Учебная работа. Аттестация объектов информатизации и выделенных помещений МУ 'Финансовый отдел администрации Злынковского района'
Аттестация объектов информатизации и выделенных помещений МУ ‘финансовый отдел администрации Злынковского района’
ДИПЛОМНЫЙ проект
Аттестация объектов информатизации и выделенных помещений МУ «финансовый отдел администрации Злынковского района»
по дисциплине
«комплексные системы защиты информации»
Содержание
Введение
.Предварительное обследование аттестуемого объекта информатизации
.1 Общая информация об организации
.2 Предварительное обследование аттестуемого объекта информатизации
.2.1 исходные данные по аттестуемому объекту информатизации
.2.2 характер и уровень конфиденциальности обрабатываемой информации.
.2.3 Перечень помещений, состав комплекса технических средств.
.2.4 структура программного обеспечения
.2.5 Защищаемые информационные ресурсы
.Подготовка к аттестации
.1Требования к классу защищенности 1Д.
.Аттестация
.1Аттестационные испытания.
.2Испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации.
.Оценка результатов аттестационных испытаний.
. Расчёт информационных рисков
.1 анализ информации, циркулирующей в организации
.1.1 Оценка роли информационных активов
.1.2 Расчет стоимости информационных ресурсов
.1.3 Расчет полной стоимости информации
.2 Оценка угроз информационной безопасности
.3 Анализ и оценка уязвимостей
.4 Выработка мер по нейтрализации угроз
список использованной литературы
ПРИЛОЖЕНИЯ
Введение
В данной дипломной работе рассматриваются вопросы проведения аттестации объектов информатизации и выделенных помещений, на примере объекта — муниципального учреждения «Финансового отдела администрации Злынковского района».
Цель работы — выявление активов МУ «Финансового отдела администрации Злынковского района», угроз и уязвимостей, через которые они могут быть реализованы. анализ рисков информационной безопасности на объекте информатизации. Разработка документации для аттестации автоматизированной системы «Финансового отдела администрации Злынковского района».
В первой и второй частях проекта вынесены исходные данные по предприятию, а также описано предварительное обследование и получены исходные данные по автоматизированной системе (АС) предприятия.
В третьей и четвертой частях проекта описан процесс проведение подготовки объекта к аттестационным испытаниям, и произведена оценка результатов аттестационных испытаний.
В пятой части выполнена количественная оценка информационных рисков.
По результатам аттестации получен аттестат соответствия АС классу защищённости 1Д.
1.Предварительное обследование аттестуемого объекта информатизации
.1 Общая информация об организации
В качестве аттестуемого объекта в данном проекте рассматривается муниципальное учреждение «Финансовый отдел администрации Злынковского района».
Подробная характеристика деятельности учреждения «Финансового отдела администрации Злынковского района» представлена в таблице 1.1.
Таблица 1.1.
характеристика деятельности учреждения.
Название«Финансовый отдел администрации Злынковского района»Форма собственностиМуниципальное учреждениеВид деятельü Осуществляет операции по счетам Управления в финансовых органах, исполняющих бюджет, в учреждениях банков. ü Обеспечивает контроль за правильным и целевым использованием выделенных бюджетных ассигнований. ü Составляет в установленном порядке финансовую отчетность.РуководительЕрмаков Е.Б.Юридический адресРоссийская Федерация, Брянская область, г.Злынка, ул. Коммунальная, д. 15.количество штатных единиц21
Организационная структура МУ «финансового отдела администрации Злынковского района» (см. рис. 1.1).
рисунок 1.1. Структура подразделения
1.2 Предварительное обследование аттестуемого объекта информатизации
.2.1 исходные данные по аттестуемому объекту информатизации
исходные данные по аттестуемому объекту информатизации МУ «финансового отдела администрации Злынковского района» представлены в таблице 1.2.
Таблица 1.2.
исходные данные по аттестуемому объекту информатизации.
№НаименованиеСодержание1231. Общие сведения об объекте информатизации1.1.Наименование организации полноеМуниципальное учреждение «финансовый отдел администрации Злынковского района»1.2.Наименование организации сокращенноеМУ «РАЙФО»1.3.адрес организацииБрянская область, г. Злынка, ул. Коммунальная, 151.4.адрес объекта информатизацииБрянская область, г. Злынка, ул. Коммунальная, 151.5.Наименование АСИнформационная система МУ «финансовый отдел администрации Злынковского района»1.6.Категория объекта информатизации1.7.Класс защищенности АС от НСД1Д1.8.Принадлежность АСМУ «финансовый отдел администрации Злынковского района»1.9.Обеспечение выполнения требований по безопасности информацииОтсутствует1.10.Обеспечение контроля за выполнением требований по безопасности информацииОтсутствует2. Условия размещения объекта информатизации2.1.место установки ОТССВ кабинетах предприятия2.2.Граница контролируемой зоныПо периметру здания2.3.Смежные помещения и их функциональное назначениеКоридор, лестница.2.3.1.Выше этажом:Крынша2.3.2.Ниже этажом:Продовольственный магазин2.3.3.Слева:«Отдел образования администрации Злынковского района» (РОНО)2.3.4.Справа:муниципальное унитарное предприятие «Злынковский районный водоканал»2.4.Вход в помещение АСЧерез коридор2.5.Расстояние от ОТСС до мест возможного размещения портативных средств разведки ПЭМИНРасстояние от границы КЗ — 2 метров2.5.1.-возимых ВСР15 м2.5.2.-носимых НСР5 м2.6.Система охранно-пожарной сигнализации автоматизированной системы.Только пожарная сигнализация2.7.Система электропитания и заземленияЦентральная электросеть2.7.1место нахождения трансформаторной подстанции относительно границ КЗЗа пределами КЗ2.7.2наличие посторонних потребителей электроэнергии в пределах КЗНет2.7.3место нахождения заземлителей относительно границ КЗВ пределах КЗ3. Перечень организационно- распорядительной и эксплуатационной документации3.1.Организационно — распорядительная документация3.1.1.Схема контролируемой зоныПриложение № 13.1.2.Акт категорирования-3.1.3.Акт классификации-3.1.4.Описание технологического процесса обработки информации-3.1.5.Технический паспортПриложение № 23.1.6.Другие документы:3.2.Эксплуатационная документация-3.2.1.Сведения о специальных лабораторных проверках технических средств импортного (совместного) производства.-3.2.2.Сведения о специальных исследованиях технических средств.-3.2.3.Предписание на эксплуатацию объекта информатизации.-3.2.4.инструкции по эксплуатации средств защиты информации.-3.2.5.другие документы:-4. Дополнительная информации4.1.руководитель организацииЕрмаков Е.Б.4.1.1.Должность Руководителя организацииЗаместитель главы администрации района, начальник4.1.2.И. О. Фамилия руководителя организацииЕрмаков Е.Б4.1.3.Должность лица, утверждающего документыЗаместитель главы администрации района, начальник4.1.4.И. О. Фамилия лица, утверждающего документыЕрмаков Е.Б4.2.Комиссия по классификации и категорированиюПредседатель комиссии4.2.1.ДолжностьЗаместитель главы администрации района, начальник4.2.2.И. О. ФамилияЕрмаков Е.БЧлены комиссии4.2.3.ДолжностьСистемный администратор4.2.4.И. О. ФамилияТурцов К.В.4.3.Ответственный за разработку организационно- распорядительной документации по защите информации на объекте информатизации4.3.1.ДолжностьСпециалист по ЗИ4.3.2.И. О. ФамилияКормаков А.П.
1.2.2 характер и уровень конфиденциальности обрабатываемой информации
Информация, обращающаяся в МУ «финансовый отдел администрации Злынковского района», представлена как в бумажном виде, которая хранится в каждом отделе так и в электронном виде, хранящаяся на сервере, который находится у системного администратора, а также на каждом персональном компьютере в каждом отделе. Данная информация не является информацией ограниченного доступа, и доступ к ней в рамках своей организации в установленном порядке имеют все сотрудники управления.
В силу специфики выполняемых задач в финансовом управлении находится и обрабатывается следующая информация:
1.Финансовые документы;
2.Данные о партнерах;
.журналы учета и регистрации
.Деловая переписка
.Договора с подрядчиками
.договора с поставщиками
.Лицевые счета работников
8.Банковские выписки
9.Сведения о совещаниях
10.Сведения передаваемые налоговым органам
11.Документы по безопасности
Необходимый класс защищенности АС от НСД — 1Д: в силу малой степени конфиденциальности информации циркулирующей в АС.
1.2.3 Перечень помещений, состав комплекса технических средств
План-схема МУ «финансовый отдел администрации Злынковского района» представлена в приложения 1.
В таблице 1.3 представлен состав основных технических средств и систем.
Таблица 1.3
Состав основных технических средств и систем (ОТСС)
№НаименованиеМодельИзготовитель1.ПЭВМ в составе:1.1. Системный блокIntel Pentium 4 CPU 2.00GHz, RAM 1024MbIntel1.2. МониторL1953TRLG1.ПЭВМ в составе:1.3. МышьOP-3D МХ518-23A4Tech1.4. КлавиатураKB-1606 LX514561-6 Logitech1.5. принтер лазерныйLaserJet 1020 KFKE87974-6HP2.СерверIntel Pentium 4 CPU 2.00GHz, RAM 2024MbIntel3.КоммутаторCisco CatalystCisco
В таблице 1.4 представлен состав вспомогательных технических средств и систем.
Таблица 1.4
Состав вспомогательных технических средств и систем (ВТСС)
№НаименованиеМодельИзготовительВыход линий от ВТСС за пределы КЗРасстояние от ВТСС до ОТСС1.Извещатель пожарный ручнойИРООО «СИГМА-ИС», РоссияНетот 1 до 20 метров2.Извещатель пожарный дымовой оптико-электронныйА2ДПИООО «СИГМА-ИС», РоссияНет2 метр3.ПультППК«Рубикон»ООО «СИГМА-ИС», РоссияНетот 1 до 3 метров4.Оповещатель охранно-пожарный комбинированныйОСЗООО «СИГМА-ИС», РоссияНетот 5 до 10 метров5.КондиционерыW07LCLGНет3 метра
1.2.4 Структура программного обеспечения
перечень разрешенного к использованию программного обеспечения на объекте информатизации, представлен в таблице 1.5.
Таблица 1.5
перечень разрешенного к использованию ПО
№Наименование ПОСерийный номер, версия1Операционная системаWindows Vista SP2 Build 6002.18005.090410-1830 Windows Server — SP2 7.4.4251.21472программа обработки документовMS Office 2007 84026-846-4692601-7263Антивирусная защитаDr. Web 6.0 — 8350.173.2934другие программыПК «Бюджет-КС» 059.08 Свод-КС 1_09 sp 10 зарплата-КС 9046-624-8824-643 Гранд-Смета 568-2158-356 консультант плюс Система «СТЭК-Траст» 4434-599-542-32 VipNET (Деловая почта ПФР и статистика) Lotus ccMail
Перечень установленных средств защиты информации от несанкционированного доступа представлен в таблице 1.6.
