Prilozhenie Metodicheskie Rekomendatsii Po Provedeniyu Kontrolya Sostoyaniya SZ

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ
по проведению контроля состояния системы

защиты информации в учреждениях
Термины и определения
Система защиты информации – совокупность органов и (или)

исполнителей, используемой ими техники защиты информации, а также
объектов защиты информации, организованная и функционирующая по
правилам и нормам, установленным соответствующими документами в
области защиты информации.
Социальный инжиниринг – совокупность приёмов, методов и
технологий создания такого пространства, условий и обстоятельств,
максимально эффективно приводящей к конкретному необходимому
результату с использованием социологии и психологии.
Тестирование на проникновение –
оценка безопасности информационной системы или компьютерных сетей
средствами моделирования (имитации) действий потенциального
злоумышленника (нарушителя).
Уровень зрелости – этап развития организации в соответствии со
стандартизованными моделями оценки уровня зрелости управления. Уровни
проходятся последовательно и определяются различными характеристиками,
включающими миссию, ценности, стратегию, организационную структуру.
Хост – любое устройство, предоставляющее сервисы формата "клиент–
сервер" в режиме сервера по каким–либо интерфейсам и уникально
определённое на этих интерфейсах. В более частном случае под хостом
могут понимать любой компьютер, сервер, подключённый к локальной или
глобальной сети.
1. Общие сведения
2.1. Методические рекомендации по проведению контроля состояния

системы защиты информации в организациях и учреждениях,
подведомственных органам исполнительной власти края (далее –
методические рекомендации) разработаны во исполнение п. 2.3.3 Протокола
заседания совета по информационной безопасности при Губернатора края от
11.12.2018 № 69.
2.2. Методические рекомендации предназначены для организации
работ по защите любой информации, за исключением сведений,
составляющих государственную тайну.
2.3. Методические рекомендации предназначены для организаций и
учреждений, подведомственных органам исполнительной власти края (далее
– подведомственные учреждения) и не исключают обязанность исполнения
иных требований по защите информации.
2. Виды контроля состояния системы защиты информации

2
3.1. Контроль состояния системы защиты информации бывает
внешним и внутренним.
3.2. Внешний инспекционный контроль проводится федеральными
органами исполнительной власти, уполномоченными в области защиты
информации (далее – регуляторы). Также внешний контроль может
проводиться курирующим органом исполнительной власти края.
3.3. Внутренний контроль организуется и проводится сотрудниками,
ответственными за обеспечение безопасности информации, назначенными
правовым актом подведомственного учреждения (далее – ответственный за
обеспечение безопасности информации).
3.4. Виды внутреннего контроля:
 выполнение требований действующего законодательства в области
защиты информации;
 оценка состояния защищенности локальной вычислительной сети;
 оценка уязвимостей;
 тестирование на проникновение.
3.5. Внешний контроль.
3.5.1. Внешний контроль проводится регуляторами по
соответствующим планам работ.
3.5.2. За подготовку к внешнему контролю рекомендуется назначать
ответственного за обеспечение безопасности информации. Руководители
структурных подразделений подведомственного учреждения оказывают
всестороннее содействие в работе назначенного сотрудника.
3.5.3. Согласно части 8 статьи 16 Федерального закона от 26.12.2008 №
294-ФЗ "О защите прав юридических лиц и индивидуальных
предпринимателей при осуществлении государственного контроля (надзора)
и муниципального контроля" целесообразно вести журнал учета проверок.
Типовая форма приведена в приложении № 1.
3.6. Внутренний контроль.
3.6.1. Выполнение требований действующего законодательства в
области защиты информации.
3.6.1.1. Выполнение требований действующего законодательства в
области защиты информации проводится для процессов, в рамках которых
обрабатывается информация ограниченного доступа, а также другая
информация, если это установлено действующим законодательством
(обработка персональных данных без использования средств автоматизации,
служебное делопроизводство документов с пометкой "для служебного
пользования", организация работ с средствами криптографической защитой
информации, функционирование государственных информационных систем,
информационных систем персональных данных, объектов ключевой
информационной инфраструктуры и т.п.).
3.6.1.2. Мероприятия по контролю соблюдения требований
действующего законодательства в области защиты информации включают
проверку выполнения:
3
 организационных мер;
 технических мер.
3.6.1.3. Типовой перечень рассматриваемых вопросов приведен в
приложении №2. Приложенный типовой перечень не включает вопросы
защиты объектов критической информационной инфраструктуры.
3.6.1.4. Мероприятия по контролю соблюдения требований
действующего законодательства рекомендуется проводить ответственному за
обеспечение безопасности информации при всестороннем содействии всех
сотрудников подведомственного учреждения.
3.6.1.5. Рекомендуемая периодичность проведения мероприятий – не
реже 1 раза в год.
3.6.2. Оценка состояния защищенности локальной вычислительной
сети.
3.6.2.1. Оценка состояния защищенности локальной вычислительной
сети может проводиться собственными силами и (или) с привлечением на
договорной основе юридических лиц и индивидуальных предпринимателей,
имеющих лицензию на осуществление деятельности по технической защите
конфиденциальной информации.
3.6.2.2. Оценку состояния защищенности локальной вычислительной
сети целесообразно проводить на любом уровне зрелости управления
процессами информационной безопасности.
3.6.2.3. Типовой перечень вопросов, рассматриваемых в ходе
контрольных мероприятий приведен в приложении №3.
3.6.2.4. Рекомендуемая периодичность проведения оценки состояния
защищенности локальной вычислительной сети – не реже 1 раза в год.
3.6.3. Тестирование на проникновение.
3.6.3.1. Тестирование на проникновение могут проводиться
собственными силами и (или) с привлечением на договорной основе
юридических лиц и индивидуальных предпринимателей, имеющих лицензию
на осуществление деятельности по технической защите конфиденциальной
информации.
3.6.3.2. Тестирование на проникновение проводится компетентными
сотрудниками в области компьютерных атак.
3.6.3.3. Типы тестирования на проникновение:
3.6.3.3.1. Командное взаимодействие при проведении тестирования на
проникновение (Red Team). Мероприятия проводятся с одной стороны в
режиме проведения реальных компьютерных атак (этичный хакинг) и
противодействия атакам со стороны ответственных за обеспечение
безопасности информации, с другой стороны. Целью проведения таких
мероприятий является проверка эффективности деятельности ответственных
за обеспечение безопасности информации, их квалификация, а также
выявления "узких" слабых мест в системе защиты информации. Командное
взаимодействие целесообразно проводить на наивысшем уровне зрелости
управления процессами информационной безопасности.
4
3.6.3.3.2. Тестирование на проникновение без участия ответственных за
обеспечение безопасности информации.
3.6.3.4. Виды тестирования на проникновение:
 внешнее тестирование на проникновение;
 внутреннее тестирование на проникновение;
 тестирование на проникновение с применением методов
социального инжиниринга.
3.6.3.5. Внешнее тестирование на проникновение является имитацией
компьютерных атак в отношении внешних информационных ресурсов
подведомственного учреждения (информационные ресурсы, доступные со
стороны сети Интернет – официальные сайты, внешние IP адреса, почтовые
серверы и т.п.).
3.6.3.6. Внутреннее тестирование на проникновение является
имитацией действий злоумышленника после его проникновения в атакуемую
локальную вычислительную сеть. Такой вид тестирования подразумевает
повышение привилегий на захваченном хосте, разведка окружающих хостов
с дальнейшими попытки их взлома.
3.6.3.7. Целью проведения внешнего и внутреннего тестирования на
проникновение является проверка защищенности информационных ресурсов
на устойчивость к компьютерным атакам. Такие виды тестирования на
проникновение возможно проводить на любом уровне зрелости управления
процессами информационной безопасности с соблюдением следующего
условия – целесообразно предварительно предупреждать сотрудников и
(или) структурные подразделения, ответственные в подведомственном
учреждении за информационные технологии.
3.6.3.8. Тестирование на проникновение с применением методов
социального инжиниринга проводится для проверки уровня осведомленности
сотрудников подведомственного учреждениях в вопросах информационной
безопасности. Это может быть имитация спам–рассылки через электронную
почту, подкидывание флеш–накопителей с заранее записанными на них
"вредоносными" программами, вытягивание данных учетных записей (имена
пользователей и их пароли) путем маскировки под техническую поддержку и
иные манипулятивные способы, направленные на психологические слабости,
свойственные людям.
3.6.3.9. Тестирование на проникновение целесообразно проводить по
мере необходимости и наличию финансовых средств.
3.6.3.10. Рекомендуемое содержание отчета по результатам
тестирования на проникновение приведено в приложении №4.
3.6.4. Оценка уязвимостей.
3.6.4.1. Оценка уязвимостей проводится с целью выявления
уязвимостей в системном и прикладном программном обеспечении для их
дальнейшего устранения.
3.6.4.2. Оценка уязвимостей может проводиться как собственными
силами (оценку проводит ответственный за обеспечение безопасности
информации), так с привлечением на договорной основе юридических лиц и
5
индивидуальных предпринимателей, имеющих лицензию на осуществление
деятельности по технической защите конфиденциальной информации.
3.6.4.3. Мероприятия по оценке уязвимостей могут проводиться
ручными и инструментальными методами.
3.6.4.4. Ручная оценка уязвимостей проводится путем проверки
состояния созданных сервисов и версий программного обеспечения с
дальнейшим изучением наличия в них уязвимостей путем сбора данных с
общедоступных источников (банк данных угроз ФСТЭК России
https://bdu.fstec.ru, база данных уязвимостей https://www.cvedetails.com,
официальные сайты программного обеспечения и т.п.).
3.6.4.5. Инструментальная оценка уязвимостей осуществляется с
помощью специализированного программного обеспечения (сканеры сети,
сканеры безопасности и т.п.).
3.6.4.6. Периодичность проведения оценки уязвимости:
 для информационных систем, в отношении которых действующим
законодательством Российской Федерации установлены требования по
защите информации – периодичность определяется в соответствующих
правовых и нормативно–правовых актах;
 для иных информационных систем и (или) локальной
вычислительной сети – не реже 1 раза в год.
3. Порядок проведения внутреннего контроля состояния системы

защиты информации
4.1. В подведомственном учреждении разрабатывается документ,

определяющий регламент проведения внутреннего контроля,
предусматривающий особенности функционирования конкретного
подведомственного учреждения. В документе определяются ответственные
исполнители (сотрудники, организующие и осуществляющие внутренний
контроль), сроки проведения внутреннего контроля, виды и типы
внутреннего контроля, перечень проверяемых вопросов, формы отчетности,
порядок доведения результатов проведенных работ по руководителя
подведомственного учреждения, а также порядок устранения выявленных
недостатков.
4.2. Общие рекомендации по проведению внутреннего контроля.
4.2.1. Мероприятия по внутреннему контролю состояния системы
защиты информации включаются в ежегодный план организационно–
технических мероприятий, утверждаемый руководителем подведомственного
учреждения.
4.2.2. Тип и виды внутреннего контроля, а также необходимость
привлечения на договорной основе сторонних организаций, целесообразно
выбирать исходя из квалификации ответственных за обеспечение
безопасности информации, финансового обеспечения и текущих нужд
подведомственного учреждения.
6
4.2.3. Материалы проверки (справки, отчеты) содержат сведения о
системе защиты информации, которым следует присваивать
ограничительную пометку "для служебного пользования".
4.2.4. В случае выявления недостатков составляется план по их
устранению.
4.2.5. Информацию о выявленных грубых нарушений требований по
защите информации, ставшая известной в ходе контрольных мероприятий,
рекомендуется доводить до руководителя подведомственных учреждений для
принятия управленческих решений.
______________
7
Приложение №1
к методическим рекомендациям по
проведению контроля состояния
системы защиты
ЖУРНАЛ
учета проверок юридического лица, индивидуального
предпринимателя, проводимых органами государственного
контроля (надзора), органами муниципального контроля
______________________________________
(дата начала ведения журнала)
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
(наименование юридического лица/фамилия, имя, отчество (в случае, если имеется) индивидуального
предпринимателя)
__________________________________________________________________________________________
__________________________________________________________________________________________
__________________________________________________________________________________________
(адрес (место нахождения) постоянно действующего исполнительного органа юридического лица/место
жительства (место осуществления деятельности (если не совпадает с местом жительства) индивидуального
__________________________________________________________________________________________
__________________________________________________________________________________________
(государственный регистрационный номер записи о государственной регистрации юридического
лица/индивидуального предпринимателя, идентификационный номер налогоплательщика (для
индивидуального предпринимателя); номер реестровой записи и дата включения сведений в реестр
субъектов малого или среднего предпринимательства (для субъектов малого или среднего
предпринимательства))
Ответственное лицо: _______________________________________________________________________

__________________________________________________________________________________________
(фамилия, имя, отчество (в случае, если имеется), должность лица (лиц), ответственного за ведение
журнала учета проверок)
__________________________________________________________________________________________
_________________________________________________________________________________________
(фамилия, имя, отчество (в случае, если имеется) руководителя юридического лица, индивидуального
Подпись: ____________________________________________________
М.П.
8
Сведения о проводимых проверках
1 Дата начала и окончания проверки

2 Общее время проведения проверки
3 Наименование органа государственного
контроля (надзора), наименование органа
муниципального контроля
4 Дата и номер распоряжения или приказа о
проведении проверки
5 Цель, задачи и предмет проверки
6 Вид проверки (плановая или внеплановая):
в отношении плановой проверки:
– со ссылкой на ежегодный план проведения
проверок;
в отношении внеплановой выездной проверки:
– с указанием на дату и номер решения
прокурора о согласовании проведения проверки
(в случае, если такое согласование необходимо)
7 Дата и номер акта, составленного по
результатам проверки, дата его вручения
представителю юридического лица
8 Выявленные нарушения обязательных
требований (указываются содержание
выявленного нарушения со ссылкой на
положение нормативного правового акта,
которым установлено нарушенное требование,
допустившее его лицо)
9 Дата, номер и содержание выданного
предписания об устранении выявленных
нарушений
10 Фамилия, имя, отчество (в случае, если
имеется), должность должностного лица
(должностных лиц), проводящего(их) проверку
11 Фамилия, имя, отчество (в случае, если
имеется), должности экспертов, представителей
экспертных организаций, привлеченных к
проведению проверки
12 Подпись должностного лица (лиц),
проводившего проверку
9
системы защиты информации
ТИПОВОЙ ПЕРЕЧЕНЬ
вопросов, рассматриваемых в ходе контроля выполнения требований
действующего законодательства в области защиты информации
1. Организация защиты персональных данных.

