Таблица 1. Уточняющие вопросы частных показателей ИБ

┌────────┬─────────┬───────────────────────────────────────┬──────────────┐

│N уточ- │ Пункт │ Уточняющий вопрос │ Частный │

│няющего │ РС БР │ │ показатель │

│вопроса │ИББС-2.3 │ │ СТО БР │

│ │ │ │ ИББС-1.2 │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 1 │ 5.2 │ Отнесена ли каждая информационная │M10.2, M10.3, │

│ │ │система персональных данных (ИСПДн) │M12.2, M12.3, │

│ │ │организации к одному из следующих │M12.4 │

│ │ │классов - ИСПДн-С, ИСПДн-Б, ИСПДн-И, │ │

│ │ │ИСПДн-Д <*>? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 2 │ 6.1.1 │ Реализуются ли требования по │M2.1, M2.2, │

│ │ │обеспечению безопасности персональных │M2.3, M2.4 │

│ │ │данных в ИСПДн комплексом │ │

│ │ │организационных, технологических, │ │

│ │ │технических и программных мер, средств │ │

│ │ │и механизмов защиты информации? │ │

│ │ │ Осуществляется ли реализация │ │

│ │ │требований и (или) организуется ли │ │

│ │ │выполнение требований по обеспечению │ │

│ │ │безопасности персональных данных │ │

│ │ │структурным подразделением или │ │

│ │ │должностным лицом (работником) │ │

│ │ │организации, ответственным за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных, либо на договорной основе │ │

│ │ │организацией - контрагентом │ │

│ │ │организации, имеющей лицензию на │ │

│ │ │деятельность по технической защите │ │

│ │ │конфиденциальной информации? │ │

│ │ │ Допускается возложение │ │

│ │ │ответственности за организацию работы │ │

│ │ │по обеспечению безопасности │ │

│ │ │персональных данных на существующее в │ │

│ │ │организации подразделение (например, │ │

│ │ │на службу ИБ). │ │

│ │ │ Осуществляется ли реализация │ │

│ │ │требований по обеспечению безопасности │ │

│ │ │ПДн по согласованию и под контролем │ │

│ │ │службы ИБ организации? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 3 │ 6.1.2 │ Включает ли создание ИСПДн │M2.1, M2.2, │

│ │ │организации разработку и согласование │M2.3, M2.5, │

│ │ │(утверждение) предусмотренной │M2.6, M8.3, │

│ │ │техническим заданием организационно- │M8.5, M15.6, │

│ │ │распорядительной, проектной и │M15.7 │

│ │ │эксплуатационной документации на │ │

│ │ │создаваемую систему (в документации │ │

│ │ │должны быть отражены вопросы │ │

│ │ │обеспечения безопасности обрабатываемых│ │

│ │ │персональных данных)? │ │

│ │ │ Осуществляются ли разработка │ │

│ │ │концепций, технических заданий, │ │

│ │ │проектирование, создание и │ │

│ │ │тестирование, приемка и ввод в действие│ │

│ │ │ИСПДн по согласованию и под контролем │ │

│ │ │структурного подразделения или │ │

│ │ │должностного лица (работника) │ │

│ │ │организации, ответственного за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных, и службы ИБ организации? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 4 │ 6.1.3 │ Защищены ли от воздействий │M4.1, M4.5 │

│ │ │вредоносного кода все информационные │ │

│ │ │активы, принадлежащие ИСПДн │ │

│ │ │организации? │ │

│ │ │ Определены ли в организации и │ │

│ │ │зафиксированы ли документально │ │

│ │ │требования по обеспечению безопасности │ │

│ │ │персональных данных средствами │ │

│ │ │антивирусной защиты и порядок │ │

│ │ │проведения контроля реализации этих │ │

│ │ │требований в соответствии с │ │

│ │ │требованиями пункта 7.5 СТО БР │ │

│ │ │ИББС-1.0? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 5 │ 6.1.4 │ Определена ли в организации система │M3.5, M3.6, │

│ │ │контроля доступа, позволяющая │M3.7, M3.8 │

│ │ │осуществлять контроль доступа к │ │

│ │ │коммуникационным портам, устройствам │ │

│ │ │ввода-вывода информации, съемным │ │

│ │ │машинным носителям и внешним │ │

│ │ │накопителям информации ИСПДн? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 6 │ 6.1.5 │ Действуют ли работники, │M1.1, M1.3, │

