Ім'я файлу: АКТ обстеження_Приклад (1).doc
Розширення: doc
Розмір: 123кб.
Дата: 02.04.2024
скачати
Пов'язані файли:
Лекція_Тема 3. Організація діяльності підприємства туристичної г

Прим. №___


„Узгоджено”


„Затверджено”


Проректор з наукової роботи
Харківського Національного університету радіоелектроніки


Начальник

________________

________________







М.П. “ ” __________2010 р.

М.П. “ ” __________2010 р



АКТ

попереднього обстеження об’єкту експертизи - комплексної систем захисту інформації в автоматизованій системі класу “1” відділу Головного управління –ХХХХ в м. Харкові.


В період з 02 квітня по 09 квітня 2010 року з метою отримання вихідних даних для створення комплексної системи захисту інформації АС класу “1” відділу Головного управління ХХХХ (скорочення) України в м. Харкові, на підставі Договору № __ від __.__.2010 року, було проведено обстеження інформаційної системи (ІС) класу “1 відділу Головного управління –ХХХХ в м. Харкові.

Під час обстеження встановлено:
1 Загальна характеристика організаційно-технічної структури, фізичного середовища та обчислювальної системи ІС відділу Головного управління –ХХХХ в м. Харкові
1.1 Призначення ІС

Обчислювальна система ІС об’єкту експертизи призначена для виконання наступних функціональних завдань:

  • створення й випуск договірних, організаційно-розпорядчих та інших службових документів, що містять інформацію з обмеженим доступом (ІзОД) із грифом обмеження доступу “-“;

  • створення електронних документів;

  • автоматизована обробка, редагування текстової й графічної інформації;

  • друк документів на паперових носіях.



1.2 Склад АС

АС режимно-секретного органу являє собою організаційно-технічну систему, що поєднує автономну обчислювальну системи (ОС), фізичне середовище, персонал і оброблювану інформацію.
1.2.1 Обчислювальна система АС складається з:

  • автономної однокористувацької ПЕОМ зі стандартними (штатними) засобами введення, накопичення та відображення інформації (процесор, материнська плата, оперативна пам'ять, НЖМД, НГМД, привід CD-RW, монітор, клавіатура, маніпулятор „миша”);

  • системного ПЗ (операційна система Windows XP Professional версія 2002 з сертифікованим програмними засобами захисту і драйвери периферійних пристроїв), під управлінням якого працює ПЕОМ;

  • функціонального та спеціалізованого ПЗ, що використовується для оброблення інформації (офісні системи Microsoft Office Pro 2007, антивірусні системи й ін.);

  • комплексу технічних, програмних і програмно-апаратних засобів захисту інформації;

  • додаткових периферійних пристроїв (багатофункціональний пристрій), які використовуються для виводу інформації.

Склад технічних засобів та програмного забезпечення АС класу “1” відділу Головного управління -ХХХХв м. Харкові наведений у Додатку А.

Згідно НД ТЗІ 2.5-005-99 автоматизована системи АС класу “1” відділу Головного управління -ХХХХв м. Харкові відноситься до класу "1".
1.2.2 Характеристика оброблюваної інформації

Інформація, яка обробляється в АС, за змістом вимог щодо захисту поділяється на такі групи:

а) інформація з обмеженим доступом (ІзОД), до якої висуваються підвищені вимоги з забезпечення конфіденційності й цілісності, і яка включає:

  • дані у вигляді файлів різних форматів, записів баз даних захисту та інших структур машинного представлення (далі – дані), які містять відомості з грифом обмеження доступу “для службового користування“ (далі − -);

б) відкриті дані загального користування.
1.2.3 Технологія обробки інформації

В АС застосовується технологія обробки інформації  обробка в активному діалоговому режимі з боку користувача файлів даних різних форматів, які вимагають конфіденційності, цілісності й доступності оброблюваної ІзОД.

