15 марта 2015 г.

Образцы журналов по ИБ-безопасности

Часто, при проведении аудита информационной безопасности в филиалах банка, сталкиваешься с ситуацией, когда нет утвержденного необходимого и достаточного перечня журналов по ИБ-безопасности. А мы знаем, что разные регуляторы требуют при проверке разные журналы. Попробуем разобраться.
Приказом Федерального агентства правительственной связи и информации от 13 июня 2001г. № 152 предусмотрено, что органы криптографической защиты и обладатели конфиденциальной информации должны вести журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения 1, 2 к Инструкции – по форме эти журналы идентичны), а также технический (аппаратный) журнал (приложение 3 к Инструкции).
Приложение 1/2
к Инструкции (пункт 26), утвержденной
Приказом Федерального агентства
правительственной связи и информации
при Президенте Российской Федерации
от 13 июня 2001 г. № 152

Типовая форма
журнала поэкземплярного учета скзи, эксплуатационной
и технической документации к ним, ключевых документов
(для органа криптографической защиты/для обладателя конфиденциальной информации)
N п/п

Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов

Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов

Номера экземпляров (криптографические номера) ключевых документов

Отметка о получении
Отметка о рассылке (передаче)
Отметка о возврате
Дата ввода в действие

Дата вывода из действия

Отметка об уничтожении СКЗИ, ключевых документов
Примечание

От кого получены или Ф.И.О. сотрудника органа криптографической защиты, изготовившего ключевые документы
Дата и номер сопроводительного письма или дата изготовления ключевых документов и расписка в изготовлении
Кому разосланы (переданы)
Дата и номер сопроводительного письма
Дата и номер подтверждения или расписка в получении
Дата и номер сопроводительного письма
Дата и номер подтверждения
Дата уничтожения
Номер акта или расписка об уничтожении
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

Приложение 3
к Инструкции (пункт 28), утвержденной
Приказом Федерального агентства
правительственной связи и информации
при Президенте Российской Федерации
от 13 июня 2001 г. № 152 
Типовая форма
технического (аппаратного) журнала
N п/п
Дата
Тип и серийные номера используемых СКЗИ
Записи по обслуживанию СКЗИ
Используемые криптоключи
Отметка об уничтожении (стирании)
Примечание




Тип ключевого документа
Серийный, криптографический номер и номер экземпляра ключевого документа
Номер разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи
Дата
Подпись пользователя СКЗИ

1
2
3
4
5
6
7
8
9
10
Ряд журналов обычно запрашивает Роскомнадзор при проведении проверки внутренних документов, регламентирующих порядок работы с персональными данными. Некоторые образцы журналов можно взять из "Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (утв. Банком России, АРБ, Ассоциацией региональных банков России (Ассоциация "Россия"). Например, такие:
-журнал учета носителей ПДн (Приложение 8 к “Методическим рекомендациям”);
-журнал учета разовых пропусков (Приложение 9 к “Методическим рекомендациям”)
-журнал учета обращений субъектов ПДн по вопросам обработки ПДн (Приложение 11 к “Методическим рекомендациям”).

                                                        Приложение 8. Журнал учета носителей ПДн
Журнал учета носителей ПДн
№ п/п
Регистрационный номер
Дата учета
Тип/емкость носителя
Серийный номер
Отметка о постановке на учет (ФИО, подпись, дата)
Отметка о снятии с  учета (ФИО, подпись, дата)
Местоположение носителя
Сведения об уничтожении носителя/стирании
1
2
3
4
5
6
7
8
9

                            Приложение 9. Журнал учета разовых пропусков

                                                   Журнал учета разовых пропусков

Номер пропус­ка
Номер заявки на выдачу пропус­ка
Ф.И.О. посети­теля
Наимено­вание принима­ющего структур­ного подраз­деления
Ф.И.О. должност­ного лица, подписав­шего пропуск
Время начала действия пропуска
Вид доку­мента, с которым пропуск действи­телен
Место посеще­ния
Фактичес­кое время выхода
Отметка о возврате пропуска
Подпись дежур­ного бюро пропус­ков
1
2
3
4
5
6
7
8
9
10
11

Приложение 11. Журнал учета обращений граждан
(субъектов персональных данных)
по вопросам обработки персональных данных
Журнал учета обращений субъектов ПДн по вопросам обработки ПДн
№ п/п
Сведения о запрашивающем лице
Краткое содержание обращения
Цель запроса
Отметка о предоставлении информации или отказе в ее предоставлении

Дата передачи/отказа в предоставлении информации
Подпись ответственного лица
Примечание
1
2
3
4
5
6
7
8


Также, в случае аттестации АРМ для обработки конфиденциальной информации потребуется завести Журнал учета электронных носителей конфиденциальной информации:
Журнал учета электронных носителей конфиденциальной информации
Дата
учета
Учет-ный
Наименование, ёмкость
носителя конфиденциальной информации
Серийный номер носителя конфиденциальной информации
Роспись пользователя в получении,
дата и исх. № документа
Роспись и дата в обратном приеме
Отметка об уничтожении
№ акта, дата
1
2
3
4
5
6
7


Из Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) можно использовать Перечень средств защиты информации, установленных на АС:
Таблица 3
ПЕРЕЧЕНЬ средств защиты информации, установленных на АС
____________________________________

п/п

Наименование и тип
технического средства
Заводской номер
Сведения о сертификате
Место и дата установки
1
2
3
4
5

 И, конечно, не забываем про ИБ-журналы для взаимодействия со структурными подразделениями Банка России.

Комментариев нет:

Отправить комментарий