Академический Документы
Профессиональный Документы
Культура Документы
1. Общие сведения
______________
7
Приложение №1
к методическим рекомендациям по
проведению контроля состояния
системы защиты
ЖУРНАЛ
учета проверок юридического лица, индивидуального
предпринимателя, проводимых органами государственного
контроля (надзора), органами муниципального контроля
______________________________________
(дата начала ведения журнала)
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
(наименование юридического лица/фамилия, имя, отчество (в случае, если имеется) индивидуального
предпринимателя)
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
(адрес (место нахождения) постоянно действующего исполнительного органа юридического лица/место
жительства (место осуществления деятельности (если не совпадает с местом жительства) индивидуального
предпринимателя)
__________________________________________________________________________________________
__________________________________________________________________________________________
(государственный регистрационный номер записи о государственной регистрации юридического
лица/индивидуального предпринимателя, идентификационный номер налогоплательщика (для
индивидуального предпринимателя); номер реестровой записи и дата включения сведений в реестр
субъектов малого или среднего предпринимательства (для субъектов малого или среднего
предпринимательства))
__________________________________________________________________________________________
_________________________________________________________________________________________
(фамилия, имя, отчество (в случае, если имеется) руководителя юридического лица, индивидуального
предпринимателя)
Подпись: ____________________________________________________
М.П.
8
Сведения о проводимых проверках
Приложение №2
к методическим рекомендациям по
проведению контроля состояния
системы защиты информации
ТИПОВОЙ ПЕРЕЧЕНЬ
вопросов, рассматриваемых в ходе контроля выполнения требований
действующего законодательства в области защиты информации
Пункты
ч. 3 Поле Примечание
ст. 22
Наименование (фамилия, имя, Содержание соответствует
1 отчество), адрес оператора установленным требованиям
Наименован Рекомендации по
№ ие Требование нормативного возможной
п/п нормативно документа реализации
го требования
документа
1. ч. 3 ст. 6 Оператор вправе поручить Наличие договоров
ФЗ–152 обработку персональных (поручений)
данных другому лицу с оператора с третьими
согласия субъекта лицами на обработку
персональных данных, на персональных данных
основании заключаемого с
этим лицом договора, в
том числе
государственного или
муниципального
контракта, либо путем
принятия
государственным или
муниципальным органом
соответствующего акта
2. ч. 4 ст. 9 Обработка персональных Наличие письменного
ФЗ–152 данных осуществляется согласия субъекта
только с согласия в персональных данных
11
Наименован Рекомендации по
№ ие Требование нормативного возможной
п/п нормативно документа реализации
го требования
документа
письменной форме на обработку
субъекта персональных персональных данных
данных соответствующего
требованиям
законодательства
Российской
Федерации
3. ст. 10 ФЗ– Выполнение условий Если ведется
152 обработки специальных обработка, то
категорий ПДн необходимо:
– наличие
письменного согласия
субъекта
персональных данных
на обработку
специальных
категорий
персональных
данных;
– документальное
подтверждение
причин обработки в
соответствии со
статьей 10
4. ст. 11 ФЗ– Выполнение условий Если ведется
152 обработки обработка, то
биометрических необходимо:
персональных данных – наличие
письменного согласия
субъекта
персональных данных
на обработку
специальных
категорий
персональных
данных;
Российской
Федерации
документальное
подтверждение
причин обработки в
соответствии со
статьей 11
5. ст. 12 ФЗ– Выполнение условий Если ведется
152 защиты при передача, то
трансграничной передаче необходимо:
персональных данных – наличие
письменного согласия
субъекта
персональных данных
на обработку
специальных
категорий
персональных
данных;
12
Наименован Рекомендации по
№ ие Требование нормативного возможной
п/п нормативно документа реализации
го требования
документа
– документальное
подтверждение, что
иностранным
государством, на
территорию которого
осуществляется
передача
персональных
данных,
обеспечивается
адекватная защита
прав субъектов
персональных данных
6. ст. 18 ФЗ– Обязанности оператора Наличие
152 при сборе персональных "Разъяснения
данных субъекту
персональных данных
юридических
последствий отказа
предоставить его
персональные
данные". Выполнение
записи,
систематизации,
накопления,
хранения, уточнения
(обновление,
изменение),
извлечения
персональных данных
граждан Российской
Федерации с
использованием баз
данных, находящихся
на территории
Российской
Федерации
7. ст. 18. 1 Меры, направленные на Оператор обязан:
ФЗ– 152 обеспечение выполнения 1) назначить
оператором обязанностей, ответственного за
предусмотренных организацию
настоящим Федеральным обработки
законом персональных
данных;
2) издать документы:
– определяющие
политику оператора в
отношении обработки
ПДн (опубликовать
или иным образом
обеспечить
неограниченный
доступ к документу, а
также обеспечить
возможность доступа
13
Наименован Рекомендации по
№ ие Требование нормативного возможной
п/п нормативно документа реализации
го требования
документа
к указанному
документу с
использованием
средств
соответствующей
информационно–
телекоммуникационн
ой сети),
Рекомендуемый
параметр: документы,
определяющие
политику в
отношении обработки
персональных
данных,
соответствуют
"Рекомендациям по
составлению
документа,
определяющего
политику оператора в
отношении обработки
персональных
данных, в порядке,
установленном
Федеральным
законом от 27 июля
2006 года № 152– ФЗ
"О персональных
данных"
(https://rkn.gov.ru/pers
onal– data/p908/)
– локальные акты по
вопросам обработки
ПДн, а также
локальные акты,
устанавливающие
процедуры,
направленные на
предотвращение и
выявление нарушений
законодательства
Российской
Федерации,
устранение
последствий таких
нарушений;
3) осуществлять
внутренний контроль
и (или) аудит
соответствия
обработки ПДн
законодательству и
локальным актам
оператора;
14
Наименован Рекомендации по
№ ие Требование нормативного возможной
п/п нормативно документа реализации
го требования
документа
4) провести оценку
вреда, который может
быть причинен
субъектам ПДн в
случае нарушения
Федерального закона,
соотношение
указанного вреда и
принимаемых
оператором мер;
5) проводить
ознакомление
работников
оператора,
непосредственно
осуществляющих
обработку ПДн, с
положениями
законодательства о
ПДн и локальными
актами по вопросам
обработки ПДн.
