Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | ||
|
Определение актуальных угроз безопасности персональных данных проведено экспертным методом в соответствии с Методикой. Результаты приведены в таблице 5.
Таблица 5. Определение актуальных угроз нарушения безопасности персональных данных
Угроза | Возможность реализации угрозы | Опасность (ущерб) | Актуальность |
Угрозы утечки информации по техническим каналам | |||
Угрозы утечки акустической информации: | |||
В ИСПДн не реализованы функции голосового ввода ПДн и воспроизведения ПДн акустическими средствами | Неактуальна | ||
Угрозы утечки видовой информации: | |||
Просмотр информации на дисплее пользователей ИСПДн работниками, не допущенными к ПДн | Высокая | Средняя | Актуальная |
Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн | Средняя | Средняя | Актуальная |
Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны | Средняя | Средняя | Актуальная |
Просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка ПДн | Средняя | Средняя | Актуальная |
Угрозы утечки информации по каналам ПЭМИН: | |||
Утечка информации по сетям электропитания ИСПДн | Средняя | Низкая | Неактуальная |
Перехват техническими средствами наводок информативного сигнала, обрабатываемого техническими средствами ИСПДн, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны | Средняя | Низкая | Неактуальная |
Утечка информации из ИСПДн за счет побочного излучения технический средств | Средняя | Низкая | Неактуальная |
Преднамеренное электромагнитное воздействие на элементы ИСПДн | Средняя | Низкая | Неактуальная |
Угрозы НСД к персональным данным | |||
Угрозы доступа (проникновения) в операционную среду компьютера и НСД к персональным данным (угрозы непосредственного доступа): | |||
Перехват управления загрузкой операционной системы (ОС) ИСПДн, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к ПДн | Высокая | Высокая | Актуальная |
Вызов штатных программ ОС ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн | Высокая | Высокая | Актуальная |
Внедрение в ИСПДн вредоносных программ | Высокая | Средняя | Актуальная |
Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угрозы удаленного доступа): | |||
Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации | Очень высокая | Высокая | Актуальная |
Сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей | Высокая | Средняя | Актуальная |
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа | Очень высокая | Высокая | Актуальная |
Навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных | Очень высокая | Средняя | Актуальная |
Внедрение ложного объекта сети | Очень высокая | Высокая | Актуальная |
Сетевые атаки типа «Отказ в обслуживании» | Высокая | Низкая | Актуальная |
Удаленный запуск приложения в ИСПДн | Очень высокая | Высокая | Актуальная |
Внедрение по сети вредоносных программ | Высокая | Средняя | Актуальная |
Угрозы физического доступа к элементам ИСПДн: | |||
Хищение элементов ИСПДн, содержащих ПДн | Высокая | Высокая | Актуальная |
Хищение отчуждаемых носителей информации, содержащих ПДн | Высокая | Высокая | Актуальная |
Вывод из строя элементов ИСПДн | Высокая | Средняя | Актуальная |
Внедрение в ИСПДн аппаратных закладок | Высокая | Высокая | Актуальная |
Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и средств защиты ПДн | |||
Утрата паролей доступа к ИСПДн | Высокая | Средняя | Актуальная |
Искажение или уничтожение информации в результате ошибок пользователя | Высокая | Средняя | Актуальная |
Выход из строя аппаратно-программных средств ИСПДн | Средняя | Средняя | Актуальная |
Сбой системы электроснабжения ИСПДн | Средняя | Низкая | Неактуальная |
Уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами | Высокая | Средняя | Актуальная |
Таким образом, в отношении персональных данных, обрабатываемых в автоматизированной информационной системе «_________ » органа исполнительной власти актуальными являются следующие угрозы:
- просмотр информации на дисплее пользователей ИСПДн работниками, не допущенными к ПДн;
- просмотр информации на дисплее пользователей ИСПДн посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн;
- просмотр информации на дисплее пользователей ИСПДн посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны;
- просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка ПДн;
- перехват управления загрузкой операционной системы (ОС) ИСПДн, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к ПДн;
- вызов штатных программ ОС ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн;
- внедрение в ИСПДн вредоносных программ;
- перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации;
- сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей;
- подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа;
- навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных;
- внедрение ложного объекта сети;
- сетевые атаки типа «Отказ в обслуживании»;
- удаленный запуск приложения в ИСПДн;
- внедрение по сети вредоносных программ;
- хищение элементов ИСПДн, содержащих ПДн;
- хищение отчуждаемых носителей информации, содержащих ПДн;
- вывод из строя элементов ИСПДн;
- внедрение в ИСПДн аппаратных закладок;
- утрата паролей доступа к ИСПДн;
- искажение или уничтожение информации в результате ошибок пользователя;
- выход из строя аппаратно-программных средств ИСПДн;
- уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами.
