st-12-xx (1027740), страница 9
Текст из файла (страница 9)
Уточняющие вопросы частных показателей ИБ№ уточняющеговопросаПунктРС БР ИББС-2.31.5.22.6.1.13.6.1.21Уточняющий вопросОтнесена ли каждая информационная система персональных данных(ИСПДн) организации к одному из следующих классов – ИСПДн-С, ИСПДн-Б,ИСПДн-И, ИСПДн-Д 1?Реализуются ли требования (организуется ли выполнение требований) пообеспечению безопасности персональных данных в ИСПДн комплексоморганизационных, технологических, технических и программных мер, средств имеханизмов защиты информации?Осуществляется ли реализация требований по обеспечению безопасностиперсональных данных структурным подразделением или должностным лицом(работником) организации, ответственным за обеспечение безопасностиперсональных данных, либо на договорной основе организацией - контрагентоморганизации, имеющей лицензию на деятельность по технической защитеконфиденциальной информации?Допускаетсявозложениеответственностизаобеспечениебезопасности персональных данных на существующее в организацииподразделение (например, на службу ИБ).Осуществляется ли реализация требований по обеспечению безопасностиПДн по согласованию и под контролем службы ИБ организации?Включает ли создание ИСПДн организации разработку и согласование(утверждение) предусмотренной техническим заданием организационнораспорядительной, проектной и эксплуатационной документации на создаваемуюсистему (в документации должны быть отражены вопросы обеспеченияЧастный показательСТО БР ИББС-1.2М10.2, М10.3,М12.2, М12.3, М12.4М2.1, М2.2, М2.3,М2.4М2.1, М2.2, М2.3,М2.5, М2.6, М8.3,М8.5, М15.6, М15.7Классы ИСПДн:ИСПДн-С - ИСПДн обработки специальных категорий персональных данных;ИСПДн-Б - ИСПДн обработки биометрических персональных данных;ИСПДн-И - ИСПДн обработки персональных данных, не являющихся биометрическими и не относящихся к специальным категориям, доступ ккоторым должен быть ограничен;ИСПДн-Д - ИСПДн обработки общедоступных и (или) обезличенных персональных данных.проект 11.05.2010954.6.1.35.6.1.46.6.1.57.6.1.68.проект 11.05.20106.1.7СТО БР ИББС-1.2-20ххбезопасности обрабатываемых персональных данных)?Осуществляется ли разработка концепций, технических заданий,проектирование, создание и тестирование, приемка и ввод в действие ИСПДн посогласованию и под контролем структурного подразделения или должностноголица (работника) организации, ответственным за обеспечение безопасностиперсональных данных, и службы ИБ организации?Защищены ли от воздействий вредоносного кода все информационныеактивы, принадлежащие ИСПДн организации?Определены ли в организации и зафиксированы ли документальнотребования по обеспечению безопасности персональных данных средствамиантивирусной защиты и порядок проведения контроля реализации этихтребований в соответствии с требованиями пункта 7.5 СТО БР ИББС-1.0?Определена ли в организации система контроля доступа, позволяющаяосуществлять контроль доступа к коммуникационным портам, устройствам вводавывода информации, съемным машинным носителям и внешним накопителяминформации ИСПДн?Действуют ли работники, осуществляющие обработку персональныхданных в ИСПДн, в соответствии с инструкцией (руководством, регламентом ит.п.), входящей в состав эксплуатационной документации на ИСПДн, и соблюдаютли работники требования документов организации по обеспечению ИБ?Возложенылиприказами(распоряжениями)обязанностипоадминистрированию средств защиты и механизмов защиты, реализующихтребования по обеспечению ИБ ИСПДн организации,на администраторовинформационной безопасности ИСПДн?