Таблица 1. Уточняющие вопросы частных показателей ИБ
┌────────┬─────────┬───────────────────────────────────────┬──────────────┐
│N уточ- │ Пункт │ Уточняющий вопрос │ Частный │
│няющего │ РС БР │ │ показатель │
│вопроса │ИББС-2.3 │ │ СТО БР │
│ │ │ │ ИББС-1.2 │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 1 │ 5.2 │ Отнесена ли каждая информационная │M10.2, M10.3, │
│ │ │система персональных данных (ИСПДн) │M12.2, M12.3, │
│ │ │организации к одному из следующих │M12.4 │
│ │ │классов - ИСПДн-С, ИСПДн-Б, ИСПДн-И, │ │
│ │ │ИСПДн-Д <*>? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 2 │ 6.1.1 │ Реализуются ли требования по │M2.1, M2.2, │
│ │ │обеспечению безопасности персональных │M2.3, M2.4 │
│ │ │данных в ИСПДн комплексом │ │
│ │ │организационных, технологических, │ │
│ │ │технических и программных мер, средств │ │
│ │ │и механизмов защиты информации? │ │
│ │ │ Осуществляется ли реализация │ │
│ │ │требований и (или) организуется ли │ │
│ │ │выполнение требований по обеспечению │ │
│ │ │безопасности персональных данных │ │
│ │ │структурным подразделением или │ │
│ │ │должностным лицом (работником) │ │
│ │ │организации, ответственным за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных, либо на договорной основе │ │
│ │ │организацией - контрагентом │ │
│ │ │организации, имеющей лицензию на │ │
│ │ │деятельность по технической защите │ │
│ │ │конфиденциальной информации? │ │
│ │ │ Допускается возложение │ │
│ │ │ответственности за организацию работы │ │
│ │ │по обеспечению безопасности │ │
│ │ │персональных данных на существующее в │ │
│ │ │организации подразделение (например, │ │
│ │ │на службу ИБ). │ │
│ │ │ Осуществляется ли реализация │ │
│ │ │требований по обеспечению безопасности │ │
│ │ │ПДн по согласованию и под контролем │ │
│ │ │службы ИБ организации? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 3 │ 6.1.2 │ Включает ли создание ИСПДн │M2.1, M2.2, │
│ │ │организации разработку и согласование │M2.3, M2.5, │
│ │ │(утверждение) предусмотренной │M2.6, M8.3, │
│ │ │техническим заданием организационно- │M8.5, M15.6, │
│ │ │распорядительной, проектной и │M15.7 │
│ │ │эксплуатационной документации на │ │
│ │ │создаваемую систему (в документации │ │
│ │ │должны быть отражены вопросы │ │
│ │ │обеспечения безопасности обрабатываемых│ │
│ │ │персональных данных)? │ │
│ │ │ Осуществляются ли разработка │ │
│ │ │концепций, технических заданий, │ │
│ │ │проектирование, создание и │ │
│ │ │тестирование, приемка и ввод в действие│ │
│ │ │ИСПДн по согласованию и под контролем │ │
│ │ │структурного подразделения или │ │
│ │ │должностного лица (работника) │ │
│ │ │организации, ответственного за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных, и службы ИБ организации? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 4 │ 6.1.3 │ Защищены ли от воздействий │M4.1, M4.5 │
│ │ │вредоносного кода все информационные │ │
│ │ │активы, принадлежащие ИСПДн │ │
│ │ │организации? │ │
│ │ │ Определены ли в организации и │ │
│ │ │зафиксированы ли документально │ │
│ │ │требования по обеспечению безопасности │ │
│ │ │персональных данных средствами │ │
│ │ │антивирусной защиты и порядок │ │
│ │ │проведения контроля реализации этих │ │
│ │ │требований в соответствии с │ │
│ │ │требованиями пункта 7.5 СТО БР │ │
│ │ │ИББС-1.0? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 5 │ 6.1.4 │ Определена ли в организации система │M3.5, M3.6, │
│ │ │контроля доступа, позволяющая │M3.7, M3.8 │
│ │ │осуществлять контроль доступа к │ │
│ │ │коммуникационным портам, устройствам │ │
│ │ │ввода-вывода информации, съемным │ │
│ │ │машинным носителям и внешним │ │
│ │ │накопителям информации ИСПДн? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 6 │ 6.1.5 │ Действуют ли работники, │M1.1, M1.3, │