Таблица 1.6
перечень установленных СЗИ от НСД
№НаименованиеИзготовительСертификат1антивирус Dr. Web 6.0Доктор Веб <#"justify">1.2.5 Защищаемые информационные ресурсы
перечень защищаемых информационных ресурсов представлен в таблице 1.7.
Таблица 1.7
перечень защищаемых информационных ресурсов
Наименование (тип) защищаемого ресурсаКатегория защищаемого ресурсаМесто хранения защищаемого ресурса1. традиционные (бумажные) документы1.1. Документы на столах работниковКонфиденциальнаястолы работников1.2. Документы в шкафах и сейфахКонфиденциальнаяшкафы и сейфы1.3. Документы в архивеКонфиденциальнаяпомещение архива ОК1.4. Документы в папкахКонфиденциальнаяшкафы2. электронные документы2.1. ЖМД персональных ЭВМКонфиденциальнаякабинеты2.2. ЖМД сервера с каталогами БДКонфиденциальнаясерверная
перечень пользователей допущенных к обработке информации представлен в таблице 1.8.
Таблица 1.8
перечень пользователей, допущенных к обработке информации
№ИдентификаторФ.И.О.Уровень полномочий1Зам. главы администрации района, начальника финансового отделаЕрмаков Е.Б.Привилегированный пользовательОТДЕЛ БЮДЖЕТНОГО ПЛАНИРОВАНИЯ2Заместитель начальника финансового отделаКорчатова Е.В.Привилегированный пользователь3Начальник отдела бюджетного планированияТолобаева Н.Н.Привилегированный пользователь4Заведующий секторомРюмина Ю.В.пользователь5Ведущий специалистКромина Я.С..Пользователь6Гл. инспекторСворцов А.Н.ПользовательОтдел прогнозирования и планирования доходов 7Ведущий специалист по доходамСуриков В.В.ПользовательОТДЕЛ УЧЕТА И ОТЧЕТНОСТИ8Начальник отдела учета и отчетностиВасюкова В.А.Привилегированный пользователь9Ведущий специалистЗонтикова О.И.Пользователь10Гл. инспекторПешкова Т.А..ПользовательОТДЕЛ экономики.11Заместитель начальника финансового отдела, начальник отдела экономикиМатвеева Г.А.Привилегированный пользователь12Ведущий специалистЛатикова С.А.ПользовательОТДЕЛ КОНТРОЛЯ И РЕВИЗИИ.13Ведущий специалистПетров А.Д.Привилегированный пользователь14Специалист первой категорииКурагина Д.А.Пользователь15Системный администраторШкурин П.А.администратор16Секретарь-КадровикШоршина В.П.Привилегированный пользователь
В таблице 1.9 приведена матрица доступа к защищаемым информационным ресурсам.
Таблица 1.9
Матрица доступа к защищаемым информационным ресурсам
права по доступу к информацииНаименование ресурсаАдминистраторПривилегированный пользовательПользовательЖМД сервераR,W,D,N,E.R,W,N,E.R,W,E.ЖМД ЭВМR,W,D,N,E.R,W,D,N,E.R,W,N,E.R-чтение; W-запись; D-удаление; N- переименование; E-исполнение
1.
2. Подготовка к аттестации
Для проведения аттестации АС необходимо:
)Привести АС организации в соответствии с требованиями, предъявляемыми к выборному классу АС.
)направить заявку (приложение 3) в установленном порядке в орган по аттестации.
)Направить пакет исходной информации представленный в первых двух главах данного проекта.
)разработать организационно-распорядительную документацию по защите конфиденциальной информации.
Разработаны следующие документы:
üПеречень сведений конфиденциального характера.
üПеречень лиц, допущенных к информации конфиденциального характера.
üПоложение о защите конфиденциальной информации.
üПолитика безопасности.
2.1 Требования к классу защищенности 1Д
Подсистема управления доступом:
должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов (осуществляется средствами ОС).
Подсистема регистрации и учета:
должна осуществляться регистрация входа (выхода) субъектов доступа в систему, либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются (осуществляется средствами ОС):
üдата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
üрезультат попытки входа: успешная или неуспешная — несанкционированная;
üидентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных журнала (учетную карточку) (осуществляется организационными мероприятиями);
учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема) (осуществляется организационными мероприятиями).
Подсистема обеспечения целостности:
должна быть обеспечена целостность программных средств СЗИ от НСД, обрабатываемой информации, а также неизменность программной среды (осуществляется средствами ОС);
должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время (осуществляется организационными и инженерно-техническими мероприятиями);
должно проводиться периодическое тестирование функций СЗИ от НСД при изменении программной среды и персонала АС с помощью тест — программ, имитирующих попытки НСД (осуществляется организационными мероприятиями);
должны быть в наличии средства восстановления СЗИ от НСД, предусматривающие ведение двух копий программных средств СЗИ от НСД и их периодическое обновление и контроль работоспособности (осуществляется организационными мероприятиями, а также использованием систем резервного копирования).
2.
3.Аттестация
.1 Аттестационные испытания
На этапе аттестационных испытаний объекта:
1.производится проверка технологического процесса обработки и хранения информации и определение состава используемых средств вычислительной техники (таблица 1.3).
2.Проверка состояния организации работ и выполнения организационно-технических требований по защите информации.
.Проверяется соответствие реального состава ТСОИ (таблица 1.3), ВТСС (таблица 1.4) и средств защиты указанному в техническом паспорте на аттестуемый объект и представленных исходных данных.
.Проверяется состояние и сохранность печатей на технических средствах, выявляются ТСОИ, ВТСС и средства защиты информации, подвергшиеся несанкционированному вскрытию.
.Проверка защищенности автоматизированной системы от утечки информации за счет побочных электромагнитных излучений.
.испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации.
Все выявленные нарушения и недостатки, отступления от проектных решений включаются в заключение по результатам аттестационных испытаний.
3.2 испытания автоматизированной системы обработки информации на соответствие требованиям по защите информации
Требования по защите информации АС приведены в руководящем документе «автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации».
АС класса 1Д должна удовлетворять требованиям представленным в пункте 2.2. т. к. ЛВС имеет выход в сеть Интернет, налагается ещё одно требование: наличие сертифицированного ФСТЭК межсетевого экрана.
3.
4.Оценка результатов аттестационных испытаний
производится подготовка отчетной документации, дается заключение аттестационной комиссии, проводится оформление и согласование отчетной документации в соответствии с требованиями ФСТЭК России.
По завершении аттестационных испытаний, автоматизированной системе выдаётся документ, подтверждающий её соответствие определенному уроню защиты информации — аттестат соответствия.
Аттестат соответствия приведён в приложении 4.
В случае не соответствия автоматизированной системы требованиям документации по защите информации, аттестационной комиссией могут быть рекомендованы мероприятия по повышению уровня защищенности информации, после выполнения которых выдаются аттестат соответствия.
В результате проведённых аттестационных испытаний были выявлены недостатки в защищённости аттестуемого объекта. Необходимо провести усовершенствование средств и методик для достижения необходимого уровня защищённости.
Вопросы инженерно-технической защиты объекта рассматриваются в рамках работы по «Инженерно-технической защите информации».
5. Расчёт информационных рисков
.1 Анализ информации, циркулирующей в организации
анализ информации циркулирующей на предприятии основывается на рассмотрении:
. идентификации и оценки информационных активов (ИА).
. Идентификации и оценки информационных ресурсов (ИР).
основной целью этапа идентификации и оценки ИА является получение количественных значений вероятного ущерба при воздействии УБИ и минимально допустимых значений информационных рисков. Наибольшее негативное влияние может оказать нарушение целостности, конфиденциальности и доступности информационным активам.
5.1.1 Оценка роли информационных активов
Для анализа информационных активов выполним ряд расчетов, из которых получим оценку степени их важности..
1. Определим сумму прибыли, получаемую за счет информационных активов — прибыльную стоимость информации (SПИА).
Она важна потому, что показывает то количество средств, которое учреждение может использовать для покрытия убытков в результате воздействия УБИ.
Так как основной деятельностью учреждения направлена на соблюдение единых принципов финансово-бюджетного планирования и финансирования, создание финансовой базы для комплексного социально-экономического развития района и осуществление контроля за исполнением бюджета, соблюдением финансовой дисциплины органами управления, муниципальными предприятиями, учреждениями и другими хозяйствующими субъектами по вопросам, регулируемым органами местного самоуправления, то вся Прибыль получается за счет информационных активов.
таким образом, сумма прибыли, получаемая за счет информационных активов равна общей сумме прибыли учреждения и составляет:
SПИА = 700 000 рублей.
. Оценка важности ИА
Для выставления оценки выберем следующие лингвистические переменные:
— маловажно1
средней важности3
важно 5
очень важно7
Далее следует оценить важность каждого ИА. Оценка производится по следующей формуле:
, (1)
где i — порядковый номер актива.
В результате каждому активу должен быть присвоен коэффициент важности, который должен удовлетворять двум условиям:
; (2)
,
где n — порядковый номер информационного актива.
. Расчёт стоимости каждого ИА
Расчет стоимости каждого ИА производится, как произведение прибыльной стоимости информации и коэффициента важности.
.(3)
Стоимость информационного актива определяет минимально допустимое значением информационных рисков для него.
