Методика проверок по ПД

УТВЕРЖДАЮ
Директор департамента
информатизации и связи
Ярославской области
____________ А.Ю. Воронцов
«___»_______________ 2011г.
Методика проверки информационной безопасности
при обработке персональных данных в органах
государственной власти Ярославской области
1.
Проверка наличия документов. Обращается внимание на наличие
необходимых подписей, дат, ссылок на документацию, логическую
взаимосвязь документов:
1.1. План работ по защите ПД.
1.2. Приказ о назначении комиссии по ИБ (для классификации).
1.3. Приказ о проведении внутренней проверки и классификации.
1.4. Отчет о результатах проведения внутренней проверки.
1.5. Перечень персональных данных подлежащих защите.
1.6. Акты классификации ИСПДН, в соответствии с приказом
Федеральной службы по техническому и экспортному контролю, ФСБ РФ и
Министерства информационных технологий и связи РФ от 13 февраля 2008 г.
N 55/86/20 "Об утверждении Порядка проведения классификации
информационных систем персональных данных".
1.7. Приказ о назначении администратора безопасности ИСПДн.
1.8. Приказ о назначении администратора ИСПДн.
1.9. Приказ о подразделении (ответственном) по защите
персональных данных.
1.10. Приказ об утверждении эксплуатационной документации
ИСПДн:

Журнал учета мероприятий по контролю за соблюдением режима
защиты персональных данных.

План внутренних проверок режима защиты персональных
данных.

Журнал учета обращений субъектов персональных данных о
соблюдении их законных прав, при обработке персональных данных в
ИСПДн.

Инструкция администратора безопасности ИСПДн.

Инструкция администратора ИСПДн.

Инструкция пользователя ИСПДн.

Положение о Порядке резервирования и восстановления
работоспособности ТС и ПО, баз данных и СЗИ.

Перечень лиц имеющих доступ в помещения, где установлены
ИСПДн.

Перечень лиц осуществляющих техническое обслуживание
ИСПДн.
1.11. Разрешительная система доступа.
1.12. Положение о защите персональных данных или иные документы,
устанавливающие порядок обработки ПД работников в соответствии с главой
14 ТК РФ.
1.13. Согласие на обработку ПД субъектов.
1.14. Документы, подтверждающие ознакомление всех работников с
Положением о защите ПД или иными документами, устанавливающими
порядок обработки ПД работников по п.1 (п.8 ст.86 ТК РФ).
1.15. Наличие должностных инструкций лиц, имеющих доступ к ПД.
1.16. Уведомление об обработке
персональных данных в
Федеральную службу по надзору в сфере связи и массовых коммуникаций.
1.17. Модель угроз безопасности конфиденциальной информации.
1.18. Мотивированные запросы правоохранительных и иных органов,
отказные ответы им, и ответы с предоставлением ПД.
1.19. Документы,
подтверждающие
уничтожение
Оператором
персональных данных субъектов персональных данных по достижении цели
обработки.
2.
Документы по аттестации (декларированию):
2.1. Технический паспорт ИСПДн.
2.2. Перечень средств защиты информации, предназначенных для
обеспечения безопасности ПД при их обработке в ИСПД, сертификаты.
2.3. Аттестат (декларация) соответствия ИСПДн.
2.4. Предписание на эксплуатацию средств вычислительной техники
ИСПДн.
3.
Обследование объекта информатизации на предмет соответствия
документам по аттестации:
3.1. Наличие заявленных в аттестате (декларации) средств защиты
ИСПДн.
3.2. Наличие протокола измерения сопротивления заземления.
4.
Проверка программного обеспечения (ПО) ИСПДн:
4.1. Соответствие версий ПО, указанного в аттестате (декларации) и
ПО, установленного в ИСПД. Проверка лицензий и сертификатов
используемого ПО.
5.
Контроль настроек программного обеспечения СЗИ на
соответствие аттестату (декларации) и нормативным документам:
5.1. Параметры безопасности операционной системы (права
пользователей и их соответствие матрице доступа).
6.
Наличие рабочих журналов:
6.1. Учет работы со съёмными носителями (время работы, номер,
причина, что конкретно делалось).
6.2. Учет антивирусных проверок.
6.3. Электронных журналов учета работы.