│ │ │осуществляющие обработку персональных │M1.4, M1.19, │
│ │ │данных в ИСПДн, в соответствии с │M16.1, M29.1 │
│ │ │инструкцией (руководством, регламентом │ │
│ │ │и т.п.), входящей в состав │ │
│ │ │эксплуатационной документации на ИСПДн,│ │
│ │ │и соблюдают ли работники требования │ │
│ │ │документов организации по обеспечению │ │
│ │ │ИБ? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 7 │ 6.1.6 │ Возложены ли приказами │M1.1, M1.3, │
│ │ │(распоряжениями) обязанности по │M1.4, M8.4, │
│ │ │администрированию средств защиты и │M8.5, M15.6, │
│ │ │механизмов защиты, реализующих │M15.7, M15.8 │
│ │ │требования по обеспечению ИБ ИСПДн │ │
│ │ │организации, на администраторов │ │
│ │ │информационной безопасности ИСПДн? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 8 │ 6.1.7 │ Определен ли порядок действий │M1.1, M1.3, │
│ │ │администратора информационной │M1.4, M1.13, │
│ │ │безопасности ИСПДн и персонала, занятых│M1.14, │
│ │ │в процессе обработки персональных │M2.5, M2.6, │
│ │ │данных, инструкциями (руководствами), │M2.11, M2.12, │
│ │ │которые готовятся разработчиком ИСПД в │M3.2, M3.11, │
│ │ │составе эксплуатационной документации │M3.12, M3.14, │
│ │ │на ИСПДн? │M3.15, M3.16, │
│ │ │ Выполняются ли следующие требования к│M3.17, M8.5, │
│ │ │таким инструкциям (руководствам): │M8.12, M15.6, │
│ │ │ - устанавливают требования к │M15.7, M15.8, │
│ │ │квалификации администратора │M21.1, M21.7, │
│ │ │информационной безопасности и персонала│M21.8, M32.1, │
│ │ │в области защиты информации, а также │M32.2 │
│ │ │актуальный перечень защищаемых объектов│ │
│ │ │и правила его обновления; │ │
│ │ │ - содержат в полном объеме актуальные│ │
│ │ │(по времени) данные о полномочиях │ │
│ │ │пользователей; │ │
│ │ │ - содержат данные о технологии │ │
│ │ │обработки информации в объеме, │ │
│ │ │необходимом для администратора │ │
│ │ │информационной безопасности; │ │
│ │ │ - устанавливают порядок и │ │
│ │ │периодичность анализа журналов │ │
│ │ │регистрации событий (архивов журналов)?│ │
│ │ │ Определены ли в эксплуатационной │ │
│ │ │документации на ИСПДн параметры │ │
│ │ │конфигурации средств защиты и │ │
│ │ │механизмов защиты информации от НСД, │ │
│ │ │используемых в зоне ответственности │ │
│ │ │администратора информационной │ │
│ │ │безопасности? │ │
│ │ │ Установлены ли в эксплуатационной │ │
│ │ │документации или регламентированы ли │ │
│ │ │внутренним документом организации │ │
│ │ │порядок и периодичность проверок │ │
│ │ │установленных параметров конфигурации │ │
│ │ │(при этом проверки должны проводиться │ │
│ │ │не реже чем раз в год)? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 9 │ 6.1.8 │ Определен ли в организации и │M3.18, M3.19, │
│ │ │зафиксирован ли документально порядок │M3.20, M11.9, │
│ │ │доступа в помещения, в которых │M28.9 │
│ │ │размещаются технические средства ИСПДн │ │
│ │ │и хранятся носители персональных │ │
│ │ │данных, предусматривающий контроль │ │
│ │ │доступа в помещения посторонних лиц и │ │
│ │ │наличие препятствий для │ │
│ │ │несанкционированного проникновения в │ │
│ │ │помещения? │ │
│ │ │ Разработан ли указанный порядок │ │
│ │ │структурным подразделением или │ │
│ │ │должностным лицом (работником) │ │
│ │ │организации, ответственным за │ │
│ │ │обеспечение режима физической │ │
│ │ │безопасности организации БС РФ и │ │
│ │ │согласован ли структурным │ │
│ │ │подразделением или должностным лицом │ │
│ │ │(работником) организации БС РФ, │ │
│ │ │ответственным за обеспечение │ │
│ │ │безопасности персональных данных, и со │ │
│ │ │службой ИБ организации? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 10 │ 6.1.9 │ Запрещено ли организационно- │M15.6, M15.8, │
│ │ │техническими мерами в помещениях, в │M21.1, M21.7, │
│ │ │которых размещаются технические │M32.1 │