. анализ важности ИА представлен в таблице 5.1
Таблица 5.1
анализ стоимости информационных активов
№ п.п.Наименование активаОценка важности (Oу)Коэф. важности (Kn)Стоимость актива (Sиа)1финансовые документы50,089286625002Данные о партнерах70,125875003Деловая переписка30,053571375004договора с подрядчиками50,089286625005Сведения о персонале50,089286625006Лицевые счета работников70,125875007Банковские выписки70,125875008Сведения о совещаниях30,053571375009Сведения передаваемые налоговым органам70,1258750010Документы по безопасности70,12587500
Стоимость информационного актива определяет минимально допустимое
5.1.2 Расчет стоимости информационных ресурсов Необходимо создать перечень и проанализировать информационные ресурсы. основной задачей при идентификации и оценке ИР является получение полной стоимости каждого ресурса (SИР), которая будет равна значению ущерба при воздействии УБИ. Полная стоимость ИР складывается из его стоимости (SИРз) и стоимости содержащейся в нём информации (SИРа). Для объективной оценки ИР необходимо определить их полный перечень. При определении перечня информационных ресурсов необходимо учитывать состав и свойства носителей информации, а так же порядок работы с ИР. Выделим следующие информационные ресурсы: . Отдельные бумажные документы — документ. .Бумажные документы, находящиеся в столах сотрудников — стол сотрудника. . Бумажные документы, подшитые в папку и не закрытые в специальные шкафы и сейфы — папка с документами. . Документы, находящиеся в сейфе или специальном шкафе для хранения документов — сейф, шкаф. . Документы, находящиеся в архиве отдела кадров — помещение архива ОК. . электронные документы, находящиеся на ПЭВМ сотрудников — ПЭВМ сотрудника. . электронные документы и БД, находящиеся на сервере — . Стоимость ИР определяется как сумма всех фактических расходов на приобретение, приведение и поддержание их в состоянии, пригодном для использования в запланированных целях. Расчет стоимости ИР приведён в таблице 5.2. Таблица 5.2 Анализ стоимости информационных ресурсов № ресурсаНаименование параметраЕдиница измеренияЗначение1.1.1Заработная плата сотрудника за месяцруб.150001.2Расход бумаги (затраты на бумагу)руб.7001.3Расход тонераруб.3001.4прочие расходы (оплата за отопление, электроэнергию и т.п.)руб.60001.5Итого (SИРз1)руб.220002.2.1Заработная плата сотрудникам за месяцруб.150002.2Расход бумаги (затраты на бумагу)руб.7002.3Расход тонераруб.3002.4Стоимость столовруб.120002.5прочие расходы (оплата за отопление, электроэнергию и т.п.)руб.60002.6Итого (SИРз2)руб.340003.3.1Заработная плата сотрудникам за месяцруб.150003.2Расход бумаги (затраты на бумагу)руб.7003.3Расход тонераруб.3003.4Стоимость папокруб.1503.5прочие расходы (оплата за отопление, электроэнергию и т.п.)руб.60003.6Итого (SИРз3)руб.221504.4.1Заработная плата сотрудникам за месяцруб.150004.2Расход бумаги (затраты на бумагу)руб.7004.3Расход тонераруб.3004.4Стоимость шкафовруб.100004.5прочие расходы (оплата за отопление, электроэнергию и т.п.)руб.60004.6Итого (SИРз4)руб.320005.5.1Расходы на хранение (SИРз5)руб.15006.6.1Заработная плата сотрудникам за месяцруб.150006.2Оплата Internetруб.20006.3Расходы на ЭВМруб.32006.4прочие расходы (оплата за отопление, электроэнергию и т.п.)руб.60006.5Итого (SИРз6)руб.262007.7.1Заработная плата системного администратораруб.120007.2Оплата Internetруб.20007.3Расходы на ЭВМруб.32007.4прочие расходы (оплата за отопление, электроэнергию и т.п.)руб.60007.5Стоимость ПОруб.300007.6Итого (SИРз7)руб.53200 5.1.3 Расчет полной стоимости информации Далее необходимо провести оценку стоимости информации, содержащейся в ИР. Сначала составляется матрица участия — не участия ИР в реализации каждого ИА. Если ИР участвует в реализации данного ИА — ставим на их пересечении 1, если нет — 0 (табл. 5.3). затем каждая 1 делится на количество единиц в данном столбце и составляется таблица коэффициентов участия каждого ИР в реализации каждого ИА. (табл.5.4) Таблица 5.3 Матрица участия — не участия ИР А1А2А3А4А5А6А7А8А9А10Р11111111111Р21011000100Р31111111011Р41110111111Р51000100000Р61111101110Р71100001011 Таблица 5.4 Оценочная матрица ИР А1А2А3А4А5А6А7А8А9А10Р10,140,20,20,250,20,330,20,250,20,25Р20,1400,20,250000,2500Р30,140,20,20,250,20,330,200,20,25Р40,140,20,200,20,330,20,250,20,25Р50,140000,200000Р60,140,20,20,250,200,20,250,20Р70,140,200000,200,20,25 Для определения части стоимости актива, входящую в ресурс, необходимо стоимость актива (SИА) умножить на коэффициент. Т.е. в оценочной матрице необходимо заменить значения коэффициентов их произведением на стоимость актива. Стоимость информации ИР (SИРа) определяется, как сумма частей стоимости активов, которые он реализует. Это соответствует сумме значений оценочной матрицы по строкам. Эта сумма соответствует стоимости информации, содержащейся в ресурсе. Эта же сумма является максимально допустимым уровнем риска для данного ресурса. (табл.5.5). Таблица 5.5 Матрица стоимости ИР А1А2А3А4А5А6А7А8А9А10(SИРз)Р187501750075001562512500288751750093751750021875157000Р28750075001562500093750041250Р387501750075001562512500288751750001750021875147625Р48750175007500012500288751750093751750021875141375Р58750000125000000021250Р6875017500750015625125000175009375175000106250Р78750175000000175000175002187583125 Полная стоимость ИР (SИР) слагается из суммы затрат на него (SИРз) и стоимости информации (SИРа), т.е. . Эта стоимость является величиной потерь при воздействии УБИ. Результатом анализа информации является перечень информационных ресурсов с полной стоимостью и величиной максимального риска. Он представлен в таблице 5.6. Таблица 5.6 анализ информации защищаемого объекта № п.п.Наименование ресурсаПолная стоимость ресурсаMакс. риск1.Отдельные бумажные документы — документ1790001570002.Бумажные документы, находящиеся в столах сотрудников — стол75250412503.Бумажные документы, подшитые в папку и не закрытые в специальные шкафы и сейфы — папка с документами1697751476254.Документы, находящиеся в сейфе или специальном шкафе для хранения документов — сейф, шкаф1733751413755.Документы, находящиеся в архиве отдела кадров — помещение архива ОК22750212506.электронные документы, находящиеся на ПЭВМ сотрудников — ПЭВМ сотрудника1324501062507.электронные документы и БД, находящиеся на сервере — 13632583125 5.2 Оценка угроз информационной безопасности Анализ угроз информационной безопасности состоит из двух частей: . Составляется список угроз информационной безопасности: ) Угрозы физической целостности, логической структуры, содержания и доступности информационных ресурсов: ·утрата информации из-за ошибок персонала; ·сбои в работе аппаратуры; ·сбои и ошибки в работе ПО; ·воздействие стихийных сил; ·воздействие вредоносного ПО. ) угрозы конфиденциальности: ·НСД злоумышленников к традиционным ИР; ·НСД злоумышленников к электронным ИР; ·несанкционированное ознакомление с информацией с помощью технических средств; ·утрата информацией конфиденциальности за счет ее разглашения . производится оценка угроз по степени их опасности. Можно выделить следующие лингвистические переменные: — маловероятно2; вероятно4; очень вероятно6. Оценка угроз безопасности предприятия представлена в таблице 5.7. Таблица 5.7 Оценка угроз безопасности информации предприятия № п.п.Наименование угрозыЛингвистическая оценкаВероятность1.НСД злоумышленников к традиционным ИР40,672.НСД злоумышленников к электронным ИР20,333.Несанкционированное ознакомление с информацией с помощью технических средств20,334.Утрата информацией конфиденциальности за счет ее разглашения персоналом20,335.Утрата информации из-за ошибок персонала40,676.Сбои в работе аппаратуры20,337.Сбои и ошибки в работе ПО40,678.воздействие вредоносного ПО30,59.Воздействие стихийных сил10,17 После получения оценки УБИ, значения необходимо нормализовать, т.е. каждое значение оценки разделить на максимальное. Полученный результат используется в качестве значения вероятности воздействия угрозы. 5.3 Анализ и оценка уязвимостей Исходя из определения уязвимости, любая угроза может быть реализована только через неё. Это значит, что каждой угрозе, если она актуальна для данного объекта защиты, соответствует одна или несколько уязвимостей. Если на объекте нет уязвимостей, через которые можно реализовать угрозу, то угроза для объекта не актуальна. Особенностью уязвимости является то, что через одну уязвимость может быть реализовано несколько угроз. В свою очередь, УБИ могут быть реализованы через несколько уязвимостей. Соотнесение угроз и уязвимостей представлено в таблице 5.8. Таблица 5.8 Соотнесение угроз и уязвимостей № п.п.УгрозыУязвимости1.НСД злоумышленников к традиционным ИР1.1. Недостаточная физическая защита объекта (отсутствие ограждений, запираемых дверей, решёток на окнах, пропускного режима, поста охраны)1.2. Отсутствие инженерно-технической защиты объекта (сигнализации)1.3. Незащищённость ИР11.4. Склонение персонала к сотрудничеству2.НСД злоумышленников к электронным ИР2.1. Наличие недокументированных возможностей ПО (ошибки разработчиков)2.2. Ошибки в работе пользователей2.3. Незащищённость ИР2.4. Склонение персонала к сотрудничеству3.Несанкционированное ознакомление с информацией с помощью технических средств3.1.Снятие ПЭМИН3.2. визуально-оптический КУИ (снятие информации с мониторов, документов на столах сотрудников)3.3. Акустический КУИ4.Утрата информацией конфиденциальности за счет ее разглашения персоналом4.1. Склонение персонала к сотрудничеству4.2. неправильные действия персонала5.Утрата информации из-за ошибок персонала5.1. недостаточная квалифицированность5.2. Неправильные действия персонала6.Сбои в работе аппаратуры6.1. Низкая надёжность отдельных узлов аппаратуры6.2. нестабильность электропитания6.3. Неправильные действия пользователей7.Сбои и ошибки в работе ПО7.1. наличие недокументированных возможностей ПО (ошибки разработчиков)7.2. неправильные действия и ошибки пользователей8.Воздействие вредоносного ПО8.1. наличие недокументированных возможностей ПО8.2. Неправильные действия и ошибки пользователей8.3. Незащищённость ИР9.воздействие стихийных сил9.1. Пожар (отсутствие средств пожаротушения и пожарной сигнализации)9.2. иные форс-мажорные обстоятельства Любая уязвимость может проявиться только в том случае, когда проявляются три фактора: пространственный, временной и энергетический. Эти факторы называются прямыми. Пространственный фактор (Ps) — это условие того, что информация находится в том пространстве, в котором проявляется уязвимость. здесь необходимо учитывать, что под пространством понимается не только реальное, географическое, пространство, но и виртуальное. например, если существуют недокументированные особенности базы данных, которые приводят к сбоям в её работе, то уязвимость может быть опасной только для той информации, которая в ней хранится. Временной фактор (Pt) — это условие того, что уязвимость проявится в то время, когда будет существовать информация. Энергетический фактор (Pp) можно определить, как условие достаточного количества энергии для проявления уязвимости. однако, в некоторых случаях ситуация может быть противоположной. Т.е. может не хватить энергии для нормальной работы системы, и информация будет утеряна. Количественной характеристикой влияния прямых факторов на проявление угрозы является их вероятность. Поскольку уязвимость проявляется при наличии сразу трёх факторов, то вероятность проявления уязвимости является прямое произведение вероятностей этих факторов. . (6) Проявление самих факторов, так же зависит от множества условий, которые называются косвенными факторами уязвимости. Проявление косвенных факторов приводит к проявлению прямых. Т.