г. Город
АКТ ПРОВЕРКИ
__ФСБ России по __________ области
__________________________________
(наименование учреждения)
№ ____________ от « » _______ 2012 года
« » _______ 2012 года по адресу:
На основании:
Наименование вида документа, №, дата документа, ФИО, должность лица, подписавшего документ
Была проведена проверка в отношении:
Наименование учреждения
ИНН ___________
Продолжительность проверки: 00.00.2012 – 00.00.2012 (10 рабочих дней) Правовые основания проведения проверки:
- Федеральный закон от 01.01.01 года «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля»; Федеральный закон от 01.01.01 года «Об информации, информационных технологиях и о защите информации»; Федеральный закон от 01.01.01 года «О персональных данных»
- Постановление Правительства Российской Федерации от 01.01.01 года № 000 «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - постановление Правительства № 000); Приказ ФСТЭК России,-ФСБ России, Мининформсвязи России от 01.01.01 года № 55/86/20 «Порядок проведения классификации информационных систем персональных данных»; Приказ ФСБ России от 9 февраля 2005 года № 66 «Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средства защиты информации (Положение ПКЗ-2005)»; Приказ ФСБ России от 01.01.01 года № 000/6/6-622 «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащих сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (далее - Типовые требования); Приказ ФСБ России от 01.01.01 года № 000/5-144 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (далее Методические рекомендации).
Акт составлен: комиссией Наименование проверяющего органа.
С копией распоряжения/приказа о проведении проверки ознакомлен(а):
Наименование должности
« » ______ 2012 года
Вид проверки: плановая
Форма проверки: выездная
Проверку провел:
Наименование должности
При проведении проверки присутствовал:
Наименование должности
В ходе проведения проверки и согласно предоставленным начальником отдела программно-технического обеспечения Учреждения сведениям установлено следующее:
В Учреждении используется информационная система персональных данных с применением средств криптографической защиты информации (СКЗИ) «База данных граждан и сотрудников». Данная ИСПДн предназначена для передачи информации в системе:
- наименование систем
В Учреждении разработаны и утверждены руководителем 00.00.0000 «Модель угроз информационной системы персональных данных База данных граждан и сотрудников», «Техническое задание на создание системы защиты для информационной системы персональных данных База данных граждан и сотрудников», а также проведена классификация информационной системы персональных данных по результатам которой оформлен и утвержден «Акт классификации информационной системы персональных данных База данных граждан и сотрудников».
Приказом исполняющего обязанности Учреждения №, дата документа функции по организации криптографической защиты при обеспечении функционирования и безопасности применения криптографических средств в соответствии с требованиями правил пользования, эксплуатационной и технической документации ответственным Пользователем за эксплуатацию и техническое обслуживание СКЗИ, а также ведение поэкземплярного учета и документации назначен начальник программно-технического обеспечения Учреждения, функции и обязанности по организации криптографической защиты при обеспечении функционирования и безопасности применения криптографических средств в соответствии с требованиями правил пользования, эксплуатационной и технической документацией, а также по ведению поэкземплярного учета ключевых документов возложены на ответственного Пользователя - начальника общего отдела Учреждения, .
Приказом начальника Учреждения №, дата приказа «О назначении ответственных лиц и прав пользователей при обмене электронными документами» утвержден перечень Пользователей СКЗИ. Должностной регламент по работе с СКЗИ отражен в «Инструкции по организации и обеспечению безопасности эксплуатации шифровальных (криптографических) средств в ИСПДн Учреждении, а также в функциональных обязанностях ответственных Пользователей СКЗИ. Ответственные Пользователи СКЗИ и пользователи СКЗИ в Учреждении ознакомлены с внутренними положениями, инструкциями в области защиты информации, документами по организации и обеспечению безопасности эксплуатации средств криптографической защиты информации, отметки об ознакомлении произведены.