7 Модель угроз безопасности персональных данных при их обработке в автоматизированной информационной системе персональных данных «__________________»
Наименование угрозы | Вероятность реализации угрозы (Y2) | Промежуточ-ный расчет Y=(Y1+Y2)/20, где Y1=10 | Возможность реализации угрозы (Y) | Опасность угрозы | Актуальность угрозы | Организационно-технические меры по защите ИСПДн от угрозы | ||
Угрозы от утечки по техническим каналам | ||||||||
Угрозы утечки видовой информации: | ||||||||
Просмотр информации на дисплее пользователей ИСПДн работниками, не допущенными к ПДн | 0,75 | высокая | средняя | актуальная | Организация пропускного режима. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте. Включение требования о недопустимости просмотра информации посторонними лицами в инструкцию пользователя ИСПДн. | |||
Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн | 0,6 | средняя | средняя | актуальная | Организация пропускного режима. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте. Контроль доступа в помещения, где ведется обработка ПДн. Включение требования о недопустимости просмотра информации посторонними лицами в инструкцию пользователя ИСПДн. | |||
Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны | 0,6 | средняя | средняя | актуальная | Установка на окна помещений, в которых ведется обработка ПД, жалюзи или штор. Размещение помещений, содержащих ИСПДн, на удалении от границ контролируемой зоны. | |||
Просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка ПДн | 0,5 | средняя | средняя | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. | |||
Угрозы несанкционированного доступа (далее - НСД) к информации | ||||||||
Угрозы доступа (проникновения) в операционную среду компьютера и НСД к персональным данным (угрозы непосредственного доступа): | ||||||||
Перехват управления загрузкой операционной системы (ОС) ИСПДн, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к ПДн | 0,75 | высокая | высокая | актуальная | Запрет загрузки АРМ с отчуждаемых носителей информации. Контроль доступа в помещения, где ведется обработка ПДн. | |||
Вызов штатных программ ОС ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн | 0,75 | высокая | высокая | актуальная | Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | |||
Внедрение в ИСПДн вредоносных программ | 0,75 | высокая | средняя | актуальная | Использование на серверах и АРМ, входящих в состав ИСПДн, антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов ИСПДн. Настройка антивирусного ПО на проверку подключаемых отчуждаемых носителей информации. | |||
Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угрозы удаленного доступа): | ||||||||
Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Запрет установки ПО, не связанного с исполнением служебных обязанностей. Регулярный контроль со стороны работников, ответственных за обеспечение безопасности ПДн при их обработке в ИСПДн, прав доступа пользователей к АРМ и установленного на них ПО. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | ||||
Сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей | 0,75 | высокая | средняя | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Использование систем обнаружения и предотвращения вторжений. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | |||
Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. | ||||
Навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных | очень высокая | средняя | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. | ||||
Внедрение ложного объекта сети | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. | ||||
Сетевые атаки типа «Отказ в обслуживании» | 0,75 | высокая | низкая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Использование систем обнаружения и предотвращения вторжений. | |||
Удаленный запуск приложения в ИСПДн | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Выполнение регулярного обновления ПО с помощью ПО ИСПДн. Использование систем обнаружения и предотвращения вторжений. | ||||
Внедрение по сети вредоносных программ | 0,75 | высокая | средняя | актуальная | Использование на серверах и АРМ входящих в состав ИСПДн антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов ИСПДн. | |||
Угрозы физического доступа к элементам ИСПДн: | ||||||||
Хищение элементов ИСПДн, содержащих ПДн | 0,75 | высокая | высокая | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. | |||
Хищение отчуждаемых носителей информации, содержащих ПДн | 0,75 | высокая | высокая | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. Вменение персоналу ИСПДн обязанности обеспечения сохранности отчуждаемых носителей информации, содержащих ПДн. | |||
Вывод из строя элементов ИСПДн | 0,75 | высокая | средняя | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. Размещение помещений, содержащих ИСПДн, в пределах контролируемой зоны. | |||