│ │ │средства ИСПДн, несанкционированное и │ │
│ │ │(или) нерегистрируемое (бесконтрольное)│ │
│ │ │копирование персональных данных, в том │ │
│ │ │числе с использованием отчуждаемых │ │
│ │ │носителей информации, мобильных │ │
│ │ │устройств копирования и переноса │ │
│ │ │информации, коммуникационных портов и │ │
│ │ │устройств ввода-вывода, реализующих │ │
│ │ │различные интерфейсы (включая │ │
│ │ │беспроводные), запоминающих устройств │ │
│ │ │мобильных средств (например, ноутбуков,│ │
│ │ │карманных персональных компьютеров, │ │
│ │ │смартфонов, мобильных телефонов), а │ │
│ │ │также устройств фото- и видеосъемки? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 11 │ 6.2.1 │ Регламентируются ли в проектной и │M2.1, M8.6, │
│ │ │эксплуатационной документации процессы │M15.6, M15.7 │
│ │ │обработки персональных данных, а также │ │
│ │ │порядок установки, настройки, │ │
│ │ │эксплуатации и восстановления │ │
│ │ │необходимых технических и программных │ │
│ │ │средств? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 12 │ 6.2.2 │ Обеспечиваются ли идентификация и │M3.5, M3.6, │
│ │ │аутентификация (проверка подлинности) │M3.7, M3.8, │
│ │ │субъекта доступа при входе в ИСПДн по │M15.6, M15.8 │
│ │ │идентификатору (коду) и периодически │ │
│ │ │обновляемому паролю длиной не менее │ │
│ │ │шести буквенно-цифровых символов? │ │
│ │ │ Ограничено ли при наличии технической│ │
│ │ │возможности количество последовательных│ │
│ │ │неудачных попыток ввода пароля (от 3 до│ │
│ │ │5 попыток)? │ │
│ │ │ Блокируют ли при превышении │ │
│ │ │указанного количества средства защиты и│ │
│ │ │механизм защиты возможность дальнейшего│ │
│ │ │ввода пароля, включая правильное │ │
│ │ │значение пароля, до вмешательства │ │
│ │ │администратора информационной │ │
│ │ │безопасности? │ │
│ │ │ Регламентируются ли порядок │ │
│ │ │формирования и смены паролей, а также │ │
│ │ │порядок контроля исполнения этих │ │
│ │ │процедур разработчиком ИСПДн в │ │
│ │ │эксплуатационной документации в │ │
│ │ │инструкциях (руководствах) │ │
│ │ │администраторов информационной │ │
│ │ │безопасности? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 13 │ 6.2.3 │ Осуществляется ли передача │M3.9, M5.1, │
│ │ │персональных данных только при условии │M5.15, M5.23, │
│ │ │обеспечения их целостности с помощью │M11.9, M28.9 │
│ │ │защитных мер, механизмов и средств, │ │
│ │ │применяемых по согласованию со │ │
│ │ │структурным подразделением или │ │
│ │ │должностным лицом (работником) │ │
│ │ │организации, ответственным за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 14 │ 6.3.2 │ Обеспечивается ли выполнение функций │M2.1, M3.4 │
│ │ │обеспечения безопасности персональных │ │
│ │ │данных в ИСПДн средствами защиты │ │
│ │ │информации, прошедшими в установленном │ │
│ │ │порядке процедуру оценки соответствия, │ │
│ │ │а также комплексом встроенных │ │
│ │ │механизмов защиты электронных │ │
│ │ │вычислительных машин (ЭВМ), │ │
│ │ │операционных систем (ОС), систем │ │
│ │ │управления базами данных (СУБД), │ │
│ │ │прикладного программного обеспечения │ │
│ │ │(ПО)? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 15 │ 6.3.3 │ Выполнены ли разработчиком ИСПДн на │M3.4, M11.9, │
│ │ │стадии ввода в действие настройки │M21.1, M28.9 │
│ │ │средств и механизмов обеспечения │ │
│ │ │безопасности, не допускающие │ │
│ │ │несанкционированного изменения │ │
│ │ │пользователем предоставленных ему │ │
│ │ │полномочий? │ │
│ │ │ Определен ли разработчиком ИСПДн │ │
│ │ │порядок постоянного контроля │ │
│ │ │фактического состояния настроек средств│ │
│ │ │и механизмов обеспечения безопасности │ │
│ │ │на предмет их соответствия │ │
│ │ │установленным правилам? │ │
│ │ │ Согласован ли указанный порядок со │ │
│ │ │структурным подразделением или │ │
