|
Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как Вместе с тем, в ответах этот вопрос звучит иначе: Задание 6 (Вы ответили неверно): Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В |
Инспектор
Вы можете этот курс.
Опубликован: 23.02.2018 | Уровень: для всех | Доступ: платный
Лекция 19:
Состав и содержание документов, разрабатываемых для проведения аттестации и по результатам аттестации автоматизированной системы
- Справка об уровне подготовки кадров, обеспечивающих защиту информации в организации и на объекте информатизации. Указывается образование и данные о повышении квалификации специалистов, которые будут осуществлять обработку информации на объекте информатизации, а также обеспечивать защиту информации в процессе эксплуатации объекта информатизации. При необходимости, может быть проведен опрос с целью выяснения уровня подготовки кадров, а также проведено обучение работе со средствами защиты информации, установленными на объекте информатизации.
- Акт обследования объекта информатизации (раздел 3.1).
- Программа-методика аттестационных испытаний объекта информатизации (раздел 3.3.1).
- Модель нарушителя (раздел 3.4)
- Модель угроз безопасности информации (раздел 3.4)
- Протоколы специальных исследований средств вычислительной техники объекта информатизации (раздел 3.5).
- Предписание на эксплуатацию основных технических средств и систем объекта информатизации (раздел 3.5).
- Инструкция администратору безопасности (уполномоченному по безопасности) автоматизированной системы объекта информатизации. Определяет порядок действий администратора в процессе эксплуатации объекта информатизации, права и обязанности администратора безопасности, а также виды и степень ответственности за нарушение требований по безопасности информации и имеет следующую структуру:
- общие положения: назначение документа, порядок назначения на должность администратора безопасности и его основная задача;
- обязанности Администратора безопасности информации;
- права администратора безопасности информации;
- ответственность за действия (бездействие) администратора безопасности.
- Инструкция пользователю автоматизированной системы объекта информатизации. Определяет порядок действий пользователя в процессе эксплуатации объекта информатизации, права и обязанности пользователя, а также виды и степень ответственности за нарушение требований по безопасности информации и имеет следующую структуру:
- общие положения: назначение документа, перечень документов по защите информации, разработанных в организации, которыми должен руководствоваться пользователь при работе в автоматизированной системе;
- обязанности пользователя по защите информации при работе в автоматизированной системе;
- перечень действий, которые пользователю запрещается производить при работе в автоматизированной системе;
- основные принципы и технологии работы пользователя с информацией ограниченного доступа при обработке ее в автоматизированной системе;
- перечень действий, которые необходимо совершать пользователю на каждом из этапов работы с информацией ограниченного доступа в автоматизированной системе;
- лист доведения положений инструкции под роспись до каждого пользователя автоматизированной системы.
- Инструкция по организации парольной защиты автоматизированной системы объекта информатизации. Определяет характеристики паролей, которые должны быть использованы при осуществлении доступа к автоматизированной системе, правила формирования, порядок и сроки обновления паролей, а также определяет пароли, которые не должны применяться. Структура документы выглядит следующим образом:
- общие положения: назначение документа, общие принципы работы в рамках организации парольной защиты, определение ответственного за организацию парольной защиты в организации;
- порядок формирования паролей пользователей автоматизированной системы;
- порядок ввода паролей при входе в автоматизированную систему;
- срок действия и порядок смены паролей пользователей;
- порядок хранения паролей пользователей и администратора безопасности информации;
- перечень действий с паролями, которые пользователю запрещается осуществлять;
- ответственность при организации парольной защиты;
- лист доведения положений инструкции под роспись до каждого пользователя автоматизированной системы.
- Инструкция по организации антивирусной защиты в автоматизированной системе объекта информатизации. Определяет порядок и периодичность обновления антивирусных баз, порядок действий пользователей при обнаружении вредоносных файлов и имеет следующую структуру:
- общие положения: назначение документа, общие принципы работы в рамках организации антивирусной защиты, определение ответственного за организацию антивирусной защиты в организации;
- порядок применения средств антивирусной защиты;
- перечень действий с антивирусными средствами, которые пользователю запрещается осуществлять;
- ответственность при организации антивирусной защиты;
- лист доведения положений инструкции под роспись до каждого пользователя автоматизированной системы.
- Инструкция по эксплуатации средств защиты информации на объекте информатизации. Определяет перечень средств защиты информации, установленных на объекте информатизации, порядок работы с ними, лиц, ответственных за эксплуатацию средств защиты информации, а также перечень действий, запрещенных пользователю при работе на объекте информатизации с установленными средствами защиты информации. Инструкция имеет следующую структуру:
- перечень средств защиты информации, установленных на объекте информатизации с указанием заводского номера, номера специального защитного знака, данных о действующем сертификате соответствия на средство защиты информации и место установки;
- для каждого наименования средства защиты информации, установленного на объекте информатизации, указывается: общие сведения о средстве защиты информации, указания по эксплуатации, меры безопасности при работе со средством, подготовка и порядок работы со средством, техническое обслуживание средства;
- порядок действий при нарушении нормального функционирования средства защиты информации.