Определен ли порядок действий администратора информационнойбезопасности ИСПДн и персонала, занятых в процессе обработки персональныхданных, инструкциями (руководствами), которые готовятся разработчиком ИСПДнв составе эксплуатационнойдокументации на ИСПДн? Выполняются лиследующие требования к таким инструкциям (руководствам):устанавливаюттребованиякквалификацииадминистратораинформационной безопасности и персонала в области защиты информации, атакже актуальный перечень защищаемых объектов и правила его обновления;- содержат в полном объеме актуальные (по времени) данные ополномочиях пользователей;- cодержат данные о технологии обработки информации в объеме,необходимом для администратора информационной безопасности;- содержат параметры конфигурации средств защиты и механизмовзащиты информации от НСД, используемых в зоне ответственностиадминистратора информационной безопасности, а также определяют порядок ипериодичность проверок установленных параметров конфигурации, проводимыхне реже чем раз в год;- устанавливают порядок и периодичность анализа журналов регистрацииМ4.1, М4.5М3.5, М3.6, М3.7,М3.8М1.1, М1.3, М1.4,М1.19, М16.1, М29.1М1.1, М1.3, М1.4,М8.4, М8.5, М15.6,М15.7, М15.8М1.1, М1.3, М1.4,М1.13, М1.14,М2.5, М2.6, М2.11,М2.12,М3.2, М3.11, М3.12,М3.14, М3.15, М3.16,М3.17,М8.5, М8.12,М15.6, М15.7, М15.8,М21.1, М21.7, М21.8,М32.1, М32.296СТО БР ИББС-1.2-20хх9.6.1.810.6.1.911.6.2.112.6.2.213.6.2.3событий (архивов журналов)?Определен ли в организации и зафиксирован ли документально порядокдоступа в помещения, в которых размещаются технические средства ИСПДн ихранятся носители персональных данных, предусматривающий контроль доступав помещения посторонних лиц и наличие препятствий для несанкционированногопроникновения в помещения?Разработан ли указанный порядок структурным подразделением илидолжностным лицом (работником) организации, ответственным за обеспечениережима физической безопасности организации БС РФ и согласован листруктурным подразделением или должностным лицом (работником) организацииБС РФ, ответственным за обеспечение безопасности персональных данных и сослужбой ИБ организации?Запрещено ли организационно-техническими мерами в помещениях, вкоторых размещаются технические средства ИСПДн, несанкционированное и (или)нерегистрируемое (бесконтрольное) копирование персональных данных, в томчисле с использованием отчуждаемых носителей информации, мобильныхустройств копирования и переноса информации, коммуникационных портов иустройств ввода-вывода, реализующих различные интерфейсы (включаябеспроводные), запоминающих устройств мобильных средств (например,ноутбуков, карманных персональных компьютеров, смартфонов, мобильныхтелефонов), а также устройств фото- и видеосъемки?Регламентируются ли в проектной и эксплуатационной документациипроцессы обработки персональных данных, а также порядок установки,настройки, эксплуатации и восстановления необходимых технических ипрограммных средств?Обеспечивается ли идентификация и аутентификация (проверкаподлинности) субъекта доступа при входе в ИСПДн по идентификатору (коду) ипериодически обновляемому паролю длиной не менее шести буквенно-цифровыхсимволов?Ограничено ли, при наличии технической возможности, количествопоследовательных неудачных попыток ввода пароля (от 3 до 5 попыток)?Блокируют ли при превышении указанного количества средства защиты имеханизмы защиты возможность дальнейшего ввода пароля, включая правильноезначение пароля, до вмешательства администратора информационнойбезопасности?Регламентируется ли порядок формирования и смены паролей, а такжепорядок контроля исполнения этих процедур разработчиком ИСПДн вэксплуатационной документации в инструкциях (руководствах) администраторовинформационной безопасности?Осуществляется ли передача персональных данных только при условииобеспечения их целостности с помощью защитных мер, механизмов и средств,М3.18, М3.19, М3.20,М11.9, М28.9М15.6, М15.8,М21.1, М21.7,М32.1М2.1, М8.6, М15.6,М15.7М3.5, М3.6, М3.7,М3.8,М15.6, М15.8М3.9, М5.1, М5.15,М5.23, М11.9, М28.9проект 11.05.20109714.6.3.215.6.3.316.6.3.417.проект 11.05.20106.3.6СТО БР ИББС-1.2-20ххприменяемых по согласованию со структурным подразделением или должностнымлицом (работником) организации, ответственным за обеспечение безопасностиперсональных данных?Обеспечивается ли выполнение функций обеспечения безопасностиперсональных данных в ИСПДн средствами защиты информации, прошедшими вустановленном порядке процедуру оценки соответствия, а также комплексомвстроенных механизмов защиты электронных вычислительных машин (ЭВМ),операционных систем (ОС), систем управления базами данных (СУБД),прикладного программного обеспечения (ПО)?Выполнены ли разработчиком ИСПДн на стадии ввода в действиенастройки средств и механизмов обеспечения безопасности, не допускающиенесанкционированногоизмененияпользователемпредоставленныхемуполномочий?Определен ли разработчиком ИСПДн порядок постоянного контроляфактического состояния настроек средств и механизмов обеспечениябезопасности на предмет их соответствия установленным правилам?Согласован ли указанный порядок со структурным подразделением илидолжностным лицом (работником) организации, ответственным за обеспечениебезопасности персональных данных, и согласован ли со службой ИБ организации?Выполняется ли в обязательном порядке регистрация входа в ИСПДн(выхода из ИСПДн) субъектов доступа? Указывается ли в журнале регистрациисобытий, который ведется в электронном виде ИСПДн, следующие параметры:- дата и время входа в систему (выхода из системы) субъекта доступа;- идентификатор субъекта, предъявленный при запросе доступа;результатпопыткивхода:успешнаяилинеуспешная(несанкционированная);- идентификатор (адрес) устройства (компьютера), используемого длявхода в систему?Определен ли в организации и зафиксирован ли документально порядокпостановки на учет и снятия с учета машинных носителей, предназначенных дляразмещения персональных данных?Проводится ли учет носителей персональных данных с помощью ихмаркировки и занесения учетных данных в журнал учета с отметкой об их выдаче?Проводится ли снятие с учета машинных носителей, на которых былиразмещены персональные данные, по акту путем стирания с них информациисредствами гарантированного стирания информации или по акту путем ихуничтожения?Регламентируется ли разработчиком ИСПДн в эксплуатационнойдокументации на ИСПДн процедура стирания информации в зависимости отприменяемого средства гарантированного стирания?Осуществляется ли (при наличии технической возможности) очисткаМ2.1, М3.4М3.4, М11.9, М21.1,М28.9М3.11, М3.12М2.16, М2.17,М3.1, М3.11, М3.12,М8.1, М8.6, М8.7,М12.2, М12.3,М17.298СТО БР ИББС-1.2-20хх18.6.3.719.6.3.820.6.3.921.6.3.1022.6.3.11освобождаемых областей памяти на носителях, ранее использованных дляхранения персональных данных?Определены ли в соответствии с требованиями пункта 7.9.7 СТО БРИББС-1.0 и зафиксированы ли документально состав и назначение ПО ИСПДн?Регламентирован ли порядок внесения изменений в установленное ПОИСПДн, включая контроль действий программистов в процессе модификации ПО?Учтены ли эталонные копии ПО, регламентирован ли доступ к ним?Готовятся ли разработчиком ИСПДн соответствующие регламенты в видеинструкций, руководств и включаются ли в эксплуатационную документацию наИСПДн?Подлежат ли резервному копированию все программные средства, архивы,журналы, информационные ресурсы (данные), используемые и создаваемые впроцессе эксплуатации ИСПДн?Предусматривают ли средства восстановления функций обеспечениябезопасности персональных данных в ИСПДн ведение не менее двух независимыхкопий программных средств обеспечения безопасности персональных данных вИСПДн?Регламентирован ли порядок создания и сопровождения резервных копий,включающий способ и периодичность копирования, процедуры создания, учета,хранения, использования (для восстановления) и уничтожения резервных копий,разработчиком ИСПДн в эксплуатационной документации на ИСПДн?Осуществляется ли (в случае нештатной ситуации) восстановлениефункций обеспечения безопасности персональных данных в ИСПДнадминистраторомИСПДн с обязательным привлечением администратораинформационной безопасности ИСПДн (при необходимости – с привлечениемспециалистов структурного подразделения или должностного лица (работника)организации, ответственным за обеспечение безопасности персональных данных,и службы ИБ организации)?Регламентирована ли разработчиком ИСПДн в эксплуатационнойдокументации на ИСПДн процедура восстановления?