|
п. 2.15 СТР– К
|
Наличие лиц, ответственных за обеспечение безопасности конфиденциальной информации, наличие в должностной инструкции обязанностей по защите информации.
|
Приказ о назначении
|
|
п.п.3.6, 3.10, 5.1.3, 5.2.2 СТР–К; указ Президента Российской Федерации об утверждении перечня сведений конфиденциального характера от 6.03.1997 № 188
|
Наличие и содержание перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений, утвержденного руководителем организации. Ознакомление с перечнем сотрудников учреждения, организации, подведомственного органу исполнительной власти края (далее – ПУ) под роспись в части их касающейся
|
Наличие и соответствие перечня текущим условиям деятельности ПУ
|
|
п. 2.4. СТР–К, п. 1.5. АС. Защита от НСД
|
Учет информационных ресурсов, подлежащих защите в АС, с указанием уровня конфиденциальности (объекты доступа)
|
Разработка документов:
– перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
– перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;
– матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
– режим обработки данных в АС
|
|
п.п. 2.16, 4.2.3, 5.1.3. СТР–К
|
Применение сертифицированных средств защиты информации либо сертифицированных технических средств обработки информации. Проверка актуальности и легитимности сертификатов соответствия на применяемые средства защиты информации
|
Наличие действующих сертификатов соответствия требованиям безопасности информацию
|
|
п.3.4 СТР–К
|
Проверка договоров на проведение мероприятий по защите информации с организациями– лицензиатами, в случае проведения ими мероприятий по защите КИ (аттестация, контроль). Проверка наличия действующих лицензий организаций– лицензиатов
|
Наличие договоров
|
|
п. 3.8 СТР–К
|
Приказ об определении объекта информатизации, в котором устанавливается необходимость обработки (обсуждения) конфиденциальной информации
|
Наличие
|
|
п.п. 3.8, 2.13 СТР–К
|
Разработка модели угроз безопасности информации и модели вероятного нарушителя (ГОСТ Р 51275– 2006)
|
Наличие
|
|
п.п.3.18, 3.8, 4.2.1, СТР–К
|
Наличие и правильность оформления Технического паспорта на объект информатизации.
Наличия отметок о проведении контрольных мероприятий
|
Наличие
|
|
п.п. 3.8, 3.15, 5.1.4, 5.1.7, 5.2.3, 5.4.2, 5.4.3 СТР–К.
п.1.1. РД АС. Защита от НСД
|
Оценка правильности определения класса защищенности автоматизированных систем
|
– Приказ о назначении комиссии по классификации АС
– Акт классификации, проверка классификационных признаков в соответствии с (перечнем защищаемых информационных ресурсов АС и их уровня конфиденциальности, перечня лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий, матрицы доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС, режима обработки данных в АС).
Классификация ИСПДн не ниже классов 1Д, 2Б и 3Б соответственно
|
|
п.п.3.16, 5.1.3 СТР–К
|
Порядок организации физической охраны
|
Наличие подразделения по физической охране (наименование организации, оказывающей услуги физической охраны, номер и дата договора).
Наличие и содержание документов об организации пропускного и внутриобъектового режима
|
|
п.п. 3.16, 4.2.1, 5.1.3, 5.2.7, 5.3.2, 5.6.6 СТР–К
|
Проверка наличия документов разрешительной системы доступа:
– список лиц, допущенных к самостоятельной работе в АС (субъект доступа);
– список лиц эксплуатационного (обслуживающего персонала) в ЗП, АС;
– список лиц, имеющих право самостоятельного доступа в помещения, в которых обрабатывается (обсуждается) конфиденциальная информация;
– наличие заявок на доступ к информационным ресурсам (должно быть прописано в документации по разрешительной системе допуска);
– перечень программного обеспечения, разрешенного к использованию в АС (субъект доступа)
|
Наличие документов
|
|
п. 3.16 СТР–К
|
Наличие Приказа о назначении ответственных за эксплуатацию средств защиты информации (объекта информатизации).
|
Наличие документа
|
|
п.п. 3.18, 5.5.1, 5.5.3, 5.5.5 СТР–К
|
Описание технологического процесса обработки информации.