│ │ │должностным лицом (работником) │ │
│ │ │организации, ответственным за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных, и согласован ли со службой ИБ │ │
│ │ │организации? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 16 │ 6.3.4 │ Выполняется ли в обязательном порядке│M3.11, M3.12 │
│ │ │регистрация входа в ИСПДн (выхода из │ │
│ │ │ИСПДн) субъектов доступа? Указываются │ │
│ │ │ли в журнале регистрации событий, │ │
│ │ │который ведется в электронном виде │ │
│ │ │ИСПДн, следующие параметры: │ │
│ │ │ - дата и время входа в систему │ │
│ │ │(выхода из системы) субъекта доступа; │ │
│ │ │ - идентификатор субъекта, │ │
│ │ │предъявленный при запросе доступа; │ │
│ │ │ - результат попытки входа: успешная │ │
│ │ │или неуспешная (несанкционированная); │ │
│ │ │ - идентификатор (адрес) устройства │ │
│ │ │(компьютера), используемого для входа в│ │
│ │ │систему? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 17 │ 6.3.6 │ Определен ли в организации и │M2.16, M2.17, │
│ │ │зафиксирован ли документально порядок │M3.1, M3.11, │
│ │ │постановки на учет и снятия с учета │M3.12, M8.1, │
│ │ │машинных носителей, предназначенных для│M8.6, M8.7, │
│ │ │размещения персональных данных? │M12.2, M12.3, │
│ │ │ Проводится ли снятие с учета машинных│M17.2 │
│ │ │носителей, на которых были размещены │ │
│ │ │персональные данные, по акту путем │ │
│ │ │стирания с них информации средствами │ │
│ │ │гарантированного стирания информации │ │
│ │ │или по акту путем их уничтожения? │ │
│ │ │ Регламентируется ли разработчиком │ │
│ │ │ИСПДн в эксплуатационной документации │ │
│ │ │на ИСПДн процедура стирания информации │ │
│ │ │в зависимости от применяемого средства │ │
│ │ │гарантированного стирания? │ │
│ │ │ Осуществляется ли (при наличии │ │
│ │ │технической возможности) очистка │ │
│ │ │освобождаемых областей памяти на │ │
│ │ │носителях, ранее использованных для │ │
│ │ │хранения персональных данных? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 18 │ 6.3.7 │ Определены ли в соответствии с │M2.13, M2.14, │
│ │ │требованиями пункта 7.9.7 СТО БР ИББС- │M8.9, M8.10 │
│ │ │1.0 и зафиксированы ли документально │ │
│ │ │состав и назначение ПО ИСПДн? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 19 │ 6.3.8 │ Регламентирован ли порядок внесения │M2.1, M2.13, │
│ │ │изменений в установленное ПО ИСПДн, │M2.14, M15.6, │
│ │ │включая контроль действий программистов│M15.7, M15.8 │
│ │ │в процессе модификации ПО? │ │
│ │ │ Учтены ли эталонные копии ПО, │ │
│ │ │регламентирован ли доступ к ним? │ │
│ │ │ Готовятся ли разработчиком ИСПДн │ │
│ │ │соответствующие регламенты в виде │ │
│ │ │инструкций, руководств и включаются ли │ │
│ │ │в эксплуатационную документацию на │ │
│ │ │ИСПДн? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 20 │ 6.3.9 │ Подлежат ли резервному копированию │M2.13, M2.14, │
│ │ │все программные средства, архивы, │M8.13, M20.3, │
│ │ │журналы, информационные ресурсы │M20.5 │
│ │ │(данные), используемые и создаваемые в │ │
│ │ │процессе эксплуатации ИСПДн? │ │
│ │ │ Предусматривают ли средства │ │
│ │ │восстановления функций обеспечения │ │
│ │ │безопасности персональных данных в │ │
│ │ │ИСПДн ведение не менее двух независимых│ │
│ │ │копий программных средств? │ │
│ │ │ Регламентирован ли порядок создания и│ │
│ │ │сопровождения резервных копий, │ │
│ │ │включающий способ и периодичность │ │
│ │ │копирования, процедуры создания, учета,│ │
│ │ │хранения, использования (для │ │
│ │ │восстановления) и уничтожения резервных│ │
│ │ │копий, разработчиком ИСПДн в │ │
│ │ │эксплуатационной документации на ИСПДн?│ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 21 │ 6.3.10 │ Осуществляется ли (в случае нештатной│M1.1, M1.3, │
│ │ │ситуации) восстановление функций │M1.4, M2.5, │
