Режимное помещение

1.Документация

В данном разделе я постарался собрать информацию касающуюся серверной, тоесть требования непосредственно к помещению и рекомендуемым способам по технической защите конфиденциальной информации в серверной. Информация будет представлена в виде ссылок на официально принятые руководящие документы (с краткими пояснениями) которые так же можно будет скачать. Так же тут приведу ссылки на ресурсы на которых можно получить информацию по данной теме.

«Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее СТР-К).По сути,основной документ, на основе которого можно разработать документацию для своей серверной. Обратите внимание что документ носит РЕКОМЕНДАТЕЛЬНЫЙ характер.То есть как говорится,»колхоз дело добровольное» и можете конечно не заморачиватся разработкой документации. Но (сугубо мое личное мнение) данный документ писали люди далеко не глупые,и стоит иметь в серверной такие документы. Во всяком случае, это будет вам в плюс (Опять же, проверяющие просто обожают инструкции и документы, и чем их больше тем лучше J ).

Лично я разработал документацию для серверной, все зарегистрировал, сделал опись документов, подшил все в одну папочку и положил ее в серверной.

Данные шаблоны я запаковал в один архив (небольшой по объему), если вас интересует, то качайте на здоровье.

Перечень шаблонов входящих в архив:

«Приказ о назначении комиссии по сопровождению аттестации автоматизированной системы».

«Перечень автоматизированных систем, используемых для обработки конфиденциальной информации и защищаемых помещений, в которых проводятся конфиденциальные мероприятия».

«Перечень сведений конфиденциального характера»

«АКТ классификации автоматизированной системы (АС)»

«Схема границы контролируемой зоны»

«Перечень лиц, обслуживающих автоматизированную систему»

«Приказ о назначении администратора информационной безопасности

(уполномоченного по защите информации)»

«Данные по уровню подготовки кадров, обеспечивающих защиту информации»

«Инструкция по обеспечению защиты конфиденциальной информации, обрабатываемой в автоматизированных системах»

«Состав программного обеспечения автоматизированной системы»

«Перечень лиц, имеющих право самостоятельного доступа в помещение №____ с автоматизированной системой»

«Перечень лиц, имеющих право самостоятельного доступа к штатным средствам автоматизированной системы»

«ТЕХНИЧЕСКИЙ ПАСПОРТ автоматизированной системы»

«Перечень защищаемых ресурсов автоматизированной системы и уровень их конфиденциальности»

«Матрица доступа субъектов автоматизированной системы к ее защищаемым информационным ресурсам»

«Описание настроек системы разграничения доступа системы защиты информации от несанкционированного доступа автоматизированной системы»

«Описание технологического процесса обработки информации в автоматизированной системе»

«Пример Памятки по обеспечению режима безопасности и эксплуатации оборудования, установленного в защищаемом помещении ___Серверная»

«Пример ПЕРЕЧНЯ сведений конфиденциального характера»

«Пример Технический паспорт защищаемого помещения»

СКАЧАТЬ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (далее СТР-К) принят ГОСУДАРСТВЕННОЙ ТЕХНИЧЕСКОЙ КОМИССИЕЙ ПРИ ПРЕЗИДЕНТЕ РОССИЙСКОЙ ФЕДЕРАЦИИ, Решение Коллегии Гостехкомиссии России № 7.2/02.03.2001 г.

Данный документ определяет следующие основные вопросы защиты информации:

  1. организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;
  2. состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;
  3. требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;
  4. требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;
  5. порядок обеспечения защиты информации при эксплуатации объектов информатизации;
  6. особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;
  7. порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

2.Требования к помещению серверной

К выбору помещения в здании, размера площади комнаты и ее оснащению необходимо подходить крайне серьезно. От того, насколько верно вы будете соблюдать все инструкции и стандарты по ее оборудованию, зависит степень возникновения риска потери или утечки информации.