│ │ │осуществляющие обработку персональных │M1.4, M1.19, │

│ │ │данных в ИСПДн, в соответствии с │M16.1, M29.1 │

│ │ │инструкцией (руководством, регламентом │ │

│ │ │и т.п.), входящей в состав │ │

│ │ │эксплуатационной документации на ИСПДн,│ │

│ │ │и соблюдают ли работники требования │ │

│ │ │документов организации по обеспечению │ │

│ │ │ИБ? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 7 │ 6.1.6 │ Возложены ли приказами │M1.1, M1.3, │

│ │ │(распоряжениями) обязанности по │M1.4, M8.4, │

│ │ │администрированию средств защиты и │M8.5, M15.6, │

│ │ │механизмов защиты, реализующих │M15.7, M15.8 │

│ │ │требования по обеспечению ИБ ИСПДн │ │

│ │ │организации, на администраторов │ │

│ │ │информационной безопасности ИСПДн? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 8 │ 6.1.7 │ Определен ли порядок действий │M1.1, M1.3, │

│ │ │администратора информационной │M1.4, M1.13, │

│ │ │безопасности ИСПДн и персонала, занятых│M1.14, │

│ │ │в процессе обработки персональных │M2.5, M2.6, │

│ │ │данных, инструкциями (руководствами), │M2.11, M2.12, │

│ │ │которые готовятся разработчиком ИСПД в │M3.2, M3.11, │

│ │ │составе эксплуатационной документации │M3.12, M3.14, │

│ │ │на ИСПДн? │M3.15, M3.16, │

│ │ │ Выполняются ли следующие требования к│M3.17, M8.5, │

│ │ │таким инструкциям (руководствам): │M8.12, M15.6, │

│ │ │ - устанавливают требования к │M15.7, M15.8, │

│ │ │квалификации администратора │M21.1, M21.7, │

│ │ │информационной безопасности и персонала│M21.8, M32.1, │

│ │ │в области защиты информации, а также │M32.2 │

│ │ │актуальный перечень защищаемых объектов│ │

│ │ │и правила его обновления; │ │

│ │ │ - содержат в полном объеме актуальные│ │

│ │ │(по времени) данные о полномочиях │ │

│ │ │пользователей; │ │

│ │ │ - содержат данные о технологии │ │

│ │ │обработки информации в объеме, │ │

│ │ │необходимом для администратора │ │

│ │ │информационной безопасности; │ │

│ │ │ - устанавливают порядок и │ │

│ │ │периодичность анализа журналов │ │

│ │ │регистрации событий (архивов журналов)?│ │

│ │ │ Определены ли в эксплуатационной │ │

│ │ │документации на ИСПДн параметры │ │

│ │ │конфигурации средств защиты и │ │

│ │ │механизмов защиты информации от НСД, │ │

│ │ │используемых в зоне ответственности │ │

│ │ │администратора информационной │ │

│ │ │безопасности? │ │

│ │ │ Установлены ли в эксплуатационной │ │

│ │ │документации или регламентированы ли │ │

│ │ │внутренним документом организации │ │

│ │ │порядок и периодичность проверок │ │

│ │ │установленных параметров конфигурации │ │

│ │ │(при этом проверки должны проводиться │ │

│ │ │не реже чем раз в год)? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 9 │ 6.1.8 │ Определен ли в организации и │M3.18, M3.19, │

│ │ │зафиксирован ли документально порядок │M3.20, M11.9, │

│ │ │доступа в помещения, в которых │M28.9 │

│ │ │размещаются технические средства ИСПДн │ │

│ │ │и хранятся носители персональных │ │

│ │ │данных, предусматривающий контроль │ │

│ │ │доступа в помещения посторонних лиц и │ │

│ │ │наличие препятствий для │ │

│ │ │несанкционированного проникновения в │ │

│ │ │помещения? │ │

│ │ │ Разработан ли указанный порядок │ │

│ │ │структурным подразделением или │ │

│ │ │должностным лицом (работником) │ │

│ │ │организации, ответственным за │ │

│ │ │обеспечение режима физической │ │

│ │ │безопасности организации БС РФ и │ │

│ │ │согласован ли структурным │ │

│ │ │подразделением или должностным лицом │ │

│ │ │(работником) организации БС РФ, │ │

│ │ │ответственным за обеспечение │ │

│ │ │безопасности персональных данных, и со │ │

│ │ │службой ИБ организации? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 10 │ 6.1.9 │ Запрещено ли организационно- │M15.6, M15.8, │

