Содержание:
1. Что такое ОТСС, ВТСС и КЗ2. Порядок действий
3. Примеры схем размещения
Как проконтролировать исполнителя, который собирает информацию о вашем объекте для проведения аттестации или проверки соответствия? Или собираем информацию о ОТСС и ВТСС.
Итак, волею судеб вам необходимо аттестовать или провести оценку соответствия информационной системы. Но как же определить, получите ли вы на выходе качественный технический паспорт? Предлагаем вам ознакомиться с инструкцией по сбору информации, которую используют в работе наши инженеры.
Инструкция по сбору информации для аттестации / оценки соответствия
Для начала определим, что такое ОТСС, ВТСС и КЗ:
ОТСС (основные технические средства) – технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной (секретной) информации
К ОТСС могут относиться средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных), технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической видео-, смысловой и буквенно-цифровой информации) используемые для обработки конфиденциальной (секретной) информации.
ВТСС (вспомогательные технические средства) - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, устанавливаемые совместно с ОТСС или в выделенных помещениях.
К ним относятся:
различного рода телефонные средства и системы;
средства и системы передачи данных в системе радиосвязи;
средства и системы охранной и пожарной сигнализации;
средства и системы оповещения и сигнализации;
контрольно-измерительная аппаратура;
средства и системы кондиционирования;
средства и системы проводной радиотрансляционной сети и приема программ радиовещания и телевидения (абонентские громкоговорители, системы радиовещания, телевизоры и радиоприемники и т.д.);
средства электронной оргтехники.
сетевое оборудование (коммутаторы, маршрутизаторы и т. д.)
периферийное оборудование (принтеры, сканеры, МФУ)
КЗ (контролируемая зона) – это территория или пространство, на которых исключено неконтролируемое пребывание лиц или транспортных средств без постоянного или разового допуска.
Порядок действий:
Первым делом определите границы контролируемой зоны. Если аттестуемые места (ОТСС) располагаются в большей части помещений здания, то границей контролируемой зоны принимаются границы здания. Если же это одно (несколько) рабочее место, то границами контролируемой зоны будут являться границы помещения (помещений), где оно (они) расположено(ы).
После определения границ контролируемой зоны необходимо нарисовать схему(ы) данного(ых) помещения(ий) с расположениями на ней ОТСС, ВТСС, окон, мебели и входов/выходов. На схеме обязательно необходимо обозначать где какое место (ОТСС и ВТСС), как располагаются линии передачи данных у ОТСС, где какой телефон, где какой принтер, куда направлены мониторы и т. д.
Рис 1. Пример нарисованной схемы размещения ОТСС и ВТСС, для технического паспорта:
Варианты схем размещения ОТСС и ВТСС в блокноте:
3. Далее необходимо собрать данные со всех ОТСС и ВТСС.
- состав ОТСС, входящих в АРМ, с указанием их названий, моделей, серийных (инвентарных) номеров (сами рабочие места и всё что подключено к ними напрямую через USB/VGA и т. д. (принтеры, проекторы, ИБП и т. д.))
- сведения об ОС, установленных на АРМ, (версия, сборка, номер лицензии, код продукта) для Windows можно посмотреть Панель управления\Система и безопасность\Система;
- сведения об используемом прикладном ПО (можно делать скриншоты или фото экрана параметров установленного ПО) для Windows можно посмотреть Панель управления\Программы\Программы и компоненты. Важно посмотреть номера лицензий платного ПО!
- серийные номера, номера лицензий и номера специальных защитных знаков используемых средств защиты информации.
После чего необходимо структурировать и представить эти данные.
Пример хорошего представления данных: