Порядок определения категорий защищаемых ресурсов автоматизированной системы

Категорирование ресурсов автоматизированной системы (компьютеров, задач, информации) проводится на основе их инвентаризации и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов АС, подлежащих защите.

Ответственность за составление и ведение перечней ресурсов АС организации возлагается:

· в части составления и ведения перечня компьютеров (с указанием их размещения, закрепления за подразделениями организации, состава и характеристик, входящих в его состав технических средств - формуляров компьютеров) - на подразделение автоматизации организации;

· в части составления и ведения перечня системных (общих) и прикладных (специальных) задач, решаемых на компьютерах (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на отделы программирования, внедрения, сопровождения и эксплуатации ПО подразделения автоматизации организации.

Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных компьютеров (1даформационным ресурсам и задачам) возлагается на функциональные подразделения организации, которые непосредственно решают задачи на данных компьютерах, и на подразделение обеспечения безопасности ИТ (компьютерной безопасности).

Утверждение назначенных категорий ресурсов АС производится руководителем подразделения обеспечения безопасности ИТ.

Инициаторами категорирования компьютеров и получения соответствующих предписаний на эксплуатацию (формуляров ПЭВМ) должны выступать руководители подразделений организации, в которых используются данные ПЭВМ.

Контроль за правильностью категорирования ресурсов АС и законностью эксплуатации (наличием утвержденных формуляров - предписаний на эксплуатацию) защищенных рабочих станций и серверов АС организации в подразделениях организации осуществляется сотрудниками подразделения обеспечения безопасности ИТ.

Категорирование ресурсов АС организации может осуществляться последовательно для каждого конкретного компьютера в отдельности с последующим объединением и формированием общего перечня ресурсов АС организации, подлежащих защите:

· перечня информационных ресурсов АС организации, подлежащих защите;

· перечня подлежащих защите задач (совокупности формуляров задач), решаемых в АС организации;

· перечня подлежащих защите компьютеров (совокупности формуляров ПЭВМ), эксплуатируемых в организации.

На первом этапе работ производится категорирование всех видов информации, используемой при решении задач на конкретной ПЭВМ (установление категорий конфиденциальности и целостности конкретных видов информации). Подлежащие защите информационные ресурсы включаются в «Перечень информационных ресурсов, подлежащих защите».

На втором этапе происходит категорирование всех функциональных задач, решаемых на данной ПЭВМ.

На третьем этапе, устанавливается категория ПЭВМ, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем.