Служба защиты информации

Теперь определим убытки которые понесет фирма в результате хищения конфиденциальной информации, связанной с производством определенной продукции.

Допустим что информация полностью утеряна и имевшиеся наработки пришлось восстанавливать с нуля, при этом на определенный промежуток времени остановилось производство что повлекло за собой убытки в размере 450000 . Кроме того сорвались контракты на поставку продукции - 500000 р. Конкурирующая фирма захватила освободившийся сегмент рынка и наша фирма потеряла репутацию. При этом продажи за год снизились на 10% - 800000 р. Кроме этого для восстановления утерянной репутации пришлось проводить рекламные акции - 300000 р. и привлекать новых инвесторов, за счет повышения качества продукции (что возможно при внедрении новых технологий и приобретении дорогостоящего оборудования - 700000 р.). Таким образом, наша фирма за год потеряла 2750000 р.

Выводы:

Таким образом предложена довольно простая методика для оценки экономической обоснованности внедрения службы защиты информации, результаты которой могут послужить весомым аргументом при рассмотрении руководством предложения по внедрению службы защиты информации.

9. Безопасность жизнедеятельности

9.1 Значение и задачи безопасности жизнедеятельности

Цель безопасности жизнедеятельности - это достижение безопасности человека в производственной среде на предприятии. Безопасность человека определяется отсутствием производственных и непроизводственных аварий, стихийных и других природных бедствий, опасных факторов, вызывающих травмы или резкое ухудшение здоровья, вредных факторов, вызывающих заболевания человека и снижающих его работоспособность.

Задачи, решаемые безопасностью жизнедеятельности:

- идентификация опасностей, т.е. распознавание образа, количественных характеристик и координат опасности;

- защита от опасностей;

- ликвидация опасностей.

Охрана труда на предприятии - система сохранения жизни и здоровья работников в процессе трудовой деятельности, включающая в себя правовые, социально-экономические, организационно-технические, санитарно-гигиенические, лечебно-профилактические, реабилитационные и иные мероприятия.

Основными направлениями в решении задач безопасности жизнедеятельности являются:

- обеспечение приоритета сохранения жизни и здоровья работников;

- надзор и контроль за соблюдением требований охраны труда;

- защита законных интересов работников, пострадавших от несчастных случаев на производстве и профессиональных заболеваний, а также членов их семей на основе обязательного социального страхования работников от несчастных случаев на производстве и профессиональных заболеваний;

- координация деятельности в области охраны труда, охраны окружающей природной среды и других видов экономической и социальной деятельности.

9.2 Производственная санитария и гигиена

При оборудовании рабочих мест сотрудников службы защиты информации, необходимо спроектировать их таких образом, что бы они соответствовали правилам техники безопасности и производственной санитарии. Охрана труда обеспечивается системой законодательных актов, а так же совокупностью организационных, технических, гигиенических и лечебно-профилактических мероприятий проводимых на фирме. При обеспечении благоприятных условий сотрудникам на их рабочих местах, мы обеспечим наибольшую производительность и эффективность деятельности службы защиты информации в целом. Требования по организации рабочего места сформулирован в соответствующем документе: СанПиН 2.2.2./2.4.1340-03 «Гигиенические требования к персональным ЭВМ и организации работы». Рассмотрим выкладки из данного документа

Требования к ЭВМ

Каждые ЭВМ на рабочем месте должна соответствовать требованиям санитарных правил, и каждый их тип подлежит санитарно-эпидемиологической экспертизе с оценкой в испытательных лабораториях, аккредитованных в установленном порядке. Концентрация выделяемых ЭВМ вредных веществ в воздух помещений не должно превышать предельно допустимой концентрации. Так же ЭВМ должно соответствовать требованиям по уровню звукового давления и уровню электромагнитных полей. Конструкция ЭВМ должна обеспечивать возможность поворота корпуса в горизонтальной и вертикальной плоскости с фиксацией в заданном положении для обеспечения фронтального наблюдения экрана монитора. Монитор должен предусматривать регулировку яркости и контрастности.

Требования к помещению

В помещении должно быть естественное и искусственное освещение, которое должно соответствовать требованиям действующей нормативной документации. Окна должны быть ориентированы на север или северо-восток и содержать регулируемые устройства типа: жалюзи, занавесей и т.п. Площадь на одно рабочее место пользователя ЭВМ с монитором на базе электронно-лучевой трубки должно составлять не менее 6 квадратных метров. Помещения должны быть оборудованы защитным заземлением (занулением) в соответствии с техническими требованиями по эксплуатации. Относительная влажность и скорость движения воздуха на рабочих местах должна соответствовать действующим санитарным нормам. Должны быть обеспечены оптимальные параметры микроклимата. В помещениях проводится ежедневная влажная уборка и систематическое проветривание после каждого часа работы на ЭВМ. Уровни положительных и отрицательных аэроионов в воздухе помещения должны соответствовать действующим санитарно-эпидемиологическим нормам. Содержание вредных химических веществ в производственных помещениях не должно превышать предельно допустимых концентраций загрязняющих веществ в атмосферном воздухе населенных мест в соответствии с действующими гигиеническими нормативами.