- Протокол оценки защищенности от утечки по каналу побочных электромагнитных излучений и наводок (Протокол оценки эффективности принятых мер по защите информации) (раздел 3.5).
- Технический паспорт. Содержит общие сведения об объекте информатизации, перечень основных технических средств и систем, вспомогательных технических средств и систем и средств защиты информации, установленных на объекте информатизации, схемы размещения относительно границ контролируемой зоны, данные об аттестации объекта информатизации, а также лист контроля, который заполняется в процессе эксплуатации объекта информатизации. Технический паспорт на автоматизированную систему имеет следующую структуру:
| № раздела | Название раздела | Содержание раздела |
|---|---|---|
| 1 | Общие сведения об объекте информатизации |
1. Наименование объекта информатизации 2. Данные о расположении объекта информатизации 3. Данные о классификации объекта информатизации 4. Данные о выданном аттестате соответствия |
| 2 | Перечень оборудования объекта информатизации |
1. Состав основных технических средств и систем 2. Состав вспомогательных технических средств и систем 3. Структура, топология и размещение основных технических средств и систем относительно границ контролируемой зоны 4. Описание системы электропитания и заземления 5. Состав средств защиты информации |
| 3 | Сведения об аттестации объекта информатизации |
1. Перечень документов, выданных органом по аттестации в рамках проведения работ по аттестации (протоколы, заключения, аттестат соответствия) с указанием учетных номеров документов |
| 4 | Результаты контроля объекта информатизации |
1. Лист регистрации аттестационных испытаний и периодического контроля состояния защищенности аттестованного объекта информатизации с указанием наименования организации, проводившей проверку, даты проведения проверки, номера протокола и подписи ответственного за проведение контроля |
| 5 | Лист регистрации изменений |
1. Пустые листы для записи изменений, производимых на объекте информатизации (изменение состава основных и вспомогательных технических средств и систем, места расположения, замена средств защиты информации) |
| 6 | Приложения к техническому паспорту |
1. Состав технических и программных средств, входящих в состав автоматизированной системы. 2. Схема расположения технических средств относительно границ контролируемой зоны 3. Схема сети электропитания и заземления |
- Протокол аттестационных испытаний по защите информации от несанкционированного доступа (раздел 3.7).
- Протокол аттестационных испытаний объекта информатизации. Протокол содержит данные об аттестуемом объекте информатизации, а также результаты измерений, подтверждающие соответствие (не соответствие) объекта информатизации установленным требованиям и обосновывающие приведенный в заключении вывод о соответствии или несоответствии объекта информатизации установленным требованиям (раздел 3.7).
- Заключение по результатам аттестационных испытаний (раздел 3.7). Содержит оценку соответствия объекта информатизации требованиям по безопасности информации, а также вывод о соответствии или несоответствии объекта информатизации установленным требованиям и возможность выдачи "Аттестата соответствия". При отрицательных выводах заключения органом по аттестации принимается решение о проведении дополнительных мероприятий по защите информации и назначаются повторные аттестационные испытания объекта информатизации.
- Аттестат соответствия требованиям безопасности информации (раздел 3.8). Выдается при положительных выводах о соответствии объекта информатизации установленным требованиям по безопасности информации и дает право обработки информации заявленной степени конфиденциальности на объекте информатизации. Наличие на объекте информатизации действующего "Аттестата соответствия" дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в "Аттестате соответствия".
- Приказ о вводе в эксплуатацию объекта информатизации (начале обработки информации на объекте информатизации). Разрабатывается после получения Аттестата соответствия и определяет сроки начала обработки информации на объекте информатизации. В приказе указываются:
- наименование объекта информатизации и место его расположения;
- дата ввода объекта информатизации в эксплуатацию;
- решение о начале обработке информации ограниченного доступа с указанием максимальной степени ее конфиденциальности;
- документы, которые устанавливают требования при обработке информации на объекте информатизации (Аттестат соответствия, Инструкции и т.д.);
- перечень должностных лиц, ответственных за защиту информации на объекте информатизации, а также за его эксплуатацию;
- должностное лицо, назначенное администратором безопасности на объекте информатизации;
- периодичность проведения контроля защищенности объекта информатизации.
Екатерина Крысанова
Оксана Беляева
|
Добрый день! Подскажите, почему после прохождения теста, не могу увидеть свои варианты ответов. в некоторых случаях возникает спорная ситауция и не понятно - это неточность вопроса или моя опечатка.
|
Алексей Федосеев
| Россия, Белгород, Белгородский государственный национальный исследовательский университет |
Зоя Костромина
| Россия, г.Шадринск, ШГБОУ ВО Шадринский государственный педагогический университет |