Внедрение в ИСПДн аппаратных закладок | 0,75 | высокая | высокая | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. Организация выполнения работ технического обслуживания, выполняемых работниками сторонних организаций, в присутствии работников организации. Включение требования по информационной безопасности в договоры и контракты на проведение работ и оказание услуг. Выбор в качестве исполнителей работ и поставщиков услуг организаций, прошедших сертификацию. Заключение соглашений о конфиденциальности со сторонними организациями, выполняющими работы или оказывающими услуги. | |||
Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и средств защиты ПДн: | ||||||||
Утрата паролей доступа к ИСПДн | 0,75 | высокая | средняя | актуальная | Вменение персоналу ИСПДн обязанности обеспечения сохранности паролей. Определение парольной политики | |||
Искажение или уничтожение информации в результате ошибок пользователя | 0,75 | высокая | средняя | актуальная | Контроль вводимых данных. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей | |||
Выход из строя аппаратно-программных средств ИСПДн | 0,6 | средняя | средняя | актуальная | Резервирование аппаратных ресурсов ИСПДн. | |||
Уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами | 0,6 | средняя | средняя | актуальная | Резервное копирование данных ИСПДн. Хранение резервных копий отдельно от элементов ИСПДн, содержащих резервируемые данные. Использование в серверных помещениях средств обнаружения возгорания и систем пожаротушения. | |||
Приложение 1
Перечень площадок размещения внешних АРМ АИС «____________»
№ п/п | Адрес площадки размещения | Наименование организации |
33. План мероприятий по технической защите конфиденциальной информации и персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
__________________________________________________________ (наименование органа исполнительной власти) | |||
УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
Типовая форма плана мероприятий по технической защите конфиденциальной информации и персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
Москва 20__ | |||
№ п/п | Наименование мероприятий | Сроки исполнения мероприятий | Ответственный сотрудник | Отмет-ка о выполнении | Примечание | |||||||||||
Мероприятия по плану вышестоящего руководства | ||||||||||||||||
Участие заместителя руководителя органа исполнительной власти в заседании Комиссии по информационной безопасности при Мэре Москвы | ||||||||||||||||
Мероприятия для выполнения из решения Комиссии по информационной безопасности при Мэре Москвы: | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятия для выполнения из решения Комиссии по информационной безопасности при полномочном представителе Президента РФ по ЦФО: | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Плановая проверка Роскомнадзора по вопросам обеспечения защиты персональных данных | ||||||||||||||||
Совместная проверка Первого управления Правительства Москвы и Управления информатизации города Москвы по вопросам состояния технической защиты конфиденциальной информации | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятия по плану органа исполнительной власти | ||||||||||||||||
Организационные мероприятия по защите конфиденциальной информации | ||||||||||||||||
Проведение заседания Комиссии по информационной безопасности при руководителе органа исполнительной власти | ||||||||||||||||
Подготовка и представление руководителю органа исполнительной власти доклада о состоянии дел в органе исполнительной власти по вопросам защиты конфиденциальной информации | ||||||||||||||||
Разработка или уточнение приказа о назначении работника (структурного подразделения), ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн | ||||||||||||||||
Разработка или уточнение приказа о составе комиссии по классификации или переклассификации автоматизированных систем | ||||||||||||||||
Разработка или уточнение приказа о составе комиссии по классификации информационных систем персональных данных | ||||||||||||||||
Разработка или уточнение приказа о выделении помещения (помещений) в котором производится обработка конфиденциальной информации, в том числе ПДн | ||||||||||||||||
Разработка или уточнение приказа об утверждении списка лиц, допущенных к работе на автоматизированных системах (АС), также в ИСПДн | ||||||||||||||||
Разработка или уточнение приказа об утверждении списка лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей | ||||||||||||||||
Разработка или доработка приказа о назначении администраторов безопасности СЗ конфиденциальной информации, в том числе ПДн в целом и прикладных администраторов | ||||||||||||||||
Разработка или доработка инструкции по порядку учета и хранению съемных носителей конфиденциальной информации | ||||||||||||||||
Разработка или доработка инструкции, определяющей порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка конфиденциальной информации, в том числе персональные данные | ||||||||||||||||
Разработка или доработка положения о порядке организации и проведения работ по защите конфиденциальной информации | ||||||||||||||||
Разработка или доработка положения о порядке обработки и обеспечении безопасности персональных данных | ||||||||||||||||
Разработка или доработка инструкции о порядке резервирования и восстановления работоспособности ТС и ПО, баз данных и средств СЗПДн | ||||||||||||||||