В АС реалізована технологія обробки інформації, умови якої щодо обробки ІзОД характеризується наступним чином:

  • службові документи опрацьовуються за допомогою текстового редактору MS Word 2007 та редактору електронних таблиць MS Excel 2007;

  • жорсткі магнітні диски (ЖМД) використовується для розміщення програмного забезпечення та зберігання даних користувачами;

  • для ПК визначається уповноважений користувач (відповідальний за експлуатацію та збереження);

  • для користувача на ПК визначається персональний ідентифікатор і пароль (заводиться обліковий запис), які користувач застосовує на початку роботи при реєстрації;

  • ЖМД, на яких розміщені операційні системи та зберігаються дані користувачів, реєструються в діловодстві за грифом обмеження доступу “-“, дозволеним для обробки на комп’ютері, де ЖМД встановлено;

  • порядок копіювання файлів, стирання інформації, опрацювання документів з ІзОД, резервування інформації, обліку і супроводження архівів, ротації носіїв інформації, конкретизований в Інструкції про порядок опрацювання документів з використанням АС;

  • порядок роботи з даними визначений в інструкціях посадовим особам.

Обробка інформації в АС класу “1” відділу Головного управління -ХХХХв м. Харкові здійснюється за технологією Т2 у відповідності до НД ТЗІ 2.5-007-2007.
1.2.4 Середовище користувачів

За рівнем повноважень доступу до ІзОД, характеру й змісту робіт, які виконуються в процесі її обробки в АС співробітники відділу Головного управління -ХХХХв м. Харкові поділяються на такі категорії:

  • користувачі, які мають повноваження відповідно до встановлення й управління комплексом засобів захисту інформації (адміністратор безпеки);

  • користувачі, які мають повноваження системного адміністратора ОС;

  • користувачі, які мають повноваження по обробці інформації із грифом „-”;

  • користувачі, які мають повноваження по обробці тільки відкритої інформації.

На об’єктах експертизи створена Служба захисту інформації (СЗІ), що діє в межах чинного законодавства, нормативних документів з ТЗІ, Положення про Службу захисту інформації.
1.2.5 Фізичне середовище

Компоненти обчислювальної системи АС розташовуються в окремому приміщені – кабінеті заступника начальника відділі Головного управління -ХХХХв м. Харкові (далі – об'єкт інформаційної діяльності-ОІД), що відповідає вимогам НД ТЗІ та експлуатаційним вимогам до компонентів АС. Доступ до ОІД і інших приміщень будинку здійснюється у відповідності до Інструкції про порядок організації перепускного режиму.

Об’єктам ІС надані такі категорії:

  • основним технічним засобам (ОТЗ) інформаційної системи на базі ПЕОМ R – Line Vento A8 (інв. №_____) з процесором Intel - Celeron 2,2 Ghz, багатофункціонального пристрою Xerox WorkCentre PE16 s/n ______, надана 4 категорія;

  • приміщенню - кабінету заступника начальника відділу Головного управління -ХХХХв м. Харкові (ОІД), де встановлені основні технічні засоби (ОТЗ) ІС, надана 4 категорія.

Автоматизована система відділу Головного управління -ХХХХв м. Харкові розташована в контрольованій зоні, що обмежена приміщеннями власне відділу Головного управління -ХХХХв м. Харкові.
2. Склад комплексів засобів захисту інформації
2.1 Для захисту інформації від несанкціонованого доступу (НСД) в АС класу “1” об’єкту експертизи АС класу “1” відділу Головного управління -ХХХХв м. Харкові, застосований комплекс засобів захисту (КЗЗ) від НСД «ЛОЗА - 1» (версія 2.5.2, серійний № 143 – 696 - 663), що має Експертний висновок дійсний до 26.02.2012 р.

Розробником комплексної систем захисту інформації (КСЗІ) є ЗАТ «ІІТ», м. Харків , ліцензія ДССЗЗІ України № АВ 340168 з 03.11.2007 р.

Ліцензіатом та Замовником були розроблені нормативні та організаційно-розпорядчі документи. Перелік документів, що надані на експертизу наведений у Додатку Б.
3.Об'єкти захисту в АС

3.1 Об'єктами захист в АС є:

а) інформація з обмеженим доступом, яка містить конфіденційні відомості, що є власністю держави (гриф обмеження доступу „Для службового користування”).

