Методика оценки эффективности системы защиты информационной системы персональных данных предприятия

Введение 2
1.Теоретические основы технологии работы с персональными данными 6
1.1. Анализ нормативных документов в области защиты информации 6
1.2. Общие положения классификации систем защиты информации 14
2.Описание предметной области 22
2.1. Общая характеристика предприятия 22
2.2. Характеристика структуры автоматизированной системы ООО "Профсервис" 25
2.3. Анализ системы информационной безопасности ООО "Профсервис" 33
2.4. Общая характеристика существующей системы защиты персональных данных ООО «Профсервис» 39
2.4.1. Анализ системы защиты персональных данных при их автоматизированной обработке в АИС ООО «Профсервис» 40
2.4.2. Характеристика организации системы защиты персональных данных в условиях ООО «Профсервис» 43
3. Проектная часть 44
3.1. Разработка методики оценки защищенности персональных данных 44
3.2. Совершенствование организационной системы защиты персональных данных в условиях ООО «Профсервис» 50
3.3. Внедрение системы аутентификации с использованием электронных ключей 51
3.4. Совершенствование системы защиты персональных данных с использованием КСЗИ «Панцирь-К» 58
3.5. Настройка антивирусного ПО для обеспечения защиты персональных данных 63
4.Практическое использование разработанной методики 71
Заключение 77
Список использованных источников 79

eToken – персональное средство аутентификации и хранения данных, аппаратно поддерживающее работу с цифровыми сертификатами и ЭЦП. eToken выпускается в форм-факторе USB-ключа. eToken обладает защищённой энергонезависимой памятью и используется в качестве портативного хранилища секретных данных (ключей шифрования, имён пользователя, паролей, учётных записей, сертификатов и пр.).Для получения доступа к защищённым данным, хранящимся в памяти eToken, требуется ввести PIN_код (PersonalIdentificationNumber, eTokenpassword), являющийся аналогом пароля. PIN_код должен содержать последовательность из восьми или более символов, включающую буквы, цифры и специальные символы. Русские буквы и пробелы в PIN_код включать не рекомендуется.Для использования eToken персональный компьютер должен удовлетворять следующим минимальным требованиям:установленная операционная система Windows XP/7/8 или WindowsServer 2003/2008;10 МБ свободного места на жёстком диске;наличие свободного работающего порта USB;Рассмотрим основные режимы работы с настройками электронных ключей.Программное обеспечение, используемое для управления электронными ключами - IndeedID. На рис.3.7. приведена схема централизованного управления. Как показано на рис.3.7, в случае утери ключа информация, содержащаяся на нем не теряется, так как физически она хранится на сервере управления Indeed-ID, а eTokenслужит только для авторизации и получения информации с данного сервера. Технологическая схема смены паролей с использованием технологии электронных ключей показана на рис.3.8.Рис.3.7. Схема управления электронными ключамиРис.3.8. Технологическая схема смены паролей с использованием технологии электронных ключейКак показано на рис.3.8, в предлагаемой технологии исключена возможность аутентификации в программном комплексе без электронного ключа, так как пользователь не будет знать своих паролей в программных комплексах.Далее рассмотрим режимы настройки работы электронного ключа. На рис.3.9 показан режим пользовательских учетных записей.Рис.3.9. Режим пользовательских учетных записейКак показано на рис.3.9, в данном случае на электронном ключе хранится 5 профилей к различным прикладным программным решениям. На рис.3.10 показаны настройки электронного ключа. Как показано на рис.3.11, программное обеспечение по управлению электронными ключами позволяет управлять параметрами паролей: сложностью, сроком действия, повторяемостью, учета символов в различно регистре.Рис.3.10. Настройки электронного ключаРис.3.11. Настройка свойств электронного ключаНа рис.3.12 показан режим настройки профиля программного обеспечения текущего пользователя.Рис.3.12. Расширенные настройки электронного ключаРис.3.13. Настройка профиля программного обеспеченияКроме того, для формализации пользовательских учетных записей предлагается ввести требования к кодировке имен входа:uXX_NN, XX – код отдела, NN – номер специалиста в отделе.Например, логин руководителя будет иметь вид u01_01, главного бухгалтера – u02_01, начальника отдела информационной безопасности – u08_01.