 |
Главная Случайная страница Контакты | Мы поможем в написании вашей работы! | |
Определение актуальных угроз безопасности персональных данных
|
|
Определение актуальных угроз безопасности персональных данных проведено экспертным методом в соответствии с Методикой. Результаты приведены в таблице 5.
Таблица 5. Определение актуальных угроз нарушения безопасности персональных данных
| Угроза | Возможность реализации угрозы | Опасность (ущерб) | Актуальность |
| Угрозы утечки информации по техническим каналам | |||
| Угрозы утечки акустической информации: | |||
| В ИСПДн не реализованы функции голосового ввода ПДн и воспроизведения ПДн акустическими средствами | Неактуальна | ||
| Угрозы утечки видовой информации: | |||
| Просмотр информации на дисплее пользователей ИСПДн работниками, не допущенными к ПДн | Высокая | Средняя | Актуальная |
| Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн | Средняя | Средняя | Актуальная |
| Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны | Средняя | Средняя | Актуальная |
| Просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка ПДн | Средняя | Средняя | Актуальная |
| Угрозы утечки информации по каналам ПЭМИН: | |||
| Утечка информации по сетям электропитания ИСПДн | Средняя | Низкая | Неактуальная |
| Перехват техническими средствами наводок информативного сигнала, обрабатываемого техническими средствами ИСПДн, на цепи электропитания и линии связи, выходящие за пределы контролируемой зоны | Средняя | Низкая | Неактуальная |
| Утечка информации из ИСПДн за счет побочного излучения технический средств | Средняя | Низкая | Неактуальная |
| Преднамеренное электромагнитное воздействие на элементы ИСПДн | Средняя | Низкая | Неактуальная |
| Угрозы НСД к персональным данным | |||
| Угрозы доступа (проникновения) в операционную среду компьютера и НСД к персональным данным (угрозы непосредственного доступа): | |||
| Перехват управления загрузкой операционной системы (ОС) ИСПДн, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к ПДн | Высокая | Высокая | Актуальная |
| Вызов штатных программ ОС ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн | Высокая | Высокая | Актуальная |
| Внедрение в ИСПДн вредоносных программ | Высокая | Средняя | Актуальная |
| Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угрозы удаленного доступа): | |||
| Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации | Очень высокая | Высокая | Актуальная |
| Сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей | Высокая | Средняя | Актуальная |
| Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа | Очень высокая | Высокая | Актуальная |
| Навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных | Очень высокая | Средняя | Актуальная |
| Внедрение ложного объекта сети | Очень высокая | Высокая | Актуальная |
| Сетевые атаки типа «Отказ в обслуживании» | Высокая | Низкая | Актуальная |
| Удаленный запуск приложения в ИСПДн | Очень высокая | Высокая | Актуальная |
| Внедрение по сети вредоносных программ | Высокая | Средняя | Актуальная |
| Угрозы физического доступа к элементам ИСПДн: | |||
| Хищение элементов ИСПДн, содержащих ПДн | Высокая | Высокая | Актуальная |
| Хищение отчуждаемых носителей информации, содержащих ПДн | Высокая | Высокая | Актуальная |
| Вывод из строя элементов ИСПДн | Высокая | Средняя | Актуальная |
| Внедрение в ИСПДн аппаратных закладок | Высокая | Высокая | Актуальная |
| Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и средств защиты ПДн | |||
| Утрата паролей доступа к ИСПДн | Высокая | Средняя | Актуальная |
| Искажение или уничтожение информации в результате ошибок пользователя | Высокая | Средняя | Актуальная |
| Выход из строя аппаратно-программных средств ИСПДн | Средняя | Средняя | Актуальная |
| Сбой системы электроснабжения ИСПДн | Средняя | Низкая | Неактуальная |
| Уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами | Высокая | Средняя | Актуальная |
Таким образом, в отношении персональных данных, обрабатываемых в автоматизированной информационной системе «_________ » органа исполнительной власти актуальными являются следующие угрозы:
- просмотр информации на дисплее пользователей ИСПДн работниками, не допущенными к ПДн;
- просмотр информации на дисплее пользователей ИСПДн посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн;
- просмотр информации на дисплее пользователей ИСПДн посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны;
- просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка ПДн;
- перехват управления загрузкой операционной системы (ОС) ИСПДн, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к ПДн;
- вызов штатных программ ОС ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн;
- внедрение в ИСПДн вредоносных программ;
- перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации;
- сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей;
- подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа;
- навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных;
- внедрение ложного объекта сети;
- сетевые атаки типа «Отказ в обслуживании»;
- удаленный запуск приложения в ИСПДн;
- внедрение по сети вредоносных программ;
- хищение элементов ИСПДн, содержащих ПДн;
- хищение отчуждаемых носителей информации, содержащих ПДн;
- вывод из строя элементов ИСПДн;
- внедрение в ИСПДн аппаратных закладок;
- утрата паролей доступа к ИСПДн;
- искажение или уничтожение информации в результате ошибок пользователя;
- выход из строя аппаратно-программных средств ИСПДн;
- уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами.