│ │ │техническими мерами в помещениях, в │M21.1, M21.7, │

│ │ │которых размещаются технические │M32.1 │

│ │ │средства ИСПДн, несанкционированное и │ │

│ │ │(или) нерегистрируемое (бесконтрольное)│ │

│ │ │копирование персональных данных, в том │ │

│ │ │числе с использованием отчуждаемых │ │

│ │ │носителей информации, мобильных │ │

│ │ │устройств копирования и переноса │ │

│ │ │информации, коммуникационных портов и │ │

│ │ │устройств ввода-вывода, реализующих │ │

│ │ │различные интерфейсы (включая │ │

│ │ │беспроводные), запоминающих устройств │ │

│ │ │мобильных средств (например, ноутбуков,│ │

│ │ │карманных персональных компьютеров, │ │

│ │ │смартфонов, мобильных телефонов), а │ │

│ │ │также устройств фото- и видеосъемки? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 11 │ 6.2.1 │ Регламентируются ли в проектной и │M2.1, M8.6, │

│ │ │эксплуатационной документации процессы │M15.6, M15.7 │

│ │ │обработки персональных данных, а также │ │

│ │ │порядок установки, настройки, │ │

│ │ │эксплуатации и восстановления │ │

│ │ │необходимых технических и программных │ │

│ │ │средств? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 12 │ 6.2.2 │ Обеспечиваются ли идентификация и │M3.5, M3.6, │

│ │ │аутентификация (проверка подлинности) │M3.7, M3.8, │

│ │ │субъекта доступа при входе в ИСПДн по │M15.6, M15.8 │

│ │ │идентификатору (коду) и периодически │ │

│ │ │обновляемому паролю длиной не менее │ │

│ │ │шести буквенно-цифровых символов? │ │

│ │ │ Ограничено ли при наличии технической│ │

│ │ │возможности количество последовательных│ │

│ │ │неудачных попыток ввода пароля (от 3 до│ │

│ │ │5 попыток)? │ │

│ │ │ Блокируют ли при превышении │ │

│ │ │указанного количества средства защиты и│ │

│ │ │механизм защиты возможность дальнейшего│ │

│ │ │ввода пароля, включая правильное │ │

│ │ │значение пароля, до вмешательства │ │

│ │ │администратора информационной │ │

│ │ │безопасности? │ │

│ │ │ Регламентируются ли порядок │ │

│ │ │формирования и смены паролей, а также │ │

│ │ │порядок контроля исполнения этих │ │

│ │ │процедур разработчиком ИСПДн в │ │

│ │ │эксплуатационной документации в │ │

│ │ │инструкциях (руководствах) │ │

│ │ │администраторов информационной │ │

│ │ │безопасности? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 13 │ 6.2.3 │ Осуществляется ли передача │M3.9, M5.1, │

│ │ │персональных данных только при условии │M5.15, M5.23, │

│ │ │обеспечения их целостности с помощью │M11.9, M28.9 │

│ │ │защитных мер, механизмов и средств, │ │

│ │ │применяемых по согласованию со │ │

│ │ │структурным подразделением или │ │

│ │ │должностным лицом (работником) │ │

│ │ │организации, ответственным за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 14 │ 6.3.2 │ Обеспечивается ли выполнение функций │M2.1, M3.4 │

│ │ │обеспечения безопасности персональных │ │

│ │ │данных в ИСПДн средствами защиты │ │

│ │ │информации, прошедшими в установленном │ │

│ │ │порядке процедуру оценки соответствия, │ │

│ │ │а также комплексом встроенных │ │

│ │ │механизмов защиты электронных │ │

│ │ │вычислительных машин (ЭВМ), │ │

│ │ │операционных систем (ОС), систем │ │

│ │ │управления базами данных (СУБД), │ │

│ │ │прикладного программного обеспечения │ │

│ │ │(ПО)? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 15 │ 6.3.3 │ Выполнены ли разработчиком ИСПДн на │M3.4, M11.9, │

│ │ │стадии ввода в действие настройки │M21.1, M28.9 │

│ │ │средств и механизмов обеспечения │ │

│ │ │безопасности, не допускающие │ │

│ │ │несанкционированного изменения │ │

│ │ │пользователем предоставленных ему │ │

│ │ │полномочий? │ │

│ │ │ Определен ли разработчиком ИСПДн │ │

│ │ │порядок постоянного контроля │ │

│ │ │фактического состояния настроек средств│ │

│ │ │и механизмов обеспечения безопасности │ │

│ │ │на предмет их соответствия │ │

│ │ │установленным правилам? │ │

│ │ │ Согласован ли указанный порядок со │ │

│ │ │структурным подразделением или │ │

│ │ │должностным лицом (работником) │ │

│ │ │организации, ответственным за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных, и согласован ли со службой ИБ │ │

