Чек-лист готовности к аттестации ИСПДн для ГИС «Профилактика»

Если кратко: чек-лист ниже — это наш внутренний рабочий список, который консультант «Оборон-Экрана» проходит за 30 минут с ответственным за ПДн перед выдачей дорожной карты. Публикуем его открыто. Распечатайте, пройдитесь по каждому пункту: каждый «нет» — это риск провала аттестации или предписания РКН.

Блок A. Нормативка и организационные документы (10 пунктов)

1. Уведомление в Роскомнадзор о начале обработки ПДн подано, запись в реестре актуальна, в целях обработки есть упоминание ГИС «Профилактика».
2. Приказ о назначении ответственного за обработку ПДн в организации подписан руководителем, ответственный в курсе своих обязанностей.
3. Приказ о создании комиссии по защите ПДн есть, состав включает юриста (или юрконсультанта), ИТ-специалиста, представителя отдела кадров.
4. Политика обработки ПДн утверждена и опубликована на сайте организации (152-ФЗ, ст. 18.1 ч. 2 — обязательно).
5. Положение об обработке и защите ПДн — внутренний ЛНА, ознакомление сотрудников под роспись.
6. Согласия на обработку ПДн от субъектов (родителей несовершеннолетних, опекунов, сотрудников) — собраны в установленной форме, хранятся 5 лет после прекращения обработки.
7. Журнал учёта и выдачи СКЗИ (КриптоПро, УКЭП-токены) ведётся, заполняется при каждой выдаче/возврате.
8. Журнал учёта машинных носителей ПДн (жёсткие диски, флешки) с уникальными идентификаторами.
9. Инструкция пользователя ИСПДн разработана, ознакомлены все сотрудники с доступом к ГИС «Профилактика».
10. Приказ о перечне помещений, в которых обрабатываются ПДн, и регламент доступа (кто имеет ключ, журнал посещений).

Блок B. Проектная документация по ИСПДн (8 пунктов)

11. Акт обследования (инвентаризации) ИСПДн оформлен лицензиатом ФСТЭК, дата не старше 12 месяцев.
12. Акт классификации ИСПДн с присвоением УЗ2 (на основании объёма и категории данных).
13. Модель угроз по методике ФСТЭК 2021 г. — актуальная, не старше 12 месяцев, с учётом угроз ГИС-среды.
14. Техническое задание на СЗПДн подписано руководителем, описаны все 7 категорий СЗИ.
15. Программа и методики испытаний (ПМИ) — 60+ проверок, с критериями прохождения.
16. Технический паспорт ИСПДн — полный: сеть, АРМ, серверы, СЗИ, резервное копирование, контакты администратора ИБ.
17. Протокол оценки эффективности принятых мер.
18. Заключение о соответствии требованиям 21 Приказа ФСТЭК — от лицензиата ФСТЭК, срок действия 3 года.

Блок C. Технические меры (15 пунктов)

19. Сертифицированная ОС (Astra Linux SE, Alt Linux СП, РЕД ОС или Windows с СЗИ-наложением) установлена на каждом АРМ с доступом к ГИС.
20. СЗИ от НСД (Secret Net Studio / Dallas Lock / Аккорд) — установлено, настроено, пароли изменены с дефолтных.
21. Средство доверенной загрузки (ПАК «Соболь» v4 или аналог) — установлено физически, активировано в BIOS.
22. Антивирус из реестра ФСТЭК (Dr.Web ESS / Kaspersky сертифицированный) — установлен, базы актуальные, централизованное управление.
23. СКЗИ — КриптоПро CSP (КС1 или КС2) установлен, ключи УКЭП выданы ответственным, журнал СКЗИ ведётся.
24. КриптоПро NGate Client установлен на каждом АРМ с доступом к ГИС, настроен с корневым сертификатом Минпросвещения.
25. Сертифицированный браузер (Yandex Browser Corporate или Chromium-Gost) — установлен, ГОСТ-TLS активен.
26. Модуль СОВ (Secret Net Studio СОВ или отдельный IDS) — включён, правила актуальные.
27. Средство анализа защищённости (RedCheck, XSpider, Сканер-ВС) — лицензия есть, скан проведён не позднее 6 месяцев назад.
28. Парольная политика: минимум 12 символов, смена каждые 90 дней, блокировка после 3 неудачных попыток.
29. Резервное копирование: ежесуточное, хранение ≥ 30 дней, тестовое восстановление раз в квартал.
30. Межсетевой экран на периметре (нас. сертифицированный МЭ ViPNet, Код Безопасности, UserGate).
31. Физическая защита серверов: закрытое помещение, журнал доступа, видеонаблюдение в серверной.
32. Отдельная VLAN для АРМ с ГИС «Профилактика», изолирована от гостевой сети и общего интернета.
33. УКЭП руководителя и ответственного за ГИС оформлена, действует ≥ 60 дней.

Блок D. Регистрация событий и аудит (6 пунктов)

34. Журнал событий безопасности ведётся в Secret Net Studio, хранение не менее 1 года.
35. Ротация логов настроена, логи не переписываются по кругу быстрее чем за год.
36. Регулярный аудит прав доступа раз в квартал: кто, к каким данным, на основании чего.
37. Процедура оперативного реагирования на инциденты ИБ прописана, ответственные назначены, контакты лицензиата ФСТЭК под рукой.
38. Уведомление РКН об инциденте (утечка ПДн) — регламент 24-часового уведомления по 152-ФЗ, ст. 22.3, прописан.
39. Журнал запросов субъектов ПДн — о получении, уточнении, блокировании данных. Срок ответа — 10 рабочих дней.

Блок E. Обучение персонала (6 пунктов)

40. Все сотрудники с доступом к ПДн прошли инструктаж и расписались в журнале (дата, подпись).
41. Ответственные за ИБ имеют удостоверение о повышении квалификации по защите ПДн (не старше 3 лет).
42. Сотрудники КДНиЗП / школы / опеки, работающие в ГИС «Профилактика», прошли обучение по ИПР / СОП / ТЖС и формам отчётности.
43. Методические материалы по работе в ГИС (регламенты, инструкции, гайды) доступны на рабочем месте.
44. Тренировочные учения по реагированию на инцидентыпроводились в течение последних 12 месяцев.
45. Внутренний тест на знание 152-ФЗ и локальной политикипройден ≥ 90 % сотрудников с доступом к ПДн.

Как использовать чек-лист

Пройдитесь по 45 пунктам и поставьте каждому «да / нет / частично». Посчитайте по блокам:

• ≥ 90 % «да» по каждому блоку — вы готовы к аттестации, можно стартовать ПМИ и Заключение.
• 70–89 % «да» — частичная готовность, нужен точечный аудит и закрытие пробелов (обычно 2–3 недели).
• менее 70 % — нужен полный цикл внедрения, стандартный срок 35–45 рабочих дней.

Где взять помощь бесплатно

Мы делаем бесплатный экспресс-аудит на 30 минут: созвон, проход по чек-листу вместе, прогноз сроков и стоимости. По итогу — дорожная карта в PDF с привязкой к календарю. Записаться — через форму на главной. Или пройдите калькулятор за 60 секунд, если хотите получить ориентир без созвона.