Таким образом, использование электронных ключей позволит совершенствовать систему аутентификации пользователей в программных комплексах.3.4. Совершенствование системы защиты персональных данных с использованием КСЗИ «Панцирь-К»При всех достоинствах использования электронных ключей их применение не решает следующих проблем:- невозможно предотвратить вход с действующим электронным ключом на рабочую станцию, которая не предусмотрена технологией работы специалиста, что предполагает необходимость защиты персональных данных от активности инсайдеров;- невозможно предотвратить вход с учетными записями локального администратора или гостя.Наличие активных учетных записей Гостя и Администратора опасно также тем, что их может использовать вредоносное программное обеспечение. Защиту от данных типов угроз предполагается реализовать с использованием КСЗИ «Панцирь-К».Основные функции КСЗИ «Панцирь-К»:- настройки авторизации пользователей на рабочих станциях, то есть на каждом из компьютеров можно включить возможность авторизации только определенных пользователей;- протоколирование работы пользователей, в том числе с автоматическим сохранением снимков экрана и протоколированием работы клавиатуры;- контроль функционирования и модификации системных файлов;- возможность централизованно завершить сеанс пользователя в случае необходимости (например, в случае несанкционированного входа в систему);- защита установленного ПОот несанкционированного удаления (то есть пользователь самостоятельно даже с правами администратора не сможет удалить КСЗИ «Панцирь-К», а также программные продукты, определенные администратором системы).На рисунке 3.14 приведено окно запуска системы КСЗИ «Панцирь-К». Рис. 3.14. Окно запуска КСЗИ «Панцирь-К»Таким образом, в случае возникновения инцидентов, связанных с нарушением требований к аутентификации, существует возможность предъявления протоколов его действий. Настройка контроля учетных записей пользователей приведена на рисунке 3.15. В данном режиме есть возможность контроля типов авторизации – с использованием вода пароля с консоли или использования смарт-карт, контролировать активность встроенных учетных записей, которые зачастую используются вредоносным ПО.Рис. 3.15. Настройки контроля целостностиРис. 3.16. Настройка аудита действий пользователяТаким образом, даже в случае вирусного заражения, активность вредоносного ПО, использующего учетные записи локального администратора или гостя, блокируется. И вредоносное ПО не получает доступ к информационным системам, содержащим персональные данные.Рис. 3.17. Настройка контроля учетных записей пользователейТакже использование данного ПО позволяет управлять доступом:- к сетевым ресурсам;- к буферу обмена;- к подключенным устройствам;- к файловой системе;- другим ресурсам.Данные сервисы позволяют блокировать активность вредоносного ПО, функционал которого связан с указанными ресурсами.Рис. 3.18. Настройка управления доступомТакже использование данного КСЗИ позволяет контролировать использование файла подкачки, который также может использоваться вредоносным ПО.Рис. 3.19. Дополнительные настройкиТаким образом, сформулированные в рамках данной работы проблемы технологии защиты персональных данных, содержащихся в информационной системе в условиях ООО «Профсервис», могут быть минимизированы при использовании электронных ключей и КСЗИ «Панцирь-К».3.5. Настройка антивирусного ПО для обеспечения защиты персональных данныхКак было показано выше, для обеспечения конфиденциальности персональных данных необходимо обеспечить защиту от несанкционированного копирования.При наличии у сотрудников личных носителей информации возможна ситуация, при которой специалисты могут на них скопировать информацию, содержащую персональные данные. Защиту от несанкционированного копирования на неучтенные носители может обеспечить настройка антивирусной системы защиты информации. В условиях ООО «Профсервис» используются антивирусные решения от KasperskyLab. Сервисы администрирования от KasperskyLab позволяют централизованно проводить управления USB-портами на рабочих станциях пользователей, а также вводить специальные разрешения на копирование информации на носитель информации по его серийному номеру, что исключает копирование на неучтенные носители информации. Кроме того, существует возможность ограничение на копирование файлов по определенному расширению.Контроль USB-устройств реализуется путем создания групп рабочих станций на сервере администрирования антивирусной защиты.В ходе работы над проектом мной были внесены предложения по перенастройке системы антивирусной защиты. Рассмотрим основные предложения в данной области. На рисунке 3.20 показана структура предлагаемых групп в структуре системы антивирусной защиты.