│ │ │организации? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 16 │ 6.3.4 │ Выполняется ли в обязательном порядке│M3.11, M3.12 │

│ │ │регистрация входа в ИСПДн (выхода из │ │

│ │ │ИСПДн) субъектов доступа? Указываются │ │

│ │ │ли в журнале регистрации событий, │ │

│ │ │который ведется в электронном виде │ │

│ │ │ИСПДн, следующие параметры: │ │

│ │ │ - дата и время входа в систему │ │

│ │ │(выхода из системы) субъекта доступа; │ │

│ │ │ - идентификатор субъекта, │ │

│ │ │предъявленный при запросе доступа; │ │

│ │ │ - результат попытки входа: успешная │ │

│ │ │или неуспешная (несанкционированная); │ │

│ │ │ - идентификатор (адрес) устройства │ │

│ │ │(компьютера), используемого для входа в│ │

│ │ │систему? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 17 │ 6.3.6 │ Определен ли в организации и │M2.16, M2.17, │

│ │ │зафиксирован ли документально порядок │M3.1, M3.11, │

│ │ │постановки на учет и снятия с учета │M3.12, M8.1, │

│ │ │машинных носителей, предназначенных для│M8.6, M8.7, │

│ │ │размещения персональных данных? │M12.2, M12.3, │

│ │ │ Проводится ли снятие с учета машинных│M17.2 │

│ │ │носителей, на которых были размещены │ │

│ │ │персональные данные, по акту путем │ │

│ │ │стирания с них информации средствами │ │

│ │ │гарантированного стирания информации │ │

│ │ │или по акту путем их уничтожения? │ │

│ │ │ Регламентируется ли разработчиком │ │

│ │ │ИСПДн в эксплуатационной документации │ │

│ │ │на ИСПДн процедура стирания информации │ │

│ │ │в зависимости от применяемого средства │ │

│ │ │гарантированного стирания? │ │

│ │ │ Осуществляется ли (при наличии │ │

│ │ │технической возможности) очистка │ │

│ │ │освобождаемых областей памяти на │ │

│ │ │носителях, ранее использованных для │ │

│ │ │хранения персональных данных? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 18 │ 6.3.7 │ Определены ли в соответствии с │M2.13, M2.14, │

│ │ │требованиями пункта 7.9.7 СТО БР ИББС- │M8.9, M8.10 │

│ │ │1.0 и зафиксированы ли документально │ │

│ │ │состав и назначение ПО ИСПДн? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 19 │ 6.3.8 │ Регламентирован ли порядок внесения │M2.1, M2.13, │

│ │ │изменений в установленное ПО ИСПДн, │M2.14, M15.6, │

│ │ │включая контроль действий программистов│M15.7, M15.8 │

│ │ │в процессе модификации ПО? │ │

│ │ │ Учтены ли эталонные копии ПО, │ │

│ │ │регламентирован ли доступ к ним? │ │

│ │ │ Готовятся ли разработчиком ИСПДн │ │

│ │ │соответствующие регламенты в виде │ │

│ │ │инструкций, руководств и включаются ли │ │

│ │ │в эксплуатационную документацию на │ │

│ │ │ИСПДн? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 20 │ 6.3.9 │ Подлежат ли резервному копированию │M2.13, M2.14, │

│ │ │все программные средства, архивы, │M8.13, M20.3, │

│ │ │журналы, информационные ресурсы │M20.5 │

│ │ │(данные), используемые и создаваемые в │ │

│ │ │процессе эксплуатации ИСПДн? │ │

│ │ │ Предусматривают ли средства │ │

│ │ │восстановления функций обеспечения │ │

│ │ │безопасности персональных данных в │ │

│ │ │ИСПДн ведение не менее двух независимых│ │

│ │ │копий программных средств? │ │

│ │ │ Регламентирован ли порядок создания и│ │

│ │ │сопровождения резервных копий, │ │

│ │ │включающий способ и периодичность │ │

│ │ │копирования, процедуры создания, учета,│ │

│ │ │хранения, использования (для │ │

│ │ │восстановления) и уничтожения резервных│ │

│ │ │копий, разработчиком ИСПДн в │ │

│ │ │эксплуатационной документации на ИСПДн?│ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 21 │ 6.3.10 │ Осуществляется ли (в случае нештатной│M1.1, M1.3, │