7 Модель угроз безопасности персональных данных при их обработке в автоматизированной информационной системе персональных данных «__________________»
| Наименование угрозы | Вероятность реализации угрозы (Y2) | Промежуточ-ный расчет Y=(Y1+Y2)/20, где Y1=10 | Возможность реализации угрозы (Y) | Опасность угрозы | Актуальность угрозы | Организационно-технические меры по защите ИСПДн от угрозы | ||
| Угрозы от утечки по техническим каналам | ||||||||
| Угрозы утечки видовой информации: | ||||||||
| Просмотр информации на дисплее пользователей ИСПДн работниками, не допущенными к ПДн | 0,75 | высокая | средняя | актуальная | Организация пропускного режима. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте. Включение требования о недопустимости просмотра информации посторонними лицами в инструкцию пользователя ИСПДн. | |||
| Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, находящимися в помещении, в котором ведется обработка ПДн | 0,6 | средняя | средняя | актуальная | Организация пропускного режима. Автоматическая блокировка экрана при отсутствии пользователя ИСПДн на рабочем месте. Контроль доступа в помещения, где ведется обработка ПДн. Включение требования о недопустимости просмотра информации посторонними лицами в инструкцию пользователя ИСПДн. | |||
| Просмотр информации на дисплее пользователей ИСПДн посторонними лицами, ведущими наблюдение (регистрацию) из-за границ контролируемой зоны | 0,6 | средняя | средняя | актуальная | Установка на окна помещений, в которых ведется обработка ПД, жалюзи или штор. Размещение помещений, содержащих ИСПДн, на удалении от границ контролируемой зоны. | |||
| Просмотр информации на дисплеях пользователей ИСПДн с помощью специальных устройств регистрации, внедренных в помещение, в котором ведется обработка ПДн | 0,5 | средняя | средняя | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. | |||
| Угрозы несанкционированного доступа (далее - НСД) к информации | ||||||||
| Угрозы доступа (проникновения) в операционную среду компьютера и НСД к персональным данным (угрозы непосредственного доступа): | ||||||||
| Перехват управления загрузкой операционной системы (ОС) ИСПДн, в том числе с использованием отчуждаемых носителей информации, и получение прав доверенного пользователя для осуществления НСД к ПДн | 0,75 | высокая | высокая | актуальная | Запрет загрузки АРМ с отчуждаемых носителей информации. Контроль доступа в помещения, где ведется обработка ПДн. | |||
| Вызов штатных программ ОС ИСПДн или запуск специально разработанных программ, реализующих НСД к ИСПДн | 0,75 | высокая | высокая | актуальная | Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | |||
| Внедрение в ИСПДн вредоносных программ | 0,75 | высокая | средняя | актуальная | Использование на серверах и АРМ, входящих в состав ИСПДн, антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов ИСПДн. Настройка антивирусного ПО на проверку подключаемых отчуждаемых носителей информации. | |||
| Угрозы, реализуемые с использованием протоколов межсетевого взаимодействия (угрозы удаленного доступа): | ||||||||
| Перехват и анализ сетевого трафика для извлечения конфиденциальной или аутентификационной информации | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Запрет установки ПО, не связанного с исполнением служебных обязанностей. Регулярный контроль со стороны работников, ответственных за обеспечение безопасности ПДн при их обработке в ИСПДн, прав доступа пользователей к АРМ и установленного на них ПО. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | ||||
| Сканирование сети для выявления используемых протоколов, доступных портов сетевых служб, закономерностей формирования идентификаторов соединений, определение активных сетевых сервисов, подбор идентификаторов и паролей пользователей | 0,75 | высокая | средняя | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Использование систем обнаружения и предотвращения вторжений. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей. | |||
| Подмена доверенного объекта сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. | ||||
| Навязывание ложного маршрута путем несанкционированного изменения маршрутно-адресных данных | очень высокая | средняя | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. | ||||
| Внедрение ложного объекта сети | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. | ||||
| Сетевые атаки типа «Отказ в обслуживании» | 0,75 | высокая | низкая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Использование систем обнаружения и предотвращения вторжений. | |||