│ │ │обеспечения безопасности персональных │M2.6, M2.13, │
│ │ │данных в ИСПДн администратором ИСПДн с │M8.4, M8.5, │
│ │ │обязательным привлечением │M8.13, M20.2 │
│ │ │администратора информационной │ │
│ │ │безопасности ИСПДн (при необходимости -│ │
│ │ │с привлечением специалистов │ │
│ │ │структурного подразделения или │ │
│ │ │должностного лица (работника) │ │
│ │ │организации, ответственного за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных, и службы ИБ организации)? │ │
│ │ │ Регламентирована ли разработчиком │ │
│ │ │ИСПДн в эксплуатационной документации │ │
│ │ │на ИСПДн процедура восстановления? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 22 │ 6.3.11 │ Осуществляется ли подключение ИСПДн к│M5.1, M5.15, │
│ │ │ИСПДн другого класса или к сети │M5.23 │
│ │ │Интернет с использованием средств │ │
│ │ │межсетевого экранирования (межсетевых │ │
│ │ │экранов), которые обеспечивают │ │
│ │ │выполнение следующих функций: │ │
│ │ │- фильтрацию на сетевом уровне для │ │
│ │ │каждого сетевого пакета независимо │ │
│ │ │(решение о фильтрации принимается на │ │
│ │ │основе сетевых адресов отправителя и │ │
│ │ │получателя или на основе других │ │
│ │ │эквивалентных атрибутов); │ │
│ │ │- идентификацию и аутентификацию │ │
│ │ │администратора межсетевого экрана при │ │
│ │ │его локальных запросах на доступ по │ │
│ │ │идентификатору (коду) и паролю условно-│ │
│ │ │постоянного действия; │ │
│ │ │- регистрацию входа (выхода) │ │
│ │ │администратора межсетевого экрана в │ │
│ │ │систему (из системы) либо загрузки и │ │
│ │ │инициализации системы и ее программного│ │
│ │ │останова (регистрация выхода из системы│ │
│ │ │не проводится в моменты аппаратурного │ │
│ │ │отключения межсетевого экрана); │ │
│ │ │- возможность проверки (контроля) │ │
│ │ │целостности программной и │ │
│ │ │информационной части средства │ │
│ │ │межсетевого экранирования (в том числе │ │
│ │ │с применением внешних программных │ │
│ │ │средств, не встроенных в средство │ │
│ │ │межсетевого экранирования); │ │
│ │ │- фильтрацию пакетов служебных │ │
│ │ │протоколов, служащих для диагностики и │ │
│ │ │управления работой сетевых устройств; │ │
│ │ │- восстановление свойств межсетевого │ │
│ │ │экрана после сбоев и отказов │ │
│ │ │оборудования (в том числе с применением│ │
│ │ │внешних программных средств, не │ │
│ │ │встроенных в средство межсетевого │ │
│ │ │экранирования); │ │
│ │ │- возможность проведения регламентного │ │
│ │ │тестирования реализации правил │ │
│ │ │фильтрации, процесса идентификации и │ │
│ │ │аутентификации администратора │ │
│ │ │межсетевого экрана, процесса │ │
│ │ │регистрации действий администратора │ │
│ │ │межсетевого экрана, процесс контроля за│ │
│ │ │целостностью программной и │ │
│ │ │информационной части, процедур │ │
│ │ │восстановления (в том числе с │ │
│ │ │применением внешних программных │ │
│ │ │средств, не встроенных в средство │ │
│ │ │межсетевого экранирования)? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 23 │ 6.4.1 │ Выполняются ли для информационных │M2.5, M2.6, │
│ │ │систем обработки биометрических │M3.1, M3.3, │
│ │ │персональных данных требования, │M3.4, M3.7, │
│ │ │установленные Постановлением │M3.8, M3.9, │
│ │ │Правительства от 6 июля 2008 г. N 512 │M3.10, M3.11, │
│ │ │"Об утверждении требований к │M3.12, M6.3, │
│ │ │материальным носителям биометрических │M6.4, M8.1, │
│ │ │персональных данных и технологиям │M8.7, M11.9, │
│ │ │хранения таких данных вне │M12.2, M12.3, │
│ │ │информационных систем персональных │M17.2, M28.9 │
│ │ │данных"? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 24 │ 6.5.2 │ Осуществляется ли идентификация по │M3.4, M3.5 │
│ │ │логическим именам информационных │ │
│ │ │ресурсов (например, информационных │ │
│ │ │массивов, баз данных, файлов, │ │
│ │ │обрабатывающих их программ), содержащих│ │
│ │ │персональные данные? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 25 │ 6.5.3 │ Осуществляется ли обязательный │M3.2, M3.4, │
│ │ │контроль доступа субъектов к защищаемым│M3.5, M3.6, │
│ │ │информационным ресурсам в соответствии │M3.7, M3.8 │
│ │ │с правами доступа указанных субъектов? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 26 │ 6.5.4 │ Выполняется ли в обязательном порядке│M3.11, M3.12 │
│ │ │регистрация печати материалов, │ │
│ │ │содержащих персональные данные? │ │
│ │ │Указываются ли в журнале регистрации │ │
│ │ │событий, который ведется в электронном │ │
│ │ │виде ИСПДн, следующие параметры: │ │
│ │ │- дата и время печати; │ │
│ │ │- спецификация устройства печати │ │
│ │ │(логическое имя (номер) внешнего │ │
│ │ │устройства); │ │
│ │ │- полное наименование (вид, шифр, код) │ │
│ │ │материала; │ │
│ │ │- идентификатор субъекта доступа, │ │
│ │ │запросившего печать материала; │ │
│ │ │- объем фактически отпечатанного │ │
│ │ │материала (количество страниц, листов, │ │
│ │ │копий) и результат печати: успешная │ │
│ │ │(весь объем) или неуспешная? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 27 │ 6.5.5 │ Выполняется ли обязательная │M3.11, M3.12 │
│ │ │регистрация запуска программ и │ │
│ │ │процессов, осуществляющих доступ к │ │
│ │ │защищаемым информационным ресурсам? │ │
│ │ │ Указываются ли в журнале регистрации │ │
│ │ │событий, который ведется в электронном │ │
│ │ │виде ИСПДн, следующие параметры: │ │
│ │ │- дата и время запуска; │ │
│ │ │- имя (идентификатор) программы │ │
│ │ │(процесса, задания); │ │
│ │ │- идентификатор субъекта доступа, │ │
│ │ │запросившего программу (процесс, │ │
│ │ │задание); │ │
│ │ │- результат попытки запуска: успешная │ │
│ │ │или неуспешная (несанкционированная); │ │
│ │ │- дата и время попытки доступа к │ │
│ │ │защищаемому информационному ресурсу; │ │
│ │ │- имя (идентификатор) защищаемого │ │
│ │ │информационного ресурса; │ │
│ │ │- вид запрашиваемой операции (например,│ │
│ │ │чтение, запись, модификация, удаление);│ │
│ │ │- результат попытки доступа: успешная │ │
│ │ │или неуспешная (несанкционированная)? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 28 │ 6.5.6 │ Выполняется ли обязательная │M3.11, M3.12 │
│ │ │регистрация изменений полномочий │ │
│ │ │субъектов доступа и статуса объектов │ │
│ │ │доступа (защищаемых информационных │ │
│ │ │ресурсов)? │ │
│ │ │ Указываются ли в журнале регистрации │ │
│ │ │событий, который ведется в электронном │ │
│ │ │виде ИСПДн, следующие параметры: │ │
│ │ │ - дата и время изменения; │ │
│ │ │ - содержание изменения с указанием │ │
│ │ │идентификатора субъекта доступа, чьи │ │
│ │ │полномочия подверглись изменению, или │ │
│ │ │логического имени защищаемого │ │
│ │ │информационного ресурса, чей статус │ │
│ │ │изменился; │ │
│ │ │ - идентификатор администратора │ │
│ │ │информационной безопасности, │ │
│ │ │осуществившего изменение? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 29 │6.3.5 │ Не имеют ли ИСПДн субъектов доступа, │M1.9, M3.11, │
│ │6.5.7 │обладающих полномочиями, а при │M3.12, M8.4, │
│ │ │возможности и техническими средствами │M8.5, M15.6, │
│ │ │по уничтожению и модификации │M15.8 │
│ │ │информации, содержащейся в журналах │ │
│ │ │регистрации событий, указанных в │ │
│ │ │пунктах 6.3.4, 6.5.4 - 6.5.6 │ │
│ │ │РС БР ИББС-2.3? │ │
│ │ │ Регламентирована ли очистка журналов │ │
│ │ │регистрации событий, указанных │ │
│ │ │в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР │ │
│ │ │ИББС-2.3, разработчиком ИСПДн в │ │
│ │ │эксплуатационной документации на ИСПДн?│ │
│ │ │ Проводится ли перед очисткой журналов│ │
│ │ │регистрации событий, указанных │ │
│ │ │в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР │ │
│ │ │ИББС-2.3, архивирование содержащейся в │ │
│ │ │них информации путем перемещения │ │
│ │ │информации в соответствующий архив? │ │
│ │ │ Регистрируются ли операции по │ │
│ │ │архивированию журнала регистрации │ │
│ │ │событий, указанных в пунктах 6.3.4, │ │
│ │ │6.5.4 - 6.5.6 РС БР ИББС-2.3, с │ │
│ │ │указанием времени и идентификатора │ │
│ │ │работника, выполнившего операцию, в │ │
│ │ │качестве первой записи в действующем │ │
│ │ │журнале регистрации событий? │ │
│ │ │ Уничтожаются ли архивы журналов │ │
│ │ │регистрации событий, указанных в │ │
│ │ │пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР │ │
│ │ │ИББС-2.3, только администратором │ │
│ │ │информационной безопасности, в зоне │ │
│ │ │ответственности которого находятся │ │
│ │ │данные архивы не ранее чем через три │ │
│ │ │года с момента появления последней │ │
│ │ │записи в данной архивной копии? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 30 │ 6.5.8 │ В случае, если комплекс средств │M2.1, M2.13 │
│ │ │автоматизации ИСПДн представляет собой │ │
│ │ │автономное, изолированное на физическом│ │
│ │ │уровне в соответствии с эталонной │ │
│ │ │моделью взаимодействия открытых систем │ │
│ │ │- моделью OSI, автоматизированное │ │
│ │ │рабочее место (АРМ) работника или │ │
│ │ │работников - исключены ли из ИСПДн │ │
│ │ │программные средства, предназначенные │ │
│ │ │для разработки и отладки ПО (либо │ │
│ │ │содержащие средства разработки, отладки│ │
│ │ │и тестирования программно-аппаратного │ │
│ │ │обеспечения)? │ │
│ │ │ В случае, если стандартные │ │
│ │ │программные средства общего назначения │ │
│ │ │(например, MS Office) не обеспечивают │ │
│ │ │возможности выборочного удаления из них│ │
│ │ │средств разработки и отладки ПО - │ │
│ │ │введен ли документально запрет │ │
│ │ │использования отдельных компонент │ │
│ │ │(средств разработки и отладки ПО) │ │
│ │ │стандартных программных средств общего │ │
│ │ │назначения (например, MS Office)? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 31 │ 6.5.9 │ В случае, если комплекс средств │M2.7, M2.10, │
│ │ │автоматизации ИСПДн включает одно или │M8.8, M8.12 │
│ │ │несколько сетевых АРМ, сетевого │ │
│ │ │оборудования и серверов - располагаются│ │
│ │ │ли технические и программные средства, │ │
│ │ │предназначенные для разработки и │ │
│ │ │отладки ПО либо содержащие средства │ │
│ │ │разработки, отладки и тестирования │ │
│ │ │программно-аппаратного обеспечения, в │ │
│ │ │сегментах локальной вычислительной сети│ │
│ │ │(ЛВС), изолированных (на уровне не выше│ │
│ │ │сетевого в соответствии с эталонной │ │
│ │ │моделью взаимодействия открытых систем │ │
│ │ │- моделью OSI) от сегментов, │ │
│ │ │задействованных в обработке │ │
│ │ │персональных данных? │ │
│ │ │ Регламентированы ли разработчиком в │ │
│ │ │эксплуатационной документации на ИСПДн │ │
│ │ │параметры настроек технических и │ │
│ │ │программных средств, обеспечивающих │ │
│ │ │указанное разделение, а также процедура│ │
│ │ │контроля этих параметров настроек? │ │
│ │ │ В случае, если стандартные │ │
│ │ │программные средства общего назначения │ │
│ │ │(например, MS Office) не обеспечивают │ │
│ │ │возможности выборочного удаления из них│ │
│ │ │средств разработки и отладки ПО - │ │
│ │ │введен ли документально запрет │ │
│ │ │использования отдельных компонент │ │
│ │ │(средств разработки и отладки ПО) │ │
│ │ │стандартных программных средств общего │ │
│ │ │назначения (например, MS Office), │ │
│ │ │использующихся в сегментах, │ │
│ │ │задействованных в обработке │ │
│ │ │персональных данных? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 32 │ 6.5.10 │ В случае осуществления передачи │M3.4, M6.1 │
│ │ │персональных данных между │ │
│ │ │подразделениям организации по │ │
│ │ │телекоммуникационным каналам и линиям │ │