Для защиты информации Учреждение использует СКЗИ:
- «Крипто-Про CSP 3.0», сертифицированные ФСБ России. В наличии лицензия на использование программного продукта, программное обеспечение, формуляр, эксплуатационная и техническая документация; СКЗИ «VipNet Координатор», «VipNet Клиент», сертифицированные ФСБ России. В наличии лицензия на использование программного продукта, программное обеспечение, формуляр, эксплуатационная и техническая документация;
- СКЗИ «Верба» сертифицированные ФСБ России; СКЗИ «Бикрипт-КСБ-С» сертифицированные ФСБ России. Произведена проверка готовности СКЗИ «КриптоПРО CSP 3.0», «VipNet
Координатор», «VipNet Клиент» к использованию, о чем составлено и утверждено установленным порядком соответствующие заключение о возможности эксплуатации СКЗИ.
Порядок ввода в эксплуатацию и учета СКЗИ определяется «Инструкцией по организации и обеспечению безопасности эксплуатации шифровальных (криптографических) средств в ИСПДн Учреждения». Ответственными пользователями СКЗИ ведется поэкземплярный учет СКЗИ, ключевых документов, эксплуатационной, технической документации к ним в «Журнале поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов».
Для эксплуатации СКЗИ, а также для хранения ключевых документов, криптографических средств, эксплуатационной и технической документации к ним приказом директора №, дата приказа «О выделении режимных помещений» выделены помещения №№ 000, 206, 207, 209, 214, 216 определен перечень лиц, имеющих право доступа в помещение. Помещение оборудовано охранной сигнализацией. Для хранения ключевых документов, СКЗИ, эксплуатационной и технической документации к ним имеются металлические сейфы.
Контроль соблюдения условий использования СКЗИ, предусмотренных эксплуатационной и технической документации к ним, возложен на начальника отдела программно-технического обеспечения Учреждения .
Выявленные нарушения:
Нет проверки готовности СКЗИ «Верба», «Бикрипт-КСБ-С» к использованию с составлением заключений о возможности их эксплуатации - п. п «в-г», п. 12 постановления Правительства № 000, п. 2.3. Типовых требований; Отсутствуют заключения об обучении лиц, использующих СКЗИ «Верба», «Бикрипт-КСБ-С» - п. п. «д», п. 12, п. 19 постановления Правительства № 000, п. 2.3. Типовых требований; Используемое СКЗИ «Бикрипт-КСБ-С» не имеет регистрационного номера - п. 20 постановления Правительства № 000, п.3.3. Типовых требований; Отсутствует эксплуатационная, техническая документация к СКЗИ «Верба», «Бикрипт-КСБ-С» (формуляр) – п. п. «г» п.12, п.19 постановления Правительства № 000, п. 2.3., 2.10., 2.11. Типовых требований; Аппаратные средства, с которыми осуществляется функционирование СКЗИ «Верба», «Бикрипт-КСБ-С» не оборудованы средствами контроля - п. 3.9. Типовых требований; Пересылка и получение криптографических средств, эксплуатационной и технической документации к ним, ключевых документов осуществляются без сопроводительных писем - п.3.12. Типовых требований; Ключи от механических замков сейфов ответственных Пользователей СКЗИ, дверей режимных помещений, не учтены в соответствующих журналах учета - п. 4.5., 4.8. Типовых требований; Замочные скважины металлических сейфов для хранения СКЗИ, эксплуатационной и технической документации к ним, а также ключевых документов не оборудованы приспособлением для опечатывания - п. 4.8. Типовых требований; Не выполняются требования по порядку приема и сдачи под охрану режимных помещений - п. 4.9. Типовых требований;Отдельные замечания комиссии были устранены в ходе проведения проверки.
ВЫВОД:
Организационные требования по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных «База данных граждан и сотрудников» с применением шифровальных (криптографических) средств в Учреждении выполняются с отдельными нарушениями требований нормативных документов.
С учетом изложенного комиссия предписывает устранить выявленные нарушения в срок до 00.00.2012 года.
Запись в Журнал учета проверок юридического лица, индивидуального предпринимателя, проводимых органами государственного контроля (надзора), органами муниципального контроля внес
_____________
Проверку провел: ___________
С актом проверки ознакомлен(а), экземпляр акта получил(а):
Наименование должности
« » ___________ 2012 года __________
Пометка об отказе ознакомления с актом проверки: _______________