8. ст. 19 ФЗ– Меры по обеспечению 1) разработка модели
152 безопасности угроз безопасности
персональных данных при ПДн при их
их обработке обработке в
информационных
системах
персональных
данных;
2) применение
прошедших в
установленном
порядке процедуру
оценки соответствия
средств защиты
информации;
3) проведение оценки
эффективности
принимаемых мер по
обеспечению
безопасности ПДн до
ввода в эксплуатацию
информационной
системы
персональных
данных;
4) ведение учета
машинных носителей
персональных
данных;
5) обнаружение
фактов НСД к ПДн и
принятие мер;
6) восстановление
15
Наименован Рекомендации по
№ ие Требование нормативного возможной
п/п нормативно документа реализации
го требования
документа
ПДн,
модифицированных
или уничтоженных
вследствие
несанкционированног
о доступа к ним
(регламент
резервного
копирования);
7) проведение
периодического
контроля за
принимаемыми
мерами по
обеспечению
безопасности ПДн и
проведение оценки
уровня защищенности
информационных
систем ПДн.
9. п. 4 ст. 21 Соответствие сроков Проверка
ФЗ– 152 хранения персональных соответствия сроков
данных целям их хранения
обработки персональных данных
целям их обработки
(трудовой договор,
договор на оказание
услуг, журнал
регистрации),
порядок
уничтожения.
10. п. 3 ч. 4 ст. Лицо, ответственное за Проверка
22.1 ФЗ– организацию обработки организации приема и
152 персональных данных, в обработки обращений
частности, обязано и запросов субъектов
организовывать прием и персональных данных
обработку обращений и или их
запросов субъектов представителей.
персональных данных или
их представителей и (или)
осуществлять контроль за
приемом и обработкой
таких обращений и
запросов
Пункт в Рекомендации по
№ Требованиях Требование нормативного возможной
п/п к защите документа реализации
ПДн требования
1. Пункты 7,8 Определение типа угроз Акт определения
безопасности уровня защищенности
персональных данных,
актуальных для
информационной
системы и уровня
защищенности
персональных данных
2. Пункты 13, Выполнение требований Проведение
14, 15, 16 пунктов по уровням организационных и
технических
мероприятий по
реализации
требований по
определенному
уровню
защищенности
3. Пункт 17 Контроль за выполнением Организация контроля
требований организуется
и проводится оператором
(уполномоченным лицом)
самостоятельно и (или) с
привлечением на
договорной основе
юридических лиц и
индивидуальных
предпринимателей,
имеющих лицензию на
осуществление
деятельности по
технической защите
конфиденциальной
информации. Указанный
контроль проводится не
реже 1 раза в 3 года в
сроки, определяемые
оператором
(уполномоченным
лицом).
18
1.4. Выполнение требований Состава и содержания организационных
и технических мер по обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных,
утвержденных приказом Федеральной службы по техническому и
экспортному контролю (далее – ФСТЭК России) от 18.02.2013 № 21 (далее –
приказ ФСТЭК № 21).
№ Пункт в Рекомендации по
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
1. Пункт 4 Меры по обеспечению Наличие документов
приказа безопасности на средства защиты,
персональных данных подтверждающих
реализуются в том числе проведение оценки
посредством применения в соответствия
информационной системе
средств защиты
информации, прошедших
в установленном порядке
процедуру оценки
соответствия.
2. Пункт 6 Оценка эффективности Наличие документов
приказа реализованных в рамках по оценке
системы защиты эффективности
персональных данных мер реализованных в
по обеспечению рамках системы
безопасности защиты ПДн, мер по
персональных данных обеспечению
проводится оператором безопасности ПДн.
самостоятельно или с Соблюдение
привлечением на периодичности
договорной основе оценки
юридических лиц и
индивидуальных
предпринимателей,
имеющих лицензию на
осуществление
деятельности по
технической защите
конфиденциальной
информации. Указанная
оценка проводится не
реже одного раза в 3 года
3. Пункт 8.1 Реализация меры по Реализация данной
приказа идентификации и меры в соответствии с
аутентификации установленным
субъектов доступа и уровнем
объектов доступа должны защищенности
обеспечивать присвоение (приложение) приказа
субъектам и объектам ФСТЭК № 21
доступа уникального
признака
(идентификатора),
сравнение предъявляемого
субъектом (объектом)
доступа идентификатора с
перечнем присвоенных
19
№ Пункт в Рекомендации по
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
идентификаторов, а также
проверку принадлежности
субъекту (объекту)
доступа предъявленного
им идентификатора
(подтверждение
подлинности).
4. Пункт 8.2 Реализация меры по Реализация данной
приказа управлению доступом меры в соответствии с
субъектов доступа к установленным
объектам доступа должны уровнем
обеспечивать управление защищенности
правами и привилегиями (приложение) приказа
субъектов доступа, ФСТЭК № 21
разграничение доступа
субъектов доступа к
объектам доступа на
основе совокупности
установленных в
информационной системе
правил разграничения
доступа, а также
обеспечивать контроль за
соблюдением этих правил.
5. Пункт 8.3 Реализация меры по Реализация данной
приказа ограничению меры в соответствии с
программной среды установленным
должны обеспечивать уровнем
установку и (или) запуск защищенности
только разрешенного к (приложение) приказа
использованию в ФСТЭК № 21
информационной системе
программного
обеспечения или
исключать возможность
установки и (или) запуска
запрещенного к
использованию в
информационной системе
программного
обеспечения.
6. Пункт 8.4 Реализация меры по Реализация данной
приказа защите машинных меры в соответствии с
носителей персональных установленным
данных (средств уровнем
обработки (хранения) защищенности
персональных данных, (приложение) приказа
съемных машинных ФСТЭК № 21 и в
носителей персональных соответствии с
данных) должны моделью угроз
исключать возможность утвержденной в
несанкционированного организации
доступа к машинным
носителям и хранящимся
на них персональным
данным, а также
20
№ Пункт в Рекомендации по
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
несанкционированное
использование съемных
машинных носителей
персональных данных.
7. Пункт 8.5 Реализация меры по Реализация данной
приказа регистрации событий меры в соответствии с
безопасности должны установленным
обеспечивать сбор, запись, уровнем
хранение и защиту защищенности
информации о событиях (приложение) приказа
безопасности в ФСТЭК № 21 и в
информационной системе, соответствии с
а также возможность моделью угроз
просмотра и анализа утвержденной в
информации о таких организации
событиях и реагирование
на них.
