УТВЕРЖДАЮ Директор департамента информатизации и связи Ярославской области ____________ А.Ю. Воронцов «___»_______________ 2011г. Методика проверки информационной безопасности при обработке персональных данных в органах государственной власти Ярославской области 1. Проверка наличия документов. Обращается внимание на наличие необходимых подписей, дат, ссылок на документацию, логическую взаимосвязь документов: 1.1. План работ по защите ПД. 1.2. Приказ о назначении комиссии по ИБ (для классификации). 1.3. Приказ о проведении внутренней проверки и классификации. 1.4. Отчет о результатах проведения внутренней проверки. 1.5. Перечень персональных данных подлежащих защите. 1.6. Акты классификации ИСПДН, в соответствии с приказом Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 13 февраля 2008 г. N 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных". 1.7. Приказ о назначении администратора безопасности ИСПДн. 1.8. Приказ о назначении администратора ИСПДн. 1.9. Приказ о подразделении (ответственном) по защите персональных данных. 1.10. Приказ об утверждении эксплуатационной документации ИСПДн: Журнал учета мероприятий по контролю за соблюдением режима защиты персональных данных. План внутренних проверок режима защиты персональных данных. Журнал учета обращений субъектов персональных данных о соблюдении их законных прав, при обработке персональных данных в ИСПДн. Инструкция администратора безопасности ИСПДн. Инструкция администратора ИСПДн. Инструкция пользователя ИСПДн. Положение о Порядке резервирования и восстановления работоспособности ТС и ПО, баз данных и СЗИ. Перечень лиц имеющих доступ в помещения, где установлены ИСПДн. Перечень лиц осуществляющих техническое обслуживание ИСПДн. 1.11. Разрешительная система доступа. 1.12. Положение о защите персональных данных или иные документы, устанавливающие порядок обработки ПД работников в соответствии с главой 14 ТК РФ. 1.13. Согласие на обработку ПД субъектов. 1.14. Документы, подтверждающие ознакомление всех работников с Положением о защите ПД или иными документами, устанавливающими порядок обработки ПД работников по п.1 (п.8 ст.86 ТК РФ). 1.15. Наличие должностных инструкций лиц, имеющих доступ к ПД. 1.16. Уведомление об обработке персональных данных в Федеральную службу по надзору в сфере связи и массовых коммуникаций. 1.17. Модель угроз безопасности конфиденциальной информации. 1.18. Мотивированные запросы правоохранительных и иных органов, отказные ответы им, и ответы с предоставлением ПД. 1.19. Документы, подтверждающие уничтожение Оператором персональных данных субъектов персональных данных по достижении цели обработки. 2. Документы по аттестации (декларированию): 2.1. Технический паспорт ИСПДн. 2.2. Перечень средств защиты информации, предназначенных для обеспечения безопасности ПД при их обработке в ИСПД, сертификаты. 2.3. Аттестат (декларация) соответствия ИСПДн. 2.4. Предписание на эксплуатацию средств вычислительной техники ИСПДн. 3. Обследование объекта информатизации на предмет соответствия документам по аттестации: 3.1. Наличие заявленных в аттестате (декларации) средств защиты ИСПДн. 3.2. Наличие протокола измерения сопротивления заземления. 4. Проверка программного обеспечения (ПО) ИСПДн: 4.1. Соответствие версий ПО, указанного в аттестате (декларации) и ПО, установленного в ИСПД. Проверка лицензий и сертификатов используемого ПО. 5. Контроль настроек программного обеспечения СЗИ на соответствие аттестату (декларации) и нормативным документам: 5.1. Параметры безопасности операционной системы (права пользователей и их соответствие матрице доступа). 6. Наличие рабочих журналов: 6.1. Учет работы со съёмными носителями (время работы, номер, причина, что конкретно делалось). 6.2. Учет антивирусных проверок. 6.3. Электронных журналов учета работы.