е. вероятность проявления прямых факторов зависит от вероятности проявления косвенных. вероятность угрозы принимается равной 1. Анализ вероятностей уязвимостей, через которые реализуется угроза, представлен в таблице 5.9. Таблица 5.9 анализ вероятности уязвимости № уяз.УязвимостьЗнач. прям. ф-раКосвенный фактор и параметрЗначение парам.НаименованиеP1.1недостаточная физическая защита объекта Р=0,43Ps = 1Доступ к ресурсам осуществляется через КЗPt = 1информация существует постоянноPp = 0,43Недостаточное качество и количество рубежей охраны0,430,431.2Отсутствие инженерно-технической защиты объекта Р=0,43Ps = 0,43недостаточная физическая защиты КЗ0,430,43Pt = 1информация существует постоянноPp = 1Отсутствие охранной сигнализации1.3 2.3 8.3Незащищённость ИР Р=0,43Ps = 1информация находится на незащищённых носителяхPt = 0,43вероятность доступа к информации 0,43 0,43Pp = 1Доступ к носителю приведёт к утере или разглашению информации1.4 2.4 4.1Склонение персонала к сотрудничеству Р=0.316Ps = 1Персонал, имеющий допуск, имеет доступ к ИРPt = 1Персонал, имеющий допуск, имеет постоянный доступ к информацииPp = 0.316Персоналу злоумышленниками будут предложены более выгодные условия*0.3160.3162.1 7.1 8.1Наличие недокументированных возможностей ПО Р=0,05Ps = 1Все ПО работает на сервереPt = 0.7Процент ошибок разработчиков0,055%Pp = 1Любая ошибка ПО может привести к потере или НСД к информации2.2 4.2 5.1, 5.2 6.3 7.2 8.2Неправильные действия и ошибки пользователей Р=0,3Ps = 1Персонал, имеющий допуск, имеет доступ к ИРPt = 0.3Процент ошибочных действий персонала0,330%Pp = 1Любая ошибка может привести к потере или НСД к информации3.1Снятие ПЭМИН Р=0Ps = 0информация обрабатывается на ПЭВМ, в пределах КЗ, что сводит вероятность снятия ПЭМИн к 000Pt = 1Информация существует постоянно в рамках рабочего дняPp = 1Затраты на специальное оборудование превышают ущерб от перехвата информации003.2Утечка через визуально-оптический КУИ Р=0,2Ps = 0,2Незащищённость от средств оптической разведки*0,20,2Pt = 1информация существует постоянно в рамках рабочего дняPp = 1Читаемость данных с экранов, документов на столах3.3Утечка через акустический КУИ Р=0Ps = 0Уровень звукового шума за перегородкамиPt = 1информация существует постоянно в рамках рабочего дняPp = 1наличие качественных средств подслушивания и записи информации6.1Низкая надёжность отдельных узлов аппаратуры Р=0,64Ps = 1Все узлы сервера участвуют в обработке информацииPt = 0.64вероятность выхода из строя 0,64 0,64Pp = 1При выходе из строя любого узла — ЭВМ выйдет из строя6.2Нестабил-ть электропитания Р=0Ps = 1 подключен к данной линии электропитанияPt = 0 работает круглосуточноPp = 1Площадь поперечного сечения алюминиевого провода, все ЭВМ оснащены ИБП08 мм29.1Пожар Р=0.145Ps = 1Вся информация находится в одном зданииPt = 0.145Вероятность пожара*0.1450.145Pp = 1Может быть уничтожена вся информация9.2Иные форс-мажорные обстоятельства Р=0,05Ps = 1Вся информация находится в одном зданииPt = 0.7Вероятность0,1≈ 0,05Pp = 1Может быть уничтожена вся информация При расчете прямых факторов нам необходимо воспользоваться формулой сложения вероятностей косвенных факторов: (7) *Расчёт косвенных факторов .1. Недостаточная физическая защита объекта В соответствии с наличием и качеством рубежей физической охраны выделим следующие вероятности прохождения каждого рубежа: ·Железный забор — 0,4; ·двери, окна — 0,05; Прохождение каждого рубежа защиты внесёт свою долю в вероятность проникновения на объект, соответственно рассчитаем вероятность по формуле: (8) 11=0,43 .4,2.4,4.1. Персоналу злоумышленниками будут предложены более выгодные условия ·весомые условия сотрудничества — 0,2; ·личные счёты — 0,1; ·шантаж — 0,05. P14=0.316 .2. Незащищённость от средств оптической разведки вероятность реализации через уязвимости: ·через окна (второй этаж, жалюзи) — 0; ·просмотр документов оставленных на столе, экранах мониторов сотрудниками — 0,2; P32=0,2 .3. Уровень звукового шума за перегородками Расчёт сделан в рамках дипломной по инженерно-технической защите объекта. .1. вероятность выхода из строя узлов аппаратуры: ·микропроцессор — 0,1; ·материнская плата — 0,2; ·жесткий диск — 0,5; P61= 0.64 .1. Вероятность пожара ·доля пожаров на предприятиях относительно общего числа — 0,1; ·количество пожароопасных ситуаций на предприятии — 0; ·неисправности средств пожаротушения и пожарной сигнализацией — 0,05. P61=0.145 5.4 Выработка мер по нейтрализации угроз обработка информация безопасность риск Разработка мероприятий по защите информации и подбор технических средств необходимо начать с анализа информационных рисков. Расчёт риска ведётся по формуле: (9),где — стоимость информации, Ругр — вероятность реализации угрозы, Руяз — вероятность уязвимости. Расчет рисков ведётся по материалам анализа информации и анализа УБИ. Он представлен в таблице в таблице 5.10. Таблица 5.10 Расчет информационных рисков № ИРНаименование угрозыНаименование уязвимостиПолная ст-ть ресурсаРискMaкс. риск1.1 — 0,67; 3 — 0,33; 4 — 0,33; 5 — 0,67; 9 — 0,17; P=0, 9581.1 — 0,43; 1.2 — 0,43; 1.3 — 0,43; 1.4 — 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 — 0,3; 9.1- 0,145; 9.2 — 0,05 Р= 0,961790001646221570002.1 — 0,67; 4 — 0,33; 5 — 0,67; 9 — 0,17; P=0, 9381.1 — 0,43; 1.2 — 0,43; 1.4 — 0,316; 5.1- 0,3; 5.2 — 0,3; 9.1- 0,145; 9.2 — 0,05 Р= 0,917525064232412503.1 — 0,67; 4 — 0,33; 5 — 0,67; 9 — 0,17; P=0, 9381.1 — 0,43; 1.2 — 0,43; 1.4 — 0,316; 5.1- 0,3; 5.2 — 0,3; 9.1- 0,145; 9.2 — 0,05 Р= 0,911697751449161476254.1 — 0,67; 4 — 0,33; 5 — 0,67; 9 — 0,17; P=0, 9381.1 — 0,43; 1.2 — 0,43; 1.4 — 0,316; 5.1- 0,3; 5.2 — 0,3; 9.1- 0,145; 9.2 — 0,05 Р= 0,911733751479891413755.1 — 0,67; 4 — 0,33; 9 — 0,17; P=0,8151.1 — 0,43; 1.2 — 0,43; 1.4 — 0,316; 9.1- 0,145; 9.2 — 0,05 Р= 0,822275015204212506.2 — 0,33; 3 — 0,33; 4 — 0,33; 5 — 0,67; 6 — 0,33; 7 — 0,67; 8 — 0,5; 9 — 0,17; P= 0,9902.1 — 0,05; 2.2 — 0,3; 2.3 — 0,43; 2.4 — 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 — 0,3; 6.1 — 0,64; 7.1- 0,05; 7.2 — 0,3; 8.1 — 0,05; 8.2 -0,3; 9.1- 0,145; 9.2 — 0,05 Р= 0,991324501298141062507.2 — 0,33; 3 — 0,33; 4 — 0,33; 5 — 0,67; 6 — 0,33; 7 — 0,67; 8 — 0,5; 9 — 0,17; P=0,9902.1 — 0,05; 2.2 — 0,3; 2.3 — 0,43; 2.4 — 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 — 0,3; 6.1 — 0,64; 7.1- 0,05; 7.2 — 0,3; 8.1 — 0,05; 8.2 -0,3; 9.1- 0,145; 9.2 — 0,05 Р= 0,9913632513361283125 Не все информационные ресурсы защищены достаточно, поэтому необходимо применить ряд дополнительных мер, снижающих вероятность уязвимостей таблица 5.11. Таблица 5.11 № п.п.Уязвимость№ ИРМетод предотвращенияСнижаемый показатель (Ps, Pt, Pp)1.1недостаточная физическая защита объекта1-7Установка дополнительных рубежей охраны: спирального барьера безопасности, укреплённых дверей, решёток на окнаPp1.2Отсутствие инженерно-технической защиты объекта1-7Оснащение СКУД и охранной сигнализациейPp1.3 2.3 8.3Незащищённость ИР1Введение инструкций хранения документовPt1.4 2.4 4.1Склонение персонала к сотрудничеству1-7Обязательства о неразглашении, материальная ответственность за разглашение конфиденциальной информацииPp2.2 4.2 5.1 5.2 6.3 7.2 8.2неправильные действия и ошибки пользователей1,2,3,4,6,7Составление должностных инструкций, правил работы с конфиденциальными документами. Регулярное резервирование информации.Pt3.2Утечка через визуально-оптический КУИ1,6,7Введение инструкций хранения документов, правильное расположение экранов мониторовPs6.1Низкая надёжность отдельных узлов аппаратуры6,7Своевременная замена устаревшего оборудованияPt9.1Пожар1-7Своевременное проведение мероприятий по предотвращению возникновения пожаровPt В соответствии с предложенными методами необходимо провести мероприятия по снижению вероятности проявления уязвимостей. Инженерно-технические средства защиты информации не рассматриваются в рамках данной работы. Организационные документы представлены в ПРИЛОЖЕНИИ. Заключение Под аттестацией объектов информатизации понимается комплекс организационно-технических мероприятий, в результате которых посредством специального документа — «Аттестата соответствия» — подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации. Объекты информатизации вне зависимости от используемых отечественных или зарубежных технических и программных средств аттестуются на соответствие требованиям государственных стандартов России или нормативных и методических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации в пределах его компетенции. Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров. В остальных случаях аттестация носит добровольный характер (добровольная аттестация) и может осуществляться по желанию заказчика или владельца объекта информатизации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации и предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации в целях оценки соответствия использованного комплекса мер и средств защиты информации требуемому уровню безопасности информации. 2. Список использованной литературы 1.Аверченков, В.И., Методические указания к выполнению проекта по дисциплине комплексные системы защиты информации для студентов очной формы обучения специальности 2012. .Аверченков, В.И. Организационная защита информации: учеб. пособие для вузов / В.И. Аверченков, М.Ю. Рытов. — Брянск: БГТУ, 2011. .Барсуков, В.С. особенности обеспечения информационной безопасности / В.С Барсуков,- М.: ТЭК, 2014. .Болдырев, А.И. Методические рекомендации по поиску и нейтрализации средств негласного съема информации: практ. Пособие/ А. И. Болдырев — М.: НЕЛК, 2011 .ГОСТ Р 51275-99 защита информации. Объект информатизации. Факторы, воздействующие на информацию .ГОСТ Р ИСО/МЭК 13335-2006 Информационные технологии. Методы и средства обеспечения безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий .ГОСТ Р ИСО/МЭК 17799-2005 Практические правила управления информационной безопасностью .Домарев, В.В. Безопасность информационных технологий. Методология создания систем защиты / В.В. Домарев, Киев: ДиаСофт, 2002. .Положение по аттестации объектов информатизации по требованиям безопасности информации. (Утверждено председателем Государственной технической комиссии при Президенте российской Федерации 25 ноября 1994 г.) .Руководящий документ Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации (Утверждено решением председателя Государственной технической комиссии при Президенте российской Федерации от 30 марта 1992 г.) ПРИЛОЖЕНИЯ приложение 1 План 2 этажа МУ «Финансового отдела администрации Злынковского района»
