Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р ИСО/ТС 22600-1-2009 "Информатизация здоровья. Управление полномочиями и контроль доступа. Часть 1. Общие сведения и управление политикой" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 14 сентября 2009 г. N 410-ст)
- Приложение А (справочное). Пример шаблона документации
Приложение А (справочное). Пример шаблона документации
Приложение А
(справочное)
Пример шаблона документации
А.1 Введение
Стороны, совместно использующие информацию, должны общими усилиями
создать единый шаблон документации, охватывающий все аспекты
информационной безопасности взаимодействующих систем и других
компонентов.
Шаблон документации, представленный в настоящем приложении, должен
рассматриваться как пример построения шаблона документации.
А.2 Описание информационных систем и информационного обмена
В настоящем разделе должны быть объявлены цели и способы обмена
информацией. Кроме того, все стороны должны описать в данном разделе
свои информационные системы и другие компоненты, участвующие в
информационном обмене.
А.3 Административный раздел шаблона документа
Формат документа может изменяться в зависимости от среды, в которой
он будет использоваться. В одних случаях он может быть представлен в
форме html-документов, в других - в бумажной форме. Настоящий формат, в
который вставлены комментарии и пояснения, предназначен исключительно
для того, чтобы проиллюстрировать составляющие, необходимые для
создания эффективной документации, прилагаемой к соглашению.
Версия шаблона документа N.........................................
Дата:..............................................................
Зона безопасности N 1
-----------------------------------------------------------------------
Лицо, ответственное за составление документа.......................
Взаимодействующие системы:.........................................
.........................................
.........................................
Взаимодействующие приложения:......................................
......................................
......................................
Рамки совместного доступа и ограничения доступа к информации:
...................................................................
...................................................................
Зона безопасности N 2
-----------------------------------------------------------------------
Лицо, ответственное за составление документа.......................
Взаимодействующие системы:.........................................
.........................................
.........................................
Взаимодействующие приложения:......................................
......................................
......................................
Рамки совместного доступа и ограничения доступа к информации:
...................................................................
...................................................................
-----------------------------------------------------------------------
А.4 Оценочный раздел шаблона документа
А.4.1 Схема классификации
Примеры классификаций, которые помогут при документировании систем,
участвующих в информационном обмене.
Примеры вопросов, служащих для уточнения конкретных деталей,
касающихся данного конкретного обмена информацией.
Очень важно, чтобы при организации обмена информацией в
соответствии с настоящим стандартом обе стороны использовали одинаковые
классификации и один и тот же набор вопросов. Это облегчает
согласование документации всеми сторонами.
Также важно задокументировать как текущую ситуацию, так и
ожидаемый/необходимый уровень безопасности при передаче информации.
Такой способ документирования позволит выявить слабые стороны и
другие проблемы с конфигурацией. Он также создает базис для взаимного
соглашения сторон о том, что должно быть сделано для достижения
надежной передачи информации, либо основу, на которой стороны смогут
начать совместное использование информации с учетом известных проблем.
Каждая сторона заполняет вопросник. В шаблоне предусмотрены два
столбца с ответами на каждый вопрос. Первый столбец озаглавлен "Текущее
состояние", второй - "Согласовано". В первом столбце стороны должны
ответить "да" или "нет" на вопрос о том, имеет ли их система
определенные качества, или выбрать один из нескольких вариантов ответа,
указанных в вопросе, соответствующий их системе. Во втором столбце
стороны ставят отметку, если их система удовлетворяет политикам защиты
обмена информацией, согласованным как для зоны 1, так и для зоны 2.
Категории защиты:
0 - не присвоена;
1 - несекретная;
2 - для служебного пользования;
3 - конфиденциальная;
4 - секретная;
5 - совершенно секретная.
А.4.2 Классификация подлежащей обмену информации по уровню защиты
|
А.4.2.5 Идентификация информации |
Текущее состояние |
Согласовано |
|
1 Установлен ли метод обмена информацией? |
|
|
|
А.4.2.6 Локализация информации |
Текущее состояние |
Согласовано |
|
1 Установлена ли процедура локализации, подлежащей обмену? |
|
|
А.4.2.7 Целостность информации
|
Идентификация передачи |
Текущее состояние |
Согласовано |
|
1 Включен ли в сообщение идентификатор ответственного отправителя? |
|
|
|
2 Имеет ли каждое сообщение уникальный идентификатор? |
|
|
|
3 Шифруются ли данные при передаче? |
|
|
|
4 Регистрируется ли идентификатор ответственного получателя? |
|
|
А.4.2.8 Защита информации от искажения и/или изменения
Группы, предложенные ниже, представляют собой некоторые примеры анализа проблемы и могут быть изменены в зависимости от обстоятельств подготовки документации. Могут также группироваться различные сочетания для отражения местной ситуации.
|
Верификация передачи |
Текущее состояние |
Согласовано |
|
1 Ведется ли журнал регистрации идентификаторов отправителя? |
|
|
|
2 Используется ли обратная передача данных для сравнения? |
|
|
|
3 Используется ли проверка контрольной суммы? |
|
|
|
4 Ведется ли регистрационный журнал идентификаторов лиц, подтверждающих получение сообщения? |
|
|
|
5 Ведется ли регистрационный журнал идентификаторов лиц, подтверждающих получение сообщения, и посылается уведомляющее сообщение отправителю? |
|
|
|
Класс прослеживаемости |
Текущее состояние |
Согласовано |
|
1 Журнал передачи данных отсутствует |
|
|
|
2 Ведется журнал, подтверждающий, что передача данных имела место, без возможности восстановления переданных данных в случае потери |
|
|
|
3 Ведется журнал, подтверждающий, что передача данных имела место, с возможностью восстановления переданных данных в случае потери |
|
|
|
4 Верификация идентичности системы-отправителя |
|
|
|
5 Верификация идентичности системы-получателя |
|
|
А.4.3 Контрольные таблицы по безопасности
Система ГАРАНТ
Информационно-правовое обеспечение ГАРАНТ включает широкий круг инструментов и полезных сервисов для специалистов различных областей.
Узнайте подробнее о наполнении профессиональных комплектов и стоимости информационного обеспечения.
Новости
Все новости18 июля 2025 18:27
IT
Сервис с данными об учебе, работе, льготах будет доступен на госуслугах и в национальном мессенджере.
18 июля 2025 18:15
Общество
Такое требование будет актуально с сентября 2025 года.
18 июля 2025 18:01
Профессия
Советы также касаются процедур осмотра места происшествия и выемки вещественных доказательств.
18 июля 2025 17:30
Общество
Лимит на пункты приема ставок предлагают определять в зависимости от численности населения – не более одного на 100 тыс. человек.
18 июля 2025 16:54
Бюджетный учет
Эксперты обратили внимание на семь важных моментов – проведение инвентаризации, фиксацию признаков "неактива" и др.
18 июля 2025 16:07
Труд
Роструд в своих консультациях последовательно настаивает на таком подходе.