№
|
Проверяемые контролирующим органом требования
|
Перечень представляемых документов и справок
|
Нормативные правовые акты, требования которых подлежат проверке, в соответствии с которыми также ведется разработка организационно-правовой документации
|
1.
|
Организация системы организационных мер зашиты персональных данных:
|
- область применения средств криптографической зашиты информации (далее - СКЗИ) в
информационных системах персональных данных
|
Приказ о назначении ответственного лица в области обработки и защиты персональных данных;
Должностная инструкия ответственного лица в области обработки и защиты персональных данных;
Правила обработки персональных данных;
|
- Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»
Ст.: 18.1; 19; 22.1;
- Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»
Пункты: 1 (а, б, в, д, е);
|
- наличие ведомственных документов и приказов по организации криптографической зашиты информации
|
- выполнение рекомендаций и указаний ФСБ России (при их наличии) по вопросам организации связи с использованием криптосредств
|
2.
|
Организация системы криптографических мер защиты информации:
|
- наличие модели угроз нарушителя
|
Модель угроз разработанная оператором (на каждую информационную систему).
Документы по поставке СКЗИ оператору (Договор о купле).
*
|
- Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации, № 149/54-144
Пункты: 3.1, 3.2, 3.3, 3.4;
|
- соответствие модели угроз исходным данным
|
- соответствие требуемого уровня криптографической защиты полученной модели нарушителя
|
- соответствие используемых СКЗИ полученному уровню криптографической защиты
|
- наличие документов по поставке СКЗИ оператору
|
3.
|
Разрешительная и эксплуатационная документация:
|
- наличие необходимых лицензии для использования СКЗИ в информационных системах персональных данных
|
Лицензии и сертификаты на используемые СКЗИ. Эксплуатационная документация на СКЗИ.
|
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- наличие сертификатов соответствия на используемые СКЗИ
|
- наличие эксплуатационной документации на СКЗИ (формуляров, правил работы, руководств оператора и т.п.)
|
- порядок учета СКЗИ, эксплуатационной и технической документации к ним
|
- выявление не сертифицированных ФСБ России СКЗИ
(Запрещено использование не сертифицированных СКЗИ)
|
4.
|
Требования к обслуживающему персоналу:
|
- порядок учета лиц допущенных к работе с СКЗИ предназначенными для обеспечения безопасности персональных данных в информационной системе
|
Утвержденный список лиц допущенных к работе с СКЗИ.
Документы, подтверждающие функциональные обязанности сотрудников. Журнал учета пользователей криптосредств.
Документы, подтверждающие прохождение обучения сотрудников по вопросам ЗИ.*
|
- Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Части: 2, 3, 4, 5;
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- наличие функциональных обязанностей ответственных пользователей СКЗИ
|
- укомплектованность штатных должностей личным составом, а также достаточность имеющегося личного состава для решения задач по организации криптографической защиты информации
|
- организация процесса обучения лиц использующих СКЗИ применяемых в информационных системах, правилам работы с ними и другим нормативным документам по организации работ (связи) с использование СКЗИ
|
5.
|
Оценка соответствия применяемых СКЗИ:
|
- соответствие программного обеспечения, реализующего криптографические алгоритмы используемых СКЗИ эталонным версиям, проходивших сертификацию в ФСБ России
|
Средства СКЗИ. Программное обеспечение СКЗИ (дистрибутив).
|
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
|
- проведение (при необходимости) на местах осуществления проверки оперативных тематических исследований используемых СКЗИ
|
6.
|
Эксплуатация СКЗИ:
|
- проверка правильности ввода СКЗИ в эксплуатацию и соответствие условий эксплуатации технических средств удостоверяющего центра (при наличии) требованиям эксплуатационной документации и сертификатов соответствия
|
Акты ввода СКЗИ в эксплуатацию.
Журнал поэкземплярного учета СКЗИ.
Журнал учета и выдачи носителей с ключевой информацией.
*
|
- Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Части: 2, 3, 4, 5;
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- оценка технического состояния СКЗИ, соблюдения сроков и полноты проведения технического обслуживания, а также проверка соблюдения правил пользования СКЗИ и порядка обращения с ключевыми документами к ним
|
7.
|
Организационные меры:
|
- выполнение требований по размещению, специальному оборудованию, охране и организации режима в помещениях, где установлены СКЗИ или хранятся ключевые документы к ним, а так же соответствие режима хранения СКЗИ и ключевой документации предъявляемым требованиям
|
Эксплуатационная документация на СКЗИ.
Помещения выделенные для установки СКЗИ и хранения ключевых документов к ним. Инструкция по восстановлению связи в случае компрометации действующих ключей к СКЗИ.
*
|
- Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»
Части: 2, 3, 4, 5;
- Приказ ФСБ России от 9 февраля 2005г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)
Раздел 5;
- Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации не содержащей сведений составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных. №149/6/6-622. 2008г
Разделы: 2, 3, 4
|
- оценка степени обеспечения оператора криптоключами и организации их доставки
|
- проверка наличия инструкции по восстановлению связи в случае компрометации действующих ключей к СКЗИ
|
- порядок проведения разбирательств и составления заключений по фактам нарушения условий хранения носителей персональных данных или использования СКЗИ
|