приложение 2 Технический паспорт объекта (2 этаж). 1название помещенияАдминистративное здание корпус «Финансовый отдел администрации Злынковского района»2Этаж2Площадь, м21803количество окон, тип сигнализации, наличие штор на окнах16*, сигнализация отсутствует, имеются жалюзи.Куда выходят окнаОкна выходят на проезжую часть, а также на контролируемую территорию (во двор).4Двери (одинарные, двойные), кол-во10 одинарных дверей, оснащенных замками. Все двери деревянные.***Куда выходят двери4 двери выходит в коридор. 4 двери выходит в приемную.1 дверь выходит на лестничную площадку.. **5соседние помещения, название, толщина стенСмежные помещения. Слева находится муниципальное унитарное предприятие «Злынковский районный водоканал» Справа «Отдел образования администрации Злынковского района» (РОНО). Толщина стен: несущих 0,52 м., внутренних 0,38 м.6Помещение над потолком, название, толщина перекрытийКрыша. Толщина перекрытий 0,40 м7Помещение под полом, название, толщина перекрытийТолщина перекрытий 0, 24 м8Вентиляционные отверстия, места размещения, размеры отверстийВентиляционные отверстия отсутствуют.9Батареи отопления, типы, куда выходят трубыБатареи отопления присутствуют во всех помещениях. Тип батареи — чугунный радиатор. Трубы выходят к центральной системе отопления.10Цепи электропитанияНапряжение, В, количество розеток электропитания, входящих и выходящих кабелейНапряжение 220 В. несколько розеток в каждом помещении. Один входящий/исходящий кабель в каждом помещении.11ТелефонТипы, места установки телефонных аппаратов, тип кабеляКаждый кабинет оборудовано стационарным телефоном. Проводка сделана кабелем ТРП.12РадиотрансляцияТипы громкоговорителей, места установкиотсутствуют13электрические часыТип, куда выходит кабель электрических часовотсутствуют14Бытовые радиосредстваРадиоприемники, телевизоры, аудио и видеомагнитофоны, их кол-во и типыотсутствуют15Бытовые электроприборыВентиляторы и др., места их размещенияЭлектрочайники и кондиционеры в большинстве помещений16ПЭВМКол-во, состав, места размещения18 ПЭВМ****, размещены на рабочих местах. Имеют различную конфигурацию. Все ПЭВМ объединены в единую ЛВС.17Технические средства охраныТипы и места установки извещателей, зоны действияТехнические средства охраны включают в себя только замки.18Телевизионные средства наблюденияМеста установки, типы и зоны наблюдения телевизионных трубокотсутствуют19Пожарная сигнализацияТипы извещателей, схемы соединения и выводы шлейфаотсутствуют20другие средстваСейфы, шкафы металлические, находятся в отделе бюджетного планирования, в отделе учета и отчетности, кабинете начальника не менее 1. Сетевые фильтры — не менее 1 в каждом помещении. Приложение 3 З А Я В К А на проведение аттестации объекта информатизации . МУ «финансовый отдел администрации Злынковского района» просит провести аттестацию автоматизированной системы МУ «Финансового отдела администрации Злынковского района на соответствие требованиям по безопасности информации: класса 1Д. . Необходимые исходные данные по аттестуемому объекту информатизации прилагаются. . Заявитель готов предоставить необходимые документы и условия для проведения аттестации. . Заявитель согласен на договорной основе оплатить расходы по всем видам работ и услуг по аттестации указанного в данной заявке объекта информатизации. . Дополнительные условия или сведения для договора: .1. Предварительное ознакомление с аттестуемым объектом предлагаю провести в период до 25.10.2010 .2. Аттестационные испытания объекта информатики предлагаю провести в период до 25.12.2009 приложение 4 АТТЕСТАТ СООТВЕТСТВИЯ № 492 Автоматизированная система МУ «финансового отдела администрации Злынковского района» требованиям по безопасности информации Выдан » 26 » декабря 2010г . настоящим АТТЕСТАТОМ удостоверяется, что: АС МУ «финансового отдела администрации Злынковского района» класса защищенности 1 Д соответствует требованиям нормативной документации по безопасности информации. Состав комплекса технических средств автоматизированной системы (АС), с указанием заводских номеров, модели, изготовителя, номеров сертификатов соответствия, схема размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств, а также средств защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в техническом паспорте на АС. . Аттестация АС выполнена в соответствии с программой и методиками аттестационных испытаний, утвержденными руководителем предприятия (указываются номера документов). . С учетом результатов аттестационных испытаний в АС разрешается обработка конфиденциальной информации. . При эксплуатации АС запрещается: ·вносить изменения в комплектность АС, которые могут снизить уровень защищенности информации; ·проводить обработку защищаемой информации без выполнения всех мероприятий по защите информации; ·подключать к основным техническим средствам нештатные блоки и устройства; ·вносить изменения в состав, конструкцию, конфигурацию, размещение средств вычислительной техники; ·при обработке на ПЭВМ защищаемой информации подключать измерительную аппаратуру; ·допускать к обработке защищаемой информации лиц, не оформленных в установленном порядке; ·производить копирование защищаемой информации на неучтенные магнитные носители информации, в том числе для временного хранения информации; ·работать при отключенном заземлении; ·обрабатывать на ПЭВМ защищаемую информацию при обнаружении каких либо неисправностей. . Контроль за эффективностью реализованных мер и средств защиты возлагается на ведущего инженера отдела информационной безопасности. . Подробные результаты аттестационных испытаний приведены в заключении аттестационной комиссии (№ 489 от 25.12.2010) и протоколах испытаний. . «Аттестат соответствия» выдан на 3 года (лет), в течение которых должна быть обеспечена неизменность условий функционирования АС и технологии обработки защищаемой информации, способных повлиять на характеристики защищенности АС. руководитель аттестационной комиссии Заместитель главы администрации района, начальник МУ «финансовый отдел администрации Злынковского района» Ермаков Е.Б. (должность с указанием наименования предприятия, Ф.И.0.) » 26″ декабря 2010г. Отметки органа надзора: приложение 5 Схема ЛВС
1.Приемная 2.Системный администратор .Отдел учета и отчетности .бюджетный отдел .Начальник .Отдел прогнозирования и планирования .Отдел контроля и ревизии .Отдел экономики — розетки локальной сети — свитч
приложение 6 Российская Федерация Брянская область МУНИЦИПАЛЬНОЕ УЧРЕЖДЕНИЕ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» ПРИКАЗ « 25 » ФЕВРАЛЬ 2010 г№ 68 (дата) «об утверждении Положения о защите конфиденциальной информации» ПРИКАЗЫВАЮ: 1.Утвердить и ввести в действие с 01.03.2010 г. Положение о конфиденциальной информации МУ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» (приложение №1). 2.Руководителям структурных подразделений: 2.1.Определить и согласовать со специалистом по защите информации перечень информации, документов составляющих конфиденциальную информацию; 2.2.Определить круг должностных лиц, имеющих Право доступа к конфиденциальной информации в каждом конкретном случае; .3.Внести предложения по оснащению служебных помещений средствами защиты информации; .4.Довести до подчиненных требования Положения о конфиденциальной информации и обеспечить контроль его исполнения. 3.специалисту по защите информации: 3.1.На основании представленных предложений руководителей структурных подразделений подготовить и представить на утверждение приказы: 3.1.1.об утверждении перечня и видов документов и иной информации, составляющих конфиденциальную информацию; 3.1.2.Об утверждении перечня лиц, допущенных к конфиденциальной информации, и лиц, ответственных за ее неразглашение; .1.3.об утверждении формы Обязательства о неразглашении конфиденциальной информации; 3.2.Обеспечить контроль исполнения требований Положения о конфиденциальной информации. 4.Менеджеру по снабжению обеспечить приобретение необходимых средств защиты информации (сейфы, металлические шкафы и ящики, запорные устройства и др.). 5.Системному администратору обеспечить методы электронной защиты информации и ограничения несанкционированного доступа в соответствии с приказом «Об утверждении перечня лиц, допущенных к конфиденциальной информации, и лиц, ответственных за ее неразглашение». .Контроль исполнения настоящего приказа оставляю за собой. Зам главы администрации района, начальника финансового отдела: Е.Б. Ермакова ПРИЛОЖЕНИЕ № 1 к ПРИКАЗУ об утверждении Положения о защите конфиденциальной информации МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» Положение о защите конфиденциальной информации МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»: Раздел 1. Общие положения .1. Положение о конфиденциальности информации в МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» (далее — Положение) разработано в соответствии с Гражданским кодексом российской Федерации, Указом Президента РФ от 6 марта 1997 г. № 188 «об утверждении перечня сведений конфиденциального характера» и иными нормативными правовыми актами РФ отношения, связанными с охраной и использованием конфиденциальной информации. .2. Положение регулирует отношения, связанные с отнесением информации к конфиденциальной независимо от вида носителя, передачей или предоставлением такой информации, охраной ее конфиденциальности и обеспечением установленного режима конфиденциальности информации в МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» (далее — Учреждение). .3. Положение является локальным нормативным актом МУ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» и предусматривает обязательное выполнение всеми работниками установленного режима конфиденциальности информации в Учреждении. .4. Сохранение конфиденциальности информации является неотъемлемой частью деятель Учреждения. .5. Вся информация, являющаяся в соответствии с настоящим Положением конфиденциальной не подлежит разглашению, в том числе, по открытым каналам передачи данных и в открытой переписке, в личных и деловых переговорах, в том числе по открытым каналам связи и в средствах массовой информации (до принятия решения об их опубликовании). .6. За разглашение конфиденциальной информации работники Учреждения несут ответственность в соответствии с законодательством Российской Федерации, настоящим Положением, Обязательством о соблюдении режима конфиденциальности информации (п.3.1) и трудовым договором. .7. Требования Положения не распространяются на сведения, отнесенные в установленном порядке к государственной тайне, в отношении которых применяются положения законодательства российской Федерации о государственной тайне. Раздел 2. перечень конфиденциальной информации .1 Наука и производство Сведения о производственном оборудовании, его стоимости, выпускаемой продукции, запасах сырья и материалов Секреты производства (ноу-хау) и особенности технологии Особенности и характеристики выпускаемой продукции предприятия Сведения о целях, задачах, программах научных исследований Сведения о конструкторских и художественных решениях, дающих экономический эффект при выпуске изделия предприятия. .2. Управление и планирование Сведения о применяемых методах управления предприятия Сведения о подготовке, принятии и исполнении отдельных решений руководства предприятия по производственным, научно-техническим, коммерческим, организационным и иным вопросам Сведения о планах и объемах расширения производства различных видов продукции и их технико-экономических обоснованиях Сведения о планах инвестиций, закупок и продаж продукции предприятия Сведения о вопросах, рассматриваемых на совещаниях органов управления предприятия .3. Экономические сведения Данные первичных учетных документов бухгалтерского учета предприятия Бухгалтерская отчетность Содержание внутренней бухгалтерской отчетности предприятия по сотрудникам Штатное расписание Сведения об открытых расчетных и иных счетах и об остатке средств на этих счетах предприятия и сотрудников (банковская тайна) Любые переданные налоговым органам, органам государственных внебюджетных фондов и таможенным органам сведения о предприятии и его сотрудниках (налоговая тайна) Сведения о применяемых предприятием методах изучения рынка