Наличие, содержание и сравнение с реальным технологическим процессом путем опроса исполнителей
При использовании обработки информации с использованием МНИ должно быть обеспечено исключение хранения информации на ПЭВМ в нерабочее время.
|
Наличие документа, соответствие установленным требованиям
|
|
п. 3.18 СТР–К
|
План организационно– технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации.
|
Наличие плана
|
|
п. 3.18, 5.3.1 "СТР–К"
|
Наличие и содержание документов:
– инструкции пользователям АС по эксплуатации средств защиты информации
– инструкции администратору АС по эксплуатации средств защиты информации
– инструкции администратору безопасности АС по эксплуатации средств защиты информации.
|
Наличие документов
|
|
п. 1.5 РД АС. Защита от НСД
п.5.3.2, 5.1.3 СТР–К
|
Матрица доступа
– наличие и проверка описанных в матрице и реальных прав в АС
Реализация разграничения доступа к информационным ресурсам в соответствии с матрицей доступа.
|
Наличие документа и соответствие реального технологического процесса.
|
|
п.2.17, СТР–К
|
Наличие аттестатов соответствия на объекты информатизации, обрабатывающие конфиденциальную информацию.
|
Наличие
|
|
п.3.22 СТР–К
|
Наличие и содержание программы и методики проведения аттестационных испытаний.
|
Наличие
|
|
п.3.20 СТР–К
|
Правильность проведения аттестационных испытаний наличие и содержание аттестационной документации.
|
Наличие
|
|
п.3.21 СТР–К
|
Наличие правовых актов:
– на проектирование объекта информатизации и назначение ответственных исполнителей;
– на проведение работ по защите информации;
– о назначении лиц, ответственных за эксплуатацию объекта информатизации;
– на обработку в АС (обсуждение в ЗП) конфиденциальной информации (правовой акт о вводе ОИ в эксплуатацию).
|
Наличие
|
|
п.3.24 СТР–К
|
Организация контроля эффективности организационных и технических мероприятий по технической защите информации.
|
Наличие не реже 1 раза в год
|
|
п.4.2.1 СТР–К
|
Наличие перечня защищаемых помещений.
|
Наличие
|
|
п. 4.2.4 СТР–К
|
Проведение специальных проверок технических средств, установленных в защищаемых помещениях проводится при необходимости, по решению руководителя.
|
Наличие (рекомендовано)
|
|
раздел 4.2 СТР–К
|
Принятые меры по технической защите защищаемых помещений (описание принятых мер).
|
Наличие
|
|
п. 4.4.3 СТР–К
|
Приказ о назначении ответственного за хранение и использование аппаратуры звуко– и видеозаписи информации, и обеспечено хранение и использование этой аппаратуры, исключающее несанкционированный доступ к ней (при использовании звуко- и видеозаписи в ЗП).
|
Наличие
|
|
п.п. 5.1.3, 5.2.7, 5.3.2 СТР–К
|
Документы, регламентирующие порядок допуска к конфиденциальной информации
(например, Положение о разрешительной системе допуска).
|
Наличие
|
|
п. 5.1.3 СТР–К
|
Порядок аудита событий в АС
– проверка настроек СЗИ в части аудита в соответствии с установленным классом защищенности АС
– указание в инструкциях администраторам АС о проведении аудита событий
|
Наличие
|
|
п. 5.1.3 СТР–К
|
Опечатывание средств вычислительной техники, используемой в АС
|
Наличие
|
|
п. 5.1.3 СТР–К
|
Организация резервного копирования:
– правовой акт о назначении ответственного за резервное копирование;
– инструкция по резервному копированию (с указанием периодичности резервирования, средств для осуществления резервного копирования, установленных носителей резервных копий)
|
Наличие
|
|
п. 26 Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам от 15.09.1993 № 912– 51 (далее – Положение о ГСЗИ)
|
Приказ об определении контролируемой зоны в ПУ
|
Наличие
|
|
п. 5.1.3 СТР–К
|
Защита линий электропитания и заземления средствами активной защиты информации (в случае размещения трансформаторной подстанции за пределами контролируемой зоны)
|
Наличие
|
|
п. 5.1.3 СТР–К
|
Использование сертифицированных систем гарантированного электропитания
|
Наличие
|
|
п. п. 5.1.3, 5.2.5 СТР–К
|
Организация защиты конфиденциальной информации при ее передаче по каналам связи
– использование средств криптографической защиты информации в случае передачи данных по незащищенным каналам связи;
– размещение линий связи в пределах контролируемой зоны
|
Выполнение
|
|
п.п. 5.1.3, 5.3.2 СТР–К
|
Размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр
|
Выполнение
|
|
п. 5.1.3 СТР–К
|
Организация системы антивирусной защиты информации
– назначение ответственных за антивирусную защиту информации
– инструкция по антивирусной защите (с требованиями к антивирусным средствам, периодичностью антивирусного контроля)
– проверка настроек средств антивирусной защиты.
|
Выполнение
|
|
п.5.1.11 СТР–К
|
Проверка знаний сотрудников организаций по вопросам организации порядка обеспечения защиты конфиденциальной информации:
– наличие нормативной законодательной базы по защите информации (Федеральные законы, методические документы, локальные нормативные правовые акты и так далее);
– ознакомление с нормативными документами по защите информации в организации в части их касающейся (законодательные акты);
– ознакомление сотрудников организации с внутренними документами по защите конфиденциальной информации (приказы, инструкции и т.п.) под роспись в части их касающейся.
|
Наличие документов, подтверждающих ознакомление и проверку
|
|
п. 5.2.4 СТР–К
|
Наличие сертификатов на используемые СВТ по электромагнитной совместимости, по безопасности, по санитарным нормам, предъявляемым к видеодисплейным терминалам ПЭВМ (ГОСТ 29216– 91, ГОСТ Р 50948– 96, ГОСТ Р 50949– 96, ГОСТ Р 50923– 96, СанПиН 2.2.2.542– 96)
|
Наличие
|
|
п.5.3.2 СТР–К
|
Проверка организации стирания остаточной информации.