│ │ │ситуации) восстановление функций │M1.4, M2.5, │

│ │ │обеспечения безопасности персональных │M2.6, M2.13, │

│ │ │данных в ИСПДн администратором ИСПДн с │M8.4, M8.5, │

│ │ │обязательным привлечением │M8.13, M20.2 │

│ │ │администратора информационной │ │

│ │ │безопасности ИСПДн (при необходимости -│ │

│ │ │с привлечением специалистов │ │

│ │ │структурного подразделения или │ │

│ │ │должностного лица (работника) │ │

│ │ │организации, ответственного за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных, и службы ИБ организации)? │ │

│ │ │ Регламентирована ли разработчиком │ │

│ │ │ИСПДн в эксплуатационной документации │ │

│ │ │на ИСПДн процедура восстановления? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 22 │ 6.3.11 │ Осуществляется ли подключение ИСПДн к│M5.1, M5.15, │

│ │ │ИСПДн другого класса или к сети │M5.23 │

│ │ │Интернет с использованием средств │ │

│ │ │межсетевого экранирования (межсетевых │ │

│ │ │экранов), которые обеспечивают │ │

│ │ │выполнение следующих функций: │ │

│ │ │- фильтрацию на сетевом уровне для │ │

│ │ │каждого сетевого пакета независимо │ │

│ │ │(решение о фильтрации принимается на │ │

│ │ │основе сетевых адресов отправителя и │ │

│ │ │получателя или на основе других │ │

│ │ │эквивалентных атрибутов); │ │

│ │ │- идентификацию и аутентификацию │ │

│ │ │администратора межсетевого экрана при │ │

│ │ │его локальных запросах на доступ по │ │

│ │ │идентификатору (коду) и паролю условно-│ │

│ │ │постоянного действия; │ │

│ │ │- регистрацию входа (выхода) │ │

│ │ │администратора межсетевого экрана в │ │

│ │ │систему (из системы) либо загрузки и │ │

│ │ │инициализации системы и ее программного│ │

│ │ │останова (регистрация выхода из системы│ │

│ │ │не проводится в моменты аппаратурного │ │

│ │ │отключения межсетевого экрана); │ │

│ │ │- возможность проверки (контроля) │ │

│ │ │целостности программной и │ │

│ │ │информационной части средства │ │

│ │ │межсетевого экранирования (в том числе │ │

│ │ │с применением внешних программных │ │

│ │ │средств, не встроенных в средство │ │

│ │ │межсетевого экранирования); │ │

│ │ │- фильтрацию пакетов служебных │ │

│ │ │протоколов, служащих для диагностики и │ │

│ │ │управления работой сетевых устройств; │ │

│ │ │- восстановление свойств межсетевого │ │

│ │ │экрана после сбоев и отказов │ │

│ │ │оборудования (в том числе с применением│ │

│ │ │внешних программных средств, не │ │

│ │ │встроенных в средство межсетевого │ │

│ │ │экранирования); │ │

│ │ │- возможность проведения регламентного │ │

│ │ │тестирования реализации правил │ │

│ │ │фильтрации, процесса идентификации и │ │

│ │ │аутентификации администратора │ │

│ │ │межсетевого экрана, процесса │ │

│ │ │регистрации действий администратора │ │

│ │ │межсетевого экрана, процесс контроля за│ │

│ │ │целостностью программной и │ │

│ │ │информационной части, процедур │ │

│ │ │восстановления (в том числе с │ │

│ │ │применением внешних программных │ │

│ │ │средств, не встроенных в средство │ │

│ │ │межсетевого экранирования)? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 23 │ 6.4.1 │ Выполняются ли для информационных │M2.5, M2.6, │

│ │ │систем обработки биометрических │M3.1, M3.3, │

│ │ │персональных данных требования, │M3.4, M3.7, │

│ │ │установленные Постановлением │M3.8, M3.9, │

│ │ │Правительства от 6 июля 2008 г. N 512 │M3.10, M3.11, │

│ │ │"Об утверждении требований к │M3.12, M6.3, │

│ │ │материальным носителям биометрических │M6.4, M8.1, │

│ │ │персональных данных и технологиям │M8.7, M11.9, │

│ │ │хранения таких данных вне │M12.2, M12.3, │

│ │ │информационных систем персональных │M17.2, M28.9 │

│ │ │данных"? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 24 │ 6.5.2 │ Осуществляется ли идентификация по │M3.4, M3.5 │