Требования к рабочим местам

Уровень шума не должен превышать допустимых значений. Шумящее оборудование, уровни шума которого превышают нормативные, должны размещаться вне помещения содержащего ЭВМ.

Рабочие столы необходимо размещать таким образом, что бы видеодисплей был ориентирован боковой стороной к световым проемам. Искусственное освещение должно осуществляться системой общего равномерного освещения. Освещение на поверхности стола в зоне размещения рабочего документа должно быть 300-500лк. Следует ограничить распределение яркости в поле зрения пользователя ЭВМ, при этом соотношение яркости между рабочими поверхностями не должно превышать отношение 3:1, 5:1, а между рабочими поверхностями и поверхностями стен и оборудования - 10:1. Коэффициент запаса для осветительных установок общего освещения должен приниматься равным 1,4, а коэффициент пульсации не должен превышать 5%.

Высота рабочих поверхностей стола должна регулироваться в пределах 680-800 мм, при отсутствии такой возможности, высота должна составлять 725мм.

Дисплей должен удовлетворять следующим требованиям:

- важнейшие элементы конструкции должны быть расположены в центре поля зрения (клавиатура);

- элементы должны быть сгруппированы по функциональному признаку;

- рабочие поверхности должны быть расположены наклонно, по возможности перпендикулярно взгляду оператора;

- экран видеомонитора должен находиться от глаз пользователя на оптимальном расстоянии 600-700 мм, но не ближе 500 мм с учётом размеров знаков и символов.

Для получения хорошего качества изображения должна быть обеспечена достаточная контрастность изображения, которая зависит от соотношения собственной яркости трубки и яркости фона, обусловленного внешней освещенностью экрана.

Для обеспечения достаточной контрастности и исключения бликов необходимо применять приэкранный фильтр, который к тому же уменьшает заметность мельканий; фильтр должен иметь антибликовое покрытие, желательно с обеих сторон. Необходима защита и от электростатического поля, которое возникает на экране и перед ним. Здесь также защищает приэкранный фильтр с проводящим слоем, соединенный с заземляющей шиной ПК, который должен быть соединен с общим заземлением помещения.

Для уменьшения влияния на оператора рентгеновского излучения (особенно цветных дисплеев) и электромагнитного поля, необходимо находиться не ближе 1,22 м от задних стенок соседних дисплеев. Экран должен находиться от глаз пользователя на оптимальном расстоянии 0,6-0,7 м, но не ближе 0,5 м. Рабочее место для выполнения работ сидя должно соответствовать ГОСТ 12.2.032-78; 22269-76; 21829-76. Рабочий стол должен регулироваться по высоте в пределах 680-800 мм(если невозможно, то высота его - 725 мм), под столом должно быть свободное пространство для ног. Рабочий стул должен иметь регуляцию по высоте (400-550 мм) и угла наклона спинки.

Рабочие места операторов располагаются так, чтобы оконные проемы находились сбоку и дальше от экрана ПК, Если экран обращен к окну, необходим экран (ширма) между рабочим местом и окном. Светильники общего освещения должны располагаться сбоку от рабочего места, параллельно линии зрения оператора и стены с окнами. Расстояние между тыльной стороной одного ряда мониторов и экраном монитора из соседнего ряда должно быть не менее 2 м, а расстояние между боковыми поверхностями мониторов - не менее 1,2 м.

При работе на ПК необходимо делать перерывы на 10-15 мин каждые 1,5-2 часа работы в соответствии с санитарными нормами.

9.3 Техника безопасности

В отношении опасности поражения людей электрическим током помещения различаются:

1) помещения без повышенной опасности, в которых отсутствуют условия, создающие повышенную или особую опасность.

2) помещения с повышенной опасностью, характеризующиеся наличием в них одного из следующих условий, создающих повышенную опасность:

- сырость или токопроводящая пыль;

- токопроводящие полы (металлические, земляные, железобетонные, кирпичные и т.п.);

- высокая температура;

- возможность одновременного прикосновения человека к металлоконструкциям зданий, имеющим соединение с землей, технологическим аппаратам, механизмам и т.п., с одной стороны, и к металлическим корпусам электрооборудования (открытым проводящим частям), с другой.

3) особо опасные помещения, характеризующиеся наличием одного из следующих условий, создающих особую опасность:

- особая сырость;

- химически активная или органическая среда;

- одновременно два или более условий повышенной опасности;

Полная гарантия безопасности при эксплуатации бытовых электроустановок и электроприборов может быть обеспечена только при выполнении мероприятий как организационного, так и технического характера.
При пользовании любым электрическим прибором необходимо всегда помнить о том, что неумелое обращение с ним, несоблюдение мер предосторожности может привести к поражению электрическим током:

1. Необходимо постоянно следить за исправным состоянием электропроводок, предохранительных щитков, выключателей штепсельных розеток, ламповых патронов, а также шнуров, при помощи которых электроприборы, телевизоры, радиоприемники включаются в электросеть.

2. Во избежание повреждения изоляции проводов и возникновения замыканий, нельзя:

- закрашивать и белить шнуры и провода;

- вешать что-либо на провода;

- закладывать провода и шнуры за газовые и водопроводные трубы, за батареи отопительной системы;

- допускать соприкосновения электрических проводов с телефонными и радиотрансляционными проводами, радио- и телеантеннами, ветками деревьев и кровлями строений;

- заклеивать электропроводку бумагой, обоями, закреплять провода гвоздями.

3. Запрещается под напряжением очищать от пыли и грязи светительную арматуру и лампы.

9.4 Безопасность жизнедеятельности в чрезвычайных ситуациях

Подготовка службы к работе в условиях чрезвычайной ситуации (ЧС)

Смысл подготовки заключается в том, что при наступлении ожидаемой (прогнозируемой) ситуации организация (руководство) не ищет лихорадочно способы и средства противодействия, а реализует уже имеющиеся планы и использует заранее приготовленные ресурсы. Для этого нужно четко представлять себе, что и когда может произойти, каковы могут быть последствия, какие средства и методы наиболее эффективны, какие ресурсы должны использоваться. При возникновении реальной угрозы организация (система)должна быстро сменить тактику действий в соответствии с внешними условиями и внутренними требованиями безопасности, надежности. Это позволит снизить ущерб за счет оптимизации реагирования за счет его своевременности и направленности. Подготовленная к ЧС организация способна быстро перестроить свою работу и начать противодействие тогда, когда ситуация еще не вышла из-под контроля, когда существует еще много возможностей для альтернативного развития событий. Тогда появляется возможность, если не управлять, то по крайней мере контролировать ситуацию. Ущерб возникает в результате внешних или внутренних воздействий, на которые система не способна вовремя эффективно отреагировать или которые не способна компенсировать.

Подготовка организации к противодействию ЧС должна начинаться с постановки задач СлЗИ. Среди задач СлЗИ для ЧС можно выделить актуальные и перспективные задачи.

Перспективные задачи

Подготовка системы к работе в условиях ЧС включает подготовку технических средств и подготовку сотрудников (должны существовать чрезвычайные планы для работы в условиях ЧС, разработана методика реагирования системы на ЧС, ликвидации последствий).

Создание резервов (резервных систем, материальных и интеллектуальных ресурсов):

- стратегические резервы (универсальные, медленно расходуемые и др.;

- тактические резервы (специальные, быстро исчерпываемые ресурсы).

Моделирование процессов, происходящих в системе в условиях ЧС:

- физические процессы (процессы, происходящие в технических средствах ЗИ и охраны, каналах связи и инженерных сооружений);

- организационные (управленческие воздействия, передача и обработка информации);

- психологические (исполнение должностных обязанностей, распоряжений).

Прогнозирование возникновения и развития ЧС.

Прогнозирование должно производиться исходя из особенностей исследуемой ситуации и возможностей системы справиться с ситуацией (наличие ресурсов, их качество, наличие удовлетворительных планов работы в сложных условиях).

Актуальные задачи:

- сохранение функциональности и надежности основных элементов системы;

- сохранение системы управления;

- ориентированность системы на ликвидацию ЧС и ее последствий.

Решение актуальных задач осуществляется за счет использования эффективных методов и рационального распределения имеющихся средств. Методы противодействия должны использовать все возможные ресурсы организации. Среди методов, которые могут быть использованы для противодействия ЧС, можно выделить основные четыре: административные, организационные, социально-психологические и технические. Имеющиеся средства противодействия должны использоваться системно, иначе их эффективность может быть существенно снижена. Поэтому для каждой ЧС необходимо разработать собственное методическое обеспечение, которое упорядочивало бы процесс их использования.

Эффективное противодействие ЧС требует от организации рационально использовать имеющиеся методы и средства. Для этого работа с ЧС должна проходить в следующих направлениях:

- организационное реагирование;

- работа с информацией;

- работа с персоналом;

- работа с техническими средствами.

Далеко не любая ЧС требует серьезных изменений в деятельности организации. Иногда достаточно простого реагирования одного из структурных подразделений согласно разработанной методике. Ситуация стандартна, система управляема. ЧС, угрожающая жизненным интересам организации, требует соответствующего реагирования изменения организационной структуры и мобилизации ресурсов. Основная проблема работы в условиях ЧС - неорганизованность и несогласованность работы структурных подразделений, вовлеченных в ЧС, и отдельных сотрудников. Поэтому в особо сложной ситуации при длительном воздействии деструктивных факторов для эффективной работы с ЧС необходимо создание специальной организационной структуры с широкими полномочиями. Идеально, если бы это была постоянная организационная структура, которая занималась бы сбором и анализом информации о ЧС, прогнозированием, планированием и организацией работы в условиях ЧС. Если такая структура отсутствует, то в период ЧС необходимо создать штаб по работе с ЧС, куда входили бы представители (или руководители) всех вовлеченных в ЧС структурных подразделений. Может быть создана группа экспертов для анализа информации и выработки рекомендаций по управлению в условиях ЧС для вовлеченных подразделений.

Необходима кризисная организация взаимодействия подразделений руководство их действиями из одного центра. Все усилия должны быть направлены на достижение одной цели- локализация и ликвидация ЧС. В крупных организациях для работы с ЧС рекомендуется создать специальное подразделение, которое занималось бы анализом, прогнозом и реагированием на ЧС, а также координировало бы работу остальных служб в условиях ЧС. Кроме основного кризисного центра, необходимо предусмотреть создание вспомогательных подразделений, которые выполняли бы важные служебные функции. Этим достигалась бы оптимальная концентрация людских ресурсов на важнейших на правлениях. В рамках этого подразделения необходимо создать группу экспертов, группу быстрого реагирования, техническую группу, информационную группу. Группа быстрого реагирования кроме силовых акций должна быть способна заниматься также спасательными операциями и быть способной поддерживать порядок в организации в экстремальных ситуациях(выполнять охранные функции).

Техническая группа должна заниматься экстренным восстановлением разрушенных инженерных сооружений, линий связи, технических средств защиты информации и охраны, электронных средств обработки и хранения информации. Информационная группа должна заниматься сбором и первичной обработкой полученных сведений, их группировкой, накоплением и хранением. Экспертная группа должна заниматься анализом полученных сведений и разработкой методического обеспечения.

Однако наиболее эффективным (действительно необходимым) будет не оперативное реагирование на возникшую ситуацию, а превентивная работа с проблемой. Для этого необходимо иметь четкие представления об окружающей обстановке. Нужно наладить работу по своевременному получению сведений для идентификации ЧС. Полученная информация должна позволить своевременно сконцентрировать имеющиеся силы и средства на опасном направлении. Например, во время вооруженного нападения, террористического акта или перед стихийным бедствием. Для предотвращения возникновения ЧС и снижения ущерба от проявившихся деструктивных факторов, необходимо:

- предвидеть появление ЧС (прогнозирование);

- иметь специальные организационные структуры;

- владеть специальными методиками по прогнозированию, предотвращению, локализации и ликвидации различных ЧС;

- построить систему специальной подготовки персонала и управленческих кадров;

- иметь в наличии резервы для работы с ЧС;

- создать специальную систему для получения и анализа информации о ЧС.

Заключение

В результате выпускной квалификационной работы был произведен анализ существующих методик по организационному проектированию и разработке служб, и был рассмотрен алгоритм организационного проектирования службы защиты информации ориентированный на функционирование в коммерческой фирме. Предложенный алгоритм состоит из следующих основных этапов:

- анализ рисков и структуризация проблемы;

- определение организационной структуры службы;

- определение необходимого персонала и его подбор;

- организация информационного обеспечения службы;

- определение взаимодействия службы с другими структурными подразделениями фирмы;

- экономическая обоснованность проектируемой службы.

По каждому этапу были рассмотрены основные вопросы связанные с оргпроектированием, при этом были приведены определенные рекомендации.

Была разработана методика по определению функционального состава СлЗИ. В целом рассмотренная методика определения численного состава службы защиты информации позволяет произвести необходимые расчёты численного состава службы в ходе организационного проектирования или оценить уровень текущей укомплектованности персонала службы защиты информации предприятия, а так же выработать рекомендации по улучшению эффективности функционирования информационной безопасности предприятия.

Список использованных источников

1 Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий [Текст] / Гостехкомиссия России - М., 2002.

2 КонсультантПлюс: Высшая школа [Электронный ресурс]. - Электрон. текстовые, граф., и прикладная прогр. (500 Мб). - М.: КонсультантПлюс, 2007. - электрон. опт. диск (CD-ROM): зв., цв.; 12 см + открытка (1 л.). - (Учебное пособие. Помощь в обучении, подготовке рефератов, курсовых и дипломных работ). - Минимальные аппаратные и программные требования: Процессор не ниже Pentium 266 MHz ; 64 Мб ОЗУ ; Windows ME/NT 4.0/2000/XP ; High Color True Color ; 600x800 ; 16х CD-ROM дисковод ; 16-бит. зв. карта ; мышь. -Загл. с экрана. - Диск и сопровод. материал помещены в контейнер 20x14 см.

3 Пашуто, В.П. Организация и нормирование труда на предприятии [Текст] Учебное пособие / - М.: Новое знание, 2001.