│ │ │связи, не принадлежащим организации или│ │
│ │ │не пролегающим только по территории │ │
│ │ │организации - осуществляется ли такая │ │
│ │ │передача только при обеспечении защиты │ │
│ │ │персональных данных с помощью │ │
│ │ │организации виртуальных частных сетей │ │
│ │ │(Virtual Private Network - VPN) или │ │
│ │ │иных защитных мер, механизмов и │ │
│ │ │средств, применение которых │ │
│ │ │определяется структурным подразделением│ │
│ │ │или должностным лицом (работником) │ │
│ │ │организации, ответственным за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных, и согласовывается со службой ИБ│ │
│ │ │организации? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 33 │ 6.5.11 │ В случае осуществления передачи │M3.4, M6.1, │
│ │ │персональных данных по │M11.9 │
│ │ │телекоммуникационных каналам и линиям │ │
│ │ │связи между подразделениями │ │
│ │ │организации, с одной стороны, и │ │
│ │ │внешними организациями, с другой │ │
│ │ │стороны - осуществляется ли такая │ │
│ │ │передача с использованием │ │
│ │ │сертифицированных СКЗИ или иных │ │
│ │ │защитных механизмов, применение которых│ │
│ │ │определяется структурным подразделением│ │
│ │ │или должностным лицом (работником) │ │
│ │ │организации, ответственным за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных, и согласовывается со службой ИБ│ │
│ │ │организации? │ │
│ │ │ В случае использования СКЗИ - │ │
│ │ │выполняются ли требования нормативных │ │
│ │ │правовых актов ФСБ России? │ │
│ │ │ В случае обмена информацией с другой │ │
│ │ │организацией - определены ли │ │
│ │ │соглашением сторон (в частности, │ │
│ │ │условиями договора) правила │ │
│ │ │использования СКЗИ? │ │
│ │ │ В случае отсутствия указанной │ │
│ │ │технической возможности - │ │
│ │ │осуществляется ли передача персональных│ │
│ │ │данных в электронном виде на съемных │ │
│ │ │носителях в порядке, согласованном со │ │
│ │ │структурным подразделением или │ │
│ │ │должностным лицом (работником) │ │
│ │ │организации, ответственным за │ │
│ │ │обеспечение безопасности персональных │ │
│ │ │данных и со службой ИБ организации? │ │
├────────┼─────────┼───────────────────────────────────────┼──────────────┤
│ 34 │ 6.5.12 │ Осуществляется ли подключение ИСПДн к│M3.4, M5.1, │
│ │ │ИСПДн другого класса или к сети │M5.15, M5.23 │
│ │ │Интернет с использованием средств │ │
│ │ │межсетевого экранирования (межсетевых │ │
│ │ │экранов), которые имеют подтвержденный │ │
│ │ │сертификатом класс защиты не ниже │ │
│ │ │четвертого при возможности │ │
│ │ │информационного обмена между всеми │ │
│ │ │компонентами защищаемой ИСПДн без │ │
│ │ │использования компонентов других │ │
│ │ │автоматизированных банковских систем │ │
│ │ │организации (в иных случаях - не ниже │ │
│ │ │третьего класса)? │ │
│ │ │ Указанные классы защиты │ │
│ │ │устанавливаются в соответствии с │ │
│ │ │руководящим документом "Средства │ │
│ │ │вычислительной техники. Межсетевые │ │
│ │ │экраны. Защита от несанкционированного │ │
│ │ │доступа к информации. Показатели │ │
│ │ │защищенности от несанкционированного │ │
│ │ │доступа к информации", утвержденного │ │
│ │ │решением председателя Государственной │ │
│ │ │технической комиссии при Президенте │ │
│ │ │Российской Федерации от 25 июля 1997 │ │
│ │ │года │ │
└────────┴─────────┴───────────────────────────────────────┴──────────────┘
--------------------------------
ИСПДн-С - ИСПДн обработки специальных категорий персональных данных;
ИСПДн-Б - ИСПДн обработки биометрических персональных данных;
ИСПДн-И - ИСПДн обработки персональных данных, не являющихся биометрическими и не относящихся к специальным категориям, доступ к которым должен быть ограничен;
ИСПДн-Д - ИСПДн обработки общедоступных и (или) обезличенных персональных данных.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей