Приложение. Протокол контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте. Постановление администрации города Котовска Тамбовской области от 21.11.2013 N 2912 "Об организации обработки персональных данных в администрации города"

Приложение
к Правилам
осуществления внутреннего
контроля соответствия обработки
персональных данных требованиям
к защите персональных данных
в администрации города

                            Протокол N ___

контроля выполнения требований по обеспечению безопасности информации,

содержащей сведения ограниченного доступа, при ее автоматизированной

             обработке на автоматизированном рабочем месте

  __________________________________________________________________

    (наименование структурного подразделения администрации города)

1. Объект контроля:

     наименование автоматизированного рабочего места (далее - АРМ);

     заводской    (инвентарный)    номер  системного  блока  персональной

электронно-вычислительной машины АРМ;

     адрес размещения АРМ.

     2. Назначение объекта:

     тип информации, обрабатываемой (хранимой) на АРМ;

     уровень    защищенности  персональных  данных  при  их  обработке  в

информационной системе.

     3. Контролируемые вопросы:

     состояние  организации  технической  защиты информации при обработке

(хранении) информации ограниченного доступа;

     контроль  наличия  руководящих документов, инструкций, документации,

регламентирующей обработку (хранение) информации ограниченного доступа:

     перечня защищаемых ресурсов и уровня их конфиденциальности;

     перечня лиц, обслуживающих АРМ;

     перечня  лиц,  имеющих  право самостоятельного доступа в помещение с

АРМ;

     перечня  лиц,  имеющих  право  самостоятельного  доступа  к  штатным

средствам   АРМ  и  уровень  их  полномочий;  распоряжения  о  назначении

администратора  информационной  безопасности; данных по уровню подготовки

персонала;

     инструкции по обеспечению защиты информации, обрабатываемой на АРМ;

     перечня программного обеспечения;

     описания   технологического  процесса  обработки  информации;  схемы

информационных потоков; технического паспорта;

     матрицы доступа субъектов к защищаемым информационным ресурсам;

     акта установки системы активного зашумления (при наличии);

     акта  установки  системы  защиты  информации от несанкционированного

доступа (далее - СЗИ НСД) (при наличии);

     описания системы разграничения доступа и настроек СЗИ НСД;

     инструкции администратора безопасности;

     инструкции пользователя; инструкции по антивирусному контролю;

     распоряжения о допуске служащих;

     распоряжения о вводе в эксплуатацию.

     Контроль  соответствия  настройки  подсистемы  управления  доступом,

подсистемы   регистрации  и  учета,  подсистемы  обеспечения  целостности

требованиям присвоенного класса защищенности от НСД.

     В     соответствии    с    требованиями    руководящего    документа

"Автоматизированные  системы.  Защита  от  несанкционированного доступа к

информации.  Классификация  автоматизированных  систем  и  требования  по

защите  информации",  утвержденного  решением Председателя Гостехкомиссии

от 30.03.1992, в настройках подсистемы управления доступом проверяется:

     наличие требований к длине и сложности пароля;

     ограничение максимального срока действия пароля;

     настройки        блокировки    учетных    записей    при    попытках

несанкционированного доступа;

     наличие административных прав у пользователей;

     выполнение   требований  мандатного  разграничения  прав  доступа  к

каталогам, программам, файлам.

     В настройках подсистемы регистрации и учета контролируется:

     отсутствие    критических   ошибок  и  несанкционированных  запусков

процессов, зарегистрированных в журнале приложений;

     отсутствие    зарегистрированных   критических  системных  ошибок  в

системном журнале;

     отсутствие    зарегистрированных    изменений   действующих  политик

безопасности,  прав доступа, настроек системы защиты информации в журнале

системы  защиты  информации;  возможности  несанкционированного доступа к

информации, аудиты отказа, зарегистрированные в журнале безопасности.

     В настройках подсистемы обеспечения целостности контролируется:

     соответствие    программного  обеспечения,  установленного  на  АРМ,

аттестационным  материалам;  отсутствие  программных средств разработки и

отладки приложений;

     наличие   средств  антивирусного  контроля,  включая  срок  действия

лицензии и периодичность обновления антивирусных баз.

     Контроль    наличия    лицензионного    программного    обеспечения,

установленного    в    процессе  проведенной  аттестации  по  требованиям

безопасности информации.

     Контроль    срока    действия   лицензии,  порядка  и  периодичности

обновления баз антивирусной программы.

     Контроль  наличия  сетевых  плат  (в  том  числе  интегрированных) и

физической возможности их использования.

     Контроль   возможности  и  фактов  подключения  незарегистрированных

внешних носителей информации.

     4. Метод проведения контроля: экспертно-документальный.

     5.  Средства контроля: программные возможности операционной системы,

установленной на контролируемом АРМ.

     6.  Перечень  документов,  регламентирующих выполнение требований по

обеспечению безопасности информации.

     Контроль проводится в соответствии с требованиями:

     Указа  Президента  Российской Федерации от 17.03.2008 N 351 "О мерах

по  обеспечению  информационной  безопасности  Российской  Федерации  при

использовании   информационно-телекоммуникационных  сетей  международного

информационного обмена";

     специальных    требований   и  рекомендаций  по  технической  защите

конфиденциальной  информации  (приказ Гостехкомиссии России от 30.08.2002

N 282);

     руководящего    документа  "Автоматизированные  системы.  Защита  от

несанкционированного        доступа     к    информации.    Классификация

автоматизированных  систем  и  требования  по защите информации" (решение

Председателя Гостехкомиссии от 30.03.1992);

     руководящего  документа  "Защита  от  несанкционированного доступа к

информации.  Часть 1.  Программное обеспечение средств защиты информации.

Классификация    по    уровню    контроля   отсутствия  недекларированных

возможностей"  (приказ  Председателя  Гостехкомиссии России от 04.06.1999

N 114);

     нормативных    и  руководящих  документов  ФСТЭК  России  по  защите

информации.

     Контроль выполнил:

_________________	_______________	_________________
должность	подпись	фамилия, инициалы
При проведении контроля присутствовали:
_________________	_______________	_________________
должность	подпись	фамилия, инициалы
_________________	_______________	_________________
должность	подпись	фамилия, инициалы
Дата проведения контроля: ______________________________________.
(число, месяц, год)