4 Горшкова, Л.А. Анализ организации управления [Текст] Аналитический инструментарий / - М.: Финансы и статистика, 2003.

5 Рогожин, С.В. Теория организации [Текст] Учебное пособие / С.В. Рогожин, Т.В. Рогожина. - 2-е изд.стереотип. - М.: Издательство “Экзамен”, 2004. - 320с. (Серия “Учебник для вузов”)

6 Литвак, Б.Г. Разработка управленческого решения [Текст] Учебник / - 4-е изд., испр. - М.: Дело, 2003. - 392 с.

7 Федеральный закон «Об информации, информатизации и защите информации» [Текст] / - М., 20.02.1995 г

8 Мосин, В.Н. Управление процессом проектирования [Текст] / В.Н. Мосин, В.А. Травин - 2-е изд., испр. - Московский рабочий, 1980

9 Качалина, А.Н. Научная организация управленческого труда [Текст] Оргпроектирование / издательство “Экономика”, Москва -1973

10 Брединский, А. Контроль персонала [Электронный ресурс] / Технология разведки для бизнеса. Режим доступа: http://it2b.ru/it2b3.view1.page17.html - Заглавие с экрана

11 Иванов, А.А. Чрезвычайные ситуации в системе защиты информации [Текст] Информационно - методический журнал Конфидент / А.А. Иванов, В.В. Шарлот, № 4-5 (34-35)июль-октябрь 2000г., С. 10-23

12 Беляев, В.А. Какой должна быть норма труда в условиях рынка [Текст] // Человек и труд - 1997 - №8 - С. 99-104.

13 Поляков, И.А. Методика экономических расчетов по кадрам, труду и заработной плате на промышленных предприятиях [Текст] Справочник экономиста по труду / И.А. Поляков, К.С. Ремизов - М.; Экономика 1990 - С. 142-160.

14 Балашов, П.А. Разработка структуры службы безопасности предприятия [Текст] Информационно - методический журнал Конфидент / № 3 (33) май-июнь 2000г., С. 78-83

Приложение А

Список нормативных документов службы защиты информации

В ходе своей деятельности службы защиты информации должна руководствоваться следующими нормативными документами:

- Конституция Российской Федерации;

- Гражданский Кодекс Российской Федерации;

- Уголовный Кодекс Российской Федерации;

- Декларация прав и свобод человека и гражданина Российской Федерации.

Законы Российской Федерации:

- «Об информации, информационных технологиях и о защите информации» от 9 августа 2006 г. № 149-ФЗ;

- «О безопасности» от 5 марта 1992 г. № 2446-1;

- «О связи» от 16 февраля 1995 г. №15-ФЗ;

- «О защите прав потребителей» от 7 февраля 1992 г. № 2300-1 в редакции Федерального закона от 9 января 1996 г. № 2-ФЗ;

- «О сертификации продукции и услуг» от 10 июня 1993 г. № 5151-1;

- «О федеральных органах правительственной связи и информации» от 19 февраля 1993 г. № 4524-1;

- «Об участии в международном информационном обмене» от 4 июля 1996 г. № 85-ФЗ.

Указы Президента Российской Федерации:

- «О создании Государственной технической комиссии при Президенте Российской Федерации» от 5 января 1992 г. № 9;

- «Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 г. № 1203;

- «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. № 334;

- «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам» от 8 мая 1993 г. № 644;

- «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188;

- «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9 января 1996 г. № 21;

- «Об основах государственной политики в сфере информатизации» от 20 января 1994 г. № 170.

Распоряжения Президента Российской Федерации:

- «Положение о Государственной технической комиссии при Президенте Российской Федерации» от 28 декабря 1992г. № 829-рпс и от 05 июля 1993г. № 483-рпс.

Постановления Правительства Российской Федерации:

- Инструкция № - 0126-87;

- «О лицензировании отдельных видов деятельности» № 1418, 1994 г.;

- «Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» от 01 июля 1996г. № 770;

- «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993г. № 912-51;

- «О сертификации средств защиты информации» от 26 июня 1995г. № 608;

- «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 03 ноября 1994г. № 1233;

- «Об утверждении Положения о выпуске и обращении ценных бумаг и фондовых биржах в РСФСР» от 28 декабря 1991г. № 78

- «О перечне сведений, которые не могут составлять коммерческую тайну» от 05 декабря 1991г. № 35.

Решения Гостехкомиссии России (ГТК):

- «Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам» от 16 ноября 1993г. № 6;

- «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте» от 03 октября 1995г. № 42.

Совместные решения Гостехкомиссии России и ФАПСИ:

- «Положение о государственном лицензировании деятельности в области защиты информации» от 24 апреля 1994г. № 10 с дополнениями и изменениями, внесенными решением Гостехкомиссии России и ФАПСИ от 24 июня 1997г. № 60;

- «Система сертификации средств криптографической защиты информации» (N РОСС RU.0001.03001).