8. Пункт 8.6 Реализация меры по Реализация данной
приказа антивирусной защите меры в соответствии с
должны обеспечивать установленным
обнаружение в уровнем
информационной системе защищенности
компьютерных программ (приложение) приказа
либо иной компьютерной ФСТЭК № 21 и в
информации, соответствии с
предназначенной для моделью угроз
несанкционированного утвержденной в
уничтожения, организации
блокирования,
модификации,
копирования
компьютерной
информации или
нейтрализации средств
защиты информации, а
также реагирование на
обнаружение этих
программ и информации.
9. Пункт 8.7 Реализация меры по Реализация данной
приказа обнаружению меры в соответствии с
(предотвращению) установленным
вторжений должны уровнем
обеспечивать защищенности
обнаружение действий в (приложение) приказа
информационной системе, ФСТЭК № 21 и в
направленных на соответствии с
несанкционированный моделью угроз
доступ к информации, утвержденной в
специальные воздействия организации
на информационную
систему и (или)
персональные данные в
целях добывания,
уничтожения, искажения и
блокирования доступа к
персональным данным, а
21
№ Пункт в Рекомендации по
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
также реагирование на эти
действия
10. Пункт 8.8 Реализация меры по Реализация данной
приказа контролю (анализу) меры в соответствии с
защищенности установленным
персональных данных уровнем
должны обеспечивать защищенности
контроль уровня (приложение) приказа
защищенности ФСТЭК № 21 и в
персональных данных, соответствии с
обрабатываемых в моделью угроз
информационной системе, утвержденной в
путем проведения организации
систематических
мероприятий по анализу
защищенности
информационной системы
и тестированию
работоспособности
системы защиты
персональных данных
11. Пункт 8.9 Реализация меры по Реализация данной
приказа обеспечению целостности меры в соответствии с
информационной системы установленным
и персональных данных уровнем
должны обеспечивать защищенности
обнаружение фактов (приложение) приказа
несанкционированного ФСТЭК № 21 и в
нарушения целостности соответствии с
информационной системы моделью угроз
и содержащихся в ней утвержденной в
персональных данных, а организации
также возможность
восстановления
информационной системы
и содержащихся в ней
персональных данных.
12. Пункт 8.10 Реализация меры по Реализация данной
приказа обеспечению доступности меры в соответствии с
персональных данных установленным
должны обеспечивать уровнем
авторизованный доступ защищенности
пользователей, имеющих (приложение) приказа
права по доступу, к ФСТЭК № 21 и в
персональным данным, соответствии с
содержащимся в моделью угроз
информационной системе, утвержденной в
в штатном режиме организации
функционирования
информационной системы
13. Пункт 8.11 Реализация меры по Реализация данной
приказа защите среды меры в соответствии с
виртуализации должны установленным
исключать уровнем
несанкционированный защищенности
доступ к персональным (приложение) приказа
22
№ Пункт в Рекомендации по
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
данным, обрабатываемым ФСТЭК № 21 и в
в виртуальной соответствии с
инфраструктуре, и к моделью угроз
компонентам виртуальной утвержденной в
инфраструктуры и (или) организации
воздействие на них, в том
числе к средствам
управления виртуальной
инфраструктурой,
монитору виртуальных
машин (гипервизору),
системе хранения данных
(включая систему
хранения образов
виртуальной
инфраструктуры), сети
передачи данных через
элементы виртуальной
или физической
инфраструктуры,
гостевым операционным
системам, виртуальным
машинам (контейнерам),
системе и сети
репликации,
терминальным и
виртуальным устройствам,
а также системе
резервного копирования и
создаваемым ею копиям
14. Пункт 8.12 Реализация меры по Реализация данной
приказа защите технических меры в соответствии с
средств должны установленным
исключать уровнем
несанкционированный защищенности
доступ к стационарным (приложение) приказа
техническим средствам, ФСТЭК № 21 и в
обрабатывающим соответствии с
персональные данные, моделью угроз
средствам, утвержденной в
обеспечивающим организации
функционирование
информационной системы
(далее – средства
обеспечения
функционирования), и в
помещения, в которых они
постоянно расположены,
защиту технических
средств от внешних
воздействий, а также
защиту персональных
данных, представленных в
виде информативных
электрических сигналов и
физических полей
23
№ Пункт в Рекомендации по
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
15. Пункт 8.13 Реализация меры по Реализация данной
приказа защите информационной меры в соответствии с
системы, ее средств, установленным
систем связи и передачи уровнем
данных должны защищенности
обеспечивать защиту (приложение) приказа
персональных данных при ФСТЭК № 21 и в
взаимодействии соответствии с
информационной системы моделью угроз
или ее отдельных утвержденной в
сегментов с иными организации
информационными
системами и
информационно–
телекоммуникационными
сетями посредством
применения архитектуры
информационной системы
и проектных решений,
направленных на
обеспечение безопасности
персональных данных
16. Пункт 8.14 Реализация меры по Реализация данной
приказа выявлению инцидентов и меры в соответствии с
реагированию на них установленным
должны обеспечивать уровнем
обнаружение, защищенности
идентификацию, анализ (приложение) приказа
инцидентов в ФСТЭК № 21 и в
информационной системе, соответствии с
а также принятие мер по моделью угроз
устранению и утвержденной в
предупреждению организации
инцидентов
17. Пункт 8.15 Реализация меры по Реализация данной
приказа управлению меры в соответствии с
конфигурацией установленным
информационной системы уровнем
и системы защиты защищенности
персональных данных (приложение) приказа
должны обеспечивать ФСТЭК № 21 и в
управление изменениями соответствии с
конфигурации моделью угроз
информационной системы утвержденной в
и системы защиты организации
персональных данных,
анализ потенциального
воздействия планируемых
изменений на обеспечение
безопасности
персональных данных, а
также документирование
этих изменений
18. Пункт 11 Реализация Реализация данных
приказа дополнительных мер мер согласно
защиты при наличии угроз установленным
24
№ Пункт в Рекомендации по
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
1– го и 2– го типов по требованиям
Постановлению
Правительства № 1119
19. Пункт 12 Соответствия классов Проверка
приказа защиты используемых соответствия
средств защиты и СВТ,
уровням защищенности
ИСПДн
20. Пункт 13 При использовании в Проверка
приказа информационных соответствия (при
системах новых наличии)
информационных
технологий и выявлении
дополнительных угроз
безопасности
персональных данных, для
которых не определены
меры обеспечения их
безопасности, должны
разрабатываться
компенсирующие меры в
соответствии с пунктом 10
Приказа ФСТЭК № 21
№ Требование Примечание
п/п
1. Статус подразделения по В штатном расписании должно быть
ЗИ создано подразделение по ЗИ, либо
должны быть назначены
ответственные по защите
конфиденциальной информации.