│ │ │логическим именам информационных │ │

│ │ │ресурсов (например, информационных │ │

│ │ │массивов, баз данных, файлов, │ │

│ │ │обрабатывающих их программ), содержащих│ │

│ │ │персональные данные? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 25 │ 6.5.3 │ Осуществляется ли обязательный │M3.2, M3.4, │

│ │ │контроль доступа субъектов к защищаемым│M3.5, M3.6, │

│ │ │информационным ресурсам в соответствии │M3.7, M3.8 │

│ │ │с правами доступа указанных субъектов? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 26 │ 6.5.4 │ Выполняется ли в обязательном порядке│M3.11, M3.12 │

│ │ │регистрация печати материалов, │ │

│ │ │содержащих персональные данные? │ │

│ │ │Указываются ли в журнале регистрации │ │

│ │ │событий, который ведется в электронном │ │

│ │ │виде ИСПДн, следующие параметры: │ │

│ │ │- дата и время печати; │ │

│ │ │- спецификация устройства печати │ │

│ │ │(логическое имя (номер) внешнего │ │

│ │ │устройства); │ │

│ │ │- полное наименование (вид, шифр, код) │ │

│ │ │материала; │ │

│ │ │- идентификатор субъекта доступа, │ │

│ │ │запросившего печать материала; │ │

│ │ │- объем фактически отпечатанного │ │

│ │ │материала (количество страниц, листов, │ │

│ │ │копий) и результат печати: успешная │ │

│ │ │(весь объем) или неуспешная? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 27 │ 6.5.5 │ Выполняется ли обязательная │M3.11, M3.12 │

│ │ │регистрация запуска программ и │ │

│ │ │процессов, осуществляющих доступ к │ │

│ │ │защищаемым информационным ресурсам? │ │

│ │ │ Указываются ли в журнале регистрации │ │

│ │ │событий, который ведется в электронном │ │

│ │ │виде ИСПДн, следующие параметры: │ │

│ │ │- дата и время запуска; │ │

│ │ │- имя (идентификатор) программы │ │

│ │ │(процесса, задания); │ │

│ │ │- идентификатор субъекта доступа, │ │

│ │ │запросившего программу (процесс, │ │

│ │ │задание); │ │

│ │ │- результат попытки запуска: успешная │ │

│ │ │или неуспешная (несанкционированная); │ │

│ │ │- дата и время попытки доступа к │ │

│ │ │защищаемому информационному ресурсу; │ │

│ │ │- имя (идентификатор) защищаемого │ │

│ │ │информационного ресурса; │ │

│ │ │- вид запрашиваемой операции (например,│ │

│ │ │чтение, запись, модификация, удаление);│ │

│ │ │- результат попытки доступа: успешная │ │

│ │ │или неуспешная (несанкционированная)? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 28 │ 6.5.6 │ Выполняется ли обязательная │M3.11, M3.12 │

│ │ │регистрация изменений полномочий │ │

│ │ │субъектов доступа и статуса объектов │ │

│ │ │доступа (защищаемых информационных │ │

│ │ │ресурсов)? │ │

│ │ │ Указываются ли в журнале регистрации │ │

│ │ │событий, который ведется в электронном │ │

│ │ │виде ИСПДн, следующие параметры: │ │

│ │ │ - дата и время изменения; │ │

│ │ │ - содержание изменения с указанием │ │

│ │ │идентификатора субъекта доступа, чьи │ │

│ │ │полномочия подверглись изменению, или │ │

│ │ │логического имени защищаемого │ │

│ │ │информационного ресурса, чей статус │ │

│ │ │изменился; │ │

│ │ │ - идентификатор администратора │ │

│ │ │информационной безопасности, │ │

│ │ │осуществившего изменение? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 29 │6.3.5 │ Не имеют ли ИСПДн субъектов доступа, │M1.9, M3.11, │