Серверное помещение — это телекоммуникационное помещение, в котором размещаются распределительные устройства и большое количество активного телекоммуникационного оборудования. В серверном помещении могут размещаться патч-панели, кроссы, распределительные коробки.

Судя по информации в сети Internet требования для проектов аппаратных (серверных) комнат разрабатываются на основе следующих документов (указываю все какие нашел):

  • Стандарт TIA/EIA-569. Commercial Building Standard for Telecommunication Pathways and Spaces;
  • Стандарт ANSI/NECA/BICSI 568-2001. Installing Commercial Building Telecommunication Cabling;
  • Стандарт ANSI/TIA/EIA-607. Commercial Building Grounding and Bonding Requirements for Telecommunications;
  • СН 512-78. Инструкция по проектированию зданий и помещений для электронных вычислительных машин. Строительные нормы;
  • ППБ 01-93. Правила пожарной безопасности в Российской Федерации. Главное управление государственной противопожарной службы МВД России;
  • РД 45.120-2000. Нормы технологического проектирования.;
  • ГОСТ 34.003-90 Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения;
  • ГОСТ 34.201-89 Комплекс стандартов на автоматизированные системы. Виды комплексность и обозначение документов при создании автоматизированных систем;
  • ГОСТ 34.601-90 Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания;
  • ГОСТ 34.602-89 Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы;
  • ГОСТ 34.603-92 Информационная технология. Виды испытания автоматизированных систем;
  • ВСН 60-89 Устройства связи, сигнализации и диспетчеризации инженерного оборудования жилых и общественных зданий. Нормы проектирования;

Требования к помещениям в которых обрабатываются персональные данные и эксплуатируется СКЗИ

Требования к помещениям в которых обрабатываются персональные данные и эксплуатируется СКЗИ