3.2 У процесі функціонування АС об'єктами захисту є програмно-інформаційні ресурси ОС АС, у яких міститься ІзОД, програмне забезпечення, що реалізує технології обробки такої інформації, а також комплекси засобів захисту.
4. Основні загрози для АС

4.1 Можливі загрози безпеки інформації

Порушення конфіденційності, цілісності й доступності ІзОД і спостереженості системи можуть проявлятися внаслідок таких основних загроз:

  • несанкціонований доступ (використання, підключення, зміна) до приладу й інформаційно-програмного забезпечення (у т.ч. баз даних);

  • несанкціоноване одержання ІзОД;

  • несанкціоноване порушення фізичної й логічної цілісності ІзОД (перетворення, знищення, модифікація), у т.ч. за рахунок наявності вірусів, апаратних і програмних закладок в приладах закордонного виробництва;

  • розкрадання носіїв з ІзОД або копіювання інформації;

  • відмова (збій, помилки ) обладнання ОС.

4.2 Основні джерела загроз безпеки інформації АС

4.2.1 Загрози для властивостей ІзОД, яка обробляється в АС, (далі – загрози) залежать від характеристик обчислювальної системи, фізичного середовища, персоналу, технологій обробки і оброблюваної інформації. Загрози можуть мати об'єктивну або суб'єктивну природу. Загрози, які мають суб'єктивну природу, можуть бути випадковими (ненавмисними) або навмисними.

4.2.2 По відношенню до АС порушники можуть бути внутрішніми (з числа персоналу, користувачів системи) або зовнішніми (сторонні особи або будь-які особи, які знаходяться за межами контрольованої зони).

Основними джерелами загроз безпеки інформації в АС є:

  • ненавмисні (помилкові, випадкові, необдумані, без злого наміру й корисливих цілей) порушення встановлених регламентів обробки інформації, а також вимог безпеки інформації й інших дій співробітників (у тому числі адміністраторів безпеки) відділу Головного управління -ХХХХв м. Харкові при експлуатації АС, що приводять до непродуктивних витрат часу й ресурсів, розголошенню або втрати ІзОД або порушенню працездатності АС;

  • діяльність міжнародних і вітчизняних злочинних груп і формувань, політичних і економічних структур, а також окремих осіб по добуванню інформації, нав'язуванню помилкової інформації, порушенню працездатності системи в цілому і її окремих компонентів;

  • помилки, що допущені при проектуванні АС, її систем захисту, помилки в програмному забезпеченні, відмови й збої технічних засобів (у тому числі засобів захисту інформації й контролю ефективності захисту);

  • аварії, стихійні лиха та інш.




Від відділу Головного управління -ХХХХв м. Харкові

Від Харківського Національного університету радіоелектроніки (ХНУРЕ):

Заступник начальника відділу

______________


Експерт Державної служби спеціального зв’язку та захисту інформації України

______________



Додаток А

СКЛАД

технічних засобів та програмного забезпечення , що встановлені в інформаційній системі класу “1” відділу Головного управління -ХХХХв м. Харкові
Технічні засоби

з/п

Найменування технічного засобу

Модель, тип, основні характеристики

Серійний (інвентарний) номер

1

2

3

4

1

Системний блок у складі:

R-Line Vento A8

(інв. №10420952)

1.1

Процесор (CPU)

Intel Celeron – 2.2 Ghz

-

1.2

Материнська плата (MB)

Gigabyte GA-G31MES2L

9G622102205

1.3

Оперативна пам'ять (RAM)

Hynix 1 Gb 1Rx8 PC2-6400U-666-12

HYMP112U64CP8-S6AB

1.4

НЖМД (HDD)

Samsung HD 161GJ 160 Gb

S14DJ9BS900521

1.5

Оптичний пристрій

LG GH22NP20

908HUWJ095689

2

Монітор

Samsung Sync Master 153B

GY15HVEX402830W

(інв. №10420943)

3

Клавіатура

Mitsumi KFKEA4SA

KFKEA4SA46VL0709

(інв. №10420943)

4

Маніпулятор «миша»

Genius GM-03006P

109106803124

5

Багатофункціональний пристрій

Xerox WorkCentre PE16

s/n 3545179783

Програмне забезпечення

з/п

Найменування програмного продукту

Модель, тип, основні характеристики, ліцензійна угода

1

ОС Windows XP Professional


TPB6Y-Y2C66-KK4RF-2G8X8-JWJD6

2

Microsoft Office Pro 2007

CWBWQ-8WYR9-GD3MK-7D9B3-RMFFQ

3

Програмне забезпечення КЗЗ «Лоза-1» версія 2.5.2

143-696-663

4

Антивірусна програма

Dr.Web версія 5.0

3RG4-WX9K-Z8VG-9489


Додаток Б
Нормативні та організаційно-розпорядчі документи, що розроблені та

використовуються в АС класу “1” відділу Головного управління -ХХХХв м. Харкові


  1. Акт № 1 категоріювання об'єкту інформаційної діяльності - кабінету заступника начальника відділу -ХХХХу м. Харкові, дод. вх. № __ - від ______ р.