Осуществляется ли подключение ИСПДн к ИСПДн другого класса или ксети Интернет с использованием средств межсетевого экранирования(межсетевых экранов), которые обеспечивают выполнение следующих функций:- фильтрацию на сетевом уровне для каждого сетевого пакета независимо(решение о фильтрации принимается на основе сетевых адресов отправителя иполучателя или на основе других эквивалентных атрибутов);- идентификацию и аутентификацию администратора межсетевого экранапри его локальных запросах на доступ по идентификатору (коду) и паролюусловно-постоянного действия;- регистрацию входа (выхода) администратора межсетевого экрана всистему (из системы) либо загрузки и инициализации системы и ее программногоМ2.13, М2.14,М8.9, М8.10М2.1, М2.13, М2.14,М15.6, М15.7, М15.8М2.13, М2.14, М8.13,М20.3, М20.5М1.1, М1.3, М1.4,М2.5, М2.6, М2.13,М8.4, М8.5, М8.13,М20.2М5.1, М5.15, М5.23проект 11.05.20109923.6.4.224.6.4.325.6.4.426.6.4.527.проект 11.05.20106.4.6СТО БР ИББС-1.2-20ххостанова (регистрация выхода из системы не проводится в моментыаппаратурного отключения межсетевого экрана);- контроль целостности своей программной и информационной части;- фильтрацию пакетов служебных протоколов, служащих для диагностики иуправления работой сетевых устройств;- восстановление свойств межсетевого экрана после сбоев и отказовоборудования;- регламентное тестирование реализации правил фильтрации, процессаидентификации и аутентификации администратора межсетевого экрана, процессарегистрации действий администратора межсетевого экрана, процесса контроля зацелостностьюпрограммнойиинформационнойчасти,процедурывосстановления?Обеспечивает ли материальный носитель биометрических персональныхданных:- защиту от несанкционированной повторной и дополнительной записиинформации после ее извлечения из ИСПДн;- возможность доступа к записанным на материальный носительбиометрическим персональным данным;- возможность идентификации ИСПДн, в которую была осуществленазаписьбиометрическихперсональныхданных,атакжеоператора,осуществившего такую запись;- невозможность несанкционированного доступа к биометрическимперсональным данным, содержащимся на материальном носителе?ОпределяетсялируководителемэксплуатирующегоИСПДнподразделения по согласованию со структурным подразделением илидолжностным лицом (работником) организации, ответственным за обеспечениебезопасности персональных данных, порядок передачи материальных носителейуполномоченным лицам?Установлены ли сроки использования материальных носителейперсональных данных?Используется ли материальный носитель не более срока эксплуатации,установленного изготовителем материального носителя?Определяет ли разработчик ИСПДн тип материального носителя, которыйбудет использован для обработки биометрических персональных данных (заисключением случаев, когда нормативными правовыми актами РФ предписаноиспользование материального носителя определенного типа)?Выполняется ли в обязательном порядке учет количества экземпляровматериальных носителей биометрических персональных данных?Регламентирован ли порядок учета разработчиком ИСПДн Банка России впроектной и эксплуатационной документации?Присвоен ли каждому материальному носителю персональных данныхМ3.7, М3.8, М3.9,М3.10М3.7, М3.8, М3.9,М3.10, М11.9, М28.9М3.7, М3.8, М3.9,М3.10М2.5, М2.6М3.1, М3.11, М3.12,М8.1, М8.7,М12.2, М12.3,М17.2100СТО БР ИББС-1.2-20хх28.6.4.729.6.4.830.6.4.931.6.5.232.6.5.333.6.5.434.6.5.5уникальный идентификационный номер, позволяющий точно определитьоператора, осуществившего запись биометрических персональных данных наматериальный носитель?Снабжены ли биометрические персональные данные, записанные наматериальный носитель,кодом аутентификации (подписаны электроннойцифровой подписью и (или) защищены иными способами, позволяющимисохранить целостность и неизменность биометрических персональных данных,записанных на материальный носитель)?Снабжается ли кодом аутентификации (подписана электронной цифровойподписью и (или) защищена иными способами, позволяющими сохранитьцелостность и неизменность информации, записанной на материальный носитель)дополнительная информация, содержащаяся на материальном носителе иимеющая отношения к записанным на носителе биометрическим персональнымданным?