Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Постановление Администрации города Тамбова от 22 апреля 2013 г. N 3536 "Об организации обработки персональных данных в Администрации города Тамбова"
- Приложение N 3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в Администрации города Тамбова
- Приложение. Протокол N ___ контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте
Приложение. Протокол N ___ контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте
Приложение
к Правилам осуществления внутреннего
контроля соответствия обработки
персональных данных требованиям к
защите персональных данных в
Администрации города Тамбова
Протокол N ___
контроля выполнения требований по обеспечению безопасности информации, содержащей сведения ограниченного доступа, при ее автоматизированной обработке на автоматизированном рабочем месте
____________________________________________________________________ ___________
(наименование органа Администрации города Тамбова)
1. Объект контроля:
- наименование автоматизированного рабочего места (далее - АРМ);
- заводской (инвентарный) номер системного блока персональной электронно-вычислительной машины АРМ;
- адрес размещения АРМ.
2. Назначение объекта:
- тип информации, обрабатываемой (хранимой) на АРМ;
- уровень защищенности персональных данных при их обработке в информационной системе.
3. Контролируемые вопросы:
- состояние организации технической защиты информации при обработке (хранении) информации ограниченного доступа.
- контроль наличия руководящих документов, инструкций, документации, регламентирующей обработку (хранение) информации ограниченного доступа:
- перечня защищаемых ресурсов и уровня их конфиденциальности;
- перечня лиц, обслуживающих АРМ;
- перечня лиц, имеющих право самостоятельного доступа в помещение с АРМ;
- перечня лиц, имеющих право самостоятельного доступа к штатным средствам АРМ и уровень их полномочий;
- распоряжения о назначении администратора информационной безопасности;
- данных по уровню подготовки персонала;
- инструкции по обеспечению защиты информации, обрабатываемой на АРМ;
- перечня программного обеспечения;
- описания технологического процесса обработки информации;
- схемы информационных потоков;
- технического паспорта;
- матрицы доступа субъектов к защищаемым информационным ресурсам;
- акта установки системы активного зашумления (при наличии);
- акта установки системы защиты информации от несанкционированного доступа (далее - СЗИ НСД) (при наличии);
- описания системы разграничения доступа и настроек СЗИ НСД;
- инструкции администратора безопасности;
- инструкции пользователя;
- инструкции по антивирусному контролю;
- распоряжения о допуске служащих;
- распоряжения о вводе в эксплуатацию.
Контроль соответствия настройки подсистемы управления доступом, подсистемы регистрации и учета, подсистемы обеспечения целостности требованиям присвоенного класса защищенности от НСД.
В соответствии с требованиями руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации", утвержденного решением Председателя Гостехкомиссии от 30.03.1992, в настройках подсистемы управления доступом проверяется:
- наличие требований к длине и сложности пароля;
- ограничение максимального срока действия пароля;
- настройки блокировки учетных записей при попытках несанкционированного доступа;
- наличие административных прав у пользователей;
- выполнение требований мандатного разграничения прав доступа к каталогам, программам, файлам.
В настройках подсистемы регистрации и учета контролируется:
- отсутствие критических ошибок и несанкционированных запусков процессов, зарегистрированных в журнале приложений;
- отсутствие зарегистрированных критических системных ошибок в системном журнале;
- отсутствие зарегистрированных изменений действующих политик безопасности, прав доступа, настроек системы защиты информации в журнале системы защиты информации;
- возможности несанкционированного доступа к информации, аудиты отказа, зарегистрированные в журнале безопасности.
В настройках подсистемы обеспечения целостности контролируется:
- соответствие программного обеспечения, установленного на АРМ, аттестационным материалам;
- отсутствие программных средств разработки и отладки приложений;
- наличие средств антивирусного контроля, включая срок действия лицензии и периодичность обновления антивирусных баз.
Контроль наличия лицензионного программного обеспечения, установленного в процессе проведенной аттестации по требованиям безопасности информации.
Контроль срока действия лицензии, порядка и периодичности обновления баз антивирусной программы.
Контроль наличия сетевых плат (в том числе интегрированных) и физической возможности их использования.
Контроль возможности и фактов подключения незарегистрированных внешних носителей информации.
4. Метод проведения контроля: экспертно-документальный.
5. Средства контроля: программные возможности операционной системы, установленной на контролируемом АРМ.
6. Перечень документов, регламентирующих выполнение требований по обеспечению безопасности информации.
Контроль проводится в соответствии с требованиями:
Указа Президента Российской Федерации от 17.03.2008 N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";
специальных требований и рекомендаций по технической защите конфиденциальной информации (приказ Гостехкомиссии России от 30.08.2002 N 282);
руководящего документа "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (решение Председателя Гостехкомиссии от 30.03.1992);
руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (приказ Председателя Гостехкомиссии России от 4.06.1999 N 114);
нормативных и руководящих документов ФСТЭК России по защите информации.
Контроль выполнил:
|
_________________ |
_______________ |
_________________ |
|
должность |
подпись |
фамилия, инициалы |
|
При проведении контроля присутствовали: | ||
|
_________________ |
_______________ |
_________________ |
|
должность |
подпись |
фамилия, инициалы |
|
_________________ |
_______________ |
_________________ |
|
должность |
подпись |
фамилия, инициалы |
|
Дата проведения контроля: ______________________________________. | ||
|
(число, месяц, год) | ||