Сведения об эффективности коммерческой деятельности предприятия Сведения о регионах сбыта готовой продукции предприятия .4. Персональные данные База данных сотрудников предприятия Персональные данные сотрудников предприятия Данные анкетирования и личностной оценки сотрудников предприятия .5. Безопасность Сведения о системе безопасности организации, действиях при ЧС, мобилизационные планы Сведения об организации защиты конф. информации Сведения, составляющие коммерческую тайну партнеров Сведения о паролях и учётных записях .6. Не является конфиденциальной: общедоступная информация; информация ставшая впоследствии общедоступной не по вине посвященного лица; информация ставшая известной из любых иных источников. Раздел 3. Порядок допуска, ограничение доступа и учет лиц, допущенных к конфиденциальной информации, установление порядка обращения с этой информацией .1. С лицами, поступающими на работу в Учреждение, сотрудник отдела по работе с персоналом проводит собеседование по вопросам защиты и сохранности конфиденциальной информации, и предупреждает об ответственности за ее разглашение. По итогам собеседования лицо, поступившее на работу, подписывает Обязательство о соблюдении режима конфиденциальности информации в МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА», которое является приложением к трудовому договору и хранится в личном деле работника. .2. Работники Учреждения допускаются к работе с конфиденциальной информацией, только после подписания Обязательства о соблюдении режима конфиденциальности информации в МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА». .3. Доступ работника к конкретной конфиденциальной информации, осуществляется в пределах выполнения его должностных обязанностей. .4. Предоставление доступа работнику к цифровой конфиденциальной информации, содержащейся в информационных ресурсах в виде файлов и баз данных, формируемым, накапливаемым и обрабатываемым в компьютерной сети МУ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА», а также в автономных информационных системах (далее — информационные системы) осуществляется в следующем порядке: начальники отделов Учреждения вносят заявки на доступ для себя и своих сотрудников в Журнал доступа к конфиденциальной информации, хранящийся в отделе Системного администрирования; отдел Системного администратора отвечает за разграничение доступа к цифровой конфиденциальной информации и соответствие уровня доступа должностным обязанностям работников МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА». Раздел 4. Требования к организации делопроизводства с конфиденциальными документами .1. Целями учета документов, содержащих конфиденциальную информацию, являются: обеспечение сохранности документов, разграничение доступа к конфиденциальным документам, создание возможностей для быстрого нахождения, контроля исполнения, наведения необходимых справок о документах без использования самих документов, а также для проверки наличия документов, что является одним из обязательных требований к осуществлению делопроизводства в части, касающейся конфиденциальных документов. .2. Учет конфиденциальных документов ведется в соответствии с Инструкцией по делопроизводству и контролю исполнения документов в МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА». .3. Допускается ведение отдельных журналов (форм) учета конфиденциальных документов. Все дела и журналы учета конфиденциальных документов должны быть включены в соответствующие номенклатуры дел общего делопроизводства структурных подразделений Учреждения. .4. В записях форм учета конфиденциальных документов запрещается производить подчистки и исправления с применением корректирующей жидкости. Вносимые исправления должны быть заверены подписью работника ответственного за ведение делопроизводства с проставлением даты. .5. Учет конфиденциальных документов осуществляется поэкземплярно, с указанием места их хранения (№ дела), в том числе в электронном виде (файл, дискета, информационная система и т.п.). К регистрационному номеру конфиденциального документа на самом документе и в учетной форме добавляется ограничительный гриф о конфиденциальности «конфиденциально». .6. Ответственность за правильность присвоения степени конфиденциальности возлагается: при работе с документом — на исполнителя и лицо, подписывающее документ, при работе с базами данных (информационными массивами) — на лицо, ответственное за создание и (или) ведение баз данных и начальника отдела, в ведении которого находятся базы данных. .7. При смене работника, ответственного за учет и хранение конфиденциальных документов и машинных носителей информации, составляется акт приема-передачи конфиденциальных документов и машинных носителей информации, который утверждается начальником соответствующего отдела. .8. Конфиденциальные документы исполняются в отделах Учреждения под ответственность начальника отдела и хранятся в надежно запираемых шкафах (ящиках, сейфах). Исполнительные документы, содержащие конфиденциальную информацию, группируются в отдельные дела в соответствии с номенклатурой дел. При этом на обложке дела, в которое помещаются такие документы, проставляется соответствующая отметка «Конфиденциально». .9. Конфиденциальные документы передаются работникам отделов под расписку и размножаются (тиражируются) только с письменного разрешения начальника отдела. дополнительно размноженные экземпляры документа учитываются за номером этого документа, о чем делается отметка на размножаемом документе и в учетных формах. Нумерация дополнительно размноженных экземпляров производится от последнего номера ранее учтенных экземпляров. .10. уничтожение конфиденциальных документов и дел с текущим сроком хранения производится по акту. 4.11. О фактах утраты конфиденциальных документов либо разглашения конфиденциальной информации начальник отдела ставит в известность, начальника финансового отдела Раздел 5. Порядок учета, хранения и обращения со съемными носителями конфиденциальных данных и их утилизации .1. Все находящиеся на хранении и в обращении съемные носители с конфиденциальными данными подлежат учёту. каждый съемный носитель с записанными на нем конфиденциальными сведениями иметь этикетку, на которой указывается его уникальный учетный номер. .2. Учет и выдачу съемных носителей с конфиденциальными данными по форме (приложение №2) осуществляют администратором сети, на которого возложены функции хранения носителей. Сотрудники учреждения получают учтенный съемный носитель от администратора сети для выполнения работ. При получении делаются соответствующие записи в журнале учета. По окончании работ сотрудник сдает съемный носитель для хранения уполномоченному сотруднику, о чем делается соответствующая запись в журнале учета. .3. При отправке или передаче конфиденциальных сведений адресатам, на съемные носители записываются только предназначенные адресатам данные. Отправка конфиденциальных данных адресатам на съемных носителях осуществляется в порядке, установленном для документов для служебного пользования. Вынос съемных носителей с конфиденциальными сведениями для непосредственной передачи адресату осуществляется только с письменного разрешения руководителя структурного подразделения .4. О фактах утраты съемных носителей, содержащих конфиденциальные сведения, либо разглашения содержащихся в них сведений немедленно ставится в известность начальник соответствующего структурного подразделения. На утраченные носители составляется акт. соответствующие отметки вносятся в журналы учета съемных носителей. .5. Съемные носители, пришедшие в негодность, или отслужившие установленный срок, подлежат уничтожению. уничтожение съемных носителей с конфиденциальной информацией осуществляется уполномоченной комиссией. По результатам уничтожения носителей составляется акт по форме (приложение №3). Раздел 5. Порядок подготовки и передачи конфиденциальной информации МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» государственным органам и сторонним организациям .1. Под передачей конфиденциальной информации государственным органам и другим лицам (далее — гос. орган, организация) понимается доведение до них каким-либо способом (передача, пересылка, ознакомление, осуществление доступа) данной информации. .2. Предоставление конфиденциальной информации органам государственной власти, иным государственным органам, органам местного самоуправления осуществляется на основании мотивированного требования, подписанного уполномоченным должностным лицом, которое должно содержать цели, правовые основания затребования информации и срок ее предоставления, если иное не установлено федеральными законами. .3. Находящиеся в распоряжении Учреждения документы, содержащие сведения о партнёрах предоставляются исключительно по решению суда уполномоченным данным решением лицам или органам государственной власти Российской Федерации. .4. Предоставление информации о деятельности МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» в средства массовой информации регламентируется Приказом начальником финансового отдела. Раздел 6. Обязанности работников, допущенных к конфиденциальной информации. .1. Работник Учреждения должен соблюдать требования Положения и несет ответственность за разглашение конфиденциальной информации. .2. Работник Учреждения обязан: знать и выполнять требования настоящего Положения; хранить в тайне ставшую известной ему конфиденциальную информацию; немедленно информировать непосредственного начальника отдела о фактах нарушения режима конфиденциальности информации, о попытках других лиц получить (узнать) конфиденциальную информацию, или о попытках несанкционированного доступа к информационным ресурсам с целью получения таких сведений; немедленно информировать начальника отдела об утрате или недостаче носителей, содержащих конфиденциальную информацию (дискет, дисков, устройств USB Flash и документов, содержащих конфиденциальную информацию), удостоверений, пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов), печатей, а также обо всех других случаях, которые могут повлечь за собой разглашение конфиденциальной информации. .3. Лицу, работающему с конфиденциальной информацией запрещается: разглашать конфиденциальную информацию в любой форме (устной, письменной или электронной); оставлять документы и иные носители, содержащие конфиденциальную информацию, в незакрытом помещении Учреждения; допускать ознакомление с документами и иными носителями, содержащими конфиденциальную информацию, сотрудников Учреждения без служебной необходимости; передавать без разрешения непосредственного руководителя сведения и документы. содержащие конфиденциальную информацию (в устной форме, по телефону, на бумажных и машинных носителях, в электронной форме и т.д.), другим лицам, не имеющим доступа к этим сведениям; использовать конфиденциальную информацию в открытой переписке, статьях и выступлениях, а также в личных интересах; передавать конфиденциальную информацию по незащищенным техническим каналам связи; снимать копии с конфиденциальных документов или производить выписки из них, копировать документы, содержащие конфиденциальную информацию на машинные носители информации, а также использовать различные технические средства (фото-, видео- и звукозаписывающую аппаратуру и т.