1.1. Выполнение требований Федерального закона от 27.07.2016
№ 152– ФЗ "О персональных данных" (далее – ФЗ–152).
1.1.1. Проверка сведений, содержащихся в уведомлении в соответствии
с ч.3 ст. 22 ФЗ–152 (далее – уведомление).
Пункты
ч. 3 Поле Примечание
ст. 22
Наименование (фамилия, имя, Содержание соответствует
1 отчество), адрес оператора установленным требованиям
2 Цель обработки Содержание соответствует

персональных данных установленным требованиям
3 Категории персональных Содержание соответствует
данных установленным требованиям
Категории субъектов, Содержание соответствует
4 персональные данные установленным требованиям
которых обрабатываются
Правовое основание Содержание соответствует
5 обработки персональных установленным требованиям
данных
Перечень действий с Содержание соответствует
персональными данными, установленным требованиям
6 общее описание
используемых оператором
способов обработки
персональных данных
Описание мер, Содержание соответствует
предусмотренных статьями установленным требованиям
18.1 и 19 Федерального
7 закона от 27.07.2006 № 152–
ФЗ, в том числе сведения о
наличии шифровальных
(криптографических) средств
и наименования этих средств
7.1 Фамилия, имя, отчество Содержание соответствует
физического лица или установленным требованиям
наименование юридического
лица, ответственных за
организацию обработки
персональных данных, и
10
Пункты
ч. 3 Поле Примечание
ст. 22
номера их контактных
телефонов, почтовые адреса и
адреса электронной почты
8 Дата начала обработки Содержание соответствует
персональных данных установленным требованиям
Срок или условие Содержание соответствует
9 прекращения обработки установленным требованиям
Сведения о наличии или об Содержание соответствует
10 отсутствии трансграничной установленным требованиям
передачи персональных
данных
Сведения о месте нахождения Содержание соответствует
базы данных информации, установленным требованиям
10.1 содержащей персональные
данные граждан Российской
Федерации
Сведения об обеспечении Содержание соответствует
11 безопасности персональных установленным требованиям
данных
Уведомление уполномоченного органа (Роскомнадзор) о начале
обработки персональных данных и о внесении изменений в ранее
представленные сведения осуществляется в соответствии с Приказом
Роскомнадзора от 30.05.2017 № 94 "Об утверждении методических
рекомендаций по уведомлению уполномоченного органа о начале обработки
персональных данных и о внесении изменений в ранее представленные
сведения".
1.1.2. Выполнение организационных мер по ФЗ–152.
Наименован Рекомендации по
№ ие Требование нормативного возможной
п/п нормативно документа реализации
го требования
документа
1. ч. 3 ст. 6 Оператор вправе поручить Наличие договоров
ФЗ–152 обработку персональных (поручений)
данных другому лицу с оператора с третьими
согласия субъекта лицами на обработку
персональных данных, на персональных данных
основании заключаемого с
этим лицом договора, в
том числе
государственного или
муниципального
контракта, либо путем
принятия
государственным или
муниципальным органом
соответствующего акта
2. ч. 4 ст. 9 Обработка персональных Наличие письменного
ФЗ–152 данных осуществляется согласия субъекта
только с согласия в персональных данных
11
документа
письменной форме на обработку
субъекта персональных персональных данных
данных соответствующего
требованиям
законодательства
Российской
Федерации
3. ст. 10 ФЗ– Выполнение условий Если ведется
152 обработки специальных обработка, то
категорий ПДн необходимо:
– наличие
письменного согласия
субъекта
на обработку
специальных
категорий
персональных
данных;
– документальное
подтверждение
причин обработки в
соответствии со
статьей 10
152 обработки обработка, то
биометрических необходимо:
персональных данных – наличие
субъекта
категорий
данных;
Федерации
документальное
подтверждение
причин обработки в
соответствии со
статьей 11
152 защиты при передача, то
трансграничной передаче необходимо:
персональных данных – наличие
субъекта
категорий
данных;
12
документа
– документальное
подтверждение, что
иностранным
государством, на
территорию которого
осуществляется
передача
данных,
обеспечивается
адекватная защита
прав субъектов
6. ст. 18 ФЗ– Обязанности оператора Наличие
152 при сборе персональных "Разъяснения
данных субъекту
юридических
последствий отказа
предоставить его
персональные
данные". Выполнение
записи,
систематизации,
накопления,
хранения, уточнения
(обновление,
изменение),
извлечения
граждан Российской
Федерации с
использованием баз
данных, находящихся
на территории
Федерации
7. ст. 18. 1 Меры, направленные на Оператор обязан:
ФЗ– 152 обеспечение выполнения 1) назначить
оператором обязанностей, ответственного за
предусмотренных организацию
настоящим Федеральным обработки
законом персональных
данных;
2) издать документы:
– определяющие
политику оператора в
отношении обработки
ПДн (опубликовать
или иным образом
обеспечить
неограниченный
доступ к документу, а
также обеспечить
возможность доступа
13
документа
к указанному
документу с
использованием
средств
соответствующей
информационно–
телекоммуникационн
ой сети),
Рекомендуемый
параметр: документы,
определяющие
политику в
данных,
соответствуют
"Рекомендациям по
составлению
документа,
определяющего
политику оператора в
данных, в порядке,
установленном
Федеральным
законом от 27 июля
2006 года № 152– ФЗ
"О персональных
данных"
(https://rkn.gov.ru/pers
onal– data/p908/)
– локальные акты по
вопросам обработки
ПДн, а также
локальные акты,
устанавливающие
процедуры,
направленные на
предотвращение и
выявление нарушений
законодательства
Федерации,
устранение
последствий таких
нарушений;
3) осуществлять
внутренний контроль
и (или) аудит
соответствия
обработки ПДн
законодательству и
локальным актам
оператора;
14
документа
4) провести оценку
вреда, который может
быть причинен
субъектам ПДн в
случае нарушения
Федерального закона,
соотношение
указанного вреда и
принимаемых
оператором мер;
5) проводить
ознакомление
работников
оператора,
непосредственно
осуществляющих
обработку ПДн, с
положениями
законодательства о
ПДн и локальными
актами по вопросам
обработки ПДн.
8. ст. 19 ФЗ– Меры по обеспечению 1) разработка модели
152 безопасности угроз безопасности
персональных данных при ПДн при их
их обработке обработке в
информационных
системах
данных;
2) применение
прошедших в
установленном
порядке процедуру
оценки соответствия
средств защиты
информации;
3) проведение оценки
эффективности
принимаемых мер по
обеспечению
безопасности ПДн до
ввода в эксплуатацию
информационной
системы
данных;
4) ведение учета
машинных носителей
данных;
5) обнаружение
фактов НСД к ПДн и
принятие мер;
6) восстановление
15
документа
ПДн,
модифицированных
или уничтоженных
вследствие
несанкционированног
о доступа к ним
(регламент
резервного
копирования);
7) проведение
периодического
контроля за
принимаемыми
мерами по
безопасности ПДн и
проведение оценки
уровня защищенности
систем ПДн.
9. п. 4 ст. 21 Соответствие сроков Проверка
ФЗ– 152 хранения персональных соответствия сроков
данных целям их хранения
обработки персональных данных
целям их обработки
(трудовой договор,
договор на оказание
услуг, журнал
регистрации),
порядок
уничтожения.
10. п. 3 ч. 4 ст. Лицо, ответственное за Проверка
22.1 ФЗ– организацию обработки организации приема и
152 персональных данных, в обработки обращений
частности, обязано и запросов субъектов
организовывать прием и персональных данных
обработку обращений и или их
запросов субъектов представителей.
персональных данных или
их представителей и (или)
осуществлять контроль за
приемом и обработкой
таких обращений и
запросов
1.2. Выполнение требований Положения об особенностях обработки

персональных данных, осуществляемой без использования средств
автоматизации, утвержденного постановлением Правительства Российской
Федерации от 15.09.2008 № 687 (далее – требования Положения).
16
№ Пункт в Рекомендации по
п/п требовании Требование нормативного возможной
Положения документа реализации
требования
1. Пункт 13 Обработка персональных Приказ об
данных, осуществляемая определении мест
без использования хранения ПДн;
средств автоматизации, Перечень лиц,
должна осуществляться осуществляющих
таким образом, чтобы в обработку
отношении каждой персональных
категории персональных данных. Документы
данных можно было по организации
определить места хранения, наличие и
хранения персональных состояние сейфов,
данных (материальных порядок закрытия и
носителей) и установить опечатывания сейфов.
перечень лиц, (Проверка
осуществляющих соблюдения
обработку персональных требований
данных либо имеющих к законодательства при
ним доступ обработке
работника кадровой
службой. Ст. 85 – ст.
90 Трудового кодекса
Федерации. Указ
президента
Федерации от
30.05.2005 № 609 "Об
утверждении
Положения о
государственного
гражданского
служащего РФ и
ведении его личного
дела)"
2. Пункт 14 Необходимо Организация
обеспечивать раздельное раздельного хранения
хранение персональных
данных (материальных
носителей), обработка
которых осуществляется
в различных целях
3. Пункт 15 При хранении Перечень лиц,
материальных носителей имеющих доступ к
должны соблюдаться местам хранения ПДн
условия, обеспечивающие (Проверка наличия
сохранность охраны помещений, в
персональных данных и которых ведется
исключающие работа с
несанкционированный к персональными
ним доступ. Перечень данными (документы
мер, необходимых для по оборудованию
обеспечения таких помещений
условий, порядок их средствами защиты))
принятия, а также
17
п/п требовании Требование нормативного возможной
Положения документа реализации
перечень лиц,
ответственных за
реализацию указанных
мер, устанавливаются
оператором
1.3. Выполнение требований к защите персональных данных при их