| Удаленный запуск приложения в ИСПДн | очень высокая | высокая | актуальная | Сегментирование ЛВС с помощью виртуальных локальных сетей. Выполнение регулярного обновления ПО с помощью ПО ИСПДн. Использование систем обнаружения и предотвращения вторжений. | ||||
| Внедрение по сети вредоносных программ | 0,75 | высокая | средняя | актуальная | Использование на серверах и АРМ входящих в состав ИСПДн антивирусного ПО. Выполнение регулярного обновления ПО АРМ и серверов ИСПДн. | |||
| Угрозы физического доступа к элементам ИСПДн: | ||||||||
| Хищение элементов ИСПДн, содержащих ПДн | 0,75 | высокая | высокая | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. | |||
| Хищение отчуждаемых носителей информации, содержащих ПДн | 0,75 | высокая | высокая | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. Вменение персоналу ИСПДн обязанности обеспечения сохранности отчуждаемых носителей информации, содержащих ПДн. | |||
| Вывод из строя элементов ИСПДн | 0,75 | высокая | средняя | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. Размещение помещений, содержащих ИСПДн, в пределах контролируемой зоны. | |||
| Внедрение в ИСПДн аппаратных закладок | 0,75 | высокая | высокая | актуальная | Организация пропускного режима. Контроль доступа в помещения, где ведется обработка ПДн. Организация выполнения работ технического обслуживания, выполняемых работниками сторонних организаций, в присутствии работников организации. Включение требования по информационной безопасности в договоры и контракты на проведение работ и оказание услуг. Выбор в качестве исполнителей работ и поставщиков услуг организаций, прошедших сертификацию. Заключение соглашений о конфиденциальности со сторонними организациями, выполняющими работы или оказывающими услуги. | |||
| Угрозы непреднамеренных действий пользователей и нарушений безопасности функционирования ИСПДн и средств защиты ПДн: | ||||||||
| Утрата паролей доступа к ИСПДн | 0,75 | высокая | средняя | актуальная | Вменение персоналу ИСПДн обязанности обеспечения сохранности паролей. Определение парольной политики | |||
| Искажение или уничтожение информации в результате ошибок пользователя | 0,75 | высокая | средняя | актуальная | Контроль вводимых данных. Предоставление персоналу ИСПДн привилегий, минимально необходимых для выполнения ими своих функциональных обязанностей | |||
| Выход из строя аппаратно-программных средств ИСПДн | 0,6 | средняя | средняя | актуальная | Резервирование аппаратных ресурсов ИСПДн. | |||
| Уничтожение данных в ИСПДн или блокирование доступа к ИСПДн, вызванное стихийными бедствиями или техногенными катастрофами | 0,6 | средняя | средняя | актуальная | Резервное копирование данных ИСПДн. Хранение резервных копий отдельно от элементов ИСПДн, содержащих резервируемые данные. Использование в серверных помещениях средств обнаружения возгорания и систем пожаротушения. | |||
Приложение 1
Перечень площадок размещения внешних АРМ АИС «____________»
| № п/п | Адрес площадки размещения | Наименование организации |
| 33. План мероприятий по технической защите конфиденциальной информации и персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
| __________________________________________________________ (наименование органа исполнительной власти) | |||
| УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
| Типовая форма плана мероприятий по технической защите конфиденциальной информации и персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
| Москва 20__ | |||
| № п/п | Наименование мероприятий | Сроки исполнения мероприятий | Ответственный сотрудник | Отмет-ка о выполнении | Примечание | |||||||||||
| Мероприятия по плану вышестоящего руководства | ||||||||||||||||
| Участие заместителя руководителя органа исполнительной власти в заседании Комиссии по информационной безопасности при Мэре Москвы | ||||||||||||||||
| Мероприятия для выполнения из решения Комиссии по информационной безопасности при Мэре Москвы: | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятия для выполнения из решения Комиссии по информационной безопасности при полномочном представителе Президента РФ по ЦФО: | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Плановая проверка Роскомнадзора по вопросам обеспечения защиты персональных данных | ||||||||||||||||
| Совместная проверка Первого управления Правительства Москвы и Управления информатизации города Москвы по вопросам состояния технической защиты конфиденциальной информации | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятия по плану органа исполнительной власти | ||||||||||||||||
| Организационные мероприятия по защите конфиденциальной информации | ||||||||||||||||
