Склад проектної та експлуатаційної документації
Вимоги до організаційних заходів
Для безпосередньої організації робіт із створення і забезпечення ефективного функціонування КСЗІ має бути створений відповідальний підрозділ ‑ служба захисту інформації (СЗІ) в АС.
Організаційні заходи повинні складати невід'ємну частину КСЗІ, запобігати загрозам безпеці інформації і блокувати їх певну частину, а також поєднувати в єдину систему усі засоби захисту.
Організаційні заходи щодо керування КСЗІ повинні передбачати:
ü визначення порядку дій користувачів для додержання політики безпеки;
ü визначення порядку контролю за додержанням прийнятої в АС політики безпеки, розслідування виявлених порушень та прийняття заходів щодо їх усунення;
ü визначення порядку проведення модернізації АС (встановлення нових версій системних і прикладних програм) та контролю за цими процесами;
ü розробку організаційно-методичних та розпорядчих документів, що регламентують порядок і правила функціонування КСЗІ (планів, інструкцій, наказів тощо).
Організаційні заходи щодо керування доступом повинні передбачати:
ü визначення порядку розподілу атрибутів розмежування доступу;
ü визначення порядку доступу користувачів до АРМ, носіїв інформації та його контролю;
ü визначення порядку доступу при проведенні ремонтно-регламентних робіт, технічного забезпечення АС та ін. (санкціонування доступу, розгляд і документальне затвердження змін).
Організаційні заходи щодо реєстрації та обліку повинні передбачати:
ü визначення порядку обліку, видачі, використання і зберігання з'ємних магнітних носіїв інформації, що містять еталонні і резервні копії;
ü визначення порядку організації зберігання, використання і знищення документів і носіїв із ІзОД;
ü визначення порядку обліку технічних засобів АС.
Організаційні заходи з резервного копіювання та архівування програмного забезпечення та даних повинні передбачати:
ü розробку регламенту та впровадження технології резервного копіювання інформації в АС та ведення архівів;
ü розробку порядку відновлення зарезервованої інформації у відповідності до її грифу;
ü розробку схеми ротації магнітних носіїв.
Проектна документація на систему повинна включати:
ü технічний проект інформаційної системи;
ü робочу документацію;
ü класифікацію інформації;
ü класифікацію користувачів за рівнем повноважень та місцем їх розміщення;
ü загальний опис системи;
ü модель загроз безпеці інформації та модель потенційних порушників;
ü опис політики безпеки інформації;
ü план технічного захисту;
ü опис технічних засобів захисту.
Експлуатаційна документація на систему повинна включати:
ü наказ про створення комісії з обстеження АС;
ü наказ про створення комісії з категоріювання АС;
ü акт категоріювання АС;
ü наказ про створення служби захисту, призначення адміністратора безпеки та інших адміністраторів;
ü наказ про створення комісії з проведення попередніх випробувань КСЗІ;
ü програма та методика випробувань;
ü протокол попередніх випробувань КСЗІ;
ü акт про передачу КСЗІ в дослідну експлуатацію;
ü наказ про проведення дослідної експлуатації;
ü журнал навчання користувачів;
ü акт завершення дослідної експлуатації;
ü політика безпеки;
ü положення про службу захисту інформації в АС;
ü план захисту інформації в АС;
ü інструкція із забезпечення режиму безпеки при роботі в АС;
ü інструкція щодо порядку забезпечення антивірусного захисту інформації в АС;
ü інструкція користувача в АС;
ü інструкція адміністратора безпеки;
ü інструкція системного адміністратора;
ü інструкцію з тестування системи;
ü інструкцію з виконання регламентних та ремонтних робіт;
ü інструкція про порядок введення в експлуатацію КСЗІ;
ü інструкція про порядок модернізації КСЗІ;
ü паспорт-формуляр на АС.
Положення про службу захисту інформації в АС розробляється замовником під час створення АС. Склад та зміст плану захисту інформації визначається СЗІ згідно з НД ТЗІ 1.4-001-2000.
Інструкція користувача повинна включати короткий опис механізмів захисту та інструкції щодо порядку роботи з ними в процесі взаємодії користувача з АС.
Інструкція адміністратора безпеки призначена для забезпечення виконання функціональних обов’язків адміністратора безпеки (персоналу СЗІ) і повинна включати описи:
ü дій щодо управління захистом (встановлення атрибутів доступу, прав, порядок надання користувачам особистих ідентифікаторів та паролів тощо;
ü процедур роботи із засобами реєстрації;
ü процедур інсталяції засобів захисту інформації;
ü процедур оперативного відновлення працездатності КСЗІ після збоїв.
Інструкція системного адміністратора повинна описувати дії щодо адміністрування АС, такі як:
ü процедури супроводження програмного забезпечення компонентів АС, перевірки його цілісності та працездатності;
ü процедури інсталяції, генерації і запуску засобів адміністрування АС та мережевого обладнання;
ü процедури перевірки працездатності засобів адміністрування;
ü опис процедур оперативного відновлення працездатності після збоїв.
Документація техноробочого проекту повинна містити основні проектні і технічні рішення щодо побудови АС та її компонентів. Склад та зміст документації повинен відповідати вимогам стандартів ГОСТ 34.201, ГОСТ 19.101-85, РД 50-34.698, в частині виготовлення конструкторської документації - стандартам ЕСКД, в частині виготовлення експлуатаційної документації - ГОСТ 34.201, РД 50-34.698.
Склад та зміст опису компонентів КСЗІ та інструкцій користувача і адміністратора безпеки повинні відповідати вимогам НД ТЗІ 2.5-004-99.
Остаточний склад експлуатаційної документації Виконавець погоджує з замовником за результатами дослідної експлуатації КСЗІ АС.