|
С точки зрения Исполнителя всё просто. Для работы вам необходимо получить от Заказчика необходимые сведения о его организации. В идеале это:
• Техническое задание (ТЗ) на объект информатизации (ОИ; объектом информатизации может являться АС, а следовательно, и ИСПДн). Самое обыкновенное техническое задание с описанием того, чего Заказчик ждёт от Исполнителя.
• Технический паспорт на ОИ. Этот документ должен описывать техническую сторону ИСПДн: сколько рабочих мест, серийные номера компьютерной техники, их месторасположение в кабинетах (схемы, планы помещений) и др.
• Приемо-сдаточная документация на ОИ. Сюда можно отнести протоколы заземления, установки охранной и пожарной сигнализации и т.д.
• Акт классификации автоматизированной системы (АС).
• Состав технических и программных средств, входящих в состав АС. В данном документе указываются программные и технические средства обработки информации (программное обеспечение, используемое на рабочих местах, сетевое оборудование: маршрутизаторы, коммутаторы и т.д.).
• Планы размещения основных технических средств и систем (ОТСС) и вспомогательных технических средств и систем (ВТСС). То есть план помещения с указанием на нем расположения рабочих станций, непосредственно участвующих в обработке ПДн, и технических средств, не задействованных в этом процессе, но находящихся в этом же помещении.
• Состав и схемы размещения средств защиты информации (СЗИ). Описание того, какие активные средства защиты информации используются в Вашей организации (генераторы электромагнитного шума, например).
• План контролируемой зоны (КЗ) предприятия. То есть подведомственной вашей организации территории.
• Схемы и характеристики линий передачи данных (ЛВС), охранно-пожарной системы, телефонной линии, электропитания и заземления ОИ. Данную информацию можно получить у электриков.
• Перечень защищаемых в АС ресурсов с документальным подтверждением степени конфиденциальности каждого ресурса. Грубо говоря, Компьютер №1, D:Пользователь1; Компьютер №2, D:Пользователь1 и так далее.
• Организационно - распорядительная документация разрешительной степени доступа персонала к защищаемым ресурсам АС. То есть список лиц, имеющих допуск к ИСПДн, а значит, и к ПДн, обрабатываемым в вашей организации.
• Описание технологического процесса обработки информации в АС. В этом документе описываются все процессы и этапы обработки информации, от момента сбора (получения) информации до момента ее уничтожения (помещения в архив).
• Инструкции пользователям АС и администратору безопасности информации.
• Инструкции по эксплуатации СЗИ.
• Сертификаты соответствия требованиям по безопасности информации на средства и системы обработки и передачи информации, используемые СЗИ. То есть если у вас государственная организация, и вам положено аттестовывать ИСПДн, вы можете использовать только те СЗИ (генераторы шума, системы защиты от несанкционированного доступа), которые имеют сертификат соответствия ФСТЭК России.
• Данные по уровню подготовки кадров, обеспечивающих ЗИ. То есть, информация о курсах повышения квалификации или прохождении какого-либо обучения в области защиты информации. Если такого не было, ничего страшного, но лучше всё же пройти обучение, чтобы понимать, чем вы занимаетесь.
Но с точки зрения исполнителя такая работа слишком объёмна! Часто Заказчику приходится ходить к комендантам (если здание, в котором расположена организация, арендуемое), общаться с электриками, системными администраторами. Некоторые документы у Заказчика должны быть, но... как показывает практика, их не бывает! Поэтому Исполнитель добавляет в договор такой раздел, как «Разработка организационно-распорядительной и технической документации», что оборачивается для Заказчика дополнительными затратами денежных средств.
|