| Проведение заседания Комиссии по информационной безопасности при руководителе органа исполнительной власти | ||||||||||||||||
| Подготовка и представление руководителю органа исполнительной власти доклада о состоянии дел в органе исполнительной власти по вопросам защиты конфиденциальной информации | ||||||||||||||||
| Разработка или уточнение приказа о назначении работника (структурного подразделения), ответственного за обеспечение безопасности конфиденциальной информации, в том числе ПДн | ||||||||||||||||
| Разработка или уточнение приказа о составе комиссии по классификации или переклассификации автоматизированных систем | ||||||||||||||||
| Разработка или уточнение приказа о составе комиссии по классификации информационных систем персональных данных | ||||||||||||||||
| Разработка или уточнение приказа о выделении помещения (помещений) в котором производится обработка конфиденциальной информации, в том числе ПДн | ||||||||||||||||
| Разработка или уточнение приказа об утверждении списка лиц, допущенных к работе на автоматизированных системах (АС), также в ИСПДн | ||||||||||||||||
| Разработка или уточнение приказа об утверждении списка лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей | ||||||||||||||||
| Разработка или доработка приказа о назначении администраторов безопасности СЗ конфиденциальной информации, в том числе ПДн в целом и прикладных администраторов | ||||||||||||||||
| Разработка или доработка инструкции по порядку учета и хранению съемных носителей конфиденциальной информации | ||||||||||||||||
| Разработка или доработка инструкции, определяющей порядок охраны, внутри объектовый режим и порядок допуска лиц в помещения, в которых ведется обработка конфиденциальной информации, в том числе персональные данные | ||||||||||||||||
| Разработка или доработка положения о порядке организации и проведения работ по защите конфиденциальной информации | ||||||||||||||||
| Разработка или доработка положения о порядке обработки и обеспечении безопасности персональных данных | ||||||||||||||||
| Разработка или доработка инструкции о порядке резервирования и восстановления работоспособности ТС и ПО, баз данных и средств СЗПДн | ||||||||||||||||
| Разработка или уточнение руководства пользователя по обеспечению безопасности ИСПДн | ||||||||||||||||
| Разработка или уточнение руководства администратора по обеспечению безопасности ИСПДн | ||||||||||||||||
| Разработка или уточнение перечня используемых сертифицированных технических средств защиты информации | ||||||||||||||||
| Разработка или уточнение перечня сведений конфиденциального характера, подлежащих защите, в том числе ПДн | ||||||||||||||||
| Разработка или уточнение перечня АС и ИС, обрабатывающих конфиденциальную информацию и персональные данные | ||||||||||||||||
| Разработка акта классификации АС или переклассификации АС | ||||||||||||||||
| Разработка акта классификации ИСПДн или переклассификации ИСПДн | ||||||||||||||||
| Разработка или уточнение модели угроз безопасности информации и модели нарушителя | ||||||||||||||||
| Разработка или уточнение частной модели угроз безопасности ПДн | ||||||||||||||||
| Разработка или уточнение матрицы доступа персонала к сведениям конфиденциального характера | ||||||||||||||||
| Разработка или уточнение схемы расположения объекта информатизации относительно границы КЗ | ||||||||||||||||
| Разработка плана внутренних проверок состояния защиты конфиденциальной информации | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Подготовка и проведение аттестации АС и ЗП | ||||||||||||||||
| Подготовка и проведение переаттестации АС и ЗП | ||||||||||||||||
| Разработка и подача предложений (расчет-обоснование) по необходимому объему финансирования для проведения работ по защите информации на следующий финансовый год | ||||||||||||||||
| Разработка и подача заявки в Управление информатизации города Москвы на закупку технических средств защиты | ||||||||||||||||
| Подготовка и проведения конкурсных процедур, заключение государственного контракта на создание подсистемы информационной безопасности «______» | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Ввод в промышленную эксплуатацию подсистемы информационной безопасности | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Технические мероприятия по защите конфиденциальной информации | ||||||||||||||||
| Установка на автоматизированные рабочие места АИС «____» СЗИ Secret Net 5.0 | ||||||||||||||||
| Настройка Active Directory в соответствии с политикой разграничения прав доступа пользователей к информационным ресурсам | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Внутренние проверки и контроль | ||||||||||||||||
