Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Распоряжение Администрации Великоустюгского муниципального района Вологодской области от 20 мая 2021 г. N 111 "Об утверждении документов по обеспечению выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных""
- Приложение N 17. Протокол оценки эффективности реализованных мер по обеспечению безопасности персональных данных, обрабатываемых в информационной системе персональных данных "Учёт несовершеннолетних правонарушителей"
Приложение N 17. Протокол оценки эффективности реализованных мер по обеспечению безопасности персональных данных, обрабатываемых в информационной системе персональных данных "Учёт несовершеннолетних правонарушителей"
Приложение N 17
УТВЕРЖДЕНО
распоряжением
администрации
Великоустюгского муниципального района
от 20.05.2021 N 111
Протокол
оценки эффективности реализованных мер по обеспечению безопасности персональных данных, обрабатываемых в информационной системе персональных данных "Учёт несовершеннолетних правонарушителей"
1. Объект оценки
Информационная система персональных данных "Учёт несовершеннолетних правонарушителей" администрации района (далее - ИСПДн "Учёт несовершеннолетних правонарушителей").
Технические средства ИСПДн "Учёт несовершеннолетних правонарушителей" размещены в помещении N 3 здания администрации района по адресу г. Великий Устюг, Советский пр-т, д. 103, 1 этаж.
На момент испытаний информационная система находилась в работоспособном состоянии.
Перечень технических и программных средств ИСПДн "Учёт несовершеннолетних правонарушителей", представлен в "Техническом паспорте ИСПДн "Учёт несовершеннолетних правонарушителей".
В настоящем документе отражён перечень принятых мер, направленных на защиту информации, обрабатываемой в ИСПДн "Учёт несовершеннолетних правонарушителей".
2. Методика оценки
Оценка ИСПДн "Учёт несовершеннолетних правонарушителей" проведена в соответствии с:
а) Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ;
б) постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", утверждёнными (далее - постановление Правительства РФ N 1119);
в) приказом ФСТЭК России от 18.02.2013 N 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (далее - приказ ФСТЭК России от 18.02.2013 N 21).
3. Оценка исходных данных ИСПДн "Учёт несовершеннолетних правонарушителей"
Для проведения оценки исходных данных ИСПДн "Учёт несовершеннолетних правонарушителей" представлены следующие документы:
1) частная модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных администрации района;
2) акт определения уровня защищённости информационной системы персональных данных администрации района "Учёт несовершеннолетних правонарушителей";
3) правила пропускного режима в здание администрации Великоустюгского муниципального района;
4) положение об обработке и защите персональных данных в администрации района;
5) порядок работы персонала информационных систем персональных данных администрации Великоустюгского муниципального района в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации;
6) инструкция администратора информационной безопасности информационной системы персональных данных администрации района;
7) инструкция пользователя информационной системы персональных данных администрации района;
8) инструкция по антивирусной защите в информационных системах персональных данных администрации района;
9) инструкция по организации парольной защиты в информационных системах персональных данных администрации района;
10) инструкция о порядке резервирования и восстановления информации в информационных системах персональных данных администрации района;
11) инструкция по порядку учёта и хранения съёмных носителей информации, содержащих персональные данные, в администрации района;
12) матрица доступа к защищаемым информационным ресурсам информационной системы персональных данных "Учёт несовершеннолетних правонарушителей";
13) технический паспорт ИСПДн "Учёт несовершеннолетних правонарушителей";
Представленные документы позволяют полностью оценить достаточность и эффективность принятых мер по защите информации.
4. Оценка эффективности реализованных в рамках системы защиты информации мер по обеспечению безопасности персональных данных, обрабатываемых в ИСПДн "Учёт несовершеннолетних правонарушителей"
Оценка эффективности реализованных мер по обеспечению безопасности персональных данных проводилась в соответствии с "Актом определения уровня защищённости в ИСПДн "Учёт несовершеннолетних правонарушителей"" и приказом ФСТЭК России от 18.02.2013 N 21 для информационных систем 4-го уровня защищённости, обрабатывающих персональные данные. Актуальные угрозы для ИСПДн "Учёт несовершеннолетних правонарушителей" определены в частной модели угроз безопасности персональных данных при их обработке в ИСПДн.
5. Проверка технологического процесса обработки защищаемой информации
При проведении оценки технологического процесса в соответствии с "Основными мероприятиями по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных", утверждённых ФСТЭК России от 15.02.2008 и "Сборником руководящих документов по защите информации от несанкционированного доступа" проведено исследование:
а) подсистемы управления доступом ИСПДн;
б) подсистемы регистрации и учёта ИСПДн;
в) подсистемы обеспечения целостности ИСПДн;
г) подсистемы антивирусной защиты ИСПДн.
5.1. Подсистема управления доступом
Подсистема управления доступом осуществляется в соответствии с инструкцией по организации парольной защиты в информационных системах персональных данных администрации района.
Осуществление идентификации и проверки подлинности субъектов доступа при входе в операционную систему ПЭВМ осуществляется по паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов.