Рис.3.20. Структура групп в системе совершенствования антивирусной защитыПримечание: изначально все обнаруженные сервером сетевые узлы помещаются в “Нераспределенные компьютеры\IP-диапазоны\10.32.**.0/24” (этот диапазон сканируется каждые 6 часов). Ответственный за антивирусную защиту ИТ-специалист должен регулярно следить, чтобы внераспределенных не было ни одного узла, перенося их в соотв. группы.В группу компьютеры помещаются все станции с установленным агентом и защитой.В группу прочие – принтеры и неуправляемые станции.Далее необходимо создать группы согласно доступу к USB-портам и настроить соответствующие политики (Рис. 3.21).Рис.3.21. Настройка политик для группЕсли каких-то политик нет, то создайте их. При создании оставьте все настройки по умолчанию, позже внесете изменения.После этого были созданы политики для групп lockUSB и unlockUSB.Перейдём к настройкам политик (Рис. 3.22 – 3.23).Рис.3.22. Настройка политики для группы LockUSBРис. 3.23. Настройка политик для LockUSBРазделение на группы LockUSBи UnLockUSBобусловлено тем, что у некоторых пользователей использование внешних носителей информации необходимо разрешить, так как внешние накопители информации используются в работе программных комплексов (например, в качестве носителей электронных ключей или для выгрузки сформированной отчетности в государственные органы).Рис. 3.24. Настройка политик для UnLockUSBКак показано на рисунке 3.25 – 3.26, при контроле USB-устройств необходимо произвести дополнительные настройки, чтобы не нарушить функциональность компьютера (контролировать необходимо только те устройства, которые являются носителями информации, а аппаратное обеспечение, подключаемое через USB – принтеры, сканеры, МФУ, должно функционировать). Для безопасности применения данной политики необходимо провести дополнительные настройки – защитить их паролем (Рис. 3.25), чтобы у пользователей не было возможности самостоятельно отключать административные настройки политик.Рис.3.25. Настройка безопасности политики для группыLockUSBТакже необходимо защитить ПО NetAgentот несанкционированной деинсталляции (Рис.3.26), так как в случае удаления данного ПО, над рабочей станцией теряется контроль со стороны сервера администрирования.Таким образом, угроза несанкционированного копирования персональных данных на неучтенные носители информации может быть минимизирована при проведении настройки антивирусных программных средств.Рис.3.26. Защита ПО NetAgentот несанкционированного удаленияПри проектировании любой системы информационной безопасности необходимо учитывать влияние человеческого фактора и, для обеспечения гарантий информационной безопасности в первую очередь, необходимо обеспечить дисциплину работы среди специалистов, так как большинство указанных мер обеспечивает защиту от непреднамеренного копирования информации. Если у сотрудника компании или стороннего злоумышленника имеется умысел на несанкционированное получение персональных данных, то большинство предпринимаемых технологических и организационных мер будут малоэффективными и для защиты от злоумышленников такого типа необходимо использовать особый порядок пропускного режима, упорядочивать доступ помещения, где обрабатываются персональные данные, принятие ряда мер по обеспечению физической защиты информации.Практическое использование разработанной методикиОпределим алгоритм использования методики защиты персональных данных в информационных системах предприятий, разработанной в рамках данной работы. Для организационного обеспечения выполнения требований по защите персональных данных на предприятиях необходимо создание комиссии по защите информации, а также, в случае соответствия необходимому уровню защищенности персональных данных – подразделения по защите информации. В регламентирующих документах организации необходимо определить периодичность проведения проверок состояния защиты персональных данных, которые могут проводиться как силами соответствующего подразделения предприятия, так и сторонними организациями. По итогам анализа защищённости системы персональных данных составляется акт соответствия существующей системы требованиям отраслевых стандартов.Согласно ГОСТ Р ИСО/МЭК ТО 18044-2007 «Менеджмент инцидентов информационной безопасности»,в качестве основы общей стратегии ИБ организации необходимо использовать структурный подход к менеджменту инцидентов ИБ. Целями такого подхода является обеспечение следующих условий:- события ИБ должны быть обнаружены и эффективно обработаны, в частности, определены как относящиеся или не относящиеся к инцидентам ИБ;- идентифицированные инциденты ИБ должны быть оценены, и реагирование на них должно быть осуществлено наиболее целесообразным и результативным способом;- воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо минимизировать соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов плана(ов) обеспечения непрерывности бизнеса;- из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер ИБ, улучшения общей системы менеджмента инцидентов ИБ.