обработке в информационных системах персональных данных утвержденных
постановлением Правительства Российской Федерации от 01.11.2012 № 1119
(далее – Требования к защите ПДн).
Пункт в Рекомендации по
№ Требованиях Требование нормативного возможной
п/п к защите документа реализации
ПДн требования
1. Пункты 7,8 Определение типа угроз Акт определения
безопасности уровня защищенности
персональных данных,
актуальных для
системы и уровня
защищенности
2. Пункты 13, Выполнение требований Проведение
14, 15, 16 пунктов по уровням организационных и
технических
мероприятий по
реализации
требований по
определенному
уровню
3. Пункт 17 Контроль за выполнением Организация контроля
требований организуется
и проводится оператором
(уполномоченным лицом)
самостоятельно и (или) с
привлечением на
договорной основе
юридических лиц и
индивидуальных
предпринимателей,
имеющих лицензию на
осуществление
деятельности по
технической защите
конфиденциальной
информации. Указанный
контроль проводится не
реже 1 раза в 3 года в
сроки, определяемые
оператором
(уполномоченным
лицом).
18
1.4. Выполнение требований Состава и содержания организационных
и технических мер по обеспечению безопасности персональных данных при
их обработке в информационных системах персональных данных,
утвержденных приказом Федеральной службы по техническому и
экспортному контролю (далее – ФСТЭК России) от 18.02.2013 № 21 (далее –
приказ ФСТЭК № 21).
п/ Приказе Требование нормативного возможной
п ФСТЭК документа реализации
№ 21 требования
1. Пункт 4 Меры по обеспечению Наличие документов
приказа безопасности на средства защиты,
персональных данных подтверждающих
реализуются в том числе проведение оценки
посредством применения в соответствия
информационной системе
информации, прошедших
в установленном порядке
процедуру оценки
соответствия.
2. Пункт 6 Оценка эффективности Наличие документов
приказа реализованных в рамках по оценке
системы защиты эффективности
персональных данных мер реализованных в
по обеспечению рамках системы
безопасности защиты ПДн, мер по
персональных данных обеспечению
проводится оператором безопасности ПДн.
самостоятельно или с Соблюдение
привлечением на периодичности
договорной основе оценки
юридических лиц и
индивидуальных
предпринимателей,
имеющих лицензию на
осуществление
деятельности по
информации. Указанная
оценка проводится не
реже одного раза в 3 года
3. Пункт 8.1 Реализация меры по Реализация данной
приказа идентификации и меры в соответствии с
аутентификации установленным
субъектов доступа и уровнем
объектов доступа должны защищенности
обеспечивать присвоение (приложение) приказа
субъектам и объектам ФСТЭК № 21
доступа уникального
признака
(идентификатора),
сравнение предъявляемого
субъектом (объектом)
доступа идентификатора с
перечнем присвоенных
19
идентификаторов, а также
проверку принадлежности
субъекту (объекту)
доступа предъявленного
им идентификатора
(подтверждение
подлинности).
приказа управлению доступом меры в соответствии с
субъектов доступа к установленным
объектам доступа должны уровнем
обеспечивать управление защищенности
правами и привилегиями (приложение) приказа
субъектов доступа, ФСТЭК № 21
разграничение доступа
субъектов доступа к
объектам доступа на
основе совокупности
установленных в
правил разграничения
доступа, а также
обеспечивать контроль за
соблюдением этих правил.
приказа ограничению меры в соответствии с
программной среды установленным
должны обеспечивать уровнем
установку и (или) запуск защищенности
только разрешенного к (приложение) приказа
использованию в ФСТЭК № 21
программного
обеспечения или
исключать возможность
установки и (или) запуска
запрещенного к
использованию в
обеспечения.
приказа защите машинных меры в соответствии с
носителей персональных установленным
данных (средств уровнем
обработки (хранения) защищенности
персональных данных, (приложение) приказа
съемных машинных ФСТЭК № 21 и в
носителей персональных соответствии с
данных) должны моделью угроз
исключать возможность утвержденной в
несанкционированного организации
доступа к машинным
носителям и хранящимся
на них персональным
данным, а также
20
несанкционированное
использование съемных
персональных данных.
приказа регистрации событий меры в соответствии с
безопасности должны установленным
обеспечивать сбор, запись, уровнем
хранение и защиту защищенности
информации о событиях (приложение) приказа
безопасности в ФСТЭК № 21 и в
информационной системе, соответствии с
а также возможность моделью угроз
просмотра и анализа утвержденной в
информации о таких организации
событиях и реагирование
на них.
приказа антивирусной защите меры в соответствии с
должны обеспечивать установленным
обнаружение в уровнем
информационной системе защищенности
компьютерных программ (приложение) приказа
либо иной компьютерной ФСТЭК № 21 и в
информации, соответствии с
предназначенной для моделью угроз
несанкционированного утвержденной в
уничтожения, организации
блокирования,
модификации,
копирования
компьютерной
информации или
нейтрализации средств
защиты информации, а
также реагирование на
обнаружение этих
программ и информации.
приказа обнаружению меры в соответствии с
(предотвращению) установленным
вторжений должны уровнем
обеспечивать защищенности
обнаружение действий в (приложение) приказа
информационной системе, ФСТЭК № 21 и в
направленных на соответствии с
несанкционированный моделью угроз
доступ к информации, утвержденной в
специальные воздействия организации
на информационную
систему и (или)
персональные данные в
целях добывания,
уничтожения, искажения и
блокирования доступа к
персональным данным, а
21
также реагирование на эти
действия
приказа контролю (анализу) меры в соответствии с
защищенности установленным
персональных данных уровнем
должны обеспечивать защищенности
контроль уровня (приложение) приказа
защищенности ФСТЭК № 21 и в
персональных данных, соответствии с
обрабатываемых в моделью угроз
информационной системе, утвержденной в
путем проведения организации
систематических
мероприятий по анализу
информационной системы
и тестированию
работоспособности
приказа обеспечению целостности меры в соответствии с
информационной системы установленным
и персональных данных уровнем
обнаружение фактов (приложение) приказа
несанкционированного ФСТЭК № 21 и в
нарушения целостности соответствии с
информационной системы моделью угроз
и содержащихся в ней утвержденной в
персональных данных, а организации
также возможность
восстановления
и содержащихся в ней
персональных данных.
приказа обеспечению доступности меры в соответствии с
персональных данных установленным
авторизованный доступ защищенности
пользователей, имеющих (приложение) приказа
права по доступу, к ФСТЭК № 21 и в
персональным данным, соответствии с
содержащимся в моделью угроз
информационной системе, утвержденной в
в штатном режиме организации
функционирования
приказа защите среды меры в соответствии с
виртуализации должны установленным
исключать уровнем
несанкционированный защищенности
доступ к персональным (приложение) приказа
22
данным, обрабатываемым ФСТЭК № 21 и в
в виртуальной соответствии с
инфраструктуре, и к моделью угроз
компонентам виртуальной утвержденной в
инфраструктуры и (или) организации
воздействие на них, в том
числе к средствам
управления виртуальной
инфраструктурой,
монитору виртуальных
машин (гипервизору),
системе хранения данных
(включая систему
хранения образов
виртуальной
инфраструктуры), сети
передачи данных через
элементы виртуальной
или физической
инфраструктуры,
гостевым операционным
системам, виртуальным
машинам (контейнерам),
системе и сети
репликации,
терминальным и
виртуальным устройствам,
а также системе
резервного копирования и
создаваемым ею копиям
приказа защите технических меры в соответствии с
средств должны установленным
исключать уровнем
несанкционированный защищенности
доступ к стационарным (приложение) приказа
техническим средствам, ФСТЭК № 21 и в
обрабатывающим соответствии с
персональные данные, моделью угроз
средствам, утвержденной в
обеспечивающим организации
функционирование
(далее – средства
обеспечения
функционирования), и в
помещения, в которых они
постоянно расположены,
защиту технических
средств от внешних
воздействий, а также
защиту персональных
данных, представленных в
виде информативных
электрических сигналов и
физических полей
23
приказа защите информационной меры в соответствии с
системы, ее средств, установленным
систем связи и передачи уровнем
данных должны защищенности
обеспечивать защиту (приложение) приказа
персональных данных при ФСТЭК № 21 и в
взаимодействии соответствии с
информационной системы моделью угроз
или ее отдельных утвержденной в
сегментов с иными организации
информационными
системами и
телекоммуникационными
сетями посредством
применения архитектуры
и проектных решений,
направленных на
обеспечение безопасности
приказа выявлению инцидентов и меры в соответствии с
реагированию на них установленным
обнаружение, защищенности
идентификацию, анализ (приложение) приказа
инцидентов в ФСТЭК № 21 и в
информационной системе, соответствии с
а также принятие мер по моделью угроз
устранению и утвержденной в
предупреждению организации
инцидентов
приказа управлению меры в соответствии с
конфигурацией установленным
информационной системы уровнем
и системы защиты защищенности
персональных данных (приложение) приказа
должны обеспечивать ФСТЭК № 21 и в
управление изменениями соответствии с
конфигурации моделью угроз
информационной системы утвержденной в
и системы защиты организации
персональных данных,
анализ потенциального
воздействия планируемых
изменений на обеспечение
безопасности
персональных данных, а
также документирование
этих изменений
18. Пункт 11 Реализация Реализация данных
приказа дополнительных мер мер согласно
защиты при наличии угроз установленным
24
1– го и 2– го типов по требованиям
Постановлению
Правительства № 1119
19. Пункт 12 Соответствия классов Проверка
приказа защиты используемых соответствия
средств защиты и СВТ,
уровням защищенности
ИСПДн
20. Пункт 13 При использовании в Проверка
приказа информационных соответствия (при
системах новых наличии)
технологий и выявлении
дополнительных угроз
персональных данных, для
которых не определены
меры обеспечения их
безопасности, должны
разрабатываться
компенсирующие меры в
соответствии с пунктом 10
Приказа ФСТЭК № 21
1.5. Выполнение состава и содержания организационных и

технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных с
использованием средств криптографической защиты информации,
необходимых для выполнения установленных Правительством Российской
Федерации требований к защите персональных данных для каждого из
уровней защищенности, утвержденного приказом Федеральной службы
безопасности Российской Федерации от 10.07.2014 № 378 рассмотрено в
пункте 5.2 раздела "Организация защиты информации с использованием
средств криптографической защиты информации".
2. Организация защиты информации, доступ к которой ограничен

федеральными законами (за исключением сведений, составляющих
государственную тайну).
25
2.1. Проверка выполнения требований "Специальных требований и
рекомендаций по технической защите конфиденциальной информации",
утвержденных приказом Гостехкомиссии России от 30.08.2002 № 282 (далее
– СТР–К) и Руководящего документа "Автоматизированные системы.
Защита от несанкционированного доступа к информации Классификация
автоматизированных систем и требования по защите информации",
утвержденного решением председателя Государственной технической
комиссии при Президенте Российской Федерации от 30.03.1992 (далее – РД
АС Защита от НСД).
Наименование Требование Рекомендации по