2. Сведения о подготовке Ответственные по ЗИ должны
специалистов по ЗИ проходить курсы повышения
квалификации не реже чем раз в три
года.
Пункт Рекомендации по
№ Положения о Требование возможной
п/п подразделени нормативного документа реализации
и по ЗИ требования
1. п. 2.1 Проведение единой Внесение данного
технической политики, пункта в
организация и должностной
координация работ по регламент
защите информации в ответственного за
(наименование обеспечение
министерства, безопасности
ведомства, органа информации
государственной власти (подразделения по
субъекта Российской защите
Федерации) информации)
2. п. 2.2 Осуществление Внесение данного
планирования работ по пункта в
защите от иностранных должностной
технических разведок и регламент
от ее утечки по ответственного за
техническим каналам. обеспечение
40
Пункт Рекомендации по
№ Положения о Требование возможной
п/п подразделени нормативного документа реализации
и по ЗИ требования
безопасности
информации
(подразделения по
защите
информации)
3. п. 2.3 Организация Внесение данного
аттестования пункта в
подведомственных должностной
объектов по регламент
выполнению требований ответственного за
обеспечения защиты обеспечение
информации при безопасности
проведении работ со информации
сведениями (подразделения по
соответствующей защите
степени секретности. информации)
4. п. 2.5 Организация и Внесение данного
проведение работ по пункта в
контролю должностной
эффективности регламент
проводимых ответственного за
мероприятий и обеспечение
принимаемых мер по безопасности
защите информации информации
(подразделения по
защите
информации)
5. п. 2.6 Организация в Внесение данного
установленном порядке пункта в
расследования причин и должностной
условий появления регламент
нарушений в области ответственного за
защиты информации и обеспечение
разработка предложений безопасности
по устранению информации
недостатков и (подразделения по
предупреждению защите
подобного рода информации)
нарушений, а также
осуществление контроля
за устранением этих
нарушений
6. п. 2.7 Разработка предложений Внесение данного
по организации и пункта в
совершенствованию должностной
системы защиты регламент
информации, в том ответственного за
числе по вопросам, обеспечение
решаемым в рамках безопасности
федеральных программ информации
(подразделения по
защите
информации)
7. п. 2.11 Организация и Внесение данного
Положения о координация разработки, пункта в
подразделени внедрения и должностной
41
Пункт Рекомендации по
№ Положения о Требование возможной
п/п подразделени нормативного документа реализации
и по ЗИ требования
и по ЗИ эксплуатации системы регламент
мер по безопасности ответственного за
информации, обеспечение
обрабатываемой безопасности
техническими информации
средствами в целях (подразделения по
предотвращения утечки защите
информации по информации)
техническим каналам
8. п. 2.14 Подготовка отчетов о Внесение данного
Положения о состоянии работ по пункта в
подразделени защите должностной
и по ЗИ регламент
ответственного за
обеспечение
безопасности
информации
(подразделения по
защите
информации)
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
1. п.9 Для обеспечения защиты Выполнение
информации, требования в полном
содержащейся в объеме
информационной
системе, оператором
назначается структурное
подразделение или
должностное лицо
(работник),
ответственные за защиту
информации
2. п.11 Для обеспечения защиты Выполнение
информации, требования в полном
содержащейся в объеме
информационной
системе, применяются
средства защиты
информации, прошедшие
оценку соответствия в
форме обязательной
42
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
сертификации на
соответствие
требованиям по
безопасности
информации
3. п.14 Формирование Формирование
требований к защите требований к защите
информации, информации,
содержащейся в содержащейся в
информационной системе информационной
системе включает:
– принятие решения
о необходимости
защиты информации,
содержащейся в
информационной
системе;
– классификацию
информационной
системы по
требованиям защиты
информации (далее –
классификация
информационной
системы);
– определение угроз
безопасности
информации,
реализация которых
может привести к
нарушению
безопасности
информации в
информационной
системе, и
разработку на их
основе модели угроз
безопасности
информации;
– определение
требований к
системе защиты
информации
информационной
системы
4. п.15 Разработка системы Разработка системы
защиты информации защиты информации
информационной информационной
системы системы
осуществляется в
соответствии с
техническим
заданием на
создание
информационной
системы и (или)
43
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
техническим
заданием (частным
техническим
заданием) на
создание системы
защиты информации
информационной
системы и включает:
– проектирование
системы защиты
информации
информационной
системы;
– разработку
эксплуатационной
документации на
систему защиты
информации
информационной
системы;
– макетирование и
тестирование
системы защиты
информации
информационной
системы (при
необходимости)
5. п.16 Внедрение системы Осуществляется в
защиты информации соответствии с
информационной проектной и
системы эксплуатационной
документацией на
систему защиты
информации
информационной
системы и в том
числе включает:
– установку и
настройку средств
защиты информации
в информационной
системе;
– разработку
документов,
определяющих
правила и
процедуры,
реализуемые
оператором для
обеспечения защиты
информации в
информационной
системе в ходе ее
эксплуатации (далее
– организационно–
распорядительные
44
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
документы по
защите
информации);
– внедрение
организационных
мер защиты
информации;
– предварительные
испытания системы
защиты информации
информационной
системы;
– опытную
эксплуатацию
системы защиты
информации
информационной
системы;
– анализ
уязвимостей
информационной
системы и принятие
мер защиты
информации по их
устранению;
– приемочные
испытания системы
защиты информации
информационной
системы.
6. п.17 Аттестация В качестве исходных
информационной данных,
системы по требованиям необходимых для
защиты информации аттестации
(далее – аттестация информационной
информационной системы,
системы) и ввод ее в используются:
действие – модель угроз
безопасности
информации;
– акт классификации
информационной
системы;
– техническое
задание на создание
информационной
системы и (или)
техническое задание
(частное техническое
задание) на создание
системы защиты
информации
информационной
системы;
– проектная и
эксплуатационная
45
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
документация на
систему защиты
информации
информационной
системы;
– организационно–
распорядительные
документы по
защите информации;
– результаты анализа
уязвимостей
информационной
системы;
– материалы
предварительных и
приемочных
испытаний системы
защиты информации
информационной
системы;
– иные документы,
разрабатываемые в
соответствии с
настоящими
требованиями.
