№
п/п
|
Вопросы мониторинга
|
Результаты
мониторинга
|
Примечание
|
I.
|
Условия эксплуатации телекоммуникационного оборудования и средств криптографической защиты информации ( СКЗИ)
|
|
1. Размещение модема, коммутатора Cisco2960, маршрутизатора Cisco2951, ViPNet координатора HW-100
|
|
|
|
1.1) в серверной (отдельное помещения без рабочего места персонала)
|
|
|
|
1.2) в серверной (находится рабочее место системного администратора)
|
|
|
|
1.2) в кабинете сотрудников администрации
|
|
|
|
2. Электропитание серверной
|
|
|
|
2.1) наличие и тип ИБП
|
|
|
|
2.2) отсутствует ИБП
|
|
|
|
3. Монтаж оборудования
|
|
|
|
3.1) наличие телекоммуникационного шкафа
|
|
|
|
3.2) укладка кабельных линий
|
|
|
|
3.3) наличие patch-панели