  2. Акт № 2 про надання категорії основним технічним засобам інформаційної системи, дод. вх. № __- від ____ р.

  3. Програма проведення комплексного обстеження середовищ функціонування ІС на об'єкті інформаційної діяльності - кабінеті заступника начальника відділу, дод. вх. № __ - від ___ р.

  4. Акт № 3 комплексного обстеження середовищ функціонування ІС,.

  5. Акт № 4 про придатність кабінету заступника начальника відділу для розміщення технічних засобів інформаційної системи та зберігання машинних носіїв інформації з обмеженим доступом,.

  6. Концепція забезпечення безпеки інформації в АС класу “1” відділу Головного управління -ХХХХв м. Харкові, дод. вх. № 41 - від 18.12.2009 р.

  7. План технічного захисту інформації в АС класу “1” відділу Головного управління -ХХХХв м. Харкові, .

  8. Опис інформаційної системи відділу Головного управління -ХХХХв м. Харкові,.

  9. Політика безпеки інформації в інформаційній системі класу “1” відділу Головного управління -ХХХХв м. Харкові,.

  10. Технічне завдання на створення КСЗІ в АС класу “1” відділу Головного управління -ХХХХв м. Харкові, .

  11. Модель загроз безпеки інформації в АС класу “1” відділу Головного управління -ХХХХв м. Харкові, .

  12. Акт № 6 про прийняття в дослідну експлуатацію комплексної системи захисту інформації в АС класу “1” відділу Головного управління -ХХХХв м. Харкові.

  13. Інструкція про порядок введення в експлуатацію КСЗІ в АС класу “1” відділу Головного управління -ХХХХв м. Харкові,.

  14. Акт № 7 про проведення дослідної експлуатації комплексної системи захисту інформації в в АС класу “1” відділу Головного управління -ХХХХв м. Харкові,.

  15. Акт № 8 про завершення створення комплексної системи захисту інформації в автоматизованій системі класу «1»,.

  16. Акт про встановлення КЗЗ «Лоза-1», дод. вх. № 47 - від 25.01.2010 р.

  17. Протокол контрольної перевірки працездатності комплексу засобів захисту від несанкціонованого доступу «Лоза-1»,.

  18. Акт № 4 про проведення пусконалагоджувальних робіт на об'єкті інформаційної діяльності,.

  19. Програма і методика попередніх випробувань комплексної системи захисту інформації в інформаційній системі,.

  20. Протокол № 1 Перевірка наявності та комплектності апаратних і програмних засобів інформаційної системи та комплексу засобів захисту «Лоза-1»,.

  21. Протокол № 2 Перевірка наявності, комплектності, змісту та повноти проектної та експлуатаційної документації на КСЗІ, р.

  22. Протокол № 3 Перевірка виконання вимог ТЗ щодо захисту інформації, що обробляється в інформаційній системі, від НСД,.

  23. Протокол № 4 Перевірка стану організації робіт та виконання організаційно-технічних заходів з технічного захисту інформації та режиму конфіденційності в інформаційній системі,.

  24. Акт № 5 про проведення попередніх випробувань комплексної системи захисту інформації в інформаційній системі,.

  25. Програма і методика дослідної експлуатації комплексної системи захисту інформації в інформаційній системі,.

  26. Перелік об'єктів захисту - основних технічних засобів, що розташовані на об'єкті інформаційної діяльності - кабінеті заступника начальника відділу,.

  27. Опис контролю за діями користувачів,.

  28. Опис контролю цілісності програмного забезпечення та баз даних захисту,.

  29. Опис налагодження всіх механізмів розмежування доступу користувачів до інформації та апаратних ресурсів ІС,.

  30. Опис процедур інсталяції та ініціалізації системи засобів захисту «Лоза-1.

