту інформації (КСЗІ) - взаємопов’язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації;

- політика інформаційної безпеки – набір законів, правил, обмежень, рекомендацій і та ін., що регламентують порядок обробки інформації й спрямованих на захист інформації від певних загроз;

- адміністратор безпеки – функціональна роль в АС, яка надається посадовій особі з виключними правами забезпечення та контролю встановленого рівня захисту інформації в даній АС під час оброблення ІзОД;

- системний адміністратор – функціональна роль в АС, яка надається фахівцю у сфері інформаційних технологій для виконання ним функцій настроювання та загального повсякденного технічного обслуговування апаратно-програмних засобів АС.
Техні́чне обслуго́вування озброєння та військової техніки - полягає у перевірці його укомплектованості і справності (працездатності), чистці і митті, налагодженні і регулюванні, змащуванні і заправленні (дозаправленні) експлуатаційними матеріалами, усуванні несправностей і недоліків, заміні деталей з обмеженими термінами служби і зберігання, перевірці засобів вимірювання, технічному огляді вантажопідйомних машин і посудин, які працюють під тиском.
Інформаці́йні техноло́гії, ІТ (використовується також загальніший / вищий за ієрархією термін інформаційно-комунікаційні технології (Information and Communication Technologies, ICT) - сукупність методів, виробничих процесів і програмно-технічних засобів, інтегрованих з метою збирання, опрацювання, зберігання, розповсюдження, показу і використання інформації в інтересах її користувачів.


1. Загальні відомості та положення

Автоматизована система класу «1» _____________________________(далі – АС-ІІБ) _____________________, призначена для обробки службової інформації з вищим грифом обмеження доступу «_______».

План захисту інформації в АС-ІІБ є сукупністю документів, згідно з якими здійснюється організація захисту інформації на всіх етапах життєвого циклу АС-ІІБ.

Вимоги щодо забезпечення захисту інформації в системі висуваються на підставі чинних нормативно-правових документів України, які регламентують захист службової інформації.

Положення документів плану захисту є обов’язковими для виконання всіма співробітниками Інституту, які отримують доступ до приміщення № 33 та до АС-ІІБ.

План захисту повинен регулярно переглядатися та оновлюватися відповідно до можливих змін у середовищах функціонування АС-ІІБ. Зазначені зміни мають бути відображені у моделі загроз, а також мають бути оцінені ризики їх можливої реалізації.

Зміни та доповнення до Плану захисту затверджуються на тому ж рівні та в тому ж порядку, що й основний документ.

2. СИСТЕМА ДОКУМЕНТІВ ІЗ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ інформації

  1   2   3   4


Скачати 330.68 Kb.