№ нормативного нормативного возможной
п/п документа документа реализации
1. п. 2.15 СТР– К Наличие лиц, Приказ о назначении
обеспечение
информации, наличие
в должностной
инструкции
обязанностей по
защите информации.
2. п.п.3.6, 3.10, Наличие и Наличие и
5.1.3, 5.2.2 содержание перечня соответствие перечня
СТР–К; указ сведений текущим условиям
Президента конфиденциального деятельности ПУ
Российской характера с учетом
Федерации об ведомственной и
утверждении отраслевой
перечня специфики этих
сведений сведений,
конфиденциаль утвержденного
ного характера руководителем
от 6.03.1997 № организации.
188 Ознакомление с
перечнем
сотрудников
учреждения,
организации,
подведомственного
органу
исполнительной
власти края (далее –
ПУ) под роспись в
части их касающейся
3. п. 2.4. СТР–К, Учет Разработка
п. 1.5. АС. информационных документов:
Защита от НСД ресурсов, – перечень
подлежащих защите в защищаемых
АС, с указанием информационных
уровня ресурсов АС и их
конфиденциальности уровень
(объекты доступа) конфиденциальности;
– перечень лиц,
имеющих доступ к
26
штатным средствам
АС, с указанием их
уровня полномочий;
– матрица доступа
или полномочий
субъектов доступа по
отношению к
защищаемым
информационным
ресурсам АС;
– режим обработки
данных в АС
4. п.п. 2.16, 4.2.3, Применение Наличие
5.1.3. СТР–К сертифицированных действующих
средств защиты сертификатов
информации либо соответствия
сертифицированных требованиям
технических средств безопасности
обработки информацию
Проверка
актуальности и
легитимности
сертификатов
соответствия на
применяемые
средства защиты
информации
5. п.3.4 СТР–К Проверка договоров Наличие договоров
на проведение
защите информации с
организациями–
лицензиатами, в
случае проведения
ими мероприятий по
защите КИ
(аттестация,
контроль). Проверка
наличия
действующих
лицензий
организаций–
лицензиатов
6. п. 3.8 СТР–К Приказ об Наличие
определении объекта
информатизации, в
котором
устанавливается
необходимость
обработки
(обсуждения)
7. п.п. 3.8, 2.13 Разработка модели Наличие
СТР–К угроз безопасности
27
информации и модели
вероятного
нарушителя (ГОСТ Р
51275– 2006)
8. п.п.3.18, 3.8, Наличие и Наличие
4.2.1, СТР–К правильность
оформления
Технического
паспорта на объект
информатизации.
Наличия отметок о
проведении
контрольных
мероприятий
9. п.п. 3.8, 3.15, Оценка правильности – Приказ о
5.1.4, 5.1.7, определения класса назначении комиссии
5.2.3, 5.4.2, защищенности по классификации АС
5.4.3 СТР–К. автоматизированных – Акт классификации,
п.1.1. РД АС. систем проверка
Защита от НСД классификационных
признаков в
соответствии с
(перечнем
защищаемых
ресурсов АС и их
уровня
конфиденциальности,
перечня лиц,
имеющих доступ к
штатным средствам
АС, с указанием их
уровня полномочий,
матрицы доступа или
полномочий
субъектов доступа по
отношению к
защищаемым
ресурсам АС, режима
обработки данных в
АС).
Классификация
ИСПДн не ниже
классов 1Д, 2Б и 3Б
соответственно
10. п.п.3.16, 5.1.3 Порядок организации Наличие
СТР–К физической охраны подразделения по
физической охране
(наименование
организации,
оказывающей услуги
физической охраны,
номер и дата
договора).
Наличие и
28
содержание
документов об
организации
пропускного и
внутриобъектового
режима
11. п.п. 3.16, 4.2.1, Проверка наличия Наличие документов
5.1.3, 5.2.7, документов
5.3.2, 5.6.6 разрешительной
СТР–К системы доступа:
– список лиц,
допущенных к
самостоятельной
работе в АС (субъект
доступа);
– список лиц
эксплуатационного
(обслуживающего
персонала) в ЗП, АС;
– список лиц,
имеющих право
самостоятельного
доступа в помещения,
в которых
обрабатывается
(обсуждается)
конфиденциальная
информация;
– наличие заявок на
доступ к
ресурсам (должно
быть прописано в
документации по
разрешительной
системе допуска);
– перечень
обеспечения,
разрешенного к
использованию в АС
(субъект доступа)
12. п. 3.16 СТР–К Наличие Приказа о Наличие документа
назначении
эксплуатацию средств
(объекта
информатизации).
13. п.п. 3.18, 5.5.1, Описание Наличие документа,
5.5.3, 5.5.5 технологического соответствие
СТР–К процесса обработки установленным
информации. требованиям
Наличие, содержание
и сравнение с
реальным
29
технологическим
процессом путем
опроса исполнителей
При использовании
обработки
информации с
использованием МНИ
должно быть
обеспечено
исключение хранения
информации на
ПЭВМ в нерабочее
время.
14. п. 3.18 СТР–К План Наличие плана
организационно–
подготовке объекта
информатизации к
внедрению средств и
мер защиты
15. п. 3.18, 5.3.1 Наличие и Наличие документов
"СТР–К" содержание
документов:
– инструкции
пользователям АС по
эксплуатации средств
администратору АС
по эксплуатации
администратору
безопасности АС по
эксплуатации средств
защиты информации.
16. п. 1.5 РД АС. Матрица доступа Наличие документа и
Защита от НСД – наличие и проверка соответствие
п.5.3.2, 5.1.3 описанных в матрице реального
СТР–К и реальных прав в АС технологического
Реализация процесса.
разграничения
доступа к
ресурсам в
матрицей доступа.
17. п.2.17, СТР–К Наличие аттестатов Наличие
соответствия на
объекты
информатизации,
обрабатывающие
конфиденциальную
30
информацию.
18. п.3.22 СТР–К Наличие и Наличие
программы и
методики проведения
аттестационных
испытаний.
19. п.3.20 СТР–К Правильность Наличие
проведения
испытаний наличие и
аттестационной
документации.
20. п.3.21 СТР–К Наличие правовых Наличие
актов:
– на проектирование
объекта
информатизации и
назначение
ответственных
исполнителей;
– на проведение работ
по защите
– о назначении лиц,
эксплуатацию
объекта
информатизации;
– на обработку в АС
(обсуждение в ЗП)
(правовой акт о вводе
ОИ в эксплуатацию).
21. п.3.24 СТР–К Организация Наличие не реже 1
контроля раза в год
эффективности
организационных и
22. п.4.2.1 СТР–К Наличие перечня Наличие
помещений.
23. п. 4.2.4 СТР–К Проведение Наличие
специальных (рекомендовано)
проверок технических
средств,
помещениях
проводится при
необходимости, по
31
решению
руководителя.
24. раздел 4.2 Принятые меры по Наличие
СТР–К технической защите
помещений (описание
принятых мер).
25. п. 4.4.3 СТР–К Приказ о назначении Наличие
ответственного за
хранение и
использование
аппаратуры звуко– и
видеозаписи
информации, и
обеспечено хранение
и использование этой
аппаратуры,
исключающее
несанкционированны
й доступ к ней (при
использовании звуко-
и видеозаписи в ЗП).
26. п.п. 5.1.3, 5.2.7, Документы, Наличие
5.3.2 СТР–К регламентирующие
порядок допуска к
(например,
Положение о
разрешительной
системе допуска).
27. п. 5.1.3 СТР–К Порядок аудита Наличие
событий в АС
– проверка настроек
СЗИ в части аудита в
установленным
классом
защищенности АС
– указание в
инструкциях
администраторам АС
о проведении аудита
событий
28. п. 5.1.3 СТР–К Опечатывание Наличие
средств
вычислительной
техники,
используемой в АС
29. п. 5.1.3 СТР–К Организация Наличие
копирования:
– правовой акт о
резервное
32
копирование;
– инструкция по
резервному
копированию (с
указанием
периодичности
резервирования,
средств для
осуществления
копирования,
установленных
носителей резервных
копий)
30. п. 26 Приказ об Наличие
Положения о определении
государственно контролируемой зоны
й системе в ПУ
защиты
информации в
Федерации от
иностранных
разведок и от
ее утечки по
техническим
каналам от
15.09.1993 №
912– 51 (далее
– Положение о
ГСЗИ)
31. п. 5.1.3 СТР–К Защита линий Наличие
электропитания и
заземления
средствами активной
(в случае размещения
трансформаторной
подстанции за
пределами
контролируемой
зоны)
32. п. 5.1.3 СТР–К Использование Наличие
сертифицированных
систем
гарантированного
электропитания
33. п. п. 5.1.3, 5.2.5 Организация защиты Выполнение
СТР–К конфиденциальной
информации при ее
передаче по каналам
связи
– использование
средств
криптографической
33
в случае передачи
данных по
незащищенным
каналам связи;
– размещение линий
связи в пределах
контролируемой зоны
34. п.п. 5.1.3, 5.3.2 Размещение дисплеев Выполнение
СТР–К и других средств
отображения
информации,
исключающее ее
несанкционированны
й просмотр
35. п. 5.1.3 СТР–К Организация системы Выполнение
антивирусной защиты
– назначение
антивирусную защиту
– инструкция по
антивирусной защите
(с требованиями к
антивирусным
средствам,
периодичностью
антивирусного
контроля)
– проверка настроек
средств антивирусной
защиты.
36. п.5.1.11 СТР–К Проверка знаний Наличие документов,
сотрудников подтверждающих
организаций по ознакомление и
вопросам проверку
организации порядка
обеспечения защиты
информации:
– наличие
нормативной
законодательной базы
по защите
(Федеральные
законы, методические
документы,
локальные
нормативные
правовые акты и так
далее);
– ознакомление с
нормативными
документами по
34
защите информации в
организации в части
их касающейся
(законодательные
акты);
– ознакомление
организации с
внутренними
документами по
защите
(приказы, инструкции
и т.п.) под роспись в
части их касающейся.
37. п. 5.2.4 СТР–К Наличие Наличие
сертификатов на
используемые СВТ по
электромагнитной
совместимости, по
безопасности, по
санитарным нормам,
предъявляемым к
видеодисплейным
терминалам ПЭВМ
(ГОСТ 29216– 91,
ГОСТ Р 50948– 96,
ГОСТ Р 50949– 96,
ГОСТ Р 50923– 96,
СанПиН 2.2.2.542–
96)
38. п.5.3.2 СТР–К Проверка Наличие
организации стирания
остаточной
Данное требование
должно быть
прописано в
инструкциях
пользователям/админ
истраторам АС.
Проверка
функции затирания
средствах защиты
39. п. 5.6.3 СТР–К Проверка наличия Наличие
информации во всех
узлах ЛВС
независимо от
наличия (отсутствия)
в них
35
информации. В
случае если АС не
отделена от
остальной ЛВС
межсетевым экраном
40. п.п.5.3.2, 5.6.7 Организация Наличие
СТР–К парольной защиты
41. п.п. 5.7.2, 5.7.3 Использование в АС Наличие
СТР–К типа ЛВС средств
обнаружения
вторжений,
мониторинга сети,
активного аудита (в
случае отсутствия
подключения АС к
сети Интернет).
Разделение траффика
на сетевом уровне с
учетом решаемых
задач пользователей.
Проверка
соответствия
технологического
процесса обработки
правилам фильтрации
межсетевых экранов
42. п.5.8.2. СТР–К Проверка настроек Наличие
штатных средств
защиты в СУБД
43. п.5.6.5. СТР–К Использование Наличие
п.1 Указа сертифицированных
Президента межсетевых экранов
Российской соответствующего
Федерации от класса согласно
17.03.2008 г. № установленного
351 "О мерах класса защищенности
по АС
информационн
ой
Федерации при
использовании
о–
телекоммуника
ционных сетей
международног
о
ого обмена"
(далее – Указ
№ 351)
44. п.п.6.1.4, 6.2.1, Порядок Использование
36
6.3.2, 6.3.3, использования в АС электронной подписи
6.3.4, 6.3.6, сети Интернет при передаче
6.3.8, 6.3.9, конфиденциальной
6.3.11 СТР–К информации для
подтверждения
подлинности,
средств обнаружения
вторжений, сокрытие
топологии сети путем
фильтрации на
сетевом уровне,
средств анализа
защищенности АП, –
средств усиленной
идентификации и
аутентификации, –
централизованное
управление системой
защиты информации,
наличие Приказа о
допуске к работе на
АП, Приказ о
администратора
безопасности,
ознакомление
исполнителей с
требованиями по
защите информации
при подключении АС
к сети Интернет,
наличие инструкции,
регламентирующей
порядок допуска к
сети Интернет,
инструкции, наличие
заявок на допуск к
содержание заявок,
Приказ о назначении
комиссии по приемке
в эксплуатацию АП,
заключение о
выполнении
требований по защите
информации при
подключении АС к
заключения, Приказ
об организации
контроля защиты
37
информации в АС,
имеющей
подключение к сети
Интернет.
45. п.п.6.3.13.1, Обеспечение Наличие
6.3.13.2, безопасности
6.3.13.3 СТР–К информации при
удаленном доступе к
ресурсам АП.
46. п.п. 6.3.14.1, Обеспечение
6.3.14.2, безопасности
6.3.14.3, 6.3.15, информации при
6.3.15.1, межсетевом
6.3.15.2 СТР–К взаимодействии
отдельных АП одной
организации через
сеть Интернет
47. п.2.5 РД АС. Выполнение Выполнение
Защита от НСД требований по защите
обрабатываемой в АС
класса защищенности
3Б;
– подсистема
управления доступом;
регистрации и учета;
целостности
2Б:
1Д:
38
1Г:
2.2. В соответствии с пунктом 6 Положения о государственной

системе защиты информации в Российской Федерации от иностранных
технических разведок и от ее утечки по техническим каналам от 15.09.1993
№ 912– 51 (далее – Положение о ГСЗИ). Работа по обеспечению
безопасности информации должна быть организована согласно плану
организационно– технических мероприятий (далее – План ОТМ).
№ Требования по оформлению Примечание

п/п плана
1. Степень Если в ПУ есть свои объекты
конфиденциальности плана информатизации для обработки
сведений составляющих
государственную тайну, то план
имеет гриф, иначе пометку "Для
служебного пользования"
2. Соответствие содержания Данные пункты выбираются
плана требованиям пункта 6 исходя из реальной
Положения о ГСЗИ необходимости (например, при
наличии аттестованных объектов
информатизации в ПУ, работа по
всем пунктам обязательна)
3. Наличие отметок о План является рабочим
выполнении документом специалиста по
запланированных защите информации, отсутствие
мероприятий отметок недопустимо
4. Доведение плана до всех Все ответственные исполнители
ответственных исполнителей пунктов должны быть
под роспись ознакомлены с планом перед
сроками выполнения
мероприятий
39
№ Требования по оформлению Примечание
п/п плана
5. Проверка наполнения плана План является рабочим
документом специалиста по
целесообразно включать в него
все мероприятия,
осуществляемые для защиты
Сведения об обеспеченности и потребности в специалистах по

информационной безопасности с требуемым уровнем подготовки.
№ Требование Примечание
п/п
1. Статус подразделения по В штатном расписании должно быть
ЗИ создано подразделение по ЗИ, либо
должны быть назначены
ответственные по защите
конфиденциальной информации.
2. Сведения о подготовке Ответственные по ЗИ должны
специалистов по ЗИ проходить курсы повышения
квалификации не реже чем раз в три
года.
2.3. В соответствии с Типовым положением о подразделении по

защите информации от иностранных технических разведок и от ее утечки по
техническим каналам в министерствах и ведомствах, в органах
государственной власти субъектов Российской Федерации, утвержденным
решением Гостехкомиссии от 15.03.1995 № 32 (далее – Положение о
подразделении по ЗИ) в должностные обязанности ответственного за
обеспечение безопасности информации (подразделения по защите
информации) должны быть включены пункты, указанные в таблице 3.4.
Пункт Рекомендации по
№ Положения о Требование возможной
п/п подразделени нормативного документа реализации
и по ЗИ требования
1. п. 2.1 Проведение единой Внесение данного
технической политики, пункта в
организация и должностной
координация работ по регламент
защите информации в ответственного за
(наименование обеспечение
министерства, безопасности
ведомства, органа информации
государственной власти (подразделения по
субъекта Российской защите
Федерации) информации)
2. п. 2.2 Осуществление Внесение данного
планирования работ по пункта в
защите от иностранных должностной
технических разведок и регламент
от ее утечки по ответственного за
техническим каналам. обеспечение
40
(подразделения по
защите
информации)
3. п. 2.3 Организация Внесение данного
аттестования пункта в
подведомственных должностной
объектов по регламент
выполнению требований ответственного за
обеспечения защиты обеспечение
информации при безопасности
проведении работ со информации
сведениями (подразделения по
соответствующей защите
степени секретности. информации)
4. п. 2.5 Организация и Внесение данного
проведение работ по пункта в
контролю должностной
эффективности регламент
проводимых ответственного за
мероприятий и обеспечение
принимаемых мер по безопасности
защите информации информации
защите
5. п. 2.6 Организация в Внесение данного
установленном порядке пункта в
расследования причин и должностной
условий появления регламент
нарушений в области ответственного за
защиты информации и обеспечение
разработка предложений безопасности
по устранению информации
недостатков и (подразделения по
предупреждению защите
подобного рода информации)
нарушений, а также
осуществление контроля
за устранением этих
нарушений
6. п. 2.7 Разработка предложений Внесение данного
по организации и пункта в
совершенствованию должностной
системы защиты регламент
информации, в том ответственного за
числе по вопросам, обеспечение
решаемым в рамках безопасности
федеральных программ информации
защите
7. п. 2.11 Организация и Внесение данного
Положения о координация разработки, пункта в
подразделени внедрения и должностной
41
и по ЗИ эксплуатации системы регламент
мер по безопасности ответственного за
информации, обеспечение
обрабатываемой безопасности
техническими информации
средствами в целях (подразделения по
предотвращения утечки защите
информации по информации)
техническим каналам
8. п. 2.14 Подготовка отчетов о Внесение данного
Положения о состоянии работ по пункта в
подразделени защите должностной
и по ЗИ регламент
защите
3. Организация защиты информации в муниципальных

