Отчет ПЗ 7.2 Проверка выполнения требований по безопасности информации. Отчет ПЗ 7.2 Проверка выполнения требований по безопасности инфо. Тема 2 Проверка выполнения требований по безопасности информации от утечки по техническим каналам и по требованиям по защите информации от нсд
Скачать 2.73 Mb.
|
Приложение № 1к Порядку организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации, не составляющей государственную тайну (Приказ ФСТЭК России от 29 апреля 2021 г. № 77 УТВЕРЖДАЮ _________________________ (руководитель (уполномоченное лицо) владельца объекта информатизации) ________________________ (подпись, инициалы и фамилия) «____» ____________ 2023 г. Т Е Х Н И Ч Е С К И Й П А С П О Р Т информационной (автоматизированной) системы _____________________________________________________________ (наименование информационной (автоматизированной) системы) Общие сведения об автоматизированной системе (АС) 1.1. Наименование автоматизированной системы: «автоматизированное рабочее место (АРМ) режимного подразделения АО «Организация» 1.2. Расположение программно-технических средств (ПТС) АС: г. Нижний Новгород, ул.Нартова, д. 6, помещение №215, второй этаж. 1.3. Установленная класс защищенности АС (категория значимого объекта, уровень защищенности (УЗ) персональных данных, класс ГИС): УЗ-3, К3, Акт классификации АС – «автоматизированного рабочего места режимного подразделения АО «Организация», от «____» __________ 2022 г. 1.4. Сведения о вводе АС в эксплуатацию: Приказ Директора АО «Организация» № ____ от «___» __________ 2022г.2. Условия расположения и эксплуатации АС 2.1. Сведения об архитектуре АС, включающие описание структуры и состава (типовых компонентов), структурную (топологическую) схему с указанием информационных связей между компонентами АС и иными информационными системами, в том числе с сетью Интернет. АС представлена в виде АРМ, предназначенного для работы в многопользовательском режиме, доступ исполнителей к работе осуществляется по утвержденному списку. Структурная (топологическая) схема АС указана в Приложении 1. АС не имеет взаимодействия с иными информационными системами, не имеет подключения к сети Интернет. Или / АС представлена в виде локальной вычислительной сети (ЛВС), объединенной в единую информационную систему средствами связи c использованием технологии удаленного доступа, имеющую выход в сеть международного информационного обмена (СМИО) «Интернет». Схема сетевого взаимодействия представлена в Приложении 3. 2.2 Описание технологического процесса обработки информации и режимы доступа к информационным ресурсам, включающее описание всех типов внешних, внутренних пользователей (привилегированных, непривилегированных), полномочий пользователей и тип доступа к информационным ресурсам. Объектами доступа являются: информация, содержащаяся в АС, а также данные о конфигурации, настройках программного обеспечения и средств защиты информации, данные о подсистеме защиты информации от несанкционированного доступа; общесистемное, прикладное и сетевое программное обеспечение, реализующее процессы обработки информации; программно-аппаратные средства и их программы, на которых функционируют средства вычислительной техники и телекоммуникационное оборудование (аппаратные платформы); средства защиты информации. Субъектами доступа к защищаемой в АС информации являются: администратор безопасности информации; пользователи, работающие в АС; - системный администратор. Размещение АС относительно границ контролируемой зоны объекта изображено в Приложении 2 Минимальное расстояние до границ контролируемой зоны объекта информатизации составляет 10 м. В помещениях АО «Организация» установлена охранная и пожарная сигнализации. Двери оборудованы врезными замками. Объект охраняется охраной ЧОП. Электропитание информационной системы в АО «Организация» осуществляется от трансформаторной подстанции (ТП), расположенной за пределами контролируемой зоны (КЗ). Схема представлена в Приложении 2. Перечень информационных ресурсов, программных и технических средств (объектов доступа), входящих в состав АРМ представлен в таблице 1: Таблица 1
