Часто, при проведении аудита информационной безопасности в филиалах банка, сталкиваешься с ситуацией, когда нет утвержденного необходимого и достаточного перечня журналов по ИБ-безопасности. А мы знаем, что разные регуляторы требуют при проверке разные журналы. Попробуем разобраться.
Приказом Федерального агентства правительственной связи и информации от 13 июня 2001г. № 152 предусмотрено, что органы криптографической защиты и обладатели конфиденциальной информации должны вести журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения 1,2к Инструкции – по форме эти журналы идентичны), а также технический (аппаратный) журнал (приложение 3к Инструкции).
Приложение 1/2
к Инструкции (пункт 26),утвержденной
Приказом Федерального агентства
правительственной связи и информации
при Президенте Российской Федерации
от 13 июня 2001 г. № 152
Типовая форма
журнала поэкземплярного учета скзи, эксплуатационной
и технической документации к ним, ключевых документов
(для органа криптографической защиты/для обладателя конфиденциальной информации)
журнала поэкземплярного учета скзи, эксплуатационной
и технической документации к ним, ключевых документов
(для органа криптографической защиты/для обладателя конфиденциальной информации)
N п/п | Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Отметка о получении | Отметка о рассылке (передаче) | Отметка о возврате | Дата ввода в действие | Дата вывода из действия | Отметка об уничтожении СКЗИ, ключевых документов | Примечание | |||||
От кого получены или Ф.И.О. сотрудника органа криптографической защиты, изготовившего ключевые документы | Дата и номер сопроводительного письма или дата изготовления ключевых документов и расписка в изготовлении | Кому разосланы (переданы) | Дата и номер сопроводительного письма | Дата и номер подтверждения или расписка в получении | Дата и номер сопроводительного письма | Дата и номер подтверждения | Дата уничтожения | Номер акта или расписка об уничтожении | |||||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 |
Приложение 3
к Инструкции (пункт 28),утвержденной
Приказом Федерального агентства
правительственной связи и информации
при Президенте Российской Федерации
от 13 июня 2001 г. № 152
Типовая форма
технического (аппаратного) журнала
технического (аппаратного) журнала
N п/п | Дата | Тип и серийные номера используемых СКЗИ | Записи по обслуживанию СКЗИ | Используемые криптоключи | Отметка об уничтожении (стирании) | Примечание | |||
Тип ключевого документа | Серийный, криптографический номер и номер экземпляра ключевого документа | Номер разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи | Дата | Подпись пользователя СКЗИ | |||||
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Ряд журналов обычно запрашивает Роскомнадзор при проведении проверки внутренних документов, регламентирующих порядок работы с персональными данными. Некоторые образцы журналов можно взять из "Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (утв. Банком России, АРБ, Ассоциацией региональных банков России (Ассоциация "Россия"). Например, такие:
-журнал учета носителей ПДн (Приложение 8 к “Методическим рекомендациям”);
-журнал учета разовых пропусков (Приложение 9 к “Методическим рекомендациям”)
-журнал учета обращений субъектов ПДн по вопросам обработки ПДн (Приложение 11 к “Методическим рекомендациям”).
Приложение 8. Журнал учета носителей ПДн
Журнал учета носителей ПДн
№ п/п | Регистрационный номер | Дата учета | Тип/емкость носителя | Серийный номер | Отметка о постановке на учет (ФИО, подпись, дата) | Отметка о снятии с учета (ФИО, подпись, дата) | Местоположение носителя | Сведения об уничтожении носителя/стирании |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
Приложение 9. Журнал учета разовых пропусков
Журнал учета разовых пропусков
Номер пропуска | Номер заявки на выдачу пропуска | Ф.И.О. посетителя | Наименование принимающего структурного подразделения | Ф.И.О. должностного лица, подписавшего пропуск | Время начала действия пропуска | Вид документа, с которым пропуск действителен | Место посещения | Фактическое время выхода | Отметка о возврате пропуска | Подпись дежурного бюро пропусков |
1 | 2 | 3 | 4 | 5 | 6 | 7 |
Валерий ЕстехинИнформационная безопасность глазами практикующего специалиста по ИБ (16+) |