Письмо Федеральной службы судебных приставов от 27.09.2012 N 12/11-23911-ВВ "О контроле за обеспечением информационной безопасности"

В соответствии с п. 3.1 протокола оперативного совещания при директоре Федеральной службы судебных приставов - главном судебном приставе Российской Федерации от 10.09.2012 N 29 по результатам проверки Управления ФССП России по Тамбовской области Управление информационных технологий направляет инструктивное письмо по вопросам контроля за обеспечением информационной безопасности.

В ходе внеплановой проверки УФССП России по Тамбовской области были выявлены следующие нарушения и недостатки в деятельности по защите информации:

порядок предоставления и осуществления доступа к информации, защищаемой в ФССП России, и к средствам обработки и защиты такой информации не задокументирован;

не определены зона и мера ответственности должностных лиц на каждом объекте информатизации, в том числе не определены ответственные лица в соответствии с приказом ФССП России от 12.05.2012 N 248 "Об утверждении Порядка создания и ведения банка данных в исполнительном производстве Федеральной службы судебных приставов в электронном виде";

не представлены технические паспорта средств вычислительной техники и документы, закрепляющие средства вычислительной техники за пользователями;

не определены требования к паролям, учетным записям пользователей, правила разграничения доступа;

отсутствуют документы, регламентирующие порядок антивирусной защиты и резервного копирования;

на объектах информатизации используются унифицированные реквизиты доступа, используются единые логин и пароль для всех пользователей, что существенно снижает защищенность информационной системы.

Указанные нарушения и недостатки способствуют неправомерным действиям со стороны внутренних нарушителей информационной безопасности и затрудняют эффективное реагирование на инциденты информационной безопасности.

В соответствии с приказом ФССП России от 03.11.2012 N 521 "О назначении лиц, ответственных за организацию обработки персональных данных в центральном аппарате и территориальных органах ФССП России" ответственность за организацию обработки персональных данных в территориальных органах должна быть возложена на должностное лицо территориального органа ФССП России, замещающее должность государственной гражданской службы категории "руководители" и получающее письменные указания непосредственно от руководителя территориального органа ФССП России главного судебного пристава субъекта Российской Федерации. В обязанности лица, ответственного за организацию обработки персональных данных в территориальном органе ФССП России, в частности, входит осуществление внутреннего контроля за соблюдением работниками территориального органа ФССП России законодательства Российской Федерации о персональных данных и требований по защите персональных данных,

В соответствии с п. 12 Плана Федеральной службы судебных приставов по реализации положений Федерального закона от 25.07.2011 N 261-ФЗ "О внесении изменений в Федеральный закон "О персональных данных"", утвержденного директором Федеральной службы судебных приставов - главным судебным приставом Российской Федерации 05.10.2011, в срок до 28.12.2012 должна быть проведена оценка эффективности принимаемых мер по обеспечению безопасности персональных данных в ФССП России (далее - оценка эффективности). До утверждения постановлением Правительства Российской Федерации Требований к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных, и приказом ФССП России правил осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в ФССП России предлагаем обеспечить принятие следующих мер.

В области технической защиты информации, в отношении которой существуют требования по обеспечению ее конфиденциальности:

опечатывание корпусов, блокирование портов ввода-вывода;

реализация мер антивирусной защиты;

учет отчуждаемых носителей, содержащих защищаемую информацию;

ведение технических паспортов на объектах информатизации;

регулярное резервирование защищаемой информации;

управление учетными записями пользователей информационных систем территориального органа ФССП России;

ведение и актуализация документации на средства защиты информации (сертификаты соответствия, формуляры, эксплуатационная документация);

назначение ответственных за автоматизированное рабочее место пользователей;

определение защищаемых помещений и категорирование информационных ресурсов.

В области обеспечения соблюдения прав субъектов персональных данных и защиты персональных данных:

планирование мероприятий по защите персональных данных;

уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке персональных данных;

определение перечней информационных систем персональных данных территориального органа ФССП России;

проведение классификации, переклассификации для каждой информационной системы персональных данных;

определение угроз безопасности и модели нарушителя безопасности персональных данных, обрабатываемых в информационных системах территориального органа ФССП России;

учет и контроль лиц, допущенных к работе с персональными данными в информационной системе.

В области применения средств криптографической защиты информации:

учет средств криптографической защиты в соответствующем журнале;

ввод в эксплуатацию СКЗИ;

учет выданных носителей ключевой информации;

учет и инструктаж лиц, непосредственно допущенных к работе со средствами криптографической защиты.

Признаки, свидетельствующие о недостаточной эффективности принимаемых мер и формальном отношении к мероприятиям по защите информации:

коллективное использование одной учетной записи для входа в операционную систему или для работы в ПК "ОСП";

применение в структурных подразделениях территориального органа ФССП России привилегированных учетных записей для администрирования операционных систем серверов баз данных старшими судебными приставами и судебными приставами-исполнителями;

внесение изменений в регистрируемую информацию (журнал операций);

бесконтрольное и неограниченное использование ресурсов сети Интернет в структурных подразделения территориального органа ФССП России;

применение однотипных или "слабых" паролей для работы в подсистемах АИС ФССП России;

использование в структурных подразделениях территориальных органов ФССП России помещений, в которых располагаются защищаемые информационные ресурсы, неограниченным кругом работников (в качестве помещения для отдыха, помещения для приготовления и приема пищи, копировальной комнаты);

самостоятельная настройка системных параметров операционной системы и пользовательских подсистем не уполномоченными на это работниками.

С учетом вышеизложенного необходимо:

1. руководителям территориальных органов ФССП России - главным судебным приставам субъектов Российской Федерации довести настоящее письмо на оперативном совещании до лица, ответственного за организацию обработки персональных данных в территориальном органе ФССП России, председателя постоянно действующей технической комиссии по защите государственной тайны и обеспечению информационной безопасности территориального органа ФССП России (далее - ПДТК), заместителя председателя ПДТК, секретаря ПДТК, начальника отдела информатизации и обеспечения информационной безопасности, работников, ответственных за обеспечение информационной безопасности в территориальном органе ФССП России;

2. определить соответствие принятых в территориальном органе ФССП России мер перечисленным в настоящем письме, самостоятельно определить перечень первоочередных мероприятий по устранению несоответствия и обеспечить их реализацию;

3. запланировать мероприятия по контролю эффективности принятых мер по защите информации (в том числе по обеспечению безопасности персональных данных) и направить отчет об их выполнении в Управление информационных технологий до 01.12.2012.

Заместитель директора Федеральной службы судебных приставов - заместитель главного судебного пристава Российской Федерации

В.В. Воронин