По факту обнаружения инцидента необходимо принятие коллегиального решения по определению степени ущерба, нанесенного фактом несанкционированной распечатки конфиденциальной информации. Для принятия данного решения необходимо наличие утвержденной приказом комиссии по вопросам обеспечения информационной безопасности. Примерный состав комиссии по обеспечению информационной безопасности:- руководитель организации;- начальники профильных отделов;- представитель юридического подразделения;- представитель ИТ-подразделения;- специалист по информационной безопасности (при наличии);- представитель экономического блока.Примерный перечень полномочий специалистов комиссии приведен в таблице 13.Таблица 13 - Примерный состав комиссии по обеспечению информационной безопасностиДолжность специалистаПеречень полномочийРуководитель предприятияУтверждает решение комиссии, принимает управленческое решение в рамках инцидентаНачальники профильных отделовАнализируют характер инцидента, оценивают степень возможных последствийПредставитель юридического подразделенияОпределяет правовую основу инцидента, определяет возможные санкции согласно законодательствуПредставитель ИТ-подразделенияФормирует протоколы действий пользователя по распечатке информации, проводит анализ функционирования инфраструктуры автоматизированной системыСпециалист по информационной безопасностиОпределяет тип нарушения согласно локальным нормативным документамПредставитель экономического блокаОценивает степень материального ущерба от инцидентаДиаграммы бизнес-процессов работы по расследованию инцидентов информационной безопасности приведены ниже.Рис. 4.1 Контекстная диаграммаРис.4.2. Диаграмма декомпозиции нулевого уровняРис.4.3 Диаграмма декомпозиции первого уровняТаким образом, методика профилактических мероприятий в рамках предотвращения инцидентов информационной безопасности включает в себя перечень мероприятий, указанный в таблице 14. Профилактика инцидентов И должно включать в себя набор технологических и организационных решений.Таблица 14 - Перечень мероприятий по профилактике инцидентов ИБ№ п/пНаименование мероприятияОрганизационное решениеТехнологическое решение1Предотвращение вирусных зараженийИздание Положения об антивирусной защите, определение ответственностипользователя Централизованное администрирование АВЗ2Защита от разглашения конфиденциальной информацииПодпись обязательства о неразглашении при приеме на работу3Защита от несанкционированного копированияперсональных данныхИздание положения о резервном копировании, определение порядка хранение резервных копийРазграничение прав доступа к USB, ограничения на уровне СУБД и файловой системы4Защита от несанкционированной распечатки данныхОпределение ответственных пользователей устройств распечаткиИспользование временных ограничений на доступ к технике5Защита от сетевых атакРегламентация использования ИнтернетаИспользование специализированых сетевых решений6Разработка предложений по предотвращению нарушенийСпециалистами компании производится анализ инцидента и вырабатываются предложения по совершенствованию системы защиты от НСД7Компрометация ключей или паролейРазработка положения о парольной защите, порядка хранения ключей ЭП, парольных карточек, регламентация смены паролейСистема блокирования пользователей со скомпрометированными паролямиТаким образом, разработанная методика повысит защищенность системы и снизит вероятность возникновения инцидентов информационной безопасности.ЗАКЛЮЧЕНИЕВ соответствии с поставленными задачами в рамках данной работы было выполнено:Проанализированы нормативные акты, регулирующие область информационной безопасности;Проведен анализ организационной структуры и структуры информационной системы ООО «Профсервис»;Определен перечень информационных систем, в которых производится обработка персональных данных, определен уровень защищенности ИСПДн ООО «Профсервис»;Проведено изучение локальных нормативных документов ООО «Профервис» в области защиты информации;Проведена разработка методики оценки защищённости ИСПДн и в соответствии с ней проведена оценка состояния защищенности ИСПДн ООО «Профсервис»;Даны рекомендации по совершенствованию ИСПДнООО «Профсервис».