Руководящие документы Гостехкомиссии России:

- «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

- «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

- «Средства вычислительной техники. Защита от

несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

- «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

- «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 25 июля 1997г.);

- «Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России» (N РОСС RU.0001.01БИ00);

- «Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям по безопасности информации»;

- «Положение по аттестации объектов информатизации по требованиям безопасности информации»;

- Концепция безопасности информации Российской Федерации, 1996;

- Концепция единого информационного пространства России.

Документы по созданию автоматизированных систем и систем защиты информации:

- «Терминология в области защиты информации. Справочник» (ВНИИcтандарт, 1993);

- ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»;

- РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»;

- ГОСТ 24.202-80 «Система технической документации на АСУ»;

- Требования к содержанию документа «Технико-экономическое обоснование создания АСУ»;

- ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов»;

- ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»;

- ЕСКД. «Эксплуатационная и ремонтная документация»;

- ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»;

- ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;

- ГОСТ 28806-90. «Качество программных средств. Термины и определения»;

- ГОСТ Р ИСО/МЭК 9126-93. «Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их

применению»;

- ГОСТ 2.111-68. «Нормоконтроль»;

- ГОСТ РВ 50170-92. «Противодействие ИТР. Термины и определения».

Стандарты по защите от НСД к информации:

- ГОСТ Р 50922-96. «Защита информации. Основные термины

и определения»;

- ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. ОТТ»;

- ГОСТ ВД 16325-88. «Машины вычислительные электронные цифровые общего назначения. ОТТ. Дополнения».

Стандарты по криптографической защите и электронно-цифровая подпись (ЭЦП):

- ГОСТ 28147-89. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

- ГОСТ Р 34.10-94. «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;

- ГОСТ Р 34.11-94. «Функция хеширования».

Стандарты, применяемые при оценке качества объектов информатизации:

- ГОСТ 40.9001-88. «Системы качества. Модель обеспечения качества при проектировании и(или) разработке, производстве, монтаже и обслуживании»;

- ГОСТ 40.9003-88. «Системы качества. Модель для обеспечения качества при окончательном контроле и испытаниях»;

- «Порядок проведения Госстандартом России государственного контроля и надзора за соблюдением обязательных требований государственных стандартов, правил обязательной сертификации и за сертифицированной продукцией (работами, услугами)» от 30 декабря 1993 г.

№ 239;

- ГОСТ 28906-91. «Системы обработки информации. Взаимосвязь открытых систем. Базовая ЭТАЛОННАЯ модель»;

- ГОСТ 16504-81. «Испытания и контроль качества

продукции»;

- ГОСТ 28195-89. «Оценка качества программных изделий. Общие положения».

Нормативные документы, регламентирующие сохранность информации на объекте информатизации:

- «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» (Инструктивные указания Государственного Арбитража СССР от 29 июня 1979 г. № И-1-4);

- «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» Раздел IV. Могут ли подтверждаться обстоятельства дела доказательствами, изготовленными и подписанными с помощью средств электронно-вычислительной техники, в которых использована система цифровой (электронной) подписи? (Письмо Высшего Арбитражного суда Российской Федерации от 19 августа 1994 г. № C1-7/ОП-587 в редакции от 12сентября 1996 г.);

- «О Федеральном законе «Об информации, информатизации и защите информации»» (Письмо Высшего Арбитражного суда Российской Федерации от 07июня 1995 г. № C1-7/03-316).

Стандарты в области терминов и определений:

- ГОСТ 34.003-90. «Информационная технология. Комплекс стандартов на АС. Термины и определения»;

- ГОСТ Р В 50170-92. «Противодействие ИТР. Термины и определения»;

- ГОСТ 15971-90. «СОИ. Термины и определения»;

- ГОСТ 22348-77. «Единые автоматизированные системы связи. Термины и определения»;

Приложение Б

Нормы времени на работы выполняемые СлЗИ

1. Организация доступа к информационным ресурсам

Таблица 1- Нормы времени на организацию доступа к информационным ресурсам

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Настройка активного сетевого оборудования	1 устройство	3,15	1.1
Настройка параметров сетевого подключения у пользователей	1 пользователь	0,93	1.2
Настройка Web-сервера	1 настройка	2,78	1.3
Создание Web-страниц	1 Web-страница	6,85	1.4
Обновление Web-страниц	1 обновление	0,81	1.5
Настройка (администрирование) FTP-сервера	1 настройка	1,95	1.6
Создание нового пользователя на FTP-сервере	1 пользователь	0,23	1.7
Обновление данных на FTP-сервере	1 обновление	0,40	1.8
Настройка почтового сервера	1 настройка	2,23	1.9
Создание нового пользователя на почтовом сервере	1 пользователь	0,15	1.10
Настройка почтового клиента у пользователей	1 пользователь	0,56	1.11
Обучение (консультации) потребителей информации по пользованию WWW, FTP, электронной почтой	1 пользователь	2,20	1.12