Аттестация
информационной
системы проводится
в соответствии с
программой и
методиками
аттестационных
испытаний. По
результатам
аттестационных
испытаний
оформляются
протоколы
аттестационных
испытаний,
заключение о
соответствии
информационной
системы
требованиям о
защите информации
и аттестат
соответствия в
случае
положительных
результатов
аттестационных
испытаний.
7. п.18 Обеспечение защиты осуществляется
информации в ходе оператором и
эксплуатации включает:
46
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
аттестованной – управление
информационной (администрирование)
системы системой защиты
информации
информационной
системы;
– выявление
инцидентов и
реагирование на них;
– управление
конфигурацией
аттестованной
информационной
системы и ее
системы защиты
информации;
– контроль
(мониторинг) за
обеспечением уровня
защищенности
информации,
содержащейся в
информационной
системе
8. п.19 Обеспечение защиты Осуществляется
информации при выводе оператором и
из эксплуатации включает:
аттестованной – архивирование
информационной информации,
системы или после содержащейся в
принятия решения об информационной
окончании обработки системе;
информации – уничтожение
(стирание) данных и
остаточной
информации с
машинных
носителей
информации и (или)
уничтожение
машинных
носителей
информации.
9. п. 20.1 Реализация мер по Реализация данной
идентификации и меры в соответствии
аутентификации с установленным
субъектов доступа и классом
объектов доступа должны защищенности
обеспечивать присвоение (приложение)
субъектам и объектам приказа ФСТЭК №
доступа уникального 17
признака
(идентификатора),
сравнение
предъявляемого
субъектом (объектом)
47
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
доступа идентификатора
с перечнем присвоенных
идентификаторов, а также
проверку
принадлежности субъекту
(объекту) доступа
предъявленного им
идентификатора
(подтверждение
подлинности)
10. п. 20.2 Реализация мер по Реализация данной
управлению доступом меры в соответствии
субъектов доступа к с установленным
объектам доступа должны классом
обеспечивать управление защищенности
правами и привилегиями (приложение)
субъектов доступа, приказа ФСТЭК №
разграничение доступа 17
субъектов доступа к
объектам доступа на
основе совокупности
установленных в
информационной системе
правил разграничения
доступа, а также
обеспечивать контроль
соблюдения этих правил
11. п. 20.3 Реализация мер по Реализация данной
ограничению меры в соответствии
программной среды с установленным
должны обеспечивать классом
установку и (или) запуск защищенности
только разрешенного к (приложение)
использованию в приказа ФСТЭК №
информационной системе 17
программного
обеспечения или
исключать возможность
установки и (или)
запуска, запрещенного к
использованию в
информационной системе
программного
обеспечения
12. п. 20.4 Реализация мер по защите Реализация данной
машинных носителей меры в соответствии
информации (средства с установленным
обработки (хранения) классом
информации, съемные защищенности
машинные носители (приложение)
информации) должны приказа ФСТЭК №
исключать возможность 17
несанкционированного
доступа к машинным
носителям и хранящейся
на них информации, а
48
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
также
несанкционированное
использование съемных
машинных носителей
информации
13. п. 20.5 Реализация мер по Реализация данной
регистрации событий меры в соответствии
безопасности должны с установленным
обеспечивать сбор, классом
запись, хранение и защищенности
защиту информации о (приложение)
событиях безопасности в приказа ФСТЭК №
информационной 17
системе, а также
возможность просмотра и
анализа информации о
таких событиях и
реагирование на них
14. п. 20.6 Реализация мер по Реализация данной
антивирусной защите меры в соответствии
должны обеспечивать с установленным
обнаружение в классом
информационной системе защищенности
компьютерных программ (приложение)
либо иной компьютерной приказа ФСТЭК №
информации, 17
предназначенной для
несанкционированного
уничтожения,
блокирования,
модификации,
копирования
компьютерной
информации или
нейтрализации средств
защиты информации, а
также реагирование на
обнаружение этих
программ и информации
15. п. 20.7 Реализация мер по Реализация данной
обнаружению меры в соответствии
(предотвращению) с установленным
вторжений должны классом
обеспечивать защищенности
обнаружение действий в (приложение)
информационной приказа ФСТЭК №
системе, направленных на 17
преднамеренный
несанкционированный
доступ к информации,
специальные воздействия
на информационную
систему и (или)
информацию в целях ее
добывания, уничтожения,
искажения и
49
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
блокирования доступа к
информации, а также
реагирование на эти
действия
16. п. 20.8 Реализация мер по Реализация данной
контролю (анализу) меры в соответствии
защищенности с установленным
информации должны классом
обеспечивать контроль защищенности
уровня защищенности (приложение)
информации, приказа ФСТЭК №
содержащейся в 17
информационной
системе, путем
проведения мероприятий
по анализу защищенности
информационной
системы и тестированию
ее системы защиты
информации
17. п. 20.9 Реализация мер по Реализация данной
обеспечению целостности меры в соответствии
информационной с установленным
системы и информации классом
должны обеспечивать защищенности
обнаружение фактов (приложение)
несанкционированного приказа ФСТЭК №
нарушения целостности 17
информационной
системы и содержащейся
в ней информации, а
также возможность
восстановления
информационной
системы и содержащейся
в ней информации
18. п. 20.10 Реализация мер по Реализация данной
обеспечению доступности меры в соответствии
информации должны с установленным
обеспечивать классом
авторизованный доступ защищенности
пользователей, имеющих (приложение)
права по такому доступу, приказа ФСТЭК №
к информации, 17
содержащейся в
информационной
системе, в штатном
режиме
функционирования
информационной
системы
19. п. 20.11 Реализация мер по защите Реализация данной
среды виртуализации меры в соответствии
должны исключать с установленным
несанкционированный классом
доступ к информации, защищенности
50
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
обрабатываемой в (приложение)
виртуальной приказа ФСТЭК №
инфраструктуре, и к 17
компонентам
виртуальной
инфраструктуры, а также
воздействие на
информацию и