  1. 1. Правила доступа в помещения с ПДн, СКЗИ
  2. 2. Докладчик Сергей Борисов Блогер по ИБ Заместитель генерального директора по ИБ, ООО Информационные системы и аутсорсинг ГК РосИнтеграция https://sborisov.blogspot.ru/ s.borisov@krasnodar.pro Правила доступа в помещения с ПДн, СКЗИ
  3. 3. Категорирование помещений
  4. 4. Категории помещений Помещения с точки зрения информационной безопасности Содержащие защищаемую информацию Доступ ограничен Не содержащие защищаемую информацию Доступ не органичен Правила доступа в помещения с ПДн, СКЗИ
  5. 5. Категории помещений Помещения доступ к которым должен быть ограничен Помещения с АРМ пользователей ИСПДн Помещения с бумажными носителями ПДн Помещения с серверами ИСПДн Помещения с СКЗИ Правила доступа в помещения с ПДн, СКЗИ
  6. 6. Требования в иных областях Помещения доступ к которым должен быть ограничен Помещения для хранения ядовитых, сильнодействующи х, психотропных и наркотических лекарственных средств Объекты и помещения, в которых осуществляются деятельность, связанная с оборотом наркотических средств, психотропных веществ и внесенных в список I перечня наркотических средств, психотропных веществ Помещения розничной торговли лекарственных препаратов Правила доступа в помещения с ПДн, СКЗИ
  7. 7. Категории помещений Сколько категорий помещений выделять? Правила доступа в помещения с ПДн, СКЗИ
  8. 8. Для ИСПДн — ПП 1119 13. Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований: а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; Правила доступа в помещения с ПДн, СКЗИ
  9. 9. Для ПДн — ПП 1119 13. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ. 15. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором. Правила доступа в помещения с ПДн, СКЗИ
  10. 10. Приказ ФСТЭК №21 8.12. Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее — средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей. ЗТС.3 Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены Правила доступа в помещения с ПДн, СКЗИ
  11. 11. Приказ ФСБ №378 5. а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения; Правила доступа в помещения с ПДн, СКЗИ
  12. 12. Приказ ФСБ №378 6. а) оснащения Помещений входными дверьми с замками, обеспечения постоянного закрытия дверей Помещений на замок и их открытия только для санкционированного прохода, а также опечатывания Помещений по окончании рабочего дня или оборудование Помещений соответствующими техническими устройствами, сигнализирующими о несанкционированном вскрытии Помещений; б) утверждения правил доступа в Помещения в рабочее и нерабочее время, а также в нештатных ситуациях; в) утверждения перечня лиц, имеющих право доступа в Помещения. Правила доступа в помещения с ПДн, СКЗИ
  13. 13. Приказ ФАПСИ (ФСБ) №152 52. Спецпомещения выделяют с учетом размеров контролируемых зон, регламентированных эксплуатационной и технической документацией к СКЗИ. Спецпомещения должны иметь прочные входные двери с замками, гарантирующими надежное закрытие спецпомещений в нерабочее время. Окна спецпомещений, расположенных на первых или последних этажах зданий, а также окна, находящиеся около пожарных лестниц и других мест, откуда возможно проникновение в спецпомещения посторонних лиц, необходимо оборудовать металлическими решетками, или ставнями, или охранной сигнализацией, или другими средствами, препятствующими неконтролируемому проникновению в спецпомещения. Правила доступа в помещения с ПДн, СКЗИ
  14. 14. Приказ ФАПСИ (ФСБ) №152 62. Размещение и монтаж СКЗИ, а также другого оборудования, функционирующего с СКЗИ, в спецпомещениях пользователей СКЗИ должны свести к минимуму возможность неконтролируемого доступа посторонних лиц к указанным средствам. Техническое обслуживание такого оборудования и смена криптоключей осуществляются в отсутствие лиц, не допущенных к работе с данными СКЗИ. На время отсутствия пользователей СКЗИ указанное оборудование, при наличии технической возможности, должно быть выключено, отключено от линии связи и убрано в опечатываемые хранилища. В противном случае пользователи СКЗИ по согласованию с органом криптографической защиты обязаны предусмотреть организационно-технические меры, исключающие возможность использования СКЗИ посторонними лицами в их отсутствие. 63. Режим охраны спецпомещений пользователей СКЗИ, в том числе правила допуска сотрудников и посетителей в рабочее и нерабочее время, устанавливает обладатель конфиденциальной информации по согласованию с соответствующим органом криптографической защиты. Установленный режим охраны должен предусматривать периодический контроль за состоянием технических средств охраны, если таковые имеются, а также учитывать положения настоящей Инструкции, специфику и условия работы конкретных пользователей СКЗИ. Правила доступа в помещения с ПДн, СКЗИ
  15. 15. Приказ ФАПСИ (ФСБ) №152 64. В спецпомещениях пользователей СКЗИ для хранения выданных им ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей необходимо иметь достаточное число надежно запираемых шкафов (ящиков, хранилищ) индивидуального пользования, оборудованных приспособлениями для опечатывания замочных скважин. Ключи от этих хранилищ должны находиться у соответствующих пользователей СКЗИ. 66. В обычных условиях опечатанные хранилища пользователей СКЗИ могут быть вскрыты только самими пользователями. Правила доступа в помещения с ПДн, СКЗИ
  16. 16. ИТОГО 1.Категории защищаемых помещений: ПДн (компоненты ИСПДн и материальные носители ПДн), СКЗИ 2. Оборудование помещений: СКЗИ — замки + опечатывание или сигнализация ПДн — на выбор организации 3. Инструкция / порядок доступа в помещения (для СКЗИ более строгие правила) 4. Перечень лиц, имеющих доступ в помещение (обязателен для СКЗИ) Правила доступа в помещения с ПДн, СКЗИ
  17. 17. Подготовка правил доступа Поможет быстро и легко разработать правила доступа в помещения с ПДн и СКЗИ Правила доступа в помещения с ПДн, СКЗИ
  18. 18. Вопросы https://sborisov.blogspot.ru/ https://twitter.com/sb0risov s.borisov@krasnodar.pro Правила доступа в помещения с ПДн, СКЗИ