2. Организация информационного взаимодействия с пользователями подразделений

2.1. Планирование деятельности, подготовка отчетных документов, контрольные функции

Таблица 2 - Нормы времени на планирование деятельности

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Разработка, оформление и утверждение плана деятельности подразделения	1 план	6	2.1.1
Подготовка отчета о деятельности подразделения
- ежемесячный	1 отчет	3,60	2.1.2
- квартальный	1 отчет	5,94	2.1.3
- полугодовой	1 отчет	7,40	2.1.4
- годовой	1 отчет	11,25	2.1.5
Учет времени работы сотрудников	1 сотрудник	0,57	2.1.6
Разработка должностных инструкций, инструкций по ОТ, ТБ, ППБ дежурному по подразделению	1 инструкция	5,50	2.1.7
Корректировка должностных инструкций, инструкций по ОТ, ТБ, ППБ дежурному по подразделению	1 инструкция	1,46	2.1.8

2.2. Подготовка и проведение совещаний

Таблица 3 - Нормы времени на подготовку и проведение совещаний

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Подготовка программы совещания	1 программа	3,79	2.2.1
Согласование программы совещания	1 операция	2,03	2.2.2
Разработка указаний на проведение совещаний	1 указание	1,89	2.2.3
Подготовка доклада к совещанию	1 доклад	6,50	2.2.4
Подготовка презентации к докладу	1 презентация	7,94	2.2.5
Разработка проекта рекомендаций совещания	1 проект	3,34	2.2.6

2.3. Иные мероприятия

Таблица 4 - Нормы времени на иные мероприятия

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Проведение инструктажей по ОТ, ТБ и ППБ	1 инструктаж	0,76	2.3.1
Подготовка представлений, служебных характеристик	1 документ	2,10	2.3.2

3. Сервисное обслуживание средств вычислительной и оргтехники

3.1. Еженедельное обслуживание средств вычислительной и оргтехники

Таблица 5 - Нормы времени на еженедельное обслуживание средств вычислительной и оргтехники

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Проверка работоспособности устройств на тестах в ускоренном режиме	1 устройство	0,13	3.1.1
Очистка магнитных головок устройств внешней памяти НГМД	1 головка	0,09	3.1.2
Проверка и удаление компьютерных вирусов на устройствах внешней памяти ПЭВМ	1 ПЭВМ	0,20	3.1.3
Проведение дефрагментации накопителей на жестких магнитных дисках	1 накопитель	0,27	3.1.4
Проверка линий и устройств локальной вычислительной сети с помощью автономных тестов	1 ЛВС	0,19	3.1.5

3.2. Ежемесячное обслуживание средств вычислительной и оргтехники

Таблица 6 - Нормы времени на ежемесячное обслуживание средств вычислительной и оргтехники

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Полное тестирование всех устройств ПЭВМ с выдачей протокола, в том числе и ЛВС	1 ПЭВМ	1,70	3.2.1
Поставка обновленных антивирусных программ и полная проверка дисковой памяти на наличие вирусов	1 ПЭВМ	0,48	3.2.2
Смазка механических устройств НГМД, стримеры, принтеры	1 устройство	0,34	3.2.3
Очистка от пыли внутренних объемов ПЭВМ с разборкой	1 ПЭВМ	0,37	3.2.4
Очистка от пыли и грязи видеомониторов и LSD панелей	1 монитор	0,35	3.2.5
Очистка и промывка печатающих головок матричных и струйных принтеров	1 принтер	0,17	3.2.6
Очистка от использованного тонера элементов печати лазерных принтеров, заправка тонера	1 принтер	0,34	3.2.7
Очистка от пыли и промывка считывающего элемента в сканерах и смазка механических частей	1 сканер	0,28	3.2.8
Очистка от использованного тонера элементов печати ксероксов, заправка тонера	1 ксерокс	0,31	3.2.9
Очистка от пыли и промывка считывающего элемента в ксероксах и смазка механических частей	1 ксерокс	0,20	3.2.10
Промывка магнитных головок в аудио и видеомагнитофонах	1 магнитофон	0,10	3.2.11
Очистка узлов и промывка печатающей головки аппарата для факсимильной связи	1 аппарат	0,15	3.2.12
Очистка и промывка оптических узлов и их юстировка, удаление пыли из внутренних объемов проекторов	1 проектор	0,40	3.2.13

3.3. Полугодовое обслуживание средств вычислительной и оргтехники

Таблица 7 - Нормы времени на полугодовое обслуживание средств вычислительной и оргтехники