Показано, что система защиты персональных данных включает в себя организационные и технологические решения. Пренебрежение какой-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом. Аудит информационной системы показал, что существующая система персональных данных относится к уровню защищенности 3.Был проведен анализ системы защиты персональных данных в условиях работы информационной системы предприятия. Были выявлены системные проблемы, связанные с наличием ряда уязвимостей. Первая группа уязвимостей связана с отсутствием системного подхода в системе разграничения доступа пользователей. Выявлено, что у некоторых пользователей наблюдается превышение уровня допустимого доступа (необоснованно задаются права администратора), факты выдачи прав доступа к программным комплексам, содержащим персональные данные не документируются. Вторая группа уязвимостей связана с отсутствием контроля обращения внешних носителей информации, что дает возможность несанкционированного копирования персональных данных, не контролируется функционирование рабочих станций, работающих с персональными данными. Существует ряд проблем, связанных с работой пользователей в программных комплексах: отмечаются многочисленные факты передачи паролей между пользователями, нарушения режима хранения парольных карточек, отсутствует контроль сроков смены паролей, а также их сложности, не отключены встроенные локальные учетные записи. Все перечисленные недостатки в сумме повышают уязвимость системы защиты персональных данных предприятия. В качестве мер совершенствования системы защиты персональных данных были предложены:- усовершенствовать систему документационного обеспечения системы защиты персональных данных;- использовать персональныеаутентификатороы – электронных ключи, что позволит решить проблемы многофакторной аутентификации, дает возможности централизованного управления учетными записями и самими электронными ключами;- использовать систему КСЗИ «Панцирь-К» для совершенствования системы информационной безопасности в части управления процессом аутентификации (администратор определяет только тех пользователей, которые могут работать с указанной рабочей станцией), а также ряд других возможностей;- настроить антивирусную систему для отключения возможности копирования информации на неучтенные носители.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВБаймакова, И.А.. Обеспечение защиты персональных данных– М.: Изд-во 1С-Паблишинг, 2010. – 216 с.Гашков С.Б., Применко Э.А., Черепнев М.А. Криптографические методы защиты информации. – М.: Академия, 2010. – 304 с.Герасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 1997. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2009. – 416 с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Демин, Ю.М. Делопроизводство, подготовка служебных документов - С-Пб, 2003. – 201 с.Дудихин В.В., Дудихина О.В. Конкурентная разведка в Internet. Советы аналитика – М:. ДМК Пресс, 2002. – 192 с.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Защита информации в системах мобильной связи. Учебное пособие. – М.: Горячая Линия - Телеком, 2005. – 176 с.Комплексная система защиты информации на предприятии. Часть 1. – М.: Московская Финансово-Юридическая Академия, 2008. – 124 с.Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.Кузьмин, И. Внимание! Сведения конфиденциальные // Российская юстиция. 2002 - 4Куракин П.В. Контроль защиты информации // Кадровое дело. 2003 - 9Максименко В.Н., Афанасьев, В.В. Волков Н.В. Защита информации в сетях сотовой подвижной связи. – М.: Горячая Линия - Телеком, 2007. – 360 с.Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.Петраков А.В. Основы практической защиты информации. Учебное пособие. – М.: Солон-Пресс, 2005. – 384 с.Проектирование экономических систем: Учебник / Г.Н. Смирнова, А. А.Сорокин, Ю. Ф. Тельнов – М.: Финансы и статистика, 2003.Ситникова, Е. Дисциплинарная ответственность работника // Кадровое дело. 2003 - 1 Степанов, Е. Защита информации при работе с ЭВМ // Кадровое дело. 2001 - 2Сурис М.А., Липовских В.М. Защита трубопроводов тепловых сетей от наружной коррозии. – М.: Энергоатомиздат, 2003. – 216 с.Трудовой кодекс Российской Федерации: федер. закон от 30дек. 2001 г. № 197-ФЗ (ред. от 30.12.2006)//СЗРФ.—2002.—№ 1 (ч. 1).—Ст. 3Федоров А. В. Проектирование информационных систем. М.: Финансы и статистика, 2003.Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2008. – 256 с.Хорев П.Б. Программно-аппаратная защита информации. – М.: Форум, 2009. – 352 с.Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: Форум, Инфра-М, 2010. – 592 с.Услуги по сертификации в г.