Приложение к Решению от 14.04.2009 г № 37-385 Положение
Методика категорирования защищаемых информационных ресурсов
1.Настоящая методика уточняет порядок проведения работ по категорированию информационных ресурсов АС органов местного самоуправления Верхнеуслонского муниципального района (далее - ОМС), подлежащих защите, в соответствии с Положением о категорировании информационных ресурсов.
2.Категорирование предполагает проведение работ по выявлению и анализу всех информационных ресурсов подсистем АС ОМС, подлежащих защите.
3.Для проведения анализа всех подсистем АС ОМС и проведения инвентаризации информационных ресурсов АС, подлежащих защите, формируется специальная рабочая группа. В состав этой группы включаются соответствующие специалисты информационных технологий, информационной безопасности и других подразделений ОМС (осведомленные в вопросах технологии автоматизированной обработки информации в АС Исполкома). Для придания необходимого статуса рабочей группе, издается соответствующее распоряжение руководителя ОМС, в котором, в частности, даются указания всем начальникам структурных подразделений ОМС об оказании содействия и необходимой помощи рабочей группе в проведении работ по анализу информационных ресурсов всех АС ОМС. Для оказания помощи на время работы группы в подразделениях начальниками этих подразделений должны выделяться сотрудники, владеющие детальной информацией по вопросам обработки информации в данных подразделениях.
4.В ходе обследования конкретных подразделений ОМС и автоматизированных подсистем выявляются все виды информационных ресурсов, используемых при решении задач в подразделениях ОМС.
5.Все, выявленные в ходе обследования, информационные ресурсы заносятся в перечень информационных ресурсов, подлежащих защите (Приложение 2 к Положению о категорировании информационных ресурсов).
6.Далее определяется и затем указывается в перечне информационных ресурсов, подлежащих защите, категория конфиденциальности и к какому типу тайны относится каждый из выявленных информационных ресурсов на основании требований действующего законодательства и предоставляемых ОМС прав.
7.Первоначальные предложения по оценке категорий обеспечения конфиденциальности конкретных видов информации выясняются у руководителей соответствующих структурных подразделений ОМС. Данные оценки категорий информации заносятся в перечень информационных ресурсов, подлежащих защите (в колонку 2). Размещение информационного ресурса АС ОМС выясняется у ответственного по информационным технологиям ОМС.
8.В дальнейшем, с участием ответственного по информационным технологиям и информационной безопасности ОМС необходимо уточнить и внести в Приложение 3 к Положению о категорировании информационных ресурсов сведения о пользователях и их уровне доступа к штатным средствам АС ОМС.
9.Затем Перечень лиц, имеющих доступ к штатным средствам АС, согласовывается с ответственным по информационным технологиям и информационной безопасности ОМС и утверждается руководителем ОМС.
10.На следующем этапе составляется матрица доступа или полномочий субъектов доступа по отношению информационным ресурсам АС, подлежащим защите (Приложение 4 к Положению о категорировании информационных ресурсов).
11.На последнем этапе определяется класс АС на основании руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Исходя из класса АС определяются типовые конфигурации принимаемых мер и настройки защитных механизмов программно-аппаратных средств защиты информации.