Склад проектної та експлуатаційної документації

Вимоги до організаційних заходів

Для безпосередньої організації робіт із створення і забезпечення ефективного функціонування КСЗІ має бути створений відповідальний підрозділ ‑ служба захисту інформації (СЗІ) в АС.

Організаційні заходи повинні складати невід'ємну частину КСЗІ, запобігати загрозам безпеці інформації і блокувати їх певну частину, а також поєднувати в єдину систему усі засоби захисту.

Організаційні заходи щодо керування КСЗІ повинні передбачати:

ü визначення порядку дій користувачів для додержання політики безпеки;

ü визначення порядку контролю за додержанням прийнятої в АС політики безпеки, розслідування виявлених порушень та прийняття заходів щодо їх усунення;

ü визначення порядку проведення модернізації АС (встановлення нових версій системних і прикладних програм) та контролю за цими процесами;

ü розробку організаційно-методичних та розпорядчих документів, що регламентують порядок і правила функціонування КСЗІ (планів, інструкцій, наказів тощо).

Організаційні заходи щодо керування доступом повинні передбачати:

ü визначення порядку розподілу атрибутів розмежування доступу;

ü визначення порядку доступу користувачів до АРМ, носіїв інформації та його контролю;

ü визначення порядку доступу при проведенні ремонтно-регламентних робіт, технічного забезпечення АС та ін. (санкціонування доступу, розгляд і документальне затвердження змін).

Організаційні заходи щодо реєстрації та обліку повинні передбачати:

ü визначення порядку обліку, видачі, використання і зберігання з'ємних магнітних носіїв інформації, що містять еталонні і резервні копії;

ü визначення порядку організації зберігання, використання і знищення документів і носіїв із ІзОД;

ü визначення порядку обліку технічних засобів АС.

Організаційні заходи з резервного копіювання та архівування програмного забезпечення та даних повинні передбачати:

ü розробку регламенту та впровадження технології резервного копіювання інформації в АС та ведення архівів;

ü розробку порядку відновлення зарезервованої інформації у відповідності до її грифу;

ü розробку схеми ротації магнітних носіїв.

Проектна документація на систему повинна включати:

ü технічний проект інформаційної системи;

ü робочу документацію;

ü класифікацію інформації;

ü класифікацію користувачів за рівнем повноважень та місцем їх розміщення;

ü загальний опис системи;

ü модель загроз безпеці інформації та модель потенційних порушників;

ü опис політики безпеки інформації;

ü план технічного захисту;

ü опис технічних засобів захисту.

Експлуатаційна документація на систему повинна включати:

ü наказ про створення комісії з обстеження АС;

ü наказ про створення комісії з категоріювання АС;

ü акт категоріювання АС;

ü наказ про створення служби захисту, призначення адміністратора безпеки та інших адміністраторів;

ü наказ про створення комісії з проведення попередніх випробувань КСЗІ;

ü програма та методика випробувань;

ü протокол попередніх випробувань КСЗІ;

ü акт про передачу КСЗІ в дослідну експлуатацію;

ü наказ про проведення дослідної експлуатації;

ü журнал навчання користувачів;

ü акт завершення дослідної експлуатації;

ü політика безпеки;

ü положення про службу захисту інформації в АС;

ü план захисту інформації в АС;

ü інструкція із забезпечення режиму безпеки при роботі в АС;

ü інструкція щодо порядку забезпечення антивірусного захисту інформації в АС;

ü інструкція користувача в АС;

ü інструкція адміністратора безпеки;

ü інструкція системного адміністратора;

ü інструкцію з тестування системи;

ü інструкцію з виконання регламентних та ремонтних робіт;

ü інструкція про порядок введення в експлуатацію КСЗІ;

ü інструкція про порядок модернізації КСЗІ;

ü паспорт-формуляр на АС.

Положення про службу захисту інформації в АС розробляється замовником під час створення АС. Склад та зміст плану захисту інформації визначається СЗІ згідно з НД ТЗІ 1.4-001-2000.

Інструкція користувача повинна включати короткий опис механізмів захисту та інструкції щодо порядку роботи з ними в процесі взаємодії користувача з АС.

Інструкція адміністратора безпеки призначена для забезпечення виконання функціональних обов’язків адміністратора безпеки (персоналу СЗІ) і повинна включати описи:

ü дій щодо управління захистом (встановлення атрибутів доступу, прав, порядок надання користувачам особистих ідентифікаторів та паролів тощо;

ü процедур роботи із засобами реєстрації;

ü процедур інсталяції засобів захисту інформації;

ü процедур оперативного відновлення працездатності КСЗІ після збоїв.

Інструкція системного адміністратора повинна описувати дії щодо адміністрування АС, такі як:

ü процедури супроводження програмного забезпечення компонентів АС, перевірки його цілісності та працездатності;

ü процедури інсталяції, генерації і запуску засобів адміністрування АС та мережевого обладнання;

ü процедури перевірки працездатності засобів адміністрування;

ü опис процедур оперативного відновлення працездатності після збоїв.

Документація техноробочого проекту повинна містити основні проектні і технічні рішення щодо побудови АС та її компонентів. Склад та зміст документації повинен відповідати вимогам стандартів ГОСТ 34.201, ГОСТ 19.101-85, РД 50-34.698, в частині виготовлення конструкторської документації - стандартам ЕСКД, в частині виготовлення експлуатаційної документації - ГОСТ 34.201, РД 50-34.698.

Склад та зміст опису компонентів КСЗІ та інструкцій користувача і адміністратора безпеки повинні відповідати вимогам НД ТЗІ 2.5-004-99.

Остаточний склад експлуатаційної документації Виконавець погоджує з замовником за результатами дослідної експлуатації КСЗІ АС.