Часто, при проведении аудита информационной безопасности в филиалах банка, сталкиваешься
с ситуацией, когда нет утвержденного необходимого и достаточного перечня
журналов по ИБ-безопасности. А мы знаем, что разные регуляторы требуют при
проверке разные журналы.
Попробуем разобраться.
Приказом Федерального
агентства правительственной
связи и информации от 13 июня
2001г. № 152 предусмотрено, что органы криптографической защиты и обладатели
конфиденциальной информации должны вести журналы поэкземплярного учета СКЗИ,
эксплуатационной и технической документации к ним, ключевых документов (приложения 1, 2 к Инструкции – по форме эти журналы идентичны), а также технический
(аппаратный) журнал (приложение 3 к
Инструкции).
Приложение 1/2
к
Инструкции (пункт
26),
утвержденной
Приказом
Федерального агентства
правительственной
связи и информации
при
Президенте Российской Федерации
от 13 июня 2001
г. № 152
Типовая форма
журнала поэкземплярного учета скзи, эксплуатационной
и технической документации к ним, ключевых документов
(для органа криптографической защиты/для обладателя конфиденциальной информации)
журнала поэкземплярного учета скзи, эксплуатационной
и технической документации к ним, ключевых документов
(для органа криптографической защиты/для обладателя конфиденциальной информации)
N п/п
|
Наименование СКЗИ,
эксплуатационной и технической документации к ним, ключевых документов
|
Серийные номера СКЗИ,
эксплуатационной и технической документации к ним, номера серий ключевых
документов
|
Номера экземпляров
(криптографические номера) ключевых документов
|
Отметка о получении
|
Отметка о рассылке (передаче)
|
Отметка о возврате
|
Дата ввода в действие
|
Дата вывода из действия
|
Отметка об уничтожении СКЗИ,
ключевых документов
|
Примечание
|
|||||
От кого получены или Ф.И.О.
сотрудника органа криптографической защиты, изготовившего ключевые документы
|
Дата и номер сопроводительного
письма или дата изготовления ключевых документов и расписка в изготовлении
|
Кому разосланы (переданы)
|
Дата и номер сопроводительного
письма
|
Дата и номер подтверждения или
расписка в получении
|
Дата и номер сопроводительного
письма
|
Дата и номер подтверждения
|
Дата уничтожения
|
Номер акта или расписка об
уничтожении
|
|||||||
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
12
|
13
|
14
|
15
|
16
|
Приложение 3
к
Инструкции (пункт 28),
утвержденной
Приказом
Федерального агентства
правительственной
связи и информации
при
Президенте Российской Федерации
от
13 июня 2001 г. № 152
Типовая форма
технического (аппаратного) журнала
технического (аппаратного) журнала
N
п/п
|
Дата
|
Тип
и серийные номера используемых СКЗИ
|
Записи
по обслуживанию СКЗИ
|
Используемые
криптоключи
|
Отметка
об уничтожении (стирании)
|
Примечание
|
|||
Тип
ключевого документа
|
Серийный,
криптографический номер и номер экземпляра ключевого документа
|
Номер
разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи
|
Дата
|
Подпись
пользователя СКЗИ
|
|||||
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
Ряд журналов обычно запрашивает Роскомнадзор при проведении
проверки внутренних документов, регламентирующих порядок работы с персональными
данными. Некоторые образцы журналов можно взять из "Методических рекомендаций по выполнению законодательных требований
при обработке персональных данных в организациях банковской системы Российской
Федерации" (утв. Банком России, АРБ, Ассоциацией региональных банков
России (Ассоциация "Россия"). Например, такие:
-журнал
учета носителей ПДн (Приложение 8 к “Методическим рекомендациям”);
-журнал
учета разовых пропусков (Приложение 9 к “Методическим рекомендациям”)
-журнал
учета обращений субъектов ПДн по вопросам обработки ПДн (Приложение
11 к “Методическим
рекомендациям”).
Приложение
8. Журнал учета носителей ПДн
Журнал учета носителей ПДн
№ п/п
|
Регистрационный
номер
|
Дата учета
|
Тип/емкость
носителя
|
Серийный
номер
|
Отметка
о постановке на учет (ФИО, подпись, дата)
|
Отметка
о снятии с учета (ФИО, подпись, дата)
|
Местоположение
носителя
|
Сведения
об уничтожении носителя/стирании
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
Приложение
9. Журнал учета разовых пропусков
Журнал
учета разовых пропусков
Номер
пропуска
|
Номер
заявки на выдачу пропуска
|
Ф.И.О.
посетителя
|
Наименование
принимающего структурного подразделения
|
Ф.И.О.
должностного лица, подписавшего пропуск
|
Время
начала действия пропуска
|
Вид
документа, с которым пропуск действителен
|
Место
посещения
|
Фактическое
время выхода
|
Отметка
о возврате пропуска
|
Подпись
дежурного бюро пропусков
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
9
|
10
|
11
|
Приложение
11. Журнал учета обращений граждан
(субъектов персональных данных)
по вопросам обработки персональных данных
(субъектов персональных данных)
по вопросам обработки персональных данных
Журнал учета обращений субъектов
ПДн по вопросам обработки ПДн
№ п/п
|
Сведения
о запрашивающем лице
|
Краткое
содержание обращения
|
Цель
запроса
|
Отметка о предоставлении
информации или отказе в ее предоставлении
|
Дата передачи/отказа
в предоставлении информации
|
Подпись
ответственного лица
|
Примечание
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
8
|
Также, в случае аттестации АРМ для обработки
конфиденциальной информации потребуется завести Журнал учета электронных носителей конфиденциальной
информации:
Журнал учета электронных носителей
конфиденциальной информации
Дата
учета
|
Учет-ный
№
|
Наименование, ёмкость
носителя конфиденциальной информации
|
Серийный номер носителя конфиденциальной
информации
|
Роспись пользователя в получении,
дата и исх. № документа
|
Роспись и дата в обратном приеме
|
Отметка об уничтожении
№ акта, дата
|
1
|
2
|
3
|
4
|
5
|
6
|
7
|
Из Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) можно использовать Перечень средств защиты информации, установленных на АС:
Таблица 3
ПЕРЕЧЕНЬ средств защиты информации,
установленных на АС
____________________________________
____________________________________
№
п/п
|
Наименование
и тип
технического средства
|
Заводской
номер
|
Сведения
о сертификате
|
Место и
дата установки
|
1
|
2
|
3
|
4
|
5
|
И, конечно, не забываем про ИБ-журналы для взаимодействия со структурными подразделениями Банка России.
Комментариев нет:
Отправить комментарий