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Очистка от пыли внутренних объемов блоков питания ПЭВМ, очистка и смазка вентиляторов	1 ПЭВМ	0,80	3.3.1
Очистка экранов видеомониторов и LCD панели от пыли и грязи, регулировка и настройка	1 монитор	0,22	3.3.2
Очистка от пыли внутренних объемов внешних модемов, устройств независимого питания с последующим их тестированием	1 модем	0,47	3.3.3

3.4. Настройка ПС

Таблица 8 - Нормы времени на настройку ПС

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Подготовка исходных данных	1 операция	0,30	3.4.1
Реализация алгоритмов контрольных задач с использованием ПС ПЭВМ	1 операция	0,30	3.4.2
Обработка данных и получение результатов	1 операция	0,28	3.4.3
Анализ ошибок обработки данных и подготовка заключения о результатах проверки	1 операция	0,35	3.4.4
Ознакомление сотрудников службы сопровождения с содержанием задач, структурой входных и выходных данных	1 мероприятие	0,79	3.4.5
Определение параметров настройки	1 операция	0,17	3.4.6
Ознакомление с объектом внедрения	1 операция	0,94	3.4.7
Консультации по подготовке пользователями исходных данных в соответствии с требованиями и ограничениями ОС ПЭВМ	1 консультация	1,00	3.4.8
Разработка рекомендаций по реализации алгоритмов и требований пользователя к обработке данных с использованием ППП ПЭВМ	1 рекомендация	2,20	3.4.9
Оценка соответствия функциональных и эксплуатационных характеристик ПС требованиям к обработке данных	1 операция	1,10	3.4.10

3.5. Сопровождение поставленных ПЭВМ, ПС в послегарантийный период

Таблица 9 - Нормы времени на сопровождение поставленных ПС ПЭВМ в послегарантийный период

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Анализ функционирования ПС в ходе эксплуатации	1 ПС	0,25	3.5.1

Продолжение таблицы 9

Внесение необходимых изменений в программу и документацию	1 программа	0,30	3.5.2
Определение неисправности оборудования	1 единица техники	2,50	3.5.3
Составление заявки на ремонт оборудования	1 заявка	0,55	3.5.4
Отправка оборудования в ремонт	1 единица техники	1,50	3.5.5
Получение оборудования из ремонта	1 единица техники	2,10	3.5.6
Тестирование оборудования после ремонта	1 операция	1,50	3.5.7

3.6. Выбор ПС ПЭВМ

Таблица 10 - Нормы времени на выбор ПС ПЭВМ

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Демонстрация функционирования на контрольных задачах	1 демонстрация	0,20	3.6.1
Разработка рекомендаций по подготовке исходных данных задач пользователя в соответствии с требованиями ПС	1 рекомендация	0,60	3.6.2
Проведение консультаций пользователя в процессе эксплуатации ПС на вычислительной технике службы сопровождения	1 консультация	0,30	3.6.3
Анализ организационно-экономических и технических характеристик объекта внедрения ПС	1 анализ	0,40	3.6.4
Анализ характеристик реальных задач пользователя	1 анализ	0,80	3.6.5
Разработка требований к выбору ПС для реализации задач пользователя	1 требование	0,40	3.6.6
Разработка рекомендаций по выбору ПС	1 вариант рекомендаций	0,23	3.6.7
Разработка рекомендаций по доработке ПС ПЭВМ и развитию системы обработки информации	1 вариант рекомендаций	6,50	3.6.8
Оценка полноты охвата функциональными возможностями ПС	1 оценка	0,40	3.6.9
Выработка рекомендаций по расширению функциональных возможностей ПС	1 вариант рекомендаций	3,50	3.6.10

3.7. Заказ, получение и списание оборудования

Таблица 11 - Нормы времени на заказ, получение и списание оборудования

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Составление заявки на оборудование	1 заявка	0,94	3.7.1
Подготовка, согласование договоров на поставку оборудования	1 договор	6,22	3.7.2
Подготовка договоров на гарантийное и послегарантийное обслуживание	1 договор	3,18	3.7.3
Передача оборудования на склад	1 единица оборудования	1,14	3.7.4
Получение оборудования со склада	1 единица оборудования	1,15	3.7.5
Подготовка акта списания оборудования	1 единица оборудования	2,10	3.7.6

3.8. Ввод в эксплуатацию, закрепление ПЭВМ за пользователями

Таблица 12 - Нормы времени на ввод в эксплуатацию, закрепление ПЭВМ за пользователями

Наименование работы	Единица измерения	Норма времени, ч.	№ нормы
Подготовка формуляра на ПЭВМ (оборудование)	1 формуляр	0,65	3.8.1
Подготовка акта (протокола) передачи ПЭВМ (оборудования) в эксплуатацию	1 акт	0,55	3.8.2
Подготовка списков закрепления ПЭВМ (оборудования) за пользователями	1 список	0,75	3.8.3
Закрепление ПЭВМ (оборудования за пользователями)	1 ПЭВМ	0,36	3.8.4

Размещено на Allbest.ru