Довольно часто задается один и тот же вопрос: "Какие подготовительные работы должен сделать заказчик перед проведением аттестацией объекта информатизации (ОИ)?". Я постораюсь ответить.
Со стороны заказчика объекта информатизации (ОИ) должны быть разработаны следующие организационно-распорядительные документы:
1. Приказ о создании комиссии для аттестации (лица, ответственные за организацию работ по аттестации ОИ на объекте).
2. Приказ о создании АС (состав и структура АС с указанием серийных/инвентарных номеров).
3. Акт ввода АС в эксплуатацию.
4. Перечень конфиденциальных ресурсов, обрабатываемых в АС.
5. Перечень лиц, допущенных к обработке конфиденциальной информации.
6. Матрица разграничения прав доступа (ролевая структура не пройдет :)).
7. Классификация АС, довольно часто 1Г.
8. Перечень программного обеспечения АС (список софта, с указанием номеров лицензий).
9. Уровень подготовки персонала в области ИБ (диплом, повышение квалификации, стаж работы).
10. Акт определения границ контролируемой зоны.
11. Описание технологического процесса обработки конфиденциальной информации (я бы сказал технология защиты, обрабатываемой информации).
12. Технический паспорт АС (форма есть в СТР-К, довольно сложный документ, так как прийдется рисовать все линии электросвязи, ЛВС, розетки, лампочки, проводку, отопление, вентиляцию....... :)).
13. Перечень помещений, в которых расположен ОИ (ОИ может состоять из нескольких ПК в разных комнатах).
14. Инструкция пользователю / администратору ИБ.
15. Инструкция по организации парольной / антивирусной защиты.
16. Инструкция по эксплуатации средств защиты.
17. Если СЗИ уже установлены, то должны быть акты ввода в эксплуатацию этих СЗИ (установить и настроить СЗИ могут только лицензиаты ФСТЭК).
Вот такой небольшой пакет документов надо подготовить заказчику, перед тем как запускать процесс аттестации АС. Можно не разрабатывать, а попросить аттестаторов разработать, но тогда готовьтесь раскошелиться ;).
Комментариев нет:
Отправить комментарий