информационных системах.
3.1. Выполнение требований о защите информации, не составляющей

государственную тайну, содержащейся в государственных информационных
системах, утвержденных приказом ФСТЭК России от 11.02.2013 № 17 (далее
– приказ ФСТЭК № 17).
№ приказе Требование нормативного возможной
п/п ФСТЭК № документа реализации
17 требования
1. п.9 Для обеспечения защиты Выполнение
информации, требования в полном
содержащейся в объеме
системе, оператором
назначается структурное
подразделение или
должностное лицо
(работник),
ответственные за защиту
2. п.11 Для обеспечения защиты Выполнение
информации, требования в полном
содержащейся в объеме
системе, применяются
средства защиты
информации, прошедшие
оценку соответствия в
форме обязательной
42
сертификации на
соответствие
требованиям по
3. п.14 Формирование Формирование
требований к защите требований к защите
информации, информации,
содержащейся в содержащейся в
информационной системе информационной
системе включает:
– принятие решения
о необходимости
содержащейся в
системе;
– классификацию
системы по
требованиям защиты
информации (далее –
классификация
системы);
– определение угроз
реализация которых
может привести к
нарушению
системе, и
разработку на их
основе модели угроз
– определение
требований к
системе защиты
системы
4. п.15 Разработка системы Разработка системы
защиты информации защиты информации
информационной информационной
системы системы
осуществляется в
заданием на
создание
системы и (или)
43
заданием (частным
заданием) на
создание системы
системы и включает:
– проектирование
системы;
– разработку
эксплуатационной
документации на
систему защиты
системы;
– макетирование и
тестирование
системы (при
необходимости)
5. п.16 Внедрение системы Осуществляется в
защиты информации соответствии с
информационной проектной и
системы эксплуатационной
документацией на
системы и в том
числе включает:
– установку и
настройку средств
в информационной
системе;
– разработку
документов,
определяющих
правила и
процедуры,
реализуемые
оператором для
обеспечения защиты
системе в ходе ее
эксплуатации (далее
– организационно–
распорядительные
44
документы по
защите
информации);
– внедрение
организационных
мер защиты
– предварительные
испытания системы
системы;
– опытную
эксплуатацию
системы;
– анализ
уязвимостей
системы и принятие
мер защиты
информации по их
устранению;
– приемочные
испытания системы
системы.
6. п.17 Аттестация В качестве исходных
информационной данных,
системы по требованиям необходимых для
защиты информации аттестации
(далее – аттестация информационной
информационной системы,
системы) и ввод ее в используются:
действие – модель угроз
– акт классификации
системы;
– техническое
задание на создание
системы и (или)
техническое задание
(частное техническое
задание) на создание
системы;
– проектная и
эксплуатационная
45
документация на
системы;
– организационно–
распорядительные
документы по
защите информации;
– результаты анализа
уязвимостей
системы;
– материалы
предварительных и
приемочных
испытаний системы
системы;
– иные документы,
разрабатываемые в
настоящими
требованиями.
Аттестация
системы проводится
в соответствии с
программой и
методиками
испытаний. По
результатам
испытаний
оформляются
протоколы
испытаний,
заключение о
соответствии
системы
требованиям о
и аттестат
соответствия в
случае
положительных
результатов
испытаний.
7. п.18 Обеспечение защиты осуществляется
информации в ходе оператором и
эксплуатации включает:
46
аттестованной – управление
информационной (администрирование)
системы системой защиты
системы;
– выявление
инцидентов и
реагирование на них;
– управление
конфигурацией
аттестованной
системы и ее
– контроль
(мониторинг) за
обеспечением уровня
системе
8. п.19 Обеспечение защиты Осуществляется
информации при выводе оператором и
из эксплуатации включает:
аттестованной – архивирование
информационной информации,
системы или после содержащейся в
принятия решения об информационной
окончании обработки системе;
информации – уничтожение
(стирание) данных и
остаточной
информации с
машинных
носителей
информации и (или)
уничтожение
машинных
носителей
9. п. 20.1 Реализация мер по Реализация данной
идентификации и меры в соответствии
аутентификации с установленным
субъектов доступа и классом
объектов доступа должны защищенности
обеспечивать присвоение (приложение)
субъектам и объектам приказа ФСТЭК №
доступа уникального 17
признака
(идентификатора),
сравнение
предъявляемого
субъектом (объектом)
47
доступа идентификатора
с перечнем присвоенных
идентификаторов, а также
проверку
принадлежности субъекту
(объекту) доступа
предъявленного им
идентификатора
(подтверждение
подлинности)
управлению доступом меры в соответствии
субъектов доступа к с установленным
объектам доступа должны классом
обеспечивать управление защищенности
правами и привилегиями (приложение)
субъектов доступа, приказа ФСТЭК №
разграничение доступа 17
субъектов доступа к
объектам доступа на
основе совокупности
правил разграничения
доступа, а также
обеспечивать контроль
соблюдения этих правил
ограничению меры в соответствии
программной среды с установленным
должны обеспечивать классом
установку и (или) запуск защищенности
только разрешенного к (приложение)
использованию в приказа ФСТЭК №
информационной системе 17
обеспечения или
исключать возможность
установки и (или)
запуска, запрещенного к
использованию в
12. п. 20.4 Реализация мер по защите Реализация данной
машинных носителей меры в соответствии
информации (средства с установленным
обработки (хранения) классом
информации, съемные защищенности
машинные носители (приложение)
информации) должны приказа ФСТЭК №
исключать возможность 17
несанкционированного
доступа к машинным
носителям и хранящейся
на них информации, а
48
также
несанкционированное
использование съемных
регистрации событий меры в соответствии
безопасности должны с установленным
обеспечивать сбор, классом
запись, хранение и защищенности
защиту информации о (приложение)
событиях безопасности в приказа ФСТЭК №
информационной 17
системе, а также
возможность просмотра и
анализа информации о
таких событиях и
реагирование на них
антивирусной защите меры в соответствии
должны обеспечивать с установленным
обнаружение в классом
информационной системе защищенности
компьютерных программ (приложение)
либо иной компьютерной приказа ФСТЭК №
информации, 17
предназначенной для
несанкционированного
уничтожения,
блокирования,
модификации,
копирования
компьютерной
информации или
нейтрализации средств
защиты информации, а
также реагирование на
обнаружение этих
программ и информации
обнаружению меры в соответствии
(предотвращению) с установленным
вторжений должны классом
обеспечивать защищенности
обнаружение действий в (приложение)
информационной приказа ФСТЭК №
системе, направленных на 17
преднамеренный
несанкционированный
доступ к информации,
специальные воздействия
на информационную
систему и (или)
информацию в целях ее
добывания, уничтожения,
искажения и
49
блокирования доступа к
информации, а также
реагирование на эти
действия
контролю (анализу) меры в соответствии
защищенности с установленным
информации должны классом
обеспечивать контроль защищенности
уровня защищенности (приложение)
информации, приказа ФСТЭК №
содержащейся в 17
системе, путем
проведения мероприятий
по анализу защищенности
системы и тестированию
ее системы защиты
обеспечению целостности меры в соответствии
информационной с установленным
системы и информации классом
обнаружение фактов (приложение)
несанкционированного приказа ФСТЭК №
нарушения целостности 17
системы и содержащейся
в ней информации, а
также возможность
восстановления
системы и содержащейся
в ней информации
обеспечению доступности меры в соответствии
информации должны с установленным
обеспечивать классом
авторизованный доступ защищенности
пользователей, имеющих (приложение)
права по такому доступу, приказа ФСТЭК №
к информации, 17
системе, в штатном
режиме
функционирования
системы
среды виртуализации меры в соответствии
должны исключать с установленным
несанкционированный классом
доступ к информации, защищенности
50
обрабатываемой в (приложение)
виртуальной приказа ФСТЭК №
инфраструктуре, и к 17
компонентам
инфраструктуры, а также
воздействие на
информацию и
компоненты, в том числе
к средствам управления
инфраструктурой,
монитору виртуальных
машин (гипервизору),
системе хранения данных
(включая систему
хранения образов
инфраструктуры), сети
передачи данных через
элементы виртуальной
или физической
инфраструктуры,
гостевым операционным
системам, виртуальным
машинам (контейнерам),
системе и сети
репликации,
терминальным и
виртуальным
устройствам, а также
системе резервного
копирования и
создаваемым ею копиям
технических средств меры в соответствии
должны исключать с установленным
несанкционированный классом
доступ к стационарным защищенности
техническим средствам, (приложение)
обрабатывающим приказа ФСТЭК №
информацию, средствам, 17
обеспечивающим
функционирование
системы (далее – средства
функционирования), и в
помещения, в которых
они постоянно
расположены, защиту
технических средств от
внешних воздействий, а
также защиту
представленной в виде
51
информативных
электрических сигналов и
физических полей
информационной меры в соответствии
системы, ее средств, с установленным
систем связи и передачи классом
данных должны защищенности
обеспечивать защиту (приложение)
информации при приказа ФСТЭК №
взаимодействии 17
системы или ее
отдельных сегментов с
иными
информационными
системами и
телекоммуникационными
сетями посредством
применения архитектуры
системы, проектных
решений по ее системе
направленных на
обеспечение защиты
22. п. 26 Технические меры Реализация данной
защиты информации меры в соответствии
реализуются посредством с установленным
применения средств классом
защиты информации, защищенности
имеющих необходимые (приложение)
функции безопасности приказа ФСТЭК №
17
23. п. 27 В случае обработки в Реализация уровней
информационной системе защищенности в
информации, содержащей соответствии с
персональные данные, классами
реализуемые в защищенности
соответствии с пунктами
21 и 22 настоящих
Требований меры защиты
информации:
– для информационной
системы 1 класса
обеспечивают 1, 2, 3 и 4
уровни защищенности
(устанавливается в
Требованиями к защите
ПДн);
52
обеспечивают 2, 3 и 4
персональных данных;
обеспечивают 3 и 4
4. Организация защиты информации с использованием средств

криптографической защиты информации.
4.1. Выполнение инструкции об организации и обеспечении

безопасности хранения, обработки и передачи по каналам связи с
использованием средств криптографической защиты информации с
ограниченным доступом, не содержащей сведений, составляющих
государственную тайну утвержденной приказом Федерального агентства
Правительственной связи и информации при Президенте Российской
Федерации от 13.06.2001 № 152 (далее – Инструкция ФАПСИ).
№ Инструкции Требование возможной
п/п ФАПСИ нормативного документа реализации
1. п. 21 Обучение пользователей Документом,
правилам работы с СКЗИ подтверждающим
осуществляют должную
сотрудники специальную
соответствующего органа подготовку
криптографической пользователей и
защиты. Документом, возможность их
подтверждающим допуска к
должную специальную самостоятельной
подготовку работе с СКЗИ,
пользователей и является заключение,
возможность их допуска составленное
к самостоятельной работе комиссией.
с СКЗИ, является
заключение, В случае если ПУ
составленное комиссией является органом
соответствующего органа криптографической
криптографической защиты информации
защиты на основании
принятых от этих лиц
зачетов по программе
обучения.
2. п. 26 Используемые или Наличие журнала
хранимые СКЗИ, учета
53
эксплуатационная и
техническая
документация к ним,
ключевые документы
подлежат
поэкземплярному учету
по установленным
формам. При этом
программные СКЗИ
должны учитываться
совместно с аппаратными
средствами, с которыми
осуществляется их
штатное
функционирование. Если
аппаратные или
аппаратно– программные
СКЗИ подключаются к
системной шине или к
одному из внутренних
интерфейсов аппаратных
средств, то такие СКЗИ
учитываются также
совместно с
соответствующими
аппаратными средствами.
3. п. 27 Все полученные Журнал учета должен
обладателем быть заполнен
информации экземпляры
СКЗИ, эксплуатационной
и технической
документации к ним,
ключевых документов
должны быть выданы под
расписку в
соответствующем
журнале
поэкземплярного учета
пользователям СКЗИ,
несущим персональную
ответственность за их
сохранность
4. п. 30 Пользователи СКЗИ Запираемые (а
хранят инсталлирующие желательно и
СКЗИ носители, опечатываемые)
эксплуатационную и ящики, шкафы,
техническую сейфы
документацию к СКЗИ,
ключевые документы в
шкафах (ящиках,
хранилищах)
индивидуального
пользования в условиях,
исключающих
бесконтрольный доступ к
54
ним, а также их
непреднамеренное
уничтожение.
Пользователи СКЗИ
предусматривают также
раздельное безопасное
хранение действующих и
резервных ключевых
документов,
предназначенных для
применения в случае
компрометации
действующих
криптоключей
5. п. 51 Размещение, специальное Спецпомещения
оборудование, охрана и выделяют с учетом
организация режима в размеров
помещениях, где контролируемых зон,
установлены СКЗИ или регламентированных
хранятся ключевые эксплуатационной и
документы к ним (далее – технической
спецпомещения), должны документацией к
обеспечивать СКЗИ.
сохранность Спецпомещения
конфиденциальной должны иметь
информации, СКЗИ, прочные входные
ключевых документов двери с замками,
гарантирующими
надежное закрытие
спецпомещений в
нерабочее время.
Окна
спецпомещений,
расположенных на
первых или
последних этажах
зданий, а также окна,
находящиеся около
пожарных лестниц и
других мест, откуда
возможно
проникновение в
спецпомещения
посторонних лиц,
необходимо
оборудовать
металлическими
решетками, или
ставнями, или
охранной
сигнализацией, или
другими средствами,
препятствующими
неконтролируемому
проникновению в
спецпомещения. В
55
случае если ПУ
является органом
6. п. 62 Размещение и монтаж Реализация
СКЗИ, а также другого требования
оборудования, режимными мерами.
функционирующего с В случае если ПУ
СКЗИ, в спецпомещениях является органом
пользователей СКЗИ криптографической
должны свести к защиты информации
минимуму возможность
неконтролируемого
доступа посторонних лиц
к указанным средствам.
Техническое
обслуживание такого
оборудования и смена
криптоключей
осуществляются в
отсутствие лиц, не
допущенных к работе с
данными СКЗИ
7. п. 63 Режим охраны Установленный
спецпомещений режим охраны
пользователей СКЗИ, в должен
том числе правила предусматривать
допуска сотрудников и периодический
посетителей в рабочее и контроль за
нерабочее время, состоянием
устанавливает обладатель технических средств
конфиденциальной охраны, если таковые
информации по имеются, а также
согласованию с учитывать положения
соответствующим настоящей
органом Инструкции,
криптографической специфику и условия
защиты работы конкретных
пользователей СКЗИ.
В случае если ПУ
является органом
8. п. 64, п. 66 В спецпомещениях У каждого
пользователей СКЗИ для пользователя должен
хранения выданных им быть свой
ключевых документов, (индивидуальный)
эксплуатационной и опечатываемый
технической шкаф. В обычных
документации, условиях
инсталлирующих СКЗИ опечатанные
носителей необходимо хранилища
иметь достаточное число пользователей СКЗИ
надежно запираемых могут быть вскрыты
шкафов (ящиков, только самими
хранилищ) пользователями. В
56
индивидуального случае если ПУ
пользования, является органом
оборудованных криптографической
приспособлениями для защиты информации
опечатывания замочных
скважин. Ключи от этих
хранилищ должны
находиться у
соответствующих
пользователей СКЗИ
Требования, предъявляемые к организациям, в которых вырабатываются
ключи шифрования (подписи). В случае если ПУ является органом
криптографической защиты информации
9. пп. 52– 59 Проверка выполнения Режим, двери, окна,
требований к порядок сдачи под
помещениям, в которых охрану, наличие
генерируются ключи металлических
шифрования (подписи) хранилищ
10. п. 6 Назначение лица Приказ
криптографическую
защиту информации
(орган
защиты информации)
11. п. 13 Проверка соответствия Наличие сведений об
подготовки специалиста, обучении
назначенного
ответственным за
криптографическую
защиту информации
требованиям по уровню
подготовки.
4.2. Выполнение состава и содержания организационных и