п.) для записи информации, содержащей такие сведения без получения соответствующего разрешения в установленном порядке; выносить из офисного помещения Учреждения без разрешения непосредственного руководителя документы и другие носители сведений, содержащих конфиденциальную информацию. Раздел 7. Обязанности начальников отделов по обеспечению режима конфиденциальности информации. .1. Ответственность за обеспечение режима конфиденциальности информации возлагается на начальников отделов Учреждения. При этом они обязаны: организовать в подчиненных отделах работу по обеспечению сохранения конфиденциальности информации, анализировать состояние этой работы, принимать меры по предупреждению нарушений режима конфиденциальности информации; определять права и обязанности подчиненных работников по доступу к конфиденциальной информации. Раздел 8. Ответственность за нарушение режима конфиденциальности информации .1. Работник несет ответственность за нарушение режима конфиденциальности информации в соответствии с действующим законодательством Российской Федерации и локальными нормативными актами Учреждения. .2. Разглашение работником конфиденциальной информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации. .3. Ответственность за организацию доступа к конфиденциальной информации, хранящейся и обрабатываемой в информационных системах вычислительной сети МУ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА», возлагается на начальника отдела Системного администрирования. .4. Начальники отделов несут ответственность за правильность отнесения работниками сведений к информации, являющейся конфиденциальной, в соответствии с Перечнем. .5. По факту нарушения режима конфиденциальности информации проводится служебное разбирательство по результатам которого при необходимости издается приказ МУ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА». Служебное разбирательство проводится в срок не более 15 рабочих дней со дня обнаружения факта нарушения. Одновременно принимаются меры по локализации отрицательных последствий разглашения конфиденциальной информации. Раздел 9. Контроль за соблюдением требований, предусмотренных настоящим Положением Контроль за соблюдением работниками Учреждения предусмотренных Положением требований по обеспечению режима конфиденциальности информации в Учреждении возлагается на специалиста по защите информации. Приложение 2 Журнал учета съемных носителей на 2010 — 2011 г. №Вид носителяЗаписан Ф.И.О.ДолжностьМесто нахожденияДата взятияДата возвратаПодпись1USB носительЕрмаков Е.Б.Зам. главы администрации района, начальника финансового отделаКомандировка12.03.2010г.2USB носительПетров А.С.Главный бухгалтерОтдел учета и отчетности12.03.2010г.3USB носительКарпов В.И.главный экономистКомандировка12.03.2010г.4USB носительГромов Г.И.ЭкономистОтдел экономики12.03.2010г.5USB носительШкурин П.А.Системный администраторОтдел IT12.03.2010г.6USB носительСидоренко Н. А.БухгалтерОтдел учета и отчетности12.03.2010г.7 _______________________________________ ______________ Должность и ФИО ответственного за хранениеПодпись приложение 3 УТВЕРЖДАЮ Заместитель главы администрации района, начальник МУ «финансовый отдел администрации Злынковского района» ______________Е.Б. Ермаков «18» марта 20010 г АКТ уничтожения съемных носителей с конфиденциальными данными Комиссия, наделенная полномочиями приказом начальник МУ «Финансовый отдел администрации Злынковского района» №___ от __ ______ 20__ в составе: . __________________________________________________________ . __________________________________________________________ . __________________________________________________________ провела отбор съемных носителей с конфиденциальными данными, не подлежащих дальнейшему хранению: № п/пДатаУчетный номер съемного носителяПояснения Всего съемных носителей______________________________________ (цифрами и прописью) На съемных носителях уничтожена конфиденциальная информация путем стирания ее на устройстве гарантированного уничтожения информации _____________________ (механического уничтожения, сжигания и т.п.). Перечисленные съемные носители уничтожены путем______________________ (разрезания, демонтажа и т.п.), измельчены и сданы для уничтожения предприятию по утилизации вторичного сырья. _______________________________________ _________________ (наименование предприятия) (Дата) Председатель комиссии Подпись Дата Члены комиссии (ФИО) Подпись Дата приложение 7 Российская Федерация Брянская область МУНИЦИПАЛЬНОЕ УЧРЕЖДЕНИЕ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» ПРИКАЗ « 25 » ФЕВРАЛЬ 2010 г№ 68 (дата) «об утверждении Перечня лиц допущенных к работе со сведениями конфиденциального характера» ПРИКАЗЫВАЮ: .Утвердить и ввести в действие с 01.03.2010 г. перечень лиц допущенных к работе со сведениями конфиденциального характера МУ «ФИНАНСОВОГО ОТДЕЛА АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» (приложение №1). .Руководителям структурных подразделений: .1. Определить и согласовать со специалистом по защите информации перечень лиц допущенных к работе со сведениями конфиденциального характера. 3.Специалисту по защите информации: 3.1 На основании представленных предложений руководителей структурных подразделений подготовить и представить на утверждение приказ: «об утверждении перечня лиц допущенных к работе со сведениями конфиденциального характера»; .2. Ознакомить ответственных сотрудников с утверждённым перечнем под роспись. .Контроль над исполнением настоящего приказа оставляю за собой. Зам главы администрации района, начальника финансового отдела: Е.Б. Ермакова ПРИЛОЖЕНИЕ № 1 к ПРИКАЗУ об утверждении перечня лиц допущенных к работе со сведениями конфиденциального характера МУ «ФИНАНСОВОГО ОТДЕЛА АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» перечень лиц допущенных к работе со сведениями конфиденциального характера МУ «ФИНАНСОВОГО ОТДЕЛА АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»: №ФИОДолжностьСведения1Сидоренко Николай АлександровичБухгалтер1.база данных сотрудников предприятия 2.Бухгалтерская отчетность 3.Переписка финансовым управлением по вопросам планирования и расходования средств по отраслям социально-культурной сферы 4.Содержание внутренней бухгалтерской отчетности предприятия по сотрудникам 5.Лицевые счета работников 6.Переписка по вопросам бухгалтерского учета и отчетности 7.Договора, контракты, соглашения 8.Переписка с учреждениями и организациями по вопросам планирования и расходования средств по отраслям социально-культурной сферы 9.Любые переданные налоговым органам, органам государственных внебюджетных фондов и таможенным органам сведения о предприятии и его сотрудниках (налоговая тайна)2Петров Александр СергеевичГлавный бухгалтер1.База данных сотрудников предприятия 2.Бухгалтерская отчетность 3.Переписка финансовым управлением по вопросам планирования и расходования средств по отраслям социально-культурной сферы 4.Содержание внутренней бухгалтерской отчетности предприятия по сотрудникам 5.Лицевые счета работников 6.Переписка по вопросам бухгалтерского учета и отчетности 7.Договора, контракты, соглашения 8.Переписка с учреждениями и организациями по вопросам планирования и расходования средств по отраслям социально-культурной сферы 9.Любые переданные налоговым органам, органам государственных внебюджетных фондов и таможенным органам сведения о предприятии и его сотрудниках (налоговая тайна)3Шоршина Валентина ПетровнаСекретарь- Кадровик1.Персональные данные сотрудников предприятия 2.Данные анкетирования и личностной оценки сотрудников предприятия 3.Приказы по личному составу 4.Переписка по вопросам кадровой работы 5.Журнал регистрации поступающих и отправляемых документов 6.Сведения о применяемых методах управления предприятия4Карпов Виталий ИвановичГлавный экономистБаза данных сотрудников предприятия5Громов Григорий ИвановичЭкономист1.База данных сотрудников предприятия 2.Штатное расписание6Шкурин Петр АндреевичСистемный администратор1.База данных сотрудников предприятия 2.Сведения о паролях и учётных записях7Ермаков Евгений БорисовичЗам. главы администрации района, начальника финансового отделаСведения о системе безопасности организации, действиях при ЧС, мобилизационные планы приложение 8 Российская Федерация Брянская область МУНИЦИПАЛЬНОЕ УЧРЕЖДЕНИЕ «финансовый ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» ПРИКАЗ « 25 » ФЕВРАЛЬ 2010 г№ 68 (дата) «об утверждении формы обязательства о неразглашении конфиденциальной информации и перечня лиц» П Р И К А З Ы В А Ю : .Утвердить форму «Обязательства «О неразглашении конфиденциальной информации» (Приложение №1). .Подписать с лицами, указанными в приказе № _ от 1.03.10. «Об утверждении перечня лиц, допущенных к конфиденциальной информации», обязательство о неразглашении конфиденциальной информации. .Контроль исполнения настоящего приказа оставляю за собой. Зам главы администрации района, начальника финансового отдела: Е.Б. Ермакова Приложение 1 Обязательство о неразглашении конфиденциальной информации Я, _________________________________________________________, (Ф.И.О., должность сотрудника) обязуюсь: . Сохранить конфиденциальную информацию, перечисленную в перечне сведений конфиденциального характера МУ «ФИНАНСОВОГО ОТДЕЛА АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА». . Не разглашать третьим лицам содержание ставшей мне известной конфиденциальной информации, указанной в п. 1 настоящего Обязательства, без разрешения, выданного в установленном порядке, в период срока работы в Учреждении либо срока действия договора _______________________________ (наименование, N, дата), а также в течение 3 лет после увольнения либо прекращения действия указанного договора. . Не предпринимать никаких действий по получению сведений, указанных в п. 1 настоящего Обязательства, не связанных с моими трудовыми (служебными) обязанностями либо с обязанностями, предусмотренными договором, указанным в п. 2 настоящего Обязательства. . Представлять руководителю Учреждения информацию о любых попытках получения сведений, указанных в п. 1 настоящего Обязательства, посторонними лицами, а также сотрудниками, не допущенными в установленном порядке к таким сведениям, либо о фактах нарушения сотрудниками или лицами, заключившими договор, указанный в п. 2 настоящего Обязательства, установленного порядка использования носителей информации (документов, чертежей, видеокассет и др.). . Представлять руководителю Учреждения информацию, являющуюся результатом моей интеллектуальной деятельности, выполненной в соответствии с моими трудовыми (служебными) обязанностями либо в соответствии с договором, указанным в п. 2 настоящего Обязательства, и предназначенную для опубликования или иного доведения до сведения третьих лиц, для оценки принадлежности этой информации к категории конфиденциальной. . Не изготавливать без служебного задания документов, содержащих конфиденциальную информацию, указанную в п. 1 настоящего Обязательства. . Не вносить изменений и не копировать без разрешения, выданного в установленном порядке в Учреждения, конфиденциальную информацию, указанную в пункте 1 настоящего Обязательства, содержащуюся в ЭВМ и на носителях конфиденциальной информации: не выводить указанную информацию на мониторы ЭВМ в нарушение порядка, установленного в Учреждения. Я знаю, что нарушение данного Обязательства может повлечь негативные последствия для меня по заработной плате и вплоть до увольнения (расторжения договора, указанного в п. 2). Я предупрежден об ответственности за нарушение настоящего Обязательства, предусмотренной законодательством РФ и локальными актами Учреждения. __________________________________ ______________________________________ Ф.