│ │6.5.7 │обладающих полномочиями, а при │M3.12, M8.4, │

│ │ │возможности и техническими средствами │M8.5, M15.6, │

│ │ │по уничтожению и модификации │M15.8 │

│ │ │информации, содержащейся в журналах │ │

│ │ │регистрации событий, указанных в │ │

│ │ │пунктах 6.3.4, 6.5.4 - 6.5.6 │ │

│ │ │РС БР ИББС-2.3? │ │

│ │ │ Регламентирована ли очистка журналов │ │

│ │ │регистрации событий, указанных │ │

│ │ │в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР │ │

│ │ │ИББС-2.3, разработчиком ИСПДн в │ │

│ │ │эксплуатационной документации на ИСПДн?│ │

│ │ │ Проводится ли перед очисткой журналов│ │

│ │ │регистрации событий, указанных │ │

│ │ │в пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР │ │

│ │ │ИББС-2.3, архивирование содержащейся в │ │

│ │ │них информации путем перемещения │ │

│ │ │информации в соответствующий архив? │ │

│ │ │ Регистрируются ли операции по │ │

│ │ │архивированию журнала регистрации │ │

│ │ │событий, указанных в пунктах 6.3.4, │ │

│ │ │6.5.4 - 6.5.6 РС БР ИББС-2.3, с │ │

│ │ │указанием времени и идентификатора │ │

│ │ │работника, выполнившего операцию, в │ │

│ │ │качестве первой записи в действующем │ │

│ │ │журнале регистрации событий? │ │

│ │ │ Уничтожаются ли архивы журналов │ │

│ │ │регистрации событий, указанных в │ │

│ │ │пунктах 6.3.4, 6.5.4 - 6.5.6 РС БР │ │

│ │ │ИББС-2.3, только администратором │ │

│ │ │информационной безопасности, в зоне │ │

│ │ │ответственности которого находятся │ │

│ │ │данные архивы не ранее чем через три │ │

│ │ │года с момента появления последней │ │

│ │ │записи в данной архивной копии? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 30 │ 6.5.8 │ В случае, если комплекс средств │M2.1, M2.13 │

│ │ │автоматизации ИСПДн представляет собой │ │

│ │ │автономное, изолированное на физическом│ │

│ │ │уровне в соответствии с эталонной │ │

│ │ │моделью взаимодействия открытых систем │ │

│ │ │- моделью OSI, автоматизированное │ │

│ │ │рабочее место (АРМ) работника или │ │

│ │ │работников - исключены ли из ИСПДн │ │

│ │ │программные средства, предназначенные │ │

│ │ │для разработки и отладки ПО (либо │ │

│ │ │содержащие средства разработки, отладки│ │

│ │ │и тестирования программно-аппаратного │ │

│ │ │обеспечения)? │ │

│ │ │ В случае, если стандартные │ │

│ │ │программные средства общего назначения │ │

│ │ │(например, MS Office) не обеспечивают │ │

│ │ │возможности выборочного удаления из них│ │

│ │ │средств разработки и отладки ПО - │ │

│ │ │введен ли документально запрет │ │

│ │ │использования отдельных компонент │ │

│ │ │(средств разработки и отладки ПО) │ │

│ │ │стандартных программных средств общего │ │

│ │ │назначения (например, MS Office)? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 31 │ 6.5.9 │ В случае, если комплекс средств │M2.7, M2.10, │

│ │ │автоматизации ИСПДн включает одно или │M8.8, M8.12 │

│ │ │несколько сетевых АРМ, сетевого │ │

│ │ │оборудования и серверов - располагаются│ │

│ │ │ли технические и программные средства, │ │

│ │ │предназначенные для разработки и │ │

│ │ │отладки ПО либо содержащие средства │ │

│ │ │разработки, отладки и тестирования │ │

│ │ │программно-аппаратного обеспечения, в │ │

│ │ │сегментах локальной вычислительной сети│ │

│ │ │(ЛВС), изолированных (на уровне не выше│ │

│ │ │сетевого в соответствии с эталонной │ │

│ │ │моделью взаимодействия открытых систем │ │

│ │ │- моделью OSI) от сегментов, │ │

│ │ │задействованных в обработке │ │

│ │ │персональных данных? │ │

│ │ │ Регламентированы ли разработчиком в │ │

│ │ │эксплуатационной документации на ИСПДн │ │

│ │ │параметры настроек технических и │ │

│ │ │программных средств, обеспечивающих │ │

│ │ │указанное разделение, а также процедура│ │

│ │ │контроля этих параметров настроек? │ │

│ │ │ В случае, если стандартные │ │

│ │ │программные средства общего назначения │ │

│ │ │(например, MS Office) не обеспечивают │ │

│ │ │возможности выборочного удаления из них│ │

│ │ │средств разработки и отладки ПО - │ │

│ │ │введен ли документально запрет │ │

│ │ │использования отдельных компонент │ │

│ │ │(средств разработки и отладки ПО) │ │

│ │ │стандартных программных средств общего │ │

│ │ │назначения (например, MS Office), │ │

│ │ │использующихся в сегментах, │ │

│ │ │задействованных в обработке │ │

│ │ │персональных данных? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 32 │ 6.5.10 │ В случае осуществления передачи │M3.4, M6.1 │