компоненты, в том числе
к средствам управления
виртуальной
инфраструктурой,
монитору виртуальных
машин (гипервизору),
системе хранения данных
(включая систему
хранения образов
виртуальной
инфраструктуры), сети
передачи данных через
элементы виртуальной
или физической
инфраструктуры,
гостевым операционным
системам, виртуальным
машинам (контейнерам),
системе и сети
репликации,
терминальным и
виртуальным
устройствам, а также
системе резервного
копирования и
создаваемым ею копиям
20. п. 20.12 Реализация мер по защите Реализация данной
технических средств меры в соответствии
должны исключать с установленным
несанкционированный классом
доступ к стационарным защищенности
техническим средствам, (приложение)
обрабатывающим приказа ФСТЭК №
информацию, средствам, 17
обеспечивающим
функционирование
информационной
системы (далее – средства
обеспечения
функционирования), и в
помещения, в которых
они постоянно
расположены, защиту
технических средств от
внешних воздействий, а
также защиту
информации,
представленной в виде
51
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
информативных
электрических сигналов и
физических полей
21. п. 20.13 Реализация мер по защите Реализация данной
информационной меры в соответствии
системы, ее средств, с установленным
систем связи и передачи классом
данных должны защищенности
обеспечивать защиту (приложение)
информации при приказа ФСТЭК №
взаимодействии 17
информационной
системы или ее
отдельных сегментов с
иными
информационными
системами и
информационно–
телекоммуникационными
сетями посредством
применения архитектуры
информационной
системы, проектных
решений по ее системе
защиты информации,
направленных на
обеспечение защиты
информации
22. п. 26 Технические меры Реализация данной
защиты информации меры в соответствии
реализуются посредством с установленным
применения средств классом
защиты информации, защищенности
имеющих необходимые (приложение)
функции безопасности приказа ФСТЭК №
17
23. п. 27 В случае обработки в Реализация уровней
информационной системе защищенности в
информации, содержащей соответствии с
персональные данные, классами
реализуемые в защищенности
соответствии с пунктами
21 и 22 настоящих
Требований меры защиты
информации:
– для информационной
системы 1 класса
защищенности
обеспечивают 1, 2, 3 и 4
уровни защищенности
персональных данных
(устанавливается в
соответствии с
Требованиями к защите
ПДн);
– для информационной
52
Пункт в Рекомендации по
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
системы 2 класса
защищенности
обеспечивают 2, 3 и 4
уровни защищенности
персональных данных;
– для информационной
системы 3 класса
защищенности
обеспечивают 3 и 4
уровни защищенности
персональных данных
Пункт в Рекомендации по
№ Инструкции Требование возможной
п/п ФАПСИ нормативного документа реализации
требования
1. п. 21 Обучение пользователей Документом,
правилам работы с СКЗИ подтверждающим
осуществляют должную
сотрудники специальную
соответствующего органа подготовку
криптографической пользователей и
защиты. Документом, возможность их
подтверждающим допуска к
должную специальную самостоятельной
подготовку работе с СКЗИ,
пользователей и является заключение,
возможность их допуска составленное
к самостоятельной работе комиссией.
с СКЗИ, является
заключение, В случае если ПУ
составленное комиссией является органом
соответствующего органа криптографической
криптографической защиты информации
защиты на основании
принятых от этих лиц
зачетов по программе
обучения.
2. п. 26 Используемые или Наличие журнала
хранимые СКЗИ, учета
53
Пункт в Рекомендации по
№ Инструкции Требование возможной
п/п ФАПСИ нормативного документа реализации
требования
эксплуатационная и
техническая
документация к ним,
ключевые документы
подлежат
поэкземплярному учету
по установленным
формам. При этом
программные СКЗИ
должны учитываться
совместно с аппаратными
средствами, с которыми
осуществляется их
штатное
функционирование. Если
аппаратные или
аппаратно– программные
СКЗИ подключаются к
системной шине или к
одному из внутренних
интерфейсов аппаратных
средств, то такие СКЗИ
учитываются также
совместно с
соответствующими
аппаратными средствами.
3. п. 27 Все полученные Журнал учета должен
обладателем быть заполнен
конфиденциальной
информации экземпляры
СКЗИ, эксплуатационной
и технической
документации к ним,
ключевых документов
должны быть выданы под
расписку в
соответствующем
журнале
поэкземплярного учета
пользователям СКЗИ,
несущим персональную
ответственность за их
сохранность
4. п. 30 Пользователи СКЗИ Запираемые (а
хранят инсталлирующие желательно и
СКЗИ носители, опечатываемые)
эксплуатационную и ящики, шкафы,
техническую сейфы
документацию к СКЗИ,
ключевые документы в
шкафах (ящиках,
хранилищах)
индивидуального
пользования в условиях,
исключающих
бесконтрольный доступ к
54
Пункт в Рекомендации по
№ Инструкции Требование возможной
п/п ФАПСИ нормативного документа реализации
требования
ним, а также их
непреднамеренное
уничтожение.
Пользователи СКЗИ
предусматривают также
раздельное безопасное
хранение действующих и
резервных ключевых
документов,
предназначенных для
применения в случае
компрометации
действующих
криптоключей
5. п. 51 Размещение, специальное Спецпомещения
оборудование, охрана и выделяют с учетом
организация режима в размеров
помещениях, где контролируемых зон,
установлены СКЗИ или регламентированных
хранятся ключевые эксплуатационной и
документы к ним (далее – технической
спецпомещения), должны документацией к
обеспечивать СКЗИ.
сохранность Спецпомещения
конфиденциальной должны иметь
информации, СКЗИ, прочные входные
ключевых документов двери с замками,
гарантирующими
надежное закрытие
спецпомещений в
нерабочее время.
Окна
спецпомещений,
расположенных на
первых или
последних этажах
зданий, а также окна,
находящиеся около
пожарных лестниц и
других мест, откуда
возможно
проникновение в
спецпомещения
посторонних лиц,
необходимо
оборудовать
металлическими
решетками, или
ставнями, или
охранной
сигнализацией, или
другими средствами,
препятствующими
неконтролируемому
проникновению в
спецпомещения. В
55
Пункт в Рекомендации по
№ Инструкции Требование возможной
п/п ФАПСИ нормативного документа реализации
требования
случае если ПУ
является органом
криптографической
защиты информации
6. п. 62 Размещение и монтаж Реализация
СКЗИ, а также другого требования
оборудования, режимными мерами.