Санкт-Петербурге. ООО «Профсервис». [Электронный ресурс]. Режим доступа: http://profsert-spb.ru/service/Приложение 1Журнал учета внешних носителей информации, используемых для хранения персональных данных (образец)№№ п\пУчетный № МНИ (№ стикера)Серия ключаНомер криптоключаТип носителяВладелец (держатель ключа)ФИОДолжностьНаименование структурного подразделения1234589101032K/1000399009120338/1дискета 3,5"Карасев Ю.Б.Администратор ЗИПУ, АСВ, ВС и ВЗ2032K/1000409009120338/2дискета 3,5"Карасев Ю.Б.Администратор ЗИПУ, АСВ, ВС и ВЗ3032K/1001709009120406/1дискета 3,5"Масловская Е.Н.Администратор БД НП, ВПиСВНП, ВПиСВ4032K/1001719009120406/2дискета 3,5"Масловская Е.Н.Администратор БД НП, ВПиСВНП, ВПиСВ5032K/1003049009120469/1дискета 3,5"Якименко В.И. Начальник отдела 6032K/1003059009120469/2дискета 3,5"Якименко В.И. Начальник отдела 7032K/1003069009120469/3дискета 3,5"Якименко В.И. Начальник отдела Приложение 2Журнал учета рабочих станций, используемых для обработки персональных данныхПользовательИмя компьютераИнвентарный номерССЗОпечатаноВскрытоПримечаниеТкачева Татьяна ГеннадьевнаWS03200409001110104150620339516, 2033951722.01.2014  Нечаева Татьяна БорисовнаWS0320040300134143020261612920339514, 2033951522.01.2014  Корнелюк Татьяна НиколаевнаWS0320040200134143020261612420339518, 2033951922.01.2014  Разживина Юлия ГеннадьевнаWS0320041000334143020261612120335068, 2033506922.01.2014  Коплунова Ирина ВладиславовнаWS0320041100804143020350000520339584, 2033958522.01.2014  Юркова Галина ГеннадьевнаWS0320042100334143020261613320339508, 2033950922.01.2014  Шишкина Галина АлексеевнаWS0320041100704143020202611320339586, 2033958722.01.2014  Беспалова Галина НиколаевнаWS0320041100904143020261010020339582, 2033958322.01.2014  Давыдова Ольга ИвановнаWS0320041100504143020202611420339580, 2033958122.01.2014  Леонтьев Никита ВикторовичWS0320041100604143020202611620339578, 2033957922.01.2014  Мурыгин Александр ВалерьевичWS0320041100404143020202611220339576, 2033957722.01.2014  Приложение 3Акт обследования помещений, в которых обрабатываются персональные данныеУТВЕРЖДАЮГенеральный директор ООО «Профсервис»________________«___» _______ 2015 г.АКТОБСЛЕДОВАНИЯ ПОМЕЩЕНИЙ, ПРЕДНАЗНАЧЕННЫХ ДЛЯ РАЗМЕЩЕНИЯ ИУСТАНОВКИ КРИПТОСРЕДСТВг.«___» ______ 2015 г.Комиссия в составе: председателя комиссии, членов комиссии: _____________ назначенной приказом ____________ «О создании внутрипроверочной комиссии по вопросам защиты информации» от _____, № ____, провела проверку кабинетов: № 101, 102, 103, 104, 105, 106, 108, 109, 110, 201, 203, 204, 208, 210 ООО «Профсервис» расположенного по адресу _________ вместе с техническими средствами и системами, установленном в указанном помещении.КОМИССИЯ УСТАНОВИЛА:Максимальный радиус контролируемой зоны здания, в котором находятся обследуемое помещение - по периметру здания.За пределы контролируемой зоны выходят линии связи и инженерные коммуникации - сети водоснабжения и канализации.Здание двухэтажное. Внутри здания установлена система видеонаблюдения с выводом видеоизображения на мониторы поста охраны.Здание сдается под охрану на пульт централизованного наблюдения Отделения вневедомственной охраны по _____________________Помещение оборудовано охранно-пожарной сигнализацией.Помещение имеет прочную входную дверь с замками, гарантирующими надежное закрытие помещений в нерабочее время. Дверь помещения оборудована автоматическим замком, позволяющим обеспечить постоянное нахождение двери в закрытом состоянии.Инструкцией о пропускном и внутриобъектовом режиме охраны зданий и внутренних помещений, прилегающей территории в ООО «Профсервис» определен список лиц, имеющих доступ в выделенные помещения.Помещения расположены на первом и втором этажах здания. Возможность проникновения в помещения через окна отсутствует. Окна оборудованы жалюзями, возможность просмотра проводимых работ извне, отсутствует.Радиоэлектронных устройств и проводов неизвестного назначения путем визуального осмотра помещений не выявлено.Режим охраны помещения, правила допуска работников и посетителей в рабочее и нерабочее время в здание, в котором размещено обследуемое помещение определен Инструкцией о пропускном и внутриобъектовом режиме.ВЫВОД:Размещение, охрана и оборудование обследованного помещения, а также организация режима работы в нем отвечают требованиям «Инструкции по организации криптографической защиты информации в ООО Профсервис», утвержденной приказом ______________ от ________ г. № ___ и позволяют установить средства криптографической защиты и обеспечить сохранность информации ограниченного доступа, криптосредстви ключевых документов