│ │ │персональных данных между │ │

│ │ │подразделениям организации по │ │

│ │ │телекоммуникационным каналам и линиям │ │

│ │ │связи, не принадлежащим организации или│ │

│ │ │не пролегающим только по территории │ │

│ │ │организации - осуществляется ли такая │ │

│ │ │передача только при обеспечении защиты │ │

│ │ │персональных данных с помощью │ │

│ │ │организации виртуальных частных сетей │ │

│ │ │(Virtual Private Network - VPN) или │ │

│ │ │иных защитных мер, механизмов и │ │

│ │ │средств, применение которых │ │

│ │ │определяется структурным подразделением│ │

│ │ │или должностным лицом (работником) │ │

│ │ │организации, ответственным за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных, и согласовывается со службой ИБ│ │

│ │ │организации? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 33 │ 6.5.11 │ В случае осуществления передачи │M3.4, M6.1, │

│ │ │персональных данных по │M11.9 │

│ │ │телекоммуникационных каналам и линиям │ │

│ │ │связи между подразделениями │ │

│ │ │организации, с одной стороны, и │ │

│ │ │внешними организациями, с другой │ │

│ │ │стороны - осуществляется ли такая │ │

│ │ │передача с использованием │ │

│ │ │сертифицированных СКЗИ или иных │ │

│ │ │защитных механизмов, применение которых│ │

│ │ │определяется структурным подразделением│ │

│ │ │или должностным лицом (работником) │ │

│ │ │организации, ответственным за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных, и согласовывается со службой ИБ│ │

│ │ │организации? │ │

│ │ │ В случае использования СКЗИ - │ │

│ │ │выполняются ли требования нормативных │ │

│ │ │правовых актов ФСБ России? │ │

│ │ │ В случае обмена информацией с другой │ │

│ │ │организацией - определены ли │ │

│ │ │соглашением сторон (в частности, │ │

│ │ │условиями договора) правила │ │

│ │ │использования СКЗИ? │ │

│ │ │ В случае отсутствия указанной │ │

│ │ │технической возможности - │ │

│ │ │осуществляется ли передача персональных│ │

│ │ │данных в электронном виде на съемных │ │

│ │ │носителях в порядке, согласованном со │ │

│ │ │структурным подразделением или │ │

│ │ │должностным лицом (работником) │ │

│ │ │организации, ответственным за │ │

│ │ │обеспечение безопасности персональных │ │

│ │ │данных и со службой ИБ организации? │ │

├────────┼─────────┼───────────────────────────────────────┼──────────────┤

│ 34 │ 6.5.12 │ Осуществляется ли подключение ИСПДн к│M3.4, M5.1, │

│ │ │ИСПДн другого класса или к сети │M5.15, M5.23 │

│ │ │Интернет с использованием средств │ │

│ │ │межсетевого экранирования (межсетевых │ │

│ │ │экранов), которые имеют подтвержденный │ │

│ │ │сертификатом класс защиты не ниже │ │

│ │ │четвертого при возможности │ │

│ │ │информационного обмена между всеми │ │

│ │ │компонентами защищаемой ИСПДн без │ │

│ │ │использования компонентов других │ │

│ │ │автоматизированных банковских систем │ │

│ │ │организации (в иных случаях - не ниже │ │

│ │ │третьего класса)? │ │

│ │ │ Указанные классы защиты │ │

│ │ │устанавливаются в соответствии с │ │

│ │ │руководящим документом "Средства │ │

│ │ │вычислительной техники. Межсетевые │ │

│ │ │экраны. Защита от несанкционированного │ │

│ │ │доступа к информации. Показатели │ │

│ │ │защищенности от несанкционированного │ │

│ │ │доступа к информации", утвержденного │ │

│ │ │решением председателя Государственной │ │

│ │ │технической комиссии при Президенте │ │

│ │ │Российской Федерации от 25 июля 1997 │ │

│ │ │года │ │

└────────┴─────────┴───────────────────────────────────────┴──────────────┘