функционирующего с В случае если ПУ
СКЗИ, в спецпомещениях является органом
пользователей СКЗИ криптографической
должны свести к защиты информации
минимуму возможность
неконтролируемого
доступа посторонних лиц
к указанным средствам.
Техническое
обслуживание такого
оборудования и смена
криптоключей
осуществляются в
отсутствие лиц, не
допущенных к работе с
данными СКЗИ
7. п. 63 Режим охраны Установленный
спецпомещений режим охраны
пользователей СКЗИ, в должен
том числе правила предусматривать
допуска сотрудников и периодический
посетителей в рабочее и контроль за
нерабочее время, состоянием
устанавливает обладатель технических средств
конфиденциальной охраны, если таковые
информации по имеются, а также
согласованию с учитывать положения
соответствующим настоящей
органом Инструкции,
криптографической специфику и условия
защиты работы конкретных
пользователей СКЗИ.
В случае если ПУ
является органом
криптографической
защиты информации
8. п. 64, п. 66 В спецпомещениях У каждого
пользователей СКЗИ для пользователя должен
хранения выданных им быть свой
ключевых документов, (индивидуальный)
эксплуатационной и опечатываемый
технической шкаф. В обычных
документации, условиях
инсталлирующих СКЗИ опечатанные
носителей необходимо хранилища
иметь достаточное число пользователей СКЗИ
надежно запираемых могут быть вскрыты
шкафов (ящиков, только самими
хранилищ) пользователями. В
56
Пункт в Рекомендации по
№ Инструкции Требование возможной
п/п ФАПСИ нормативного документа реализации
требования
индивидуального случае если ПУ
пользования, является органом
оборудованных криптографической
приспособлениями для защиты информации
опечатывания замочных
скважин. Ключи от этих
хранилищ должны
находиться у
соответствующих
пользователей СКЗИ
Требования, предъявляемые к организациям, в которых вырабатываются
ключи шифрования (подписи). В случае если ПУ является органом
криптографической защиты информации
9. пп. 52– 59 Проверка выполнения Режим, двери, окна,
требований к порядок сдачи под
помещениям, в которых охрану, наличие
генерируются ключи металлических
шифрования (подписи) хранилищ
10. п. 6 Назначение лица Приказ
ответственного за
криптографическую
защиту информации
(орган
криптографической
защиты информации)
11. п. 13 Проверка соответствия Наличие сведений об
подготовки специалиста, обучении
назначенного
ответственным за
криптографическую
защиту информации
требованиям по уровню
подготовки.
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
требования
Для обеспечения 4 уровня защищенности персональных данных при их
обработке в информационных системах необходимо выполнение
следующих требований
Необходимо
обеспечение режима,
которое достигается
путем:
а) оснащения
Помещений
входными дверьми с
замками, обеспечения
постоянного закрытия
дверей Помещений на
Организация режима замок и их открытия
обеспечения только для
безопасности санкционированного
помещений, в которых прохода, а также
размещена опечатывания
информационная Помещений по
система, окончании рабочего
1. п. 5 препятствующего дня или оборудование
возможности Помещений
неконтролируемого соответствующими
проникновения или техническими
пребывания в этих устройствами,
помещениях лиц, не сигнализирующими о
имеющих права доступа несанкционированном
в эти помещения вскрытии
Помещений;
б) утверждения
правил доступа в
Помещения в рабочее
и нерабочее время, а
также в нештатных
ситуациях;
в) утверждения
перечня лиц,
имеющих право
доступа в Помещения.
2. п. 5 Обеспечение Осуществление
сохранности носителей хранения съемных
персональных данных машинных носителей
ПДн в сейфах
(металлических
шкафах),
58
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
требования
оборудованных
внутренними замками
с двумя или более
дубликатами ключей
и приспособлениями
для опечатывания
замочных скважин
или кодовыми
замками.
Осуществление
поэкземплярного
учета машинных
носителей ПДн,
который достигается
путем ведения
журнала учета
носителей ПДн с
использованием
регистрационных
(заводских) номеров
Необходимо
разработать и
утвердить документ,
определяющий
перечень лиц, доступ
которых к ПДн,
обрабатываемым в
Утверждение информационной
руководителем оператора системе, необходим
документа, для выполнения ими
определяющего перечень служебных
лиц, доступ которых к (трудовых)
3. п. 5 персональным данным, обязанностей;
обрабатываемым в Поддерживать в
информационной актуальном состоянии
системе, необходим для документ,
выполнения ими определяющий
служебных (трудовых) перечень лиц, доступ
обязанностей которых к ПДн,
обрабатываемым в
информационной
системе, необходим
для выполнения ими
служебных
(трудовых)
обязанностей
4. п. 5 Использование средств Использование для
защиты информации, обеспечения
прошедших процедуру требуемого уровня
оценки соответствия защищенности
требованиям персональных данных
законодательства при их обработке в
Российской Федерации в информационной
области обеспечения системе СКЗИ класса
безопасности КС1 и выше
информации, в случае,
59
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
требования
когда применение таких
средств необходимо для
нейтрализации
актуальных угроз
Для обеспечения 3 уровня защищенности персональных данных при их
обработке в информационных системах помимо выполнения требований
для предыдущего уровня защищенности необходимо выполнение
следующих требований
Назначение
Назначение обладающего
должностного лица достаточными
(работника), навыками
ответственного за должностного лица
5. п. 16 обеспечение (работника) оператора
безопасности ответственным за
персональных данных в обеспечение
информационной безопасности
системе персональных данных
в информационной
системе
Использование СКЗИ
класса КВ и выше в
случаях, когда для
информационной
системы актуальны Данная мера
6. п. 18 угрозы 2 типа. выполняется вместо
Использование СКЗИ данной в п. 4 таблицы
класса КС1 и выше в
случаях, когда для
информационной
системы актуальны
угрозы 3 типа
Для обеспечения 2 уровня защищенности персональных данных при их
обработке в информационных системах помимо выполнения требований
для предыдущего уровня защищенности необходимо выполнение
следующих требований
7. п. 19 Необходимо выполнение а) утверждение
требования о том, чтобы руководителем
доступ к содержанию оператора списка лиц,
электронного журнала допущенных к
сообщений был содержанию
возможен электронного журнала
исключительно для сообщений, и
должностных лиц поддержание
(работников) оператора указанного списка в
или уполномоченного актуальном