И.О. Подпись: «___»____________ 200___ г. приложение 9 УТВЕРЖДАЮ Заместитель главы администрации района, начальник МУ «финансовый отдел администрации Злынковского района» _____________________Е.Б. Ермаков «_13_»__Декабря 20 _10 г. Политика информационной безопасности . Общие положения .1. Политика безопасности разработана в соответствии с действующим законодательством РФ. .2. Данная Политика определяет основные направления, средства и методы защиты конфиденциальной информации в МУ «Финансового отдела администрации Злынковского района». .3. Требования данной политики обязательны к исполнению всем сотрудникам. .4. Все информационные ресурсы учтены и имеют владельцев. Ответственность за разглашение конфиденциальной информации несет владелец.. .5. Система допуска к информационным ресурсам — мандатная. 1.6. порядок доступа пользователей к информационным ресурсам определен «Переченем пользователей допущенных к обработке информации», а также «Матрицей доступа к защищаемым информационным ресурсам», в которых помимо лиц, имеющих допуск к конфиденциальной информации, определены также уровни допуска конкретных лиц к информационным ресурсам. 1.7. Защита информации ведется в соответствии со степенью важности ресурса. .8. Степень важности информационных ресурсов определяется грифом конфиденциальности. В финансовом управлении существуют следующие грифы конфиденциальности: ·«Конфиденциально» . Физическая безопасность .1. Документы традиционного документооборота должны использоваться сотрудниками только на рабочих местах. .2. Сотрудникам запрещается оставлять документ в местах, доступных для свободного обозрения, когда они покидают рабочее место. .3. Когда документы не используются их необходимо хранить в специальных шкафах/сейфах. .4. Выносить документы, содержащие конфиденциальную информацию, разрешается только с приказа руководителя, если это не обусловлено спецификой обработки данных документов. .5. Отработанные носители информации следует уничтожать способом, предотвращающим возможность их восстановления и считывания с них информации. .6. Все неиспользуемые порты и дисководы на рабочих станциях и серверах должны быть отключены, а корпуса — запломбированы. Вскрытие пломб и подключение портов разрешается только с письменного разрешения системного администратора. .9. Все помещения должны быть оснащены средствами пожарно-охранной сигнализации. Порядок работы с пожарно-охранной сигнализацией определяется соответствующим положением. .10. На объекте развернута система видеонаблюдения. порядок работы с системой видеонаблюдения определяется соответствующим положением. . безопасность рабочих станций и серверов .1. Разграничение доступа .1.1. На рабочих станциях и серверах должны быть установлены системы разграничения доступа. Права доступа должны быть строго определены для всех пользователей информационной системы. Идентифицирующая информация выдается каждому пользователю лично под роспись. Пользователи лично несут ответственность за разглашение идентифицирующей информации. .1.2. Системный администратор имеет доступ ко всем ресурсам рабочих станций и серверов. .1.3. Системный администратор должен постоянно следить за списком учтенных записей и периодически обновлять его. .1.4. Не должно существовать учетных записей, не имеющих владельца, а также один пользователь не может иметь нескольких записей в одной системе. .1.5. При покидании рабочего места каждый пользователь обязан выходить из системы либо переводить её в режим запроса идентифицирующей информации. .2. Антивирусный контроль .2.1. Все рабочие станции и сервера должны иметь установленное и настроенное антивирусное ПО. Контроль за наличие антивирусного ПО возлагается на администратора. .2.2. Антивирусные базы следует обновлять не реже раза в неделю. Ответственность за своевременно обновление баз несёт системный администратор. .2.3. Пользователям следует проводить регулярные проверки на наличие вредоносного ПО лично, либо при помощи системного администратора. .2.4. Внешние носители, а также всю входящую электронную почту следует проверять на наличие вредоносного ПО. .2.5. При обнаружении вредоносных программ пользователь обязан занести информацию в журнал антивирусного контроля и, при отсутствии возможности решения проблемы самостоятельно, обратиться к системному администратору. .2.6. Ответственность за не проведение проверок и заражение рабочих станций вредоносным ПО (во время сеанса данного пользователя) возлагается на пользователей. . Сетевая безопасность .1. Системный администратор должен постоянно следить за состоянием ЛВС и периодически проверять наличие в ней уязвимостей. .2. Должна быть правильно настроена маршрутизация, исключающая несанкционированное подключение к сети путем ограничения количества компьютеров (установлением четкой маски) в каждом сегменте сети. .3. На межсетевых экранах, фтп-сервере файлового сервера и сервере БД должны вестись журналы (логи) регистрации событий. Логи должны храниться как локально, так и на рабочей станции системного администратора. . Обучение и контроль .1. С целью повышения уровня технической грамотности и информированности пользователей в области информационной безопасности руководством инициируется обучение персонала. Оно реализуется путем ознакомления всех пользователей с политикой безопасности под роспись, проведения семинаров, тренингов и презентаций, а также индивидуальной работы с нарушителями требований политики безопасности. По окончании обучения проводится контроль полученных знаний с помощью специально разработанных тестов и опросов, по результатам которых определяется уровень подготовленности персонала. .2. обязательные курсы повышения квалификации проводятся не реже 1 раза в пол года, семинары по защите информации проводятся на базе организации не реже 1 раза в 3 месяца. Контроль знаний осуществляется по завершении курсов/семинаров. .3. Контроль выполнения требований политики безопасности осуществляется путем проведения проверок, которые могут носить разовый, периодический и постоянный характер. . Ответственность .1. Ответственность за обеспечение информационной безопасности несет лично начальник МУ «финансового отдела администрации Злынковского района». .1. Ответственность за нарушение конкретных норм, ставящих под угрозу информационную безопасность организации прописана в должностных инструкциях сотрудников. .2. Нарушение требований политики информационной безопасности и других документов, регламентирующих правила работы с конфиденциальной информацией, способное нанести материальный либо иной урон, в зависимости от тяжести наступивших последствий может повлечь за собой дисциплинарную (включая увольнение), административную или уголовную ответственность. .3. В случае обнаружения нарушений требований политики безопасности сотрудники обязаны сообщать об этом руководству. Для регистрации всех нарушений в работе информационной системы заводится специальный журнал регистрации событий, который хранится у начальника службы безопасности. Приложение 10 УТВЕРЖДАЮ Заместитель главы администрации района, начальник МУ «финансовый отдел администрации Злынковского района» _____________________Е.Б. Ермаков «_13_»__Декабря 20 _10 г. Технологический процесс обработки данных в автоматизированной системе МУ «финансовый отдел администрации Злынковского района» 1. Прием данных Внесение информации в автоматизированную систему обработки данных осуществляется в ручном режиме, с документов на бумажных носителях, строго на функциональных местах соответствующих подсистем. Технически ввод информации в систему осуществляется с использованием специализированных периферийных устройств. . Контроль данных Передача информации между функциональным местом и базой данных должна осуществляться автоматически в режиме онлайн. Передача информации регламентируется. Контроль целостности и структурной корректности внесенной информации осуществляется базой данных в автоматическом режиме. Контроль смысловой корректности вносимой информации осуществляется оператором соответствующего функционального места. Корректировка информации осуществляется оператором соответствующего функционального места. В качестве методов контроля в маршрутах электронной обработки данных при функционировании внутримашинной информационной базы используются стандартные методы контроля целостности базы данных. На каждом этапе обработки данных в соответствии с электронными регламентами на уровне базы данных производится соответствующая транзакция с проверкой выполнения предыдущего этапа. При несоответствии проверяемых параметров, транзакция не выполняется и пользователю показывается сообщение о не завершении предыдущего этапа технологической цепочки. Корректность изменения данных пользователем на каждом этапе контролируется при помощи триггеров информационной базы. . Обработка данных Обработка данных в автоматизированной системе МУ «Финансового отдела администрации Злынковского района» осуществляется двумя методами: оператором при вводе данных в информационную систему и программным обеспечением (программными продуктами и триггерами базы данных на уровне БД) при поступлении данных. 4. Хранение данных Хранение данных в автоматизированной системе МУ «Финансового отдела администрации Злынковского района» осуществляется в файле базы данных, расположенном на одном из компьютеров автоматизированной системы. . Выдача данных Выдача данных происходит на функциональных местах на основании запроса физических и юридических лиц. технически выдача информации обеспечивается периферийными устройствами, предусмотренными информационной системой. приложение 11 УТВЕРЖДАЮ Заместитель главы администрации района, начальник МУ «финансовый отдел администрации Злынковского района» _____________________Е.Б. Ермаков «_13_»__Декабря 20 _10 г. инструкция по доступу к ресурсам Интернет. .Для исполнения задач, связанных с производственной деятельностью сотрудникам Новозабковского почтамта может быть предоставлен доступ к ресурсам Интернет. Доступ к ресурсам Интернет в других целях — ЗАПРЕЩЕН. .Требуемый уровень доступа предоставляется сотруднику компании на основании заявки «на изменение списков доступа» от руководителя подразделения на имя руководителя. .Системный администратор обязан ежедневно проводить анализ использования ресурсов Интернет и не реже одного раза в неделю представлять отчет об использовании Интернет ресурсов сотрудниками компании руководителю. .В случае обнаружения значительных отклонений в параметрах работы средств обеспечения доступа к ресурсам Интернет от среднестатистических значений, системный администратор обязан немедленно сообщить об этом руководителю для принятия последующих решений. .Системный администратор обязан не реже одного раза в месяц представлять аналитический отчет об использовании ресурсов Интернет и предложения об изменении списка доступных ресурсов руководителю. .Руководители структурных подразделений в праве требовать от системного администратора отчет об использовании ресурсов Интернет сотрудниками своего подразделения. .Доступ к ресурсам Интернет может быть блокирован системным администратором без предварительного уведомления, при возникновении нештатных ситуаций, либо в иных случаях предусмотренных организационными документами.
Учебная работа. Аттестация объектов информатизации и выделенных помещений МУ 'Финансовый отдел администрации Злынковского района'