После установки модифицированных модулей на сервер администратор безопасности в присутствии уполномоченных работников подразделения ИТ устанавливает защиту целостности модулей на сервере (производит пересчет контрольных сумм эталонов модулей на файл-сервере с помощью специальных программных средств, прошедших оценку соответствия).
После проведения модификации ПО на рабочих станциях уполномоченный работник подразделения ИТ проводит антивирусный контроль.
Установка и обновление общего ПО (системного, тестового) на рабочие станции (АРМ) и серверы производится с оригинальных лицензионных дистрибутивных носителей (компакт дисков и др.), полученных установленным порядком, а прикладного ПО - с эталонных копий программных средств, полученных из фонда алгоритмов и программ.
Все добавляемые программные и аппаратные компоненты предварительно проверяются на работоспособность, контроль наличия проверок работоспособности осуществляет подразделение ИБ.
После установки (обновления) ПО уполномоченный работник подразделения ИТ (при использовании специализированных СЗИ от НСД - администратор безопасности) производит настройку средств управления доступом к данному программному средству и проверяет работоспособность ПО и правильность настройки СЗИ.
После завершения работ по внесению изменений в состав аппаратных средств рабочей станции (АРМ), обрабатывающей ПДн, ее системный блок закрывается уполномоченным работником подразделения ИТ на ключ (при наличии штатных механических замков) и опечатывается (пломбируется, защищается специальной наклейкой) с возможностью постоянного визуального контроля за ее целостностью уполномоченным работником подразделения ИБ.
Уполномоченные исполнители работ производят соответствующую запись в "Журнале фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов) структурного подразделения".
Уполномоченный работник подразделения ИБ (администратор безопасности) проводит периодический контроль за опечатыванием узлов и блоков ИСПДн.
На обратной стороне заявки делается отметка о выполнении и исполненная заявка передается в подразделение ИТ для хранения вместе с паспортом данной рабочей станции (сервера).
При изъятии рабочей станции (сервера), обрабатывающей ПДн, из состава рабочих станций (серверов) структурного подразделения ее передача на склад, в ремонт или в другое структурное подразделение для решения иных задач осуществляется только после того, как уполномоченный работник подразделения ИБ снимет с данной рабочей станции (сервера) СЗИ и предпримет необходимые меры для затирания защищаемой информации, которая хранилась на дисках компьютера. Факт уничтожения данных, находившихся на диске компьютера, оформляется Актом о затирании остаточной информации, хранившейся на диске компьютера.
Оригиналы заявок (документов), на основании которых производились изменения в составе ТС или программных средств рабочих станций с отметками о внесении изменений в состав программно-аппаратных средств хранятся вместе с оригиналами паспортов рабочих станций (серверов) и "Журналом фактов вскрытия и опечатывания рабочих станций (серверов), выполнения профилактических работ, установки и модификации аппаратных и программных средств рабочих станций (серверов)" в подразделении ИТ. Копии заявок и актов хранятся в подразделении ИБ. Они используются:
- для восстановления конфигурации рабочих станций (серверов) после аварий;
- для контроля правомерности установки на конкретной рабочей станции (сервере) средств для решения соответствующих задач при разборе конфликтных ситуаций;
- для проверки правильности установки и настройки СЗИ рабочих станций (серверов).
3.10. Требования по обеспечению безопасности при применении средств криптографической защиты информации
Для защиты информации, не содержащей сведений, составляющих государственную тайну, при применении средств криптографической защиты информации (СКЗИ) соблюдаются нормативные требования*(6). Криптографическая защита в ИСПДн Росреестра создаётся на основе сертифицированных СКЗИ, встраивание которых в ИСПДн происходит с выполнением интерфейсных и криптографических протоколов, определенных технической документацией на СКЗИ.
В Росреестре и территориальных органах Росреестра выделяются должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ. Вопросы обеспечения функционирования и безопасности СКЗИ отражаются в специально разработанных документах в соответствии с требованиями регуляторов в области защиты информации, утвержденных руководителем Росреестра и руководителями территориальных органов Росреестра, с учетом эксплуатационной документации на СКЗИ.
К работе с СКЗИ решением руководства Росреестра и территориальных органов Росреестра допускаются работники, обладающие знаниями о правилах его эксплуатации, правилах пользования, об эксплуатационной документации и прошедшие обучение работе с СКЗИ.
Ответственное должностное лицо, уполномоченное на руководство заявленными видами деятельности со средствами СКЗИ, имеет представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и СЗИ.
Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), обеспечивают безопасность информации, СКЗИ и криптоключей, сводят к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.
Порядок допуска в помещения определяется на основании инструкции "Об организации пропускного и внутриобъектового режимов на объектах Росреестра и его территориальных органов".
При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п. окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими НСД в помещения. Эти помещения имеют прочные входные двери, на которые устанавливаются надежные замки.
Для хранения криптоключей, нормативной и эксплуатационной документации, инсталлирующих криптосредство носителей, помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей хранятся в сейфе ответственного лица, назначаемого руководством Росреестра и территориальных органов Росреестра. Порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.
Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. Системные блоки АРМ с СКЗИ оборудуются средствами контроля их вскрытия.
Более подробно требования по обеспечению безопасности при применении СКЗИ отражены в документированной процедуре "Порядок организации работы со средствами криптографической защиты информации в "ЮТК"*(7).
4. Порядок организации внутреннего обучения работников правилам и мерам защиты ПДн
Решение основных вопросов обеспечения защиты ПДн предусматривает соответствующую подготовку работников. Проведение обучения работников Росреестра и территориальных органов Росреестра позволит организовать обработку информации в соответствии с требованиями законодательства и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн и реализовать установленный комплекс организационных и технических мер по защите ПДн.
Систему внутреннего обучения работников в области защиты ПДн составляет:
- проведение инструктажа пользователей ИСПДн;
- самостоятельное изучение работниками Росреестра и территориальных органов Росреестра необходимых для работы документов, средств и продуктов;
- проведение курсов повышения квалификации государственных гражданских служащих Росреестра в области защиты персональных данных.
В результате прохождения обучения работники Росреестра и территориальных органов Росреестра получат необходимые знания и навыки в отношении:
- правил использования СЗИ;
- содержания основных нормативных правовых актов, руководящих и нормативно-методических документов в области обеспечения безопасности ПДн при их обработке в ИСПДн;
- основных мероприятий по организации и техническому обеспечению безопасности ПДн при их обработке в ИСПДн Росреестра;
- планирования, организации и контроля выполнения мероприятий по обеспечению безопасности ПДн при их обработке в ИСПДн.
4.1. Проведение инструктажа пользователей ИСПДн
Пользователи ИСПДн, допущенные к работе с ПДн, обязаны пройти инструктаж по вопросам обеспечения безопасности ПДн с целью подтверждения своих знаний и уяснения своих обязанностей по поддержанию установленного режима защиты ПДн.
Инструктаж представляет собой ознакомление работников Росреестра и территориальных органов Росреестра, допущенных к работе в ИСПДн, с положениями настоящего Положения и действующих нормативных документов по обеспечению безопасности информации при ее обработке в ИСПДн, в том числе и с Инструкцией пользователя ИСПДн Росреестра (см. Приложение Д).
Ознакомление с положениями нормативной документации работник Росреестра и территориальных органов Росреестра подтверждает своей личной подписью в журнале инструктажа, что свидетельствует о прохождении инструктажа.
Контроль проведения инструктажа и периодическая проверка знания пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн возлагается на администратора безопасности совместно с начальниками структурных подразделений Росреестра и территориальных органов Росреестра, использующих ИСПДн. Ответственность за непосредственное проведение инструктажа возлагается на начальников структурных подразделений Росреестра и территориальных органов Росреестра.
Работники Росреестра и территориальных органов Росреестра, не прошедшие инструктаж, к работе в ИСПДн не допускаются. Инструктаж проводится перед началом работы в ИСПДн вновь принятых на государственную гражданскую службу работников Росреестра и территориальных органов Росреестра, а также не реже одного раза в год для всех пользователей ИСПДн.
Проверка знаний пользователями ИСПДн положений нормативной документации по вопросам обеспечения безопасности ПДн проводится администратором безопасности не реже одного раза в год в ходе периодического контроля соблюдения режима безопасности информации.
4.2. Самостоятельное изучение
При данном виде подготовки работниками Росреестра и территориальных органов Росреестра, осуществляющими обработку ПДн, а также работниками подразделения ИТ и подразделения ИБ самостоятельно изучаются (в части касающейся):
- руководящие и нормативно-методические документы в области обеспечения безопасности ПДн;
- правила (инструкции) по использованию программных и аппаратных СЗИ.
- внутренние положения (локальные акты) Росреестра, устанавливающие порядок обращения с ПДн и их защиты.
Время для самостоятельного изучения определяется начальниками соответствующих структурных подразделений Росреестра и территориальных органов Росреестра.