Приложение N 7. Положение по осуществлению внутреннего контроля соответствия обработки защищаемой информации требованиям безопасности информации в государственной информационной системе "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края. Приказ министерства цифрового развития Красноярского края от 21.01.2022 N 73-4-2022 "Об утверждении инструкций и положений к государственной информационной системе "Реестр информационных систем Красноярского края"

Приложение N 7

к приказу министерства цифрового

развития Красноярского края

от 21.01.2022 N 73-4-2022

Положение
по осуществлению внутреннего контроля соответствия обработки защищаемой информации требованиям безопасности информации в государственной информационной системе "Реестр информационных систем Красноярского края" министерства цифрового развития Красноярского края

1. Общие положения

Положение по осуществлению внутреннего контроля соответствия обработки защищаемой информации требованиям безопасности информации в государственной информационной системе "Реестр информационных систем Красноярского края" (далее - ГИС "РИСКК") министерства цифрового развития Красноярского края (далее - министерство) определяет процедуры, направленные на выявление и предотвращение нарушений установленных требований по защите информации в ГИС "РИСКК".

Положение определяет порядок внутреннего контроля соответствия обработки защищаемой информации требованиям безопасности информации в ГИС "РИСКК" и действует постоянно.

2. Требования к организации внутреннего контроля

В целях осуществления внутреннего контроля обеспечения безопасности информации в ГИС "РИСКК", организуется проведение периодических проверок условий обработки защищаемой информации.

Проверка включает в себя:

2.1. Контроль реализации правил разграничения доступа, полномочий пользователей в ГИС "РИСКК", в том числе:

каждый пользователь должен осуществлять работу под своей учетной записью;

должны быть реализованы методы (дискреционный метод), типы (чтение, запись и т.д.) и правила разграничения доступа;

осуществляется разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование системы;

ограничено количество неуспешных попыток входа в систему;

установлен таймер бездействия до блокировки системы;

осуществляется контроль за инсталляцией компонентов операционной системы и программного обеспечения.

2.2. Контроль соблюдения пользователями ГИС "РИСКК" правил организации парольной защиты, в том числе:

соблюдение длины пароля, наличие в нем специальных символов, цифр и прописных букв;

осуществление смены паролей, после истечения определенного срока.

2.3. Контроль соблюдения пользователями ГИС "РИСКК" установленных правил антивирусной защиты, в том числе:

проведение своевременного периодического обновления антивирусных баз;

реагирование пользователей на уведомления средств антивирусной защиты;

осуществление сканирования на предмет заражения вирусами всех отчуждаемых носителей информации, которые подключаются к автоматизированному рабочему месту ГИС "РИСКК".

2.4. Контроль соблюдения порядка доступа в помещения, где расположены элементы ГИС "РИСКК" и ведется обработка защищаемой информации, в том числе:

соблюдение границ контролируемой зоны, установленные приказом;

контролирование физического несанкционированного доступа к техническим средствам, средствам защиты информации, средствам обеспечения функционирования системы;

размещение мониторов технических средств, исключающих несанкционированный просмотр информации.

2.5. Контроль соблюдения порядка резервирования информации и хранения резервных копий, в том числе:

периодическое создание резервных копий;

обеспечение возможности восстановления информации из резервных копий, в течение установленного временного интервала.

2.6. Контроль знания и соблюдения пользователями ГИС "РИСКК" внутренних документов по защите информации.

2.7. Другие параметры контроля (при необходимости).

Проверки осуществляются ответственным за защиту информации, совместно с администратором информационной безопасности ГИС "РИСКК" (далее - комиссия) не реже одного раза в два года.

Проверки проводятся на основании утвержденного "Плана мероприятий по контролю за обеспечением безопасности информации в ГИС "РИСКК".

При проведении внутренней проверки, комиссия имеет право:

запрашивать у сотрудников министерства, допущенных к работе в ГИС "РИСКК", информацию, необходимую для реализации полномочий;

принимать меры по приостановлению или прекращению обработки защищаемой информации, осуществляемой с нарушением требований законодательства Российской Федерации;

вносить предложения о привлечении к дисциплинарной ответственности лиц, виновных в нарушении законодательства Российской Федерации в области защиты информации.

Мероприятия, проведенные в ходе внутреннего контроля, должны быть занесены в журнал учета мероприятий по контролю за обеспечением защиты информации в ГИС "РИСКК" (приложение 1).

В отношении информации, ставшей известной комиссии в ходе проведения мероприятий внутреннего контроля, должна обеспечиваться конфиденциальность.

О результатах проведенной проверки и мерах, необходимых для устранения выявленных нарушений, составляется протокол (приложение 2).