лица, которым сведения, состоянии;
содержащиеся в б) обеспечение
указанном журнале, информационной
необходимы для системы
выполнения служебных автоматизированными
(трудовых) обязанностей средствами,
регистрирующими
запросы
пользователей
информационной
60
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
требования
системы на получение
персональных
данных, а также
факты
предоставления
персональных данных
по этим запросам в
электронном журнале
сообщений;
в) обеспечение
информационной
системы
автоматизированными
средствами,
исключающими
доступ к содержанию
электронного журнала
сообщений лиц, не
указанных в
утвержденном
руководителем
оператора списке лиц,
допущенных к
содержанию
электронного журнала
сообщений;
г) обеспечение
периодического
контроля
работоспособности
указанных в
подпунктах "б" и "в"
настоящего пункта
автоматизированных
средств (не реже 1
раза в полгода)
Использование СКЗИ
класса КА в случаях,
когда для
информационной
системы актуальны
угрозы 1 типа;
Использование СКЗИ
класса КВ и выше в Данная мера
8. п. 21 случаях, когда для выполняется вместо
информационной указанной в п. 4
системы актуальны настоящей таблицы
угрозы 2 типа;
Использование СКЗИ
класса КС1 и выше в
случаях, когда для
информационной
системы актуальны
угрозы 3 типа
Для обеспечения 1 уровня защищенности персональных данных при их
обработке в информационных системах помимо выполнения требований
61
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
требования
для предыдущего уровня защищенности необходимо выполнение
следующих требований
а) обеспечение
информационной
системы
автоматизированными
средствами,
позволяющими
автоматически
регистрировать в
электронном журнале
безопасности
изменения
полномочий
сотрудника оператора
по доступу к
персональным
данным,
содержащимся в
информационной
системе;
б) отражение в
электронном журнале
Автоматическая безопасности
регистрация в полномочий
электронном журнале сотрудников
безопасности изменения оператора
полномочий сотрудника персональных данных
9. п. 22 оператора по доступу к по доступу к
персональным данным, персональным
содержащимся в данным,
информационной содержащимся в
системе информационной
системе. Указанные
полномочия должны
соответствовать
должностным
обязанностям
сотрудников
оператора;
в) назначение
оператором лица,
ответственного за
периодический
контроль ведения
электронного журнала
безопасности и
соответствия,
отраженных в нем
полномочий
сотрудников
оператора их
должностным
обязанностям (не
реже 1 раза в месяц)
10. п. 22 Создание отдельного а) проведение анализа
62
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
требования
целесообразности
создания отдельного
структурного
подразделения,
ответственного за
обеспечение
структурного безопасности
подразделения, персональных данных
ответственного за в информационной
обеспечение системе;
безопасности б) создание
персональных данных в отдельного
информационной структурного
системе, либо подразделения,
возложение его функций ответственного за
на одно из обеспечение
существующих безопасности
структурных персональных данных
подразделений в информационной
системе, либо
возложение его
функции на одно из
существующих
структурных
подразделений
11. п. 25 Дополнительные а) оборудование окон
требования по Помещений,
организации режима расположенные на
обеспечения первых и (или)
безопасности последних этажах
помещений, в которых зданий, а также окон
размещена Помещений,
информационная система находящиеся около
пожарных лестниц и
других мест, откуда
возможно
проникновение в
Помещения
посторонних лиц,
металлическими
решетками или
ставнями, охранной
сигнализацией или
другими средствами,
препятствующими
неконтролируемому
проникновению
посторонних лиц в
помещения;
б) оборудование окон
и дверей Помещений,
в которых размещены
серверы
информационной
системы,
металлическими
63
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
требования
решетками, охранной
сигнализацией или
другими средствами,
препятствующими
неконтролируемому
проникновению
посторонних лиц в
помещения.
Использование СКЗИ
класса КА в случаях,
когда для
информационной
системы актуальны Данная мера
12. п. 25 угрозы 1 типа; выполняется вместо
Использование СКЗИ указанной в п. 4
класса КВ и выше в таблицы
случаях, когда для
информационной
системы актуальны
угрозы 2 типа.
ТИПОВОЙ ПЕРЕЧЕНЬ
вопросов, рассматриваемых в ходе оценки состояния защищенности
локальной вычислительной сети
№
п/ Вопрос проверки Результат проверки
п
1. Использование Возможные рекомендуемые
беспроводных точек параметры:
доступа – точки беспроводного доступа
отсутствуют;
– настройки точка доступа
соответствуют рекомендуемым
параметрам
2. Использование WPS Рекомендуемый параметр –
отключено
3. Используемые механизмы Рекомендуемый параметр – WPA31,
1
Протокол WPA2 в 2018 году признан скомпрометированным
68
№
п/ Вопрос проверки Результат проверки
п
защиты доступа остальные протоколы считаются
небезопасными
4. Возможность доступа к Рекомендуемый параметр –
внутренним ресурсам отсутствует
5. Избыточное применение Рекомендуемый параметр –
беспроводных технологий отсутствует
(наличие включенных Wi–
Fi интерфейсов на сетевом,
периферийном и другом
оборудовании, при
наличии проводного
соединения)
№
п/ Вопрос проверки Результат проверки
п
1. Сетевое разграничение Рекомендуемый параметр –
серверов и пользователи не имеют доступ к
пользовательского серверам
сегмента сети
2. Сетевое разграничение Рекомендуемый параметр –
рабочих мест рабочие места администраторов
администраторов и отделены от пользовательского
пользовательского сегмента сети – физически или
сегмента сети логически (межсетевым экраном,
технологией VLAN)
3. Фильтрация Рекомендуемый параметр –
входящего/исходящего межсетевой экран фильтрует весь
сетевого трафика входящий/исходящий в ЛВС
трафик (защищены все точки
подключения к сети Интернет),
правила фильтрации запрещают
любой входящий/исходящий
трафик, кроме разрешенного
(необходимого для выполнения
функций органа ПУ). Фильтрация
осуществляется по IP– адресам
(DNS именам), портам и
протоколам.
4. Совместное использование Рекомендуемый параметр – ЛВС
ресурсов ЛВС со используется только ее владельцем
сторонними организациями (сторонние подключения
недопустимы)
7. Система антивирусной защиты (проверяется выборочно на
серверах и рабочих станциях).
Приложение №4
к методическим рекомендациям по
проведению контроля состояния
системы защиты информации в
организациях и учреждениях,
подведомственных органам
исполнительной власти края
78
РЕКОМЕНДАЦИИ