| Проведение внутренней проверки состояния защиты конфиденциальной информации | 10–12 | |||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Организационные мероприятия по защите персональных данных | ||||||||||||||||
| Создание Комиссии по инвентаризации ИСиР и классификации ИСПД | ||||||||||||||||
| Проведение анализа ИСПДн на соответствие с присвоенным ранее классом | ||||||||||||||||
| Назначение ответственных сотрудников за проведение мероприятий по обеспечению безопасности ПДн и распределение зон ответственности | ||||||||||||||||
| Проведение классификации ИС с оформлением соответствующего акта | ||||||||||||||||
| Урегулирование правовых вопросов обработки (использования) ПДн (уточнение правовых оснований обработки ПДн, получение согласия субъектов на обработку, пересмотр (при необходимости) договоров с субъектами, установка сроков обработки ПДн и др.) | ||||||||||||||||
| Оформление и направление в территориальный орган уполномоченного органа по защите прав субъектов ПДн уведомления об обработке ПДн | ||||||||||||||||
| Разработка модели угроз (на основании результатов обследования ИС) | ||||||||||||||||
| Определение требований по защите ПДн при их обработке в ИСПДн в соответствии с присвоенным классом | ||||||||||||||||
| Разработка ЧТЗ (требований) по созданию (модернизации) подсистемы информационной безопасности | ||||||||||||||||
| Проектирование подсистемы информационной безопасности. | ||||||||||||||||
| Разработка и реализация комплекса организационных мероприятий по обеспечению защиты ПДн (данный комплекс мероприятий приведен в настоящих рекомендациях и аналогичен вышеприведенному) | ||||||||||||||||
| Реализация проекта по созданию (модернизации) подсистемы информационной безопасности | ||||||||||||||||
| Аттестация или декларирование ИСПДн на соответствие требованиям по защите ПДн | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… | ||||||||||||||||
| Мероприятие… |
Начальник отдела ___________________________
| 34. План внутренних проверок состояния защиты конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях | |||
| __________________________________________________________ (наименование органа исполнительной власти) | |||
| УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
| Типовая форма плана внутренних проверок состояния защиты конфиденциальной информации в органах исполнительной власти и их подведомственных учреждениях | |||
| Москва 20__ | |||
Общие положения
План внутренних проверок состояния защиты конфиденциальной информации, содержит перечень внутренних проверок.
Внутренние проверки в органах исполнительной власти проводятся не реже 1 раза в год.
План внутренней проверки содержит следующую информацию:
· Название проверяемого мероприятия.
· Период проведения проверки.
· Исполнитель мероприятия.
Внутренняя проверка проводится в подразделениях органа исполнительной власти, обрабатывающих конфиденциальную информацию.
План внутренней проверки состояния защиты конфиденциальной информации
| Мероприятие | Период проверки | Исполнитель |
| 1. Проверка полноты и качества разработанных распорядительных и нормативно-методических документов, регламентирующих обеспечение безопасности КИ | с 25 по 27 марта 2010 года | Рабочая группа |
| 2. Контроль выполнения требований по режиму доступа в здание органа исполнительной власти, защищаемые помещения и на автоматизированные рабочие места, обрабатывающие КИ | с 25 по 27 марта 2010 года | Рабочая группа |
| 3. Проверка порядка использования технических средств защиты конфиденциальной информации | с 25 по 27 марта 2010 года | Рабочая группа |
| 4. Проверка выполнения требований СТР-К по защите конфиденциальной информации | с 25 по 27 марта 2010 года | Рабочая группа |
| 5. Подведение итогов | с 25 по 27 марта 2010 года | Рабочая группа |
| 6. Составление акта проверки | с 25 по 27 марта 2010 года | Рабочая группа |
| 7. Доклад руководителю органа исполнительной власти по результатам проверки | 27 марта 2010 года | Руководитель рабочей группы |
| 35. План внутренних проверок состояния защиты персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
| __________________________________________________________ (наименование органа исполнительной власти) | |||
| УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
| Типовая форма плана внутренних проверок состояния защиты персональных данных в органах исполнительной власти и их подведомственных учреждениях | |||
| Москва 20__ | |||
Общие положения
План внутренних проверок режима защиты персональных данных, содержит перечень внутренних проверок.