К сетям общего пользования ИСПДн "Учёт несовершеннолетних правонарушителей" не подключена. В качестве средств защиты информации от программно-математического воздействия (несанкционированного воздействия на ресурсы ИСПДн, осуществляемые с использованием вредоносных программ) используется антивирусное программное обеспечение, обеспечивающее комплексную защиту компьютеров от вирусов, шпионского программного обеспечения и других вредоносных программ. Разграничение доступа к средствам защиты информации от программно-математического воздействия осуществляется встроенными средствами антивирусного программного обеспечения. В антивирусном программном обеспечении предусмотрена идентификация и аутентификация субъекта доступа с возможностью блокировки операций, запрета выполнения изменения параметров работы и завершения работы антивируса.
5.2. Подсистема регистрации и учёта
Регистрация входа (выхода) субъекта доступа в систему (из системы), регистрация загрузки и инициализации операционной системы и её программного останова осуществляется средствами администрирования операционной системы Windows. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения ИСПДн. В параметрах регистрации указываются дата и время входа (выхода) субъекта доступа в систему (из системы).
Встроенными средствами антивирусного программного обеспечения производится:
а) регистрация входа/выхода субъекта доступа в средство защиты от программно-математического воздействия (далее ПМВ), регистрация загрузки, инициализации и программного останова этого средства;
б) регистрация событий проверки и обнаружения ПМВ;
в) регистрация событий по внедрению в средство защиты от ПМВ пакетов обновлений;
г) регистрация событий запуска/завершения работы модулей средства защиты от ПМВ;
д) регистрация событий управления субъектом доступа функциями средства защиты от ПМВ;
В параметрах регистрации указывается время и дата регистрируемого события.
5.3. Подсистема обеспечения целостности
Операционная система Windows и антивирусное программное обеспечение осуществляет автоматический контроль целостности своих файлов. Для восстановления программного обеспечения и информации в ИСПДн используются дистрибутивы операционной системы, программ, драйверов оборудования, а также резервные копии данных.
Физическая охрана ИСПДн (устройств и носителей информации), предусматривает контроль доступа в помещения ИСПДн посторонних лиц, наличие надёжных препятствий для несанкционированного проникновения в помещения ИСПДн и хранилища носителей информации.
5.4. Подсистема антивирусной защиты
Антивирусная защита осуществляется в соответствии с инструкцией по антивирусной защите в информационных системах персональных данных администрации района.
Антивирусная защита ИСПДн установлена на рабочей станции и обеспечивает:
а) автоматическую проверку на наличие вредоносных программ (далее - ВП) или последствий ПМВ при импорте в ИСПДн всех программных модулей (прикладных программ), которые могут содержать вредоносные программы, по их типовым шаблонам;
б) реализацию механизмов автоматического блокирования обнаруженных ВП путём их удаления из программных модулей или уничтожения;
в) регулярную проверку ИСПДн на предмет наличия в них ВП;
г) реализована автоматическая проверка ИСПДн на предмет наличия ВП при выявлении факта ПМВ.
5.5. Защита машинных носителей информации
Машинные носители персональных данных учтены в журнале учёта машинных носителей информации.
Доступ к машинным носителям персональных данных имеет пользователь и администратор информационной безопасности администрации района (далее - администратор). Действия администратора фиксируются в журнале регистрации работ ИСПДн у лица, ответственного за обработку информации в ИСПДн. Правила работы с машинными носителями, используемыми пользователями, определены инструкцией пользователя и инструкцией по порядку учёта и хранения съёмных носителей информации, содержащих персональные данные, в администрации района. Уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания информации осуществляет администратор.
5.6. Оценка контроля защиты технических средств
Контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения, в которых они установлены, реализуется оператором в соответствии с порядком доступа работников администрации района, в помещения, в которых ведётся обработка персональных данных.
Размещение устройств вывода (отображения) информации исключает несанкционированный просмотр информации.
Защита от внешних воздействий (воздействий окружающей среды, нестабильности электроснабжения, кондиционирования и иных внешних факторов) обеспечивается системой бесперебойного электропитания и кондиционирования.
6. Оценка эффективности мер
6.1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения, реализовано организационными мерами.
6.2. Обеспечение сохранности носителей персональных данных: организован учет носителей персональных данных и правила работы с ними (Инструкция пользователя, Порядок работы персонала информационных систем персональных данных администрации Великоустюгского муниципального района в части обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, Инструкция по порядку учета и хранения съемных носителей информации, содержащих персональные данные, в администрации Великоустюгского муниципального района).
6.3. Утверждение руководителем администрации документа, определяющего перечень должностей муниципальных служащих администрации района, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным.
В соответствии с приказом ФСТЭК России от 18.02.2013 N 21 реализованные меры по обеспечению безопасности персональных данных в ИСПДн "Учёт несовершеннолетних правонарушителей" соответствуют требованиям, предъявляемым к 4-му уровню защищённости персональных данных.