 |
|
Типові адміністративні та організаційні вимоги до КС Підприємства стосовно питань ТЗІ
Типові адміністративні та організаційні вимоги до обчислювальної системи КС, умов її функціонування й забезпечення захисту інформації визначаються наступним.
Для КС в цілому та (або) для окремих (усіх) її компонентів відповідно до вимог із захисту інформації від НСД повинен бути сформований перелік необхідних функціональних послуг захисту і визначено рівень гарантій реалізації їх.
Сервери, робочі станції, периферійні пристрої, інші технічні засоби опрацювання конфіденційної інформації повинні бути категорійовані згідно з вимогами нормативних документів із технічного захисту інформації, якщо це вимагається цими документами.
Засоби захисту інформації, інші технічні засоби та програмне забезпечення КС, що задіяні в КСЗІ, повинні мати підтвердження їхньої відповідності нормативним документам із захисту інформації (атестат, сертифікат відповідності, експертний висновок) і використовуватись згідно з вимогами, визначеними цими документами. Інших обмежень щодо типів технічних засобів опрацювання інформації та обладнання, видів програмного забезпечення не запроваджується.
Технічна та експлуатаційна документація на засоби захисту та опрацювання інформації, системне та функціональне програмне забезпечення належним чином класифіковані, і для кожної категорії користувачів визначено перелік документації, до якої вони можуть отримати доступ. Доступ до документації фіксується у відповідних реєстрах. Порядок ведення реєстрів визначає СЗІ.
Сервери і робочі станції, що зберігають та опрацьовують конфіденційну інформацію, повинні розташовуватися в приміщеннях, доступ до яких обслуговуючого персоналу та користувачів різних категорій здійснюється в порядку, визначеному СЗІ та затвердженому керівником установи (організації).
Повинен здійснюватися контроль за доступом користувачів та обслуговуючого персоналу до робочих станцій, серверів КС і компонентів підсистеми обміну даними на всіх етапах життєвого циклу КС, а також періодичний контроль за цілісністю компонентів підсистеми обміну даними (з метою виявлення несанкціонованих відводів від компонентів підсистеми).
З метою забезпечення безперервного функціонування під час опрацювання, зберігання та передачі конфіденційної інформації КС повинна мати можливість оперативного, без припинення її функціонування, проведення регламентного обслуговування, модернізації обчислювальної системи в цілому або окремих її компонентів. Порядок введення в експлуатацію нових компонентів, якщо це впливає на захист інформації в КС, визначається СЗІ.
Програмно-апаратні засоби захисту, що входять до складу КЗЗ, разом з організаційними заходами повинні забезпечувати СЗІ інформацією про користувачів, які працюють в системі, з локалізацією точки їхнього входу в систему і переліком технічних засобів і процесів, до яких вони отримали доступ.
Має бути визначено порядок організації та проведення СЗІ процедур періодичного та/або динамічного тестування комплексу засобів захисту інформації під час функціонування КС.