технических мер по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных с
использованием средств криптографической защиты информации,
необходимых для выполнения установленных Правительством Российской
Федерации требований к защите персональных данных для каждого из
уровней защищенности, утвержденных приказом ФСБ России от 10.07.2014
г. № 378 (далее – приказ ФСБ № 378).
Приказ ФСБ № 378 предназначен для операторов, использующих

СКЗИ для обеспечения безопасности персональных данных при их обработке
в информационных системах и определяет состав и содержание
организационных и технических мер по обеспечению безопасности
персональных данных при их обработке в информационных системах ПДн с
использованием СКЗИ, необходимых для выполнения установленных
57
Правительством Российской Федерации требований к защите персональных
данных для каждого из уровней защищенности.
Применение организационных и технических мер, определенных в
настоящем документе, обеспечивает оператор с учетом требований
эксплуатационных документов на СКЗИ, используемые для обеспечения
безопасности персональных данных при их обработке в информационных
системах.
Пункты в Рекомендации по
№ приказе Требование возможной
п/п ФСБ № 378 нормативного документа реализации
Для обеспечения 4 уровня защищенности персональных данных при их
обработке в информационных системах необходимо выполнение
следующих требований
Необходимо
обеспечение режима,
которое достигается
путем:
а) оснащения
Помещений
входными дверьми с
замками, обеспечения
постоянного закрытия
дверей Помещений на
Организация режима замок и их открытия
обеспечения только для
безопасности санкционированного
помещений, в которых прохода, а также
размещена опечатывания
информационная Помещений по
система, окончании рабочего
1. п. 5 препятствующего дня или оборудование
возможности Помещений
неконтролируемого соответствующими
проникновения или техническими
пребывания в этих устройствами,
помещениях лиц, не сигнализирующими о
имеющих права доступа несанкционированном
в эти помещения вскрытии
Помещений;
б) утверждения
правил доступа в
Помещения в рабочее
и нерабочее время, а
также в нештатных
ситуациях;
в) утверждения
перечня лиц,
имеющих право
доступа в Помещения.
2. п. 5 Обеспечение Осуществление
сохранности носителей хранения съемных
персональных данных машинных носителей
ПДн в сейфах
(металлических
шкафах),
58
оборудованных
внутренними замками
с двумя или более
дубликатами ключей
и приспособлениями
для опечатывания
замочных скважин
или кодовыми
замками.
Осуществление
поэкземплярного
учета машинных
носителей ПДн,
который достигается
путем ведения
журнала учета
носителей ПДн с
использованием
регистрационных
(заводских) номеров
Необходимо
разработать и
утвердить документ,
определяющий
перечень лиц, доступ
которых к ПДн,
обрабатываемым в
Утверждение информационной
руководителем оператора системе, необходим
документа, для выполнения ими
определяющего перечень служебных
лиц, доступ которых к (трудовых)
3. п. 5 персональным данным, обязанностей;
обрабатываемым в Поддерживать в
информационной актуальном состоянии
системе, необходим для документ,
выполнения ими определяющий
служебных (трудовых) перечень лиц, доступ
обязанностей которых к ПДн,
обрабатываемым в
системе, необходим
для выполнения ими
служебных
(трудовых)
обязанностей
4. п. 5 Использование средств Использование для
защиты информации, обеспечения
прошедших процедуру требуемого уровня
оценки соответствия защищенности
требованиям персональных данных
законодательства при их обработке в
Российской Федерации в информационной
области обеспечения системе СКЗИ класса
безопасности КС1 и выше
информации, в случае,
59
когда применение таких
средств необходимо для
нейтрализации
актуальных угроз
обработке в информационных системах помимо выполнения требований
для предыдущего уровня защищенности необходимо выполнение
Назначение
Назначение обладающего
должностного лица достаточными
(работника), навыками
ответственного за должностного лица
5. п. 16 обеспечение (работника) оператора
безопасности ответственным за
персональных данных в обеспечение
информационной безопасности
системе персональных данных
в информационной
системе
Использование СКЗИ
класса КВ и выше в
случаях, когда для
системы актуальны Данная мера
6. п. 18 угрозы 2 типа. выполняется вместо
Использование СКЗИ данной в п. 4 таблицы
класса КС1 и выше в
системы актуальны
угрозы 3 типа
7. п. 19 Необходимо выполнение а) утверждение
требования о том, чтобы руководителем
доступ к содержанию оператора списка лиц,
электронного журнала допущенных к
сообщений был содержанию
возможен электронного журнала
исключительно для сообщений, и
должностных лиц поддержание
(работников) оператора указанного списка в
или уполномоченного актуальном
лица, которым сведения, состоянии;
содержащиеся в б) обеспечение
указанном журнале, информационной
необходимы для системы
выполнения служебных автоматизированными
(трудовых) обязанностей средствами,
регистрирующими
запросы
пользователей
60
системы на получение
данных, а также
факты
предоставления
по этим запросам в
электронном журнале
сообщений;
в) обеспечение
системы
автоматизированными
средствами,
исключающими
доступ к содержанию
электронного журнала
сообщений лиц, не
указанных в
утвержденном
руководителем
оператора списке лиц,
допущенных к
содержанию
сообщений;
г) обеспечение
периодического
контроля
указанных в
подпунктах "б" и "в"
настоящего пункта
автоматизированных
средств (не реже 1
раза в полгода)
класса КА в случаях,
когда для
угрозы 1 типа;
класса КВ и выше в Данная мера
8. п. 21 случаях, когда для выполняется вместо
информационной указанной в п. 4
системы актуальны настоящей таблицы
угрозы 2 типа;
класса КС1 и выше в
угрозы 3 типа
61
а) обеспечение
системы
автоматизированными
средствами,
позволяющими
автоматически
регистрировать в
изменения
сотрудника оператора
по доступу к
персональным
данным,
содержащимся в
системе;
б) отражение в
Автоматическая безопасности
регистрация в полномочий
электронном журнале сотрудников
безопасности изменения оператора
полномочий сотрудника персональных данных
9. п. 22 оператора по доступу к по доступу к
персональным данным, персональным
содержащимся в данным,
информационной содержащимся в
системе информационной
системе. Указанные
полномочия должны
соответствовать
должностным
обязанностям
оператора;
в) назначение
оператором лица,
периодический
контроль ведения
безопасности и
соответствия,
отраженных в нем
оператора их
должностным
обязанностям (не
реже 1 раза в месяц)
10. п. 22 Создание отдельного а) проведение анализа
62
целесообразности
создания отдельного
структурного
подразделения,
структурного безопасности
подразделения, персональных данных
ответственного за в информационной
обеспечение системе;
безопасности б) создание
персональных данных в отдельного
информационной структурного
системе, либо подразделения,
возложение его функций ответственного за
на одно из обеспечение
существующих безопасности
структурных персональных данных
подразделений в информационной
системе, либо
возложение его
функции на одно из
существующих
структурных
подразделений
11. п. 25 Дополнительные а) оборудование окон
требования по Помещений,
организации режима расположенные на
обеспечения первых и (или)
безопасности последних этажах
помещений, в которых зданий, а также окон
размещена Помещений,
информационная система находящиеся около
пожарных лестниц и
других мест, откуда
возможно
проникновение в
Помещения
посторонних лиц,
решетками или
ставнями, охранной
сигнализацией или
проникновению
посторонних лиц в
помещения;
б) оборудование окон
и дверей Помещений,
в которых размещены
серверы
системы,
63
решетками, охранной
сигнализацией или
проникновению
посторонних лиц в
помещения.
класса КА в случаях,
когда для
системы актуальны Данная мера
12. п. 25 угрозы 1 типа; выполняется вместо
Использование СКЗИ указанной в п. 4
класса КВ и выше в таблицы
угрозы 2 типа.
5. Организация защиты информации, размещаемой в сети "Интернет".

5.1. Выполнение требований Федерального закона Российской
Федерации "Об информации, информационных технологиях и о защите
информации" от 27.07.2006 № 149– ФЗ (далее ФЗ – 149).
Наименование Требование Рекомендации

№ нормативного нормативного по возможной
1. подпункт 1, п. 1 Обеспечение защиты Проверка на
статьи 16 ФЗ – 149 информации от наличие
неправомерного "дублирующих"
доступа, уничтожения, сайтов ПУ
модифицирования, ("дублирующий
блокирования, " сайт – сайт,
копирования, ложно или без
предоставления, ведома ПУ,
распространения, а публикующий
также от иных информацию о
неправомерных его
действий в отношении деятельности,
такой информации; замаскированны
Реализация права на й под
доступ к информации официальный
сайт ПУ или
сайт, им
созданный).
Рекомендуемый
параметр –
отсутствуют.
При
невозможности
закрытия таких
64
Наименование Требование Рекомендации
№ нормативного нормативного по возможной
сайтов
необходимо
обращаться в
уполномоченны
е органы
государственно
й власти
"Размещение
ограниченного
доступа на веб–
сайте в
непредназначен
Обладатель ных для ее
информации при размещения
подпункт 2 пункта 4 осуществлении своих разделах
2. статьи 6 ФЗ – 149 прав обязан принимать Необходимый
меры по защите параметр –
информации информация
ограниченного
доступа в
непредназначен
ных для ее
размещения
разделах
отсутствует"
65
системы защиты информации в
организациях и учреждениях,
подведомственных органам
исполнительной власти края
ТИПОВОЙ ПЕРЕЧЕНЬ
вопросов, рассматриваемых в ходе оценки состояния защищенности
локальной вычислительной сети
Для проведения контрольных мероприятий в области защиты

внутренних сетевых информационных ресурсов целесообразно
рассматривать следующие исходные данные:
 логическая схема локальной вычислительной сети учреждения,
организации, подведомственного органу исполнительной власти края (далее
– ПУ);
 физическая схема локальной вычислительной сети ПУ (далее –
ЛВС);
 описание всех серверов (имя, операционная система, IP адрес,
назначение);
 перечень IP– адресов и DNS– имен всех внешних информационных
ресурсов, доступных со стороны сети Интернет по веб– интерфейсу (веб–
сайты);
 перечень IP– адресов внутренней сетевой адресации ЛВС;
 полный перечень информационных систем, используемых в ПУ, в
том числе, созданных самостоятельно (архитектура, количество серверов,
тип (физический, виртуальный), операционная система), описание
технологического процесса обработки информации (наличие выхода в сеть
Интернет, количество точек подключения, описание контрагентов
(организаций, работающих с информационной системой), способ
подключения к информационной системе), сведения об используемых хэш–
функциях для хеширования паролей (в виде фрагмента исходного кода) (для
информационных систем собственной разработки);
В ходе контрольных мероприятий проводится анализ следующих
блоков:
1. Политики безопасности паролей и блокировки учетных записей
(доменные и локальные политики, Linux– серверы).
Проверяются серверы и критические приложения (например,
контроллер домена, сервер управления базами данных, веб– сервер и т.п.).
№ Вопрос проверки Результат проверки

п/п
1. Максимальный срок Рекомендуемый параметр – не более 90
действия пароля дней
2. Минимальный срок Рекомендуемый параметр – не менее 60
66
п/п
действия пароля дней
3. Установка требований Рекомендуемый параметр – включена,
к сложности пароля наличие верхнего, нижнего регистра,
наличие цифровых значений
4. Минимальная длина Рекомендуемый параметр – не менее 8
пароля символов
5. Ведение журнала Рекомендуемый параметр – не менее 5
запоминания паролей последних паролей
6. Время до сброса Рекомендуемый параметр – не менее 30
счетчика блокировки минут
7. Пороговое значение Рекомендуемый параметр – 6 ошибок
блокировки входа в систему
8. Продолжительность Рекомендуемый параметр – 30 минут
блокировки учетной
записи
9. Использование Рекомендуемый параметр – 15 минут
блокирование сеанса
при установленном
тайм– ауте бездействия
10. Используемые хэш– Рекомендуемый параметр –
функции (для ОC используются NTLM– хеши,
Windows) возможность использования LM–
хешей отсутствует. В системном
реестре ОС ключу NoLmHash ветки
реестра HKEY_LOCAL_MACHINE\
SYSTEM\Current ControlSet\Control\Lsa
присвоено значение 1
* Проверке не подлежат устройства и системы, которые
преднастроены производителем (например, системы хранения данных).
Веб– приложения таких систем подлежат проверке по параметрам
безопасности, встроенным в эти приложения.
2. Наличие настроек и паролей по умолчанию.