Разработка или уточнение руководства пользователя по обеспечению безопасности ИСПДн | ||||||||||||||||
Разработка или уточнение руководства администратора по обеспечению безопасности ИСПДн | ||||||||||||||||
Разработка или уточнение перечня используемых сертифицированных технических средств защиты информации | ||||||||||||||||
Разработка или уточнение перечня сведений конфиденциального характера, подлежащих защите, в том числе ПДн | ||||||||||||||||
Разработка или уточнение перечня АС и ИС, обрабатывающих конфиденциальную информацию и персональные данные | ||||||||||||||||
Разработка акта классификации АС или переклассификации АС | ||||||||||||||||
Разработка акта классификации ИСПДн или переклассификации ИСПДн | ||||||||||||||||
Разработка или уточнение модели угроз безопасности информации и модели нарушителя | ||||||||||||||||
Разработка или уточнение частной модели угроз безопасности ПДн | ||||||||||||||||
Разработка или уточнение матрицы доступа персонала к сведениям конфиденциального характера | ||||||||||||||||
Разработка или уточнение схемы расположения объекта информатизации относительно границы КЗ | ||||||||||||||||
Разработка плана внутренних проверок состояния защиты конфиденциальной информации | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Подготовка и проведение аттестации АС и ЗП | ||||||||||||||||
Подготовка и проведение переаттестации АС и ЗП | ||||||||||||||||
Разработка и подача предложений (расчет-обоснование) по необходимому объему финансирования для проведения работ по защите информации на следующий финансовый год | ||||||||||||||||
Разработка и подача заявки в Управление информатизации города Москвы на закупку технических средств защиты | ||||||||||||||||
Подготовка и проведения конкурсных процедур, заключение государственного контракта на создание подсистемы информационной безопасности «______» | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Ввод в промышленную эксплуатацию подсистемы информационной безопасности | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Технические мероприятия по защите конфиденциальной информации | ||||||||||||||||
Установка на автоматизированные рабочие места АИС «____» СЗИ Secret Net 5.0 | ||||||||||||||||
Настройка Active Directory в соответствии с политикой разграничения прав доступа пользователей к информационным ресурсам | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Внутренние проверки и контроль | ||||||||||||||||
Проведение внутренней проверки состояния защиты конфиденциальной информации | 10–12 | |||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Организационные мероприятия по защите персональных данных | ||||||||||||||||
Создание Комиссии по инвентаризации ИСиР и классификации ИСПД | ||||||||||||||||
Проведение анализа ИСПДн на соответствие с присвоенным ранее классом | ||||||||||||||||
Назначение ответственных сотрудников за проведение мероприятий по обеспечению безопасности ПДн и распределение зон ответственности | ||||||||||||||||
Проведение классификации ИС с оформлением соответствующего акта | ||||||||||||||||
Урегулирование правовых вопросов обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установка сроков обработки ПДн и др.) | ||||||||||||||||
Оформление и направление в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомления об обработке ПДн | ||||||||||||||||
Разработка модели угроз (на основании результатов обследования ИС) | ||||||||||||||||
Определение требований по защите ПДн при их обработке в ИСПДн в соответствии с присвоенным классом | ||||||||||||||||
Разработка ЧТЗ (требований) по созданию (модернизации) подсистемы информационной безопасности | ||||||||||||||||
Проектирование подсистемы информационной безопасности. | ||||||||||||||||
Разработка и реализация комплекса организационных мероприятий по обеспечению защиты ПДн (данный комплекс мероприятий приведен в настоящих рекомендациях и аналогичен вышеприведенному) | ||||||||||||||||
Реализация проекта по созданию (модернизации) подсистемы информационной безопасности | ||||||||||||||||
Аттестация или декларирование ИСПДн на соответствие требованиям по защите ПДн | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… | ||||||||||||||||
Мероприятие… |
Начальник отдела ___________________________
34. План внутренних проверок состояния защиты конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях | |||
__________________________________________________________ (наименование органа исполнительной власти) | |||
УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
Типовая форма плана внутренних проверок состояния защиты конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях | |||
Москва 20__ | |||
Общие положения
План внутренних проверок состояния защиты конфиденциальной информации, содержит перечень внутренних проверок.
Внутренние проверки в органах исполнительной власти проводятся не реже 1 раза в год.
План внутренней проверки содержит следующую информацию:
· Название проверяемого мероприятия.
· Период проведения проверки.
· Исполнитель мероприятия.
Внутренняя проверка проводится в подразделениях органа исполнительной власти, обрабатывающих конфиденциальную информацию.