Внутренняя проверка в органах исполнительной власти проводится не реже 1 раза в год.
План внутренней проверки содержит следующую информацию:
· Название проверяемого мероприятия.
· Период проведения проверки.
· Исполнитель мероприятия.
Внутренние проверки проводится в подразделениях органа исполнительной власти, обрабатывающих персональные данные.
План внутренней проверки режима защиты персональных данных
| Мероприятие | Период проверки | Исполнитель |
| 1. Проверка полноты и качества разработанных распорядительных и нормативно-методических документов, регламентирующих обеспечение безопасности ПДн | с 25 по 27 марта 2010 года | Рабочая группа |
| 2. Контроль выполнения требований по режиму доступа в здание органа исполнительной власти, защищаемые помещения и на автоматизированные рабочие места, обрабатывающие ПДн | с 25 по 27 марта 2010 года | Рабочая группа |
| 3. Проверка порядка использования технических средств защиты ПДн | с 25 по 27 марта 2010 года | Рабочая группа |
| 4. Проверка выполнения требований действующих нормативных документов по защите персональных данных | с 25 по 27 марта 2010 года | Рабочая группа |
| 5. Подведение итогов | с 25 по 27 марта 2010 года | Рабочая группа |
| 6. Составление акта проверки | с 25 по 27 марта 2010 года | Рабочая группа |
| 7. Доклад руководителю органа исполнительной власти по результатам проверки | 27 марта 2010 года | Руководитель рабочей группы |
| 36. Матрица доступа сотрудников к сведениям конфиденциального характера (персональным данным) | |||
| __________________________________________________________ (наименование органа исполнительной власти) | |||
| УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
| Типовая форма матрицы доступа сотрудников к сведениям конфиденциального характера (персональным данным) | |||
| Москва 20__ | |||
Матрица доступа
сотрудников к защищаемым информационным ресурсам информационной системы конфиденциальной
информации (персональных данных)
«_____________________________________________»
| № п/п | Наименование АРМ | Здание, № помещения | Условное имя пользователя (группы) | Наименование защищаемых информационных ресурсов (логические диски, каталоги, программы, устройства и т.п.) | Тип доступа | Примечание |
| АРМ 1 | Тверская 12, к 212 | Администратор | С:\Каталог 1 | чтение | ||
| запись | ||||||
| выполнение | ||||||
| С:\Каталог 2 | чтение | |||||
| запись | ||||||
| выполнение | ||||||
| FDD | чтение | |||||
| запись | ||||||
| выполнение | ||||||
| Сканер | сканирование | |||||
| DVD-RW | чтение | |||||
| запись | ||||||
| выполнение | ||||||
| Принтер | печать | |||||
| Программные средства | инсталляция, изменение | |||||
| ОС, СЗИ | настройки | |||||
| АРМ 2 | Тверская 12, к 310 | Пользователь 1 | С:\Каталог 1 | чтение | ||
| запись | ||||||
| Принтер | печать | |||||
| Программные средства | выполнение | |||||
| ОС, СЗИ | загрузка |
| 37. Описания конфигурации и топологии АС (ИСПДн) в органах исполнительной власти и их подведомственных учреждениях | |||
| __________________________________________________________ (наименование органа исполнительной власти) | |||
| УТВЕРЖДАЮ Руководитель органа исполнительной власти города Москвы ________________________ «__» ____________ 20__ г. | |||
| Типовая форма описания конфигурации и топологии АС (ИСПДн) в органах исполнительной власти и их подведомственных учреждениях | |||
| Москва 20__ | |||
ОГЛАВЛЕНИЕ
ЛИСТ СОГЛАСОВАНИЯ 2
1.Перечень сокращений.. 4
2.Общие сведения об АС «____________».. 5
3.Описание программной и аппаратной конфигурации технических средств. 6
3.1 Серверный комплекс 6
3.2 Автоматизированные рабочие места 8
4.Архитектура системы.. 10
4.1 Топология системы. 10
Дата публикования: 2015-04-10; Прочитано: 1867 | Нарушение авторского права страницы | Мы поможем в написании вашей работы!