Проверка проводится путем сканирования сети сканером типа "nmap",
изучением открытых портов и служб. Проверка использования паролей по
умолчанию проводится путем подбора паролей по словарю.

п/п
1. Наличие устройств в Рекомендуемый параметр – доступ
локальной сети с к интерфейсам управления
доступным интерфейсом отсутствует (для периферийного
управления, в котором оборудования возможно изменение
отсутствует паролей административных
необходимость для учетных записей, встроенных по
рядовых сотрудников умолчанию)
(например, веб– интерфейс
периферийного
оборудования)
2. Наличие пароля, Рекомендуемый параметр – пароли
установленного по изменены на всех интерфейсах
умолчанию на (WEB, SSH, толстые клиенты
интерфейсах управления СУБД и т.п.)
оборудования (например,
беспарольный вход
67
п/п
учетной записи SA в
СУБД)
3. Использование небезопасных протоколов.

п/п
1. Наличие FTP серверов (21 Возможные рекомендуемые
порт протокола TCP) параметры:
– FTP отсутствует
– для передачи файлов
используются защищенные версии
протокола FTP, например, SFTP
– FTP используется, но обмен
осуществляется только внутри
сертифицированной ФСБ России
VPN– сети
2. Наличие открытых telnet Рекомендуемый параметр –
портов (23 порт протокола протокол telnet не используется.
TCP) Для доступа к административной
консоли применяется SSH.
3. Использование протоколов Рекомендуемый параметр –
обнаружения соседних выключено
устройств (Neighbor
Discovery protocol) на
пограничном сетевом
оборудовании
4. Доступ к веб– интерфейсам Рекомендуемый параметр – доступ
управления критическим по веб– интерфейсу или протоколу
ресурсами извне SSH отсутствует
(например, наличие Возможно наличие доступа по
доступа к защищенному каналу (VPN)
административной консоли
пограничного
маршрутизатора по веб–
интерфейсу или протоколу
SSH).
4. Использование беспроводных сетей.
№
п/ Вопрос проверки Результат проверки
п
1. Использование Возможные рекомендуемые
беспроводных точек параметры:
доступа – точки беспроводного доступа
отсутствуют;
– настройки точка доступа
соответствуют рекомендуемым
параметрам
2. Использование WPS Рекомендуемый параметр –
отключено
3. Используемые механизмы Рекомендуемый параметр – WPA31,
1
Протокол WPA2 в 2018 году признан скомпрометированным
68
№
п
защиты доступа остальные протоколы считаются
небезопасными
4. Возможность доступа к Рекомендуемый параметр –
внутренним ресурсам отсутствует
5. Избыточное применение Рекомендуемый параметр –
беспроводных технологий отсутствует
(наличие включенных Wi–
Fi интерфейсов на сетевом,
периферийном и другом
оборудовании, при
наличии проводного
соединения)
5. Безопасность ЛВС и информационных систем (при наличии

информационных систем собственных разработок, собственных ЛВС).
Например, официальные сайты или иные веб– ресурсы,
информационные системы для обмена данных с клиент– серверной
архитектурой и т.п.

п/п
1. Для веб– ресурсов, к которым есть доступ со стороны сети
Интернет
1.1. Использование Рекомендуемый параметр –
шифрования при передаче наличие действующего SSL–
данных по открытым сертификата, полученного от
каналам связи доверенного (публичного) центра
сертификации, шифрующего весь
трафик (пользовательский и
администраторский)
1.2. Длина открытого ключа Рекомендуемый параметр – не
SSL– сертификата менее 2048 бит, при технической
возможности генерации ключа с
большей длинной – 4096 бит
1.3. Длина ключа потокового Рекомендуемый параметр – не
шифрования менее 128 бит
1.4. Использование Рекомендуемый параметр – класс
криптографических А, полученный по результатам
шифров и алгоритмов исследования веб– ресурса
обмена ключами (например, через SSL Server Test
(не допускается (https://www.ssllabs.com/ssltest/
применение алгоритмов https://www.htbridge.com/ssl/)) и
блочного шифрования RC4 отсутствие несоответствия со
и DES) стандартом PCI DSS (раздел "Test
your servers for security and compli-
ance with PCI DSS")
криптостойких алгоритмов использование варианта протокола
соединения Диффи–Хеллмана ECDHE
("рукопожатия")
1.6. Версии криптоалгоритмов Рекомендуемый параметр – TLS
версий 1.1., 1.2., 1.3.
Примечание – допускается
применение TLS версий 1.0. на
69
п/п
веб– ресурсах, используемых
большим количеством жителей
Российской Федерации ввиду
невозможности работы более
новых версий на старых
устройствах. На веб– ресурсах,
незадействованных для
общественного использования,
TLS версии 1.0. применять не
рекомендуется.
1.7. Управление уязвимостями Проверяются все веб– ресурсы ПУ
вне зависимости от его
принадлежности к статусу
государственного
информационного ресурса
Рекомендуемый параметр –
уязвимости отсутствуют.
1.8. Применяемые хэш– Не допускается использовать хэш–
функции функции SHA– 1, MD2, MD5.
Рекомендуемый параметр – SHA–
2, SHA– 3, bcrypt/scrypt
1.9. Применение Рекомендуемый параметр –
дополнительных мер генерация хеша пароля
защиты хеша пароля осуществляется с помощью
криптостойкой хэш– функции с
добавлением "соли".
Местоположение "соли" при
генерации окончательного хеша
пароля – после пароля.
загружаемого контента на – контент хранится на сервере,
веб– ресурсе (JavaScript обслуживающем сайт;
сценариев, CSS файлов, – контент хранится на доверенных
файлов шрифтов и др.) ресурсах (например, ссылки на
ресурсы yandex.ru).
1.11. Реализация механизма Рекомендуемый параметр –
сокрытия символов используется (например, символ *)
вводимого пароля
1.12. Использование счетчиков Рекомендуемый параметр –
посещаемости используемые счетчики,
предоставляются юридическими
лицами, зарегистрированными на
территории Российской Федерации
1.13. Управление обновлениями Рекомендуемый параметр – все
программного обеспечения программное обеспечение
обновлено до последней
актуальной версии и
поддерживается производителем
1.14. Защита от атак перебора Рекомендуемый параметр – доступ
пароля ограничивается после заданного
количества неудачных попыток (не
более 5 попыток)
1.15. Доступ к Рекомендуемый параметр –
административным возможность доступа отсутствует
консолям, необходимость в
котором в сети Интернет
отсутствует (например, ph-
pmyadmin или
70
п/п
административный порт
https://myhost.ru:8443,
доступ к которому
ограничен межсетевым
экраном)
1.16. Защита от SQL– атак, XSS, Рекомендуемый параметр –
CSRF реализована (либо на 100%
реализована фильтрация вводимых
данных, либо установлен, настроен
и включен в режим активной
защиты межсетевой экран для веб–
приложений)
1.17. Удаленное Рекомендуемый параметр –
администрирование веб– управление осуществляется через
ресурса сертифицированную ФСБ России
сеть VPN
запрета одновременного механизм реализован,
запуска более одного используется
сеанса из– под одной
учетной записи
2. Для информационных систем, разработанных сторонними
разработчиками (за исключением "коробочных" решений)
2.1. Защита каналов связи при Рекомендуемый параметр –
подключении ИС в сети подключение к ИС осуществляется
Интернет по защищенному каналу связи без
применения технологии "человек–
по– середине" (например, Open-
VPN)
задания максимального механизм реализован,
срока действия пароля используется – не более 90 дней
задания минимального механизм реализован,
срока действия пароля используется – не менее 60 дней
задания минимального механизм реализован,
срока действия пароля используется – 18 дней
задания минимальной механизм реализован,
длины пароля используется – не менее 8
символов
задания сложности пароля механизм реализован,
используется – нижний/верхний
регистр, цифровые значения,
спецсимволы.
ограничения ввода ранее механизм реализован,
введенного пароля при его используется – запоминается не
смене меньше 5 последних паролей
задания времени до сброса механизм реализован,
счетчика блокировки используется – не менее 30 минут
задания порогового механизм реализован,
значения блокировки используется – не более 6 ошибок
входа в систему
71
п/п
задания механизм реализован,
продолжительности используется – 30 минут
блокировки учетной записи
сокрытия вводимого пароля механизм реализован,
используется – например символ *
блокировки сеанса механизм реализован,
пользователя при заданном используется – не более 15 минут
времени бездействия
запрета одновременного механизм реализован,
запуска более одного используется
сеанса из– под одной
учетной записи
3. Для серверов информационных систем и ЛВС (контроллеры
домена, сервера баз данных, файловые сервера, критической
инфраструктуры)
3.1. (Для операционных систем Рекомендуемый параметр –
Windows) отсутствуют
Использование встроенных
учетных записей
(администратор, гость)
3.2. (Для операционных систем Рекомендуемый параметр –
Linux) возможность отсутствует
Возможность входа под
учетной записью root через
SSH
3.3. Использование только Рекомендуемый параметр – все
персональных учетных сотрудники используют только
записей каждым свои персональные учетные записи
сотрудником
3.4. Использование доверенного Возможные рекомендуемые
DNS– сервера, в том числе параметры
для пользовательского – используется доверенный
трафика вышестоящий DNS Управления
ФСБ России по Хабаровскому
краю
– используется доверенный DNS
сервер юридического лица,
являющегося резидентом
Российской Федерации,
оказывающего услугу облачного
интернет– сервиса по контент–
фильтрации
– используется собственный DNS
сервер, связанный с доверенным
вышестоящим DNS сервером
3.5. Ограничение Рекомендуемый параметр –
пользовательских пользователи имеют привилегии,
привилегий необходимые только для
выполнения своих должностных
обязанностей (обычные работники
– привилегия "пользователь",
администраторы – привилегия
"локальный администратор",
"администратор домена" и т.п.)
72
п/п
4. Для "коробочных" (готовых) решений (например, системы
хранения данных, почтовые серверы в виде виртуальной машины
с преднастроенной производителем (разработчиком)
операционной системой и т.п.)
4.1. Использование встроенных Рекомендуемый параметр –
механизмов безопасности встроенные механизмы
(требования к паролям, безопасности должны
смена пароля по использоваться в полном объеме.
умолчанию, антивирусная
защита (при наличии),
блокировка попыток
доступа и т.п.)
6. Работа систем межсетевого экранирования (сайты, критические

ресурсы).
№
п
1. Сетевое разграничение Рекомендуемый параметр –
серверов и пользователи не имеют доступ к
пользовательского серверам
сегмента сети
2. Сетевое разграничение Рекомендуемый параметр –
рабочих мест рабочие места администраторов
администраторов и отделены от пользовательского
пользовательского сегмента сети – физически или
сегмента сети логически (межсетевым экраном,
технологией VLAN)
3. Фильтрация Рекомендуемый параметр –
входящего/исходящего межсетевой экран фильтрует весь
сетевого трафика входящий/исходящий в ЛВС
трафик (защищены все точки
подключения к сети Интернет),
правила фильтрации запрещают
любой входящий/исходящий
трафик, кроме разрешенного
(необходимого для выполнения
функций органа ПУ). Фильтрация
осуществляется по IP– адресам
(DNS именам), портам и
протоколам.
4. Совместное использование Рекомендуемый параметр – ЛВС
ресурсов ЛВС со используется только ее владельцем
сторонними организациями (сторонние подключения
недопустимы)
7. Система антивирусной защиты (проверяется выборочно на
серверах и рабочих станциях).