План внутренней проверки состояния защиты конфиденциальной информации
Мероприятие | Период проверки | Исполнитель |
1. Проверка полноты и качества разработанных распорядительных и нормативно-методических документов, регламентирующих обеспечение безопасности КИ | с 25 по 27 марта 2010 года | Рабочая группа |
2. Контроль выполнения требований по режиму доступа в здание органа исполнительной власти, защищаемые помещения и на автоматизированные рабочие места, обрабатывающие КИ | с 25 по 27 марта 2010 года | Рабочая группа |
3. Проверка порядка использования технических средств защиты конфиденциальной информации | с 25 по 27 марта 2010 года | Рабочая группа |
4. Проверка выполнения требований СТР-К по защите конфиденциальной информации | с 25 по 27 марта 2010 года | Рабочая группа |
5. Подведение итогов | с 25 по 27 марта 2010 года | Рабочая группа |
6. Составление акта проверки | с 25 по 27 марта 2010 года | Рабочая группа |
7. Доклад руководителю органа исполнительной власти по результатам проверки | 27 марта 2010 года | Руководитель рабочей группы |
35. План внутренних проверок состояния защиты персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
__________________________________________________________ (наименование органа исполнительной власти) | |||
УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
Типовая форма плана внутренних проверок состояния защиты персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
Москва 20__ | |||
Общие положения
План внутренних проверок режима защиты персональных данных, содержит перечень внутренних проверок.
Внутренняя проверка в органах исполнительной власти проводится не реже 1 раза в год.
План внутренней проверки содержит следующую информацию:
· Название проверяемого мероприятия.
· Период проведения проверки.
· Исполнитель мероприятия.
Внутренние проверки проводится в подразделениях органа исполнительной власти, обрабатывающих персональные данные.
План внутренней проверки режима защиты персональных данных
Мероприятие | Период проверки | Исполнитель |
1. Проверка полноты и качества разработанных распорядительных и нормативно-методических документов, регламентирующих обеспечение безопасности ПДн | с 25 по 27 марта 2010 года | Рабочая группа |
2. Контроль выполнения требований по режиму доступа в здание органа исполнительной власти, защищаемые помещения и на автоматизированные рабочие места, обрабатывающие ПДн | с 25 по 27 марта 2010 года | Рабочая группа |
3. Проверка порядка использования технических средств защиты ПДн | с 25 по 27 марта 2010 года | Рабочая группа |
4. Проверка выполнения требований действующих нормативных документов по защите персональных данных | с 25 по 27 марта 2010 года | Рабочая группа |
5. Подведение итогов | с 25 по 27 марта 2010 года | Рабочая группа |
6. Составление акта проверки | с 25 по 27 марта 2010 года | Рабочая группа |
7. Доклад руководителю органа исполнительной власти по результатам проверки | 27 марта 2010 года | Руководитель рабочей группы |
36. Матрица доступа сотрудников к сведениям конфиденциального характера (персональным данным) | |||
__________________________________________________________ (наименование органа исполнительной власти) | |||
УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
Типовая форма матрицы доступа сотрудников к сведениям конфиденциального характера (персональным данным) | |||
Москва 20__ | |||
Матрица доступа
сотрудников к защищаемым информационным ресурсам информационной системы конфиденциальной
информации (персональных данных)
«_____________________________________________»
№ п/п | Наименование АРМ | Здание, № помещения | Условное имя пользователя (группы) | Наименование защищаемых информационных ресурсов (логические диски, каталоги, программы, устройства и т.п.) | Тип доступа | Примечание |
АРМ 1 | Тверская 12, к 212 | Администратор | С:\Каталог 1 | чтение | ||
запись | ||||||
выполнение | ||||||
С:\Каталог 2 | чтение | |||||
запись | ||||||
выполнение | ||||||
FDD | чтение | |||||
запись | ||||||
выполнение | ||||||
Сканер | сканирование | |||||
DVD-RW | чтение | |||||
запись | ||||||
выполнение | ||||||
Принтер | печать | |||||
Программные средства | инсталляция, изменение | |||||
ОС, СЗИ | настройки | |||||
АРМ 2 | Тверская 12, к 310 | Пользователь 1 | С:\Каталог 1 | чтение | ||
запись | ||||||
Принтер | печать | |||||
Программные средства | выполнение | |||||
ОС, СЗИ | загрузка |
37. Описания конфигурации и топологии АС (ИСПДн) в органах исполнительной власти и их подведомственных учреждениях | |||
__________________________________________________________ (наименование органа исполнительной власти) | |||
УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
Типовая форма описания конфигурации и топологии АС (ИСПДн) в органах исполнительной власти и их подведомственных учреждениях | |||
Москва 20__ | |||
ОГЛАВЛЕНИЕ
ЛИСТ СОГЛАСОВАНИЯ 2
1.Перечень сокращений.. 4
2.Общие сведения об АС «____________».. 5
3.Описание программной и аппаратной конфигурации технических средств. 6
3.1 Серверный комплекс 6
3.2 Автоматизированные рабочие места 8
4.Архитектура системы.. 10
4.1 Топология системы. 10
Дата публикования: 2015-04-10; Прочитано: 1867 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!