Часто, при проведении аудита информационной безопасности в филиалах банка, сталкиваешься с ситуацией, когда нет утвержденного необходимого и достаточного перечня журналов по ИБ-безопасности. А мы знаем, что разные регуляторы требуют при проверке разные журналы. Попробуем разобраться.
Требования Федерального агентства правительственной связи и информации
Приказом Федерального агентства правительственной связи и информации от 13 июня 2001г. № 152 предусмотрено, что органы криптографической защиты и обладатели конфиденциальной информации должны вести журналы поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов (приложения 1,2к Инструкции – по форме эти журналы идентичны), а также технический (аппаратный) журнал (приложение 3к Инструкции).
Приложение 1/2 к Инструкции (пункт 26)
Утверждена Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152
Типовая форма журнала поэкземплярного учета СКЗИ, эксплуатационной и технической документации к ним, ключевых документов
(для органа криптографической защиты/для обладателя конфиденциальной информации)
| N п/п | Наименование СКЗИ, эксплуатационной и технической документации к ним, ключевых документов | Серийные номера СКЗИ, эксплуатационной и технической документации к ним, номера серий ключевых документов | Номера экземпляров (криптографические номера) ключевых документов | Отметка о получении | Отметка о рассылке (передаче) | Отметка о возврате | Дата ввода в действие | Дата вывода из действия | Отметка об уничтожении СКЗИ, ключевых документов | Примечание | |||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| От кого получены или Ф.И.О. сотрудника органа криптографической защиты, изготовившего ключевые документы | Дата и номер сопроводительного письма или дата изготовления ключевых документов и расписка в изготовлении | Кому разосланы (переданы) | Дата и номер сопроводительного письма | Дата и номер подтверждения или расписка в получении | Дата и номер сопроводительного письма | Дата и номер подтверждения | Дата уничтожения | Номер акта или расписка об уничтожении | |||||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 |
Приложение 3 к Инструкции (пункт 28)
Утверждена Приказом Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152
Типовая форма технического (аппаратного) журнала
| N п/п | Дата | Тип и серийные номера используемых СКЗИ | Записи по обслуживанию СКЗИ | Используемые криптоключи | Отметка об уничтожении (стирании) | Примечание | |||
|---|---|---|---|---|---|---|---|---|---|
| Тип ключевого документа | Серийный, криптографический номер и номер экземпляра ключевого документа | Номер разового ключевого носителя или зоны СКЗИ, в которую введены криптоключи | Дата | Подпись пользователя СКЗИ | |||||
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 |
Требования Роскомнадзора
Ряд журналов обычно запрашивает Роскомнадзор при проведении проверки внутренних документов, регламентирующих порядок работы с персональными данными. Некоторые образцы журналов можно взять из "Методических рекомендаций по выполнению законодательных требований при обработке персональных данных в организациях банковской системы Российской Федерации" (утв. Банком России, АРБ, Ассоциацией региональных банков России (Ассоциация "Россия")). Например, такие:
- журнал учета носителей ПДн (Приложение 8 к "Методическим рекомендациям");
- журнал учета разовых пропусков (Приложение 9 к "Методическим рекомендациям");
- журнал учета обращений субъектов ПДн по вопросам обработки ПДн (Приложение 11 к "Методическим рекомендациям").
Приложение 8. Журнал учета носителей ПДн
| № п/п | Регистрационный номер | Дата учета | Тип/емкость носителя | Серийный номер | Отметка о постановке на учет (ФИО, подпись, дата) | Отметка о снятии с учета (ФИО, подпись, дата) | Местоположение носителя | Сведения об уничтожении носителя/стирании |
|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
Приложение 9. Журнал учета разовых пропусков
| Номер пропуска | Номер заявки на выдачу пропуска | Ф.И.О. посетителя | Наименование принимающего структурного подразделения | Ф.И.О. должностного лица, подписавшего пропуск | Время начала действия пропуска | Вид документа, с которым пропуск действителен | Место посещения | Фактическое время выхода | Отметка о возврате пропуска | Подпись дежурного бюро пропусков |
|---|---|---|---|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