АС предназначена для обработки информации ограниченного доступа, формирования электронных документов (ЭД) и вывода их на печать. При этом информация в АС может поступать из других подразделений и организаций на учтенных бумажных или электронных носителях информации Настройку систем защиты от НСД для конкретных пользователей и контроль ее работы осуществляет администратор безопасности информации. Функции, права, обязанности и порядок работы в АС администратора безопасности информации и пользователей регламентируются специально разработанными инструкциями администратору безопасности информации и пользователям. Идентификация и проверка подлинности субъектов доступа при входе в систему осуществляется средствами СЗИ НСД по индивидуальным идентификаторам, имени и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов. Смену пароля пользователя в штатном режиме может производить сам пользователь или администратор безопасности информации. Смену пароля администратора может производить только администратор безопасности информации. Полномочия доступа пользователей к информационным ресурсам, программным и техническим средствам АРМ представлен в таблице 2 Таблица 2
2.3. Сведения об аттестате соответствия информационно-телекоммуникационной инфраструктуры центра обработки данных (ИТИ ЦОД), на базе которой функционирует информационная (автоматизированная) система, а также о модели услуг, по которой предоставляются вычислительные услуги (заполняется при условии аттестации информационной (автоматизированной) системы на базе аттестованной на соответствие требованиям по защите информации ИТИ ЦОД): АС не подключена к ИТИ ЦОД. Или / На основании договора №ХХХ от 00.00.2022г. о предоставлении вычислительных услуг, АС подключена к ИТИ ЦОД, имеющей аттестат соответствия требованиям безопасности №ХХХ от 00.00.2022г. 3 Состав автоматизированной системы 3.1 Состав ПТС АС представлен в таблице 3. Таблица 3
3.2 Состав общесистемного и прикладного программного обеспечения АС представлен в таблице 4. Таблица 4
3.3 Состав телекоммуникационного оборудования АС и используемые для передачи информации линии связи представлен в таблице 5. Таблица 5
Или / Телекоммуникационное оборудование в АС не используется, информация по линиям связи не передаётся. 3.4 Состав средств защиты информации (СЗИ), используемых в АС, представлен в таблице 6. Таблица 6
Места установки СЗИ представлены на схеме в Приложении 3. 4. Сведения о соответствии АС требованиям по защите информации. 4.1 Сведения о протоколах аттестационных испытаний информационной (автоматизированной) системы. Заключение по результатам проведения специальной проверки (СП), уч. № ___ за 2022 г., выдано ФГУП «НПП «Бэтта» Протокол измерения ПЭМИН и расчета КЗ от ПЭВМ, уч. № _____ за 2022г., Предписание на эксплуатацию ПЭВМ, уч. № _____ за 2022г., выданы ФГУП «НПП «Бэтта»; Протокол аттестационных испытаний АС на соответствие требованиям по защите информации от несанкционированного доступа, уч. № _____ за 2022г., выданный ФГУП «НПП «Бэтта» 4.2 Сведения о заключении по результатам аттестационных испытаний информационной (автоматизированной) системы: Заключение по результатам аттестационных испытаний автоматизированной системы, уч. № ___ за 2022 г., выдано ФГУП «НПП «Бэтта» 4.3 Сведения об аттестации АС на соответствие требованиям по защите информации: Аттестат соответствия АС №01-02ПД/17/5 от 16 февраля 2022 г., выданный ФГУП «НПП «Бэтта». (Аттестат аккредитации органа по аттестации №СЗИ RU.082/2.В29.274, Лицензия по ТЗКИ регистрационный №0019 от 31 октября 2002г). 5. Сведения о проведении контроля за обеспечением уровня защищенности информации, содержащейся в информационной (автоматизированной) системе, приведены в таблице 7. Таблица 7
6. Сведения об изменениях информационной (автоматизированной) системы и средств защиты информации приведены в таблице 8. Таблица 8
Ответственный за эксплуатацию объекта вычислительной техники _______________________ ___________________________ (должность) (подпись, фамилия и инициалы) «__»______________ 20__г. Приложение №1 Структурная (топологическая) схема с указанием информационных связей между техническими средствами объекта информатизации
Схема интерфейсов АРМ Приложение №2 Схема контролируемой зоны, электроснабжения и заземления объекта вычислительной техники 12м Забор ТП > 200м КЗ вниз 10 м 12м 15м Помещение № 30 АРМ 2 Банкомат 16м Схема электроснабжения и заземления тп за кз тп в кз Приложение 3 Схема сетевого взаимодействия АС АО «Организация» Схема размещения СЗИ в ЛВС АС АО «Организация» Схема размещения СЗИ на АРМ АС АО «Организация» |