Данное требование должно быть прописано в инструкциях пользователям/администраторам АС.
Проверка работоспособности функции затирания информации в средствах защиты информации
|
Наличие
|
|
п. 5.6.3 СТР–К
|
Проверка наличия средств защиты информации во всех узлах ЛВС независимо от наличия (отсутствия) в них конфиденциальной информации. В случае если АС не отделена от остальной ЛВС межсетевым экраном
|
Наличие
|
|
п.п.5.3.2, 5.6.7 СТР–К
|
Организация парольной защиты
|
Наличие
|
|
п.п. 5.7.2, 5.7.3 СТР–К
|
Использование в АС типа ЛВС средств обнаружения вторжений, мониторинга сети, активного аудита (в случае отсутствия подключения АС к сети Интернет). Разделение траффика на сетевом уровне с учетом решаемых задач пользователей. Проверка соответствия технологического процесса обработки информации правилам фильтрации межсетевых экранов
|
Наличие
|
|
п.5.8.2. СТР–К
|
Проверка настроек штатных средств защиты в СУБД
|
Наличие
|
|
п.5.6.5. СТР–К
п.1 Указа Президента Российской Федерации от 17.03.2008 г. № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно – телекоммуникационных сетей международного информационного обмена" (далее – Указ № 351)
|
Использование сертифицированных межсетевых экранов соответствующего класса согласно установленного класса защищенности АС
|
Наличие
|
|
п.п.6.1.4, 6.2.1, 6.3.2, 6.3.3, 6.3.4, 6.3.6, 6.3.8, 6.3.9, 6.3.11 СТР–К
|
Порядок использования в АС сети Интернет
|
Использование электронной подписи при передаче конфиденциальной информации для подтверждения подлинности, использование средств обнаружения вторжений, сокрытие топологии сети путем фильтрации на сетевом уровне, использование средств анализа защищенности АП, – использование средств усиленной идентификации и аутентификации, – централизованное управление системой защиты информации, наличие Приказа о допуске к работе на АП, Приказ о назначении администратора безопасности, ознакомление исполнителей с требованиями по защите информации при подключении АС к сети Интернет, наличие инструкции, регламентирующей порядок допуска к сети Интернет, содержание инструкции, наличие заявок на допуск к сети Интернет, содержание заявок, Приказ о назначении комиссии по приемке в эксплуатацию АП, заключение о выполнении требований по защите информации при подключении АС к сети Интернет, содержание заключения, Приказ об организации контроля защиты информации в АС, имеющей подключение к сети Интернет.
|
|
п.п.6.3.13.1, 6.3.13.2, 6.3.13.3 СТР–К
|
Обеспечение безопасности информации при удаленном доступе к ресурсам АП.
|
Наличие
|
|
п.п. 6.3.14.1, 6.3.14.2, 6.3.14.3, 6.3.15, 6.3.15.1, 6.3.15.2 СТР–К
|
Обеспечение безопасности информации при межсетевом взаимодействии отдельных АП одной организации через сеть Интернет
|
|
|
п.2.5 РД АС. Защита от НСД
|
Выполнение требований по защите конфиденциальной информации, обрабатываемой в АС класса защищенности 3Б;
– подсистема управления доступом;
– подсистема регистрации и учета;
– подсистема обеспечения целостности
|
Выполнение
|
|
п.2.8 РД АС. Защита от НСД
|
Выполнение требований по защите конфиденциальной информации, обрабатываемой в АС класса защищенности 2Б:
– подсистема управления доступом;
– подсистема регистрации и учета;
– подсистема обеспечения целостности
|
Выполнение
|
|
п.2.11 РД АС. Защита от НСД
|
Выполнение требований по защите конфиденциальной информации, обрабатываемой в АС класса защищенности 1Д:
– подсистема управления доступом;
– подсистема регистрации и учета;
– подсистема обеспечения целостности
|
Выполнение
|
|
п.2.12 РД АС. Защита от НСД
|
Выполнение требований по защите конфиденциальной информации, обрабатываемой в АС класса защищенности 1Г:
– подсистема управления доступом;
– подсистема регистрации и учета;
– подсистема обеспечения целостности
|
Выполнение
|
Скачать 149.79 Kb.