п/п
1. Наличие антивирусного Рекомендуемый параметр –
средства антивирус установлен
2. Обновление антивирусного Рекомендуемый параметр –
73
п/п
средства антивирус своевременно
обновляется
3. Проведение антивирусных Рекомендуемый параметр –
проверок проверки проводятся в
соответствии с установленной в
организационной документации
периодичностью
4. Использование Рекомендуемый параметр –
антивирусного средства использование как минимум двух
для проверки входящего антивирусных средств разных
трафика производителей (например,
потоковый антивирус на точке
входа одного производителя и
антивирус для почтового сервера
(или для файлов, загружаемых в
веб– приложения из сети Интернет,
и т.п.) другого производителя)
8. Система управления обновлениями программного обеспечения.

п/п
1. Обновление системного Рекомендуемый параметр –
программного использование централизованного
обеспечения обновления сервер обновлений
WSUS (для Windows) и RPM–
репозитория (для Linux)
Рекомендуемый параметр – рабочие
станции и серверы должны иметь
актуальные обновления
безопасности в полном объеме
(обязательное тестирование
обновлений, сроком не более 2
месяцев)
2. Обновление прикладного Рекомендуемый параметр – все
программного прикладное программное
обеспечения (браузеры, обеспечение должно иметь
офисные приложения, актуальные версии
архиваторы и т.п.).
3. Использование Рекомендуемый параметр –
устаревшего системного и неподдерживаемое программное
прикладного обеспечение не должно применяться
обеспечения (обновления
безопасности не
выпускаются)
9. Система резервного копирования.

74
п/п
1. Наличие надежной Рекомендуемый параметр – должна
независимой системы быть настроена и работоспособна
резервного копирования система резервного копирования (в
наиболее значимой виде отдельной или независимой
информации системы). Отдельной системой или
независимой системой может
являться автоматизированное
рабочее место, либо автономная
станция хранения данных (NAS –
система).
2. Использование жестких Рекомендуемый параметр – для
дисков хранения резервных копий и
критической информации должно
быть обеспечено использование
жестких дисков не ниже
"корпоративного класса"
надежности
10. Организационные меры по защите информации в ЛВС.

п/п
1. Регламентирование Рекомендуемый параметр – в ПУ
контролируемой зоны разработан и утвержден документ, в
органа ПУ котором в схематичном виде
изображена территория, на которой
исключено несанкционированное
нахождение посторонних лиц и
транспортных средств. Документ
актуален и соответствует
фактическим условиям
функционирования ПУ
2. Внедрение порядка и Рекомендуемый параметр –
"культуры" работы на – создать официальную политику
автоматизированном (документ), устанавливающую
рабочем месте запрет на использование
неавторизованного программного
обеспечения;
– создать официальную политику
защиты от рисков, связанных с
получением файлов и программного
обеспечения, либо из внешних сетей,
либо через другие передающие
среды, показывающую, какие
защитные меры следует принять;
– проводить регулярный анализ
программного обеспечения и
содержания данных систем,
поддерживающих критические
процессы организации; необходима
формальная процедура
расследования причин наличия
любых неавторизованных или
измененных файлов;
3. Регламентирование Рекомендуемый параметр – порядок
порядка работы в случае регламентирован, в нем указаны
75
п/п
подозрения на наличие основные признаки "спам– писем",
вирусного программного описан порядок действий
обеспечения или ссылок пользователей в случае подозрения
на подозрительные веб– на наличие вирусного программного
ресурсы ("фишинговые" обеспечения в почтовом сообщении,
ссылки) в почтовых все сотрудники ПУ с порядком
сообщениях ознакомлены
4. Ограничение Рекомендуемые параметры
использования в – все сотрудники ПУ ознакомлены с
служебных целях федеральным законом от 27.07.2006
информационных систем, № 149– ФЗ "Об информации,
технические средства информационных технологиях и о
которых расположены за защите информации"
пределами Российской
Федерации
5. Использование в Рекомендуемый параметр –
служебных целях общедоступные почтовые сервисы
общедоступных почтовых не используются
сервисов (mail.ru,
yandex.ru и т.п.),
предоставляемых
юридическими лицами,
зарегистрированными на
территории Российской
Федерации
6. Регламентирование Рекомендуемый параметр –
порядка работы с веб– сотрудники, ответственные за
приложениями работу с веб– ресурсами,
ознакомлены с правилами
антивирусной защиты:
1. Сотрудники должны проводить
обязательную предварительную
антивирусную проверку файлов,
загружаемых на веб– ресурсы
внутренними антивирусными
средствами;
2. Сотрудники не выполняют
административный доступ к веб–
приложениям с личных устройств
11. Системы защиты среды виртуализации.

п/п
1. Разделение доступа к Рекомендуемый параметр – доступ к
средствам управления средствам управления имеют только
среды виртуализации те сотрудники, которым это
необходимо для исполнения своих
должностных обязанностей
12. Система физической безопасности.

п/п
1. Техническая и Возможные рекомендуемые
76
п/п
организационная параметры
реализация пропускного – наличие запущенной в
режима эксплуатацию системы управления
контролем доступа (действующая
система не допускает
бесконтрольного нахождения
посторонних лиц в пределах
контролируемой зоны);
– наличие функционирующего бюро
пропусков с фиксацией всех
посетителей (действующая система
не допускает бесконтрольного
нахождения посторонних лиц в
пределах контролируемой зоны)
2. Организация Рекомендуемый параметр –
видеонаблюдения видеонаблюдение создано, система
контролирует все точки входа в
административное здание и
внутренние коридоры (переходы)
2.1. Физическое размещение Рекомендуемый параметр – система
системы видеонаблюдения является
видеонаблюдения автономной (без использования
посторонних "облачных" сервисов)
2.2. Сетевое размещение Рекомендуемый параметр – система
системы видеонаблюдения размещена в
видеонаблюдения отдельном сетевом пространстве без
подключения к сетям общего
пользования (в том числе к сети
Интернет). Система
видеонаблюдения имеет сервер
хранения видеозаписей с
установленным сроком их хранения.
Хранение видеозаписей
осуществляется не менее 7 дней.
Межсетевое экранирование
организовано таким образом, что
доступ к системе видеонаблюдения
возможен только для лиц, которым
такой доступ необходим для
исполнения своих должностных
обязанностей
3. Организационное Возможные рекомендуемые
ограничение возможности параметры:
физического подключения – в ПУ разработан порядок работы
к ЛВС (в случае пользователей, в котором
отсутствия технической регламентирован порядок доступа
реализации ограничения посторонних лиц в помещения, в
возможности которых размещены технические
подключения средства ЛВС
посторонних устройств к
ЛВС)
77
системы защиты информации в
организациях и учреждениях,
подведомственных органам
исполнительной власти края
78
РЕКОМЕНДАЦИИ
по содержанию отчета по результатам тестирования на проникновение

контроля
1. Описание методики тестирования на проникновение, включающее

в себя:
 условия проведения работ;
 модель нарушителя;
 перечень используемых методологий;
 перечень инструментальных автоматизированных средств;
 оценку уровня критичности уязвимостей.
2. Границы проведения работ (пул тестируемых внешних IP
адресов).
3. Описание исследования сетевого периметра, включающее в себя:
 применяемые методы: пассивный сбор информации, анализ
собранной информации, активный сбор информации, попытка
проникновения;
 перечень сайтов и утилит, используемых для исследования сетевого
периметра.
4. Описание идентификации доступных сетевых служб, включающее
в себя:
 описание режимов сканирования;
 перечень обнаруженных TCP/UDP служб на каждом обнаруженном
узле;
 перечень рекомендаций по настройке сетевых служб, доступных из
сети Интернет.
5. Описание инструментального сканирования доступных ресурсов
на периметре.
 распределение узлов по максимальному уровню риска
обнаруженных на них уязвимостей;
 распределение уязвимостей по степени риска;
 распределение уязвимостей по категориям;
 рейтинг наиболее уязвимых узлов;
 перечень общедоступных эксплойтов (IP– адрес узла – уязвимость по
международным классификаторам – ссылка на эксплойт).
 результаты тестирования на проникновение каждого узла в
отдельности с указанием его IP– адреса (например, список веб– приложений
на узле, графическое отображение (снимки экранов) результатов
тестирования на проникновение, результаты атак "подбор пароля" с
указанием скомпрометированной учетной записи (логин:пароль).
6. Анализ инцидентов, который должен содержать описание хода
оказания услуг (анализ инцидентов) детализированное описание каждого
инцидента с его графическим изображением (с учетом IP– адресов и DNS–
79
имен атакованных узлов, времени проведения атак, отображением векторов
атак, описание действий, совершаемых во время проведения атаки).
7. Оценка уровня защищенности, состоящую из:
7.1. Оценки общего уровня защищенности, которая должна включать:
 описание привилегий нарушителей, достаточных для:
 получения полного контроля над ИС Заказчика;
 преодоления сетевого периметра и получения доступа во
внутреннюю сеть Заказчика.
 описание полученных привилегий от лица внешнего нарушителя;
 максимального уровня критичности обнаруженных уязвимостей;
 максимального уровня критичности обнаруженных уязвимостей,
связанных с недостатками конфигурации;
устраняемых обновлениями;
связанных с ошибками в коде веб– приложений;
 уровня защищенности ИС Заказчика от атак со стороны внешнего
нарушителя.
7.2. Оценки уровня защищенности по векторам проникновения,
которая должна содержать:
 описание векторов проникновения;
 оценку уровня защищенности по каждому вектору проникновения в
отдельности с проставлением оценочных баллов;
 графическое изображение (диаграмма) оценки уровня защищенности
по векторам проникновения с отображением текущего уровня
защищенности, среднего уровня защищенности и приемлемого уровня
защищенности с проставлением оценочных баллов.
7.3. Оценку эффективности механизмов защиты, которая должна
содержать:
 оценку эффективности механизмов защиты с проставлением
оценочных баллов по видам механизмов защиты:
 сетевая безопасность, в том числе веб– приложений;
 аутентификация и разграничение доступа;
 криптографическая защита;
 управление конфигурациями;
 управление уязвимостями и обновлениями;
 управление учетными записями и паролями;
 антивирусная защита;
 защита среды виртуализации;
 выявление и предотвращение атак.
 графическое изображение (диаграмма) оценки эффективности
механизмов защиты с отображением текущего уровня защищенности,
80
среднего уровня защищенности и приемлемого уровня защищенности с
проставлением оценочных баллов.
8. Результаты тестирования на проникновение с рекомендациями по
устранению выявленных уязвимостей и недостатков.
9. Приложения:
 реестр выявленных уязвимостей, включающий в отношении каждой
угрозы:
 уровень риска;
 наименование уязвимости или недостатка механизма безопасности;
 наименование угрозы;
 сложность реализации угрозы;
 описание угрозы;
 рекомендации по устранению выявленных уязвимостей и
недостатков механизмов защиты;
 IP– адрес и DNS имя (при наличии) уязвимого ресурса.
 доступные из сети Интернет сетевые службы.

Prilozhenie Metodicheskie Rekomendatsii Po Provedeniyu Kontrolya Sostoyaniya SZ

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Prilozhenie Metodicheskie Rekomendatsii Po Provedeniyu Kontrolya Sostoyaniya SZ

Загружено:

Авторское право:

Доступные форматы

МЕТОДИЧЕСКИЕ РЕКОМЕНДАЦИИ

по проведению контроля состояния системы

Система защиты информации – совокупность органов и (или)

2.1. Методические рекомендации по проведению контроля состояния

2. Виды контроля состояния системы защиты информации

3. Порядок проведения внутреннего контроля состояния системы

4.1. В подведомственном учреждении разрабатывается документ,

Ответственное лицо: _______________________________________________________________________

1 Дата начала и окончания проверки

1. Организация защиты персональных данных.

2 Цель обработки Содержание соответствует

1.1.2. Выполнение организационных мер по ФЗ–152.

1.2. Выполнение требований Положения об особенностях обработки

1.3. Выполнение требований к защите персональных данных при их

1.5. Выполнение состава и содержания организационных и

2. Организация защиты информации, доступ к которой ограничен

Наименование Требование Рекомендации по

2.2. В соответствии с пунктом 6 Положения о государственной

№ Требования по оформлению Примечание

Сведения об обеспеченности и потребности в специалистах по

2.3. В соответствии с Типовым положением о подразделении по

3. Организация защиты информации в муниципальных

3.1. Выполнение требований о защите информации, не составляющей

4. Организация защиты информации с использованием средств

4.1. Выполнение инструкции об организации и обеспечении

4.2. Выполнение состава и содержания организационных и

Приказ ФСБ № 378 предназначен для операторов, использующих

5. Организация защиты информации, размещаемой в сети "Интернет".

Наименование Требование Рекомендации

Для проведения контрольных мероприятий в области защиты

№ Вопрос проверки Результат проверки

2. Наличие настроек и паролей по умолчанию.

№ Вопрос проверки Результат проверки

3. Использование небезопасных протоколов.

№ Вопрос проверки Результат проверки

4. Использование беспроводных сетей.

5. Безопасность ЛВС и информационных систем (при наличии

№ Вопрос проверки Результат проверки

6. Работа систем межсетевого экранирования (сайты, критические

№ Вопрос проверки Результат проверки

8. Система управления обновлениями программного обеспечения.

№ Вопрос проверки Результат проверки

9. Система резервного копирования.

10. Организационные меры по защите информации в ЛВС.

№ Вопрос проверки Результат проверки

11. Системы защиты среды виртуализации.

№ Вопрос проверки Результат проверки

12. Система физической безопасности.

№ Вопрос проверки Результат проверки

по содержанию отчета по результатам тестирования на проникновение

1. Описание методики тестирования на проникновение, включающее

Вам также может понравиться