Пакет документов

Все этапы жизненного цикла объекта информатизации должны быть формализованы, т.е. описаны в том или ином документе. По большому счету у объекта два этапа в жизни – до аттестации и после, ну и конечно промежуточный этап – собственно процесс аттестации. Один набор документов фиксирует состояние защищаемого объекта до начала его аттестации. Логично, чтобы его разрабатывал собственник объекта – заказчик работ по аттестации. Другой набор документов сопровождает процесс аттестации, и разрабатывает его исполнитель работ по аттестации. После аттестации в документы первого набора могут (и должны!) вноситься изменения, отражающие изменения в состоянии объекта.

Состав пакета документов зависит от вида объекта информатизации (автоматизированная система на базе ПЭВМ, помещение для ведения переговоров, средство размножения документов) и от обрабатываемой информации (государственная тайна, служебная/коммерческая тайна, персональные данные). Строго говоря, нормативными документами определяется не состав пакета документов (точное название и количество документов), а их содержание. Т.е. многие вопросы (на усмотрение заказчика и исполнителя работ) могут быть либо разбиты на отдельные документы, либо объединены в один документ.

Нормативные документы, раскрывающие состав и содержание пакета документов для объектов, обрабатывающих государственную и служебную тайну, имеют соответствующие грифы секретности. Поэтому все вопросы по таким документам решаются при аттестации между конкретным заказчиком и исполнителем. Причем документы из первого набора могут разрабатываться не заказчиком, а исполнителем, если это обусловлено договором.

В открытых источниках можно рассмотреть вопросы пакета документов только для объекта информатизации – информационная система персональных данных (ИСПДн). По составу данный пакет документов делится на две части - документы, касающиеся организации в целом, и документы, касающиеся каждой ИСПДн в отдельности.

Для организации в целом необходимы следующие документы:

1. Документ, содержащий информацию о текущем состоянии системы защиты, количество ИСПДн в организации, рекомендации по созданию системы защиты ПД. Этот документ является результатом обследования (акт, отчет, аналитическое обоснование и т.п.). Этот документ теряет актуальность по мере создания систем защиты.

2. Перечень ПД. Обязательный документ, формат произвольный. Для организаций, обязанных направлять уведомление об обработке ПД в Роскомнадзор, этот перечень содержится в уведомлении.

3. Приказ о назначении ответственного сотрудника за защиту ПД, администратора информационной безопасности. Здесь же можно назначить всех допущенных к обработке ПД сотрудников (можно для каждой ИСПДн отдельный приказ).

4. Журнал учета носителей ПД. Обязательный документ, формат произвольный.

5. Журнал учета криптографических СЗИ (если они есть). Обязательный документ, формат регламентирован в «Типовых требованиях…» ФСБ.

6. Документ, определяющий порядок проведения расследований случаев нарушения требований по защите, порядок действий (работы ИСПДн) в этих случаях.

7. Документ, определяющий контролируемую зону организации. Оформляется в виде схемы помещений с указанием расположения средств обработки ПД и инженерных коммуникаций.

8. Документ, определяющий порядок технической охраны (пропускной системы) в КЗ организации. Обычно уже есть инструкция в подразделении охраны.

Для каждой ИСПДн необходимы следующие документы:

1. Документ, определяющий требования по обеспечению безопасности ПД. Может быть в виде раздела Технического задания или разделов в инструкции администратора информационной безопасности и инструкции пользователя ИСПДн.

2. Технический проект (имеет смысл при наличии ТЗ). Может в виде отдельных схем входить в состав технического описания ИСПДн.

3. Документ, содержащий перечень применяемых СЗИ. Может быть разделом в техническом описании ИСПДн.

4. Документ, определяющий порядок резервирования ПД. Может быть разделом в техническом описании ИСПДн или в инструкции администратора информационной безопасности.

5. Документ, определяющий порядок распространения ПД. Может быть разделом в техническом описании ИСПДн.

6. Документ, определяющий порядок антивирусной защиты ПД. Может быть разделом в техническом описании ИСПДн или в инструкции администратора информационной безопасности.

7. Документ, определяющий порядок парольной защиты в ИСПДн. Может быть разделом в техническом описании ИСПДн или в инструкции администратора информационной безопасности.

8. Акт классификации ИСПДн. Обязательный документ, формат произвольный. Определяется класс ИСПДн в соответствии с приказом «О порядке классификации…».

9. Модель угроз ИСПДн. Обязательный документ, формат произвольный. Определяются актуальные угрозы ПД в соответствии с «Методикой определения актуальных угроз…» ФСТЭК. Если в ИСПДн используются криптографические СЗИ, то модель угроз дополняется в соответствии с «Методическими рекомендациями…» ФСБ.

10. Документ, определяющий готовность СЗИ к эксплуатации. Может быть в виде акта установки СЗИ.

Наши новости

// 31 мая 2011
Инфраструктурные решения «Лаборатории Касперского» прошли сертификацию ФСБ
«Лаборатория Касперского» объявляет о сертификации своих решений для защиты сетевой инфраструктуры (Интернет-шлюзов, почтовых и файловых серверов) ...
// 30 мая 2011
Обезличивание персональных данных
Компания ООО «Стратегия безопасности» получила патент на уникальную методику обезличивания персональных данных
// 20 мая 2011
UserGate Mail Server: бесплатная лицензия на 5 почтовых ящиков
Компания Entensys сообщает о возможности бесплатного использования программного продукта UserGate Mail Server на 5 почтовых ящиков.
Читать все новости
454081, г. Челябинск
ул. Либединского 31, цоколь
т. (351) 700-13-29, 729-92-88
Биометрические системы