  31. Опис формування та актуалізації баз даних захисту,.

  32. Посадова інструкція адміністратору безпеки інформаційної системи,

  33. Посадова інструкція системному адміністратору інформаційної системи,

  34. Посадова інструкція адміністратору документів інформаційної системи,

  35. Посадова інструкція користувачу інформаційної системи,

  36. Пам'ятка користувачу інформаційної системи,

  37. Інструкція про здійснення дій при виникненні аварійних ситуацій,

  38. Інструкція про організацію антивірусного захисту інформації в інформаційній системі,

  39. Інструкція про проведення відновлювальних робіт і забезпечення неперервного
    функціонування інформаційної системи,

  40. Положення про службу захисту інформації в інформаційній системі,

  41. Посадова інструкція керівнику служби захисту інформації в інформаційній системі,

  42. Опис порядку функціонування КСЗІ та порядку супроводження КСЗІ впродовж життєвого циклу ІС,

  43. Інструкція про забезпечення режиму конфіденційності під час обробки інформації «Для службового користування» в інформаційній системі,.

  44. Інструкція про порядок користування персональними ідентифікаторами в інформаційній системі,

  45. Календарний план робіт з технічного захисту інформації з обмеженим доступом, що оброблятиметься в інформаційній системі на об'єкті інформаційної діяльності,

  46. Формуляр на інформаційну систему четвертої категорії відділу ГУ ДФС України у м. Харкові,

  47. Технічний паспорт на об'єкт інформаційної діяльності (кабінет заступника начальника відділу),

  48. Наказ № __ відділу -ХХХХу м. Харкові від 31.12.2009 р. «Щодо призначення адміністраторів ІС».

  49. Акт № __ відділу -ХХХХу м. Харкові про умови одержання ПЕОМ (інв. ) від

  50. Наказ № __ відділу -ХХХХу м. Харкові від ___ р. «Щодо затвердження Положення про службу захисту інформації в ІС».

  51. Наказ № __ відділу -ХХХХу м. Харкові від _____ р. «Щодо призначення відповідальної посадової особи із захисту інформації в ІС ».

  52. Наказ № ___ відділу -ХХХХу м. Харкові від ___ р. «Щодо затвердження списку посадових осіб, які мають право надання дозволу користувачам на виконання секретних робіт в ІС».

  53. Додаток до наказу № ___ відділу -ХХХХу м. Харкові від ___ р. «Щодо затвердження списку користувачів ІС, яким надано право роботи з інформацією з обмеженим доступом в ІС на об’єкті інформаційної діяльності».

  54. Наказ № ___ відділу -ХХХХу м. Харкові від ___ р. «Щодо закріплення технічних засобів ІС (ПЕОМ), програмного забезпечення, спеціального програмного забезпечення, баз даних за відповідальними посадовими особами».

  55. Наказ № __ відділу -ХХХХу м. Харкові від ____ р. «Щодо проведення попередніх випробувань КСЗІ».

  56. Наказ № ___ відділу -ХХХХу м. Харкові від _____ р. «Про проведення дослідної експлуатації КСЗІ».

  57. Список осіб відділу -ХХХХу м. Харкові від ____ р., які мають право доступу у приміщення, де встановлені ОТЗ та (або) зберігаються машинні носії інформації.

  58. Список осіб відділу -ХХХХу м. Харкові від ____ р., які мають право на відкриття приміщень, де встановлені ОТЗ та (або) зберігаються машинні носії інформації.

  59. Перелік пристроїв відділу -ХХХХу м. Харкові від ____ р., технічних засобів в інформаційної системи на базі ПЕОМ (інв .№ _____), що розміщені на об’єкті інформаційної діяльності – службовому приміщенні заступника начальника відділу та підлягають опечатуванню.

  60. Рішення № ____ відділу -ХХХХу м. Харкові від _____ р., щодо створення комплексної системи захисту інформації в інформаційній системі відділу Головного управління ХХХХ України в місті Харків.

  61. Наказ № ___ відділу -ХХХХу м. Харкові від ____ р. «Щодо створення комплексної системи захисту інформації».

  62. Наказ № ___ відділу -ХХХХу м. Харкові від _____ р. «Щодо категоріювання об’єктів ІС (АС класу «1»)».







скачати

© Усі права захищені
написати до нас