Обеспечивается ли при хранении биометрических персональных данныхвне ИСПДн регистрация фактов несанкционированной повторной илидополнительной записи информации после ее извлечения из ИСПДн?Осуществляетсялиидентификацияпологическимименаминформационных ресурсов (например, информационных массивов, баз данных,файлов, обрабатывающих их программ), содержащих персональные данные?Осуществляется ли обязательный контроль доступа субъектов кзащищаемым информационным ресурсам в соответствии с правами доступауказанных субъектов?Выполняется ли в обязательном порядке регистрация печати материалов,содержащих персональные данных? Указываются ли в журнале регистрациисобытий, который ведется в электронном виде ИСПДн, следующие параметры:- дата и время печати;- спецификация устройства печати (логическое имя (номер) внешнегоустройства);- полное наименование (вид, шифр, код) материала;- идентификатор субъекта доступа, запросившего печать материала;- объем фактически отпечатанного материала (количество страниц,листов, копий) и результат печати: успешная (весь объем) или неуспешная?Выполняется ли обязательная регистрация запуска программ и процессов,осуществляющих доступ к защищаемым информационным ресурсам?Указываются ли в журнале регистрации событий, который ведется вэлектронном виде ИСПДн, следующие параметры:- дата и время запуска;- имя (идентификатор) программы (процесса, задания);- идентификатор субъекта доступа, запросившего программу (процесс,задание);результатпопыткизапуска:успешнаяилинеуспешнаяМ6.3, М6.4М2.5, М2.6,М3.3, М3.4М3.11, М3.12М3.4, М3.5М3.2, М3.4, М3.5,М3.6, М3.7, М3.8М3.11, М3.12М3.11, М3.12проект 11.05.201010135.36.37.проект 11.05.20106.5.66.3.56.5.76.5.8СТО БР ИББС-1.2-20хх(несанкционированная);- дата и время попытки доступа к защищаемому информационномуресурсу;- имя (идентификатор) защищаемого информационного ресурса;- вид запрашиваемой операции (например, чтение, запись, модификация,удаление);результатпопыткидоступа:успешнаяилинеуспешная(несанкционированная)?Выполняется ли обязательная регистрация изменений полномочийсубъектов доступа и статуса объектов доступа (защищаемых информационныхресурсов)?Указываются ли в журнале регистрации событий, который ведется вэлектронном виде ИСПДн, следующие параметры:- дата и время изменения;- содержание изменения с указанием идентификатора субъекта доступа,чьи полномочия подверглись изменению, или логического имени защищаемогоинформационного ресурса, чей статус изменился;- идентификатор администратора информационной безопасности,осуществившего изменение?Не имеют ли ИСПДн субъектов доступа, обладающих полномочиями, а,при возможности, и технические средствами по уничтожению и модификацииинформации, содержащейся в журналах регистрации событий, указанных впунктах 6.3.3, 6.5.4-6.5.6 РС БР ИББС-2.3?Регламентировано ли очистка журналов регистрации событий, указанных впунктах 6.3.3, 6.5.4-6.5.6 РС БР ИББС-2.3,разработчиком ИСПДн вэксплуатационной документации на ИСПДн?Проводится ли перед очисткой журналов регистрации событий, указанныхв пунктах 6.3.3, 6.5.4-6.5.6 РС БР ИББС-2.3, архивирование содержащейся в нихинформации путем перемещения информации в соответствующий архив?Регистрируется ли операции по архивированию журнала регистрациисобытий, указанных в пунктах 6.3.3, 6.5.4-6.5.6 РС БР ИББС-2.3, с указаниемвремени и идентификатора работника, выполнившего операцию, в качествепервой записи в действующем журнале регистрации событий?Уничтожаются ли архивы журналов регистрации событий, указанных впунктах 6.3.3, 6.5.4-6.5.6 РС БР ИББС-2.3, только администратороминформационной безопасности, в зоне ответственности которого находятсяданные архивы не ранее чем через три года с момента появления последнейзаписи в данной архивной копии?В случае, если комплекс средств автоматизации ИСПДн представляетсобой автономное, изолированное на физическом уровне в соответствии сэталонной моделью взаимодействия открытых систем – моделью OSI,М3.11, М3.12М1.9, М3.11, М3.12,М8.4, М8.5, М15.6,М15.8М2.1, М2.13102СТО БР ИББС-1.2-20хх38.39.40.6.5.96.5.106.5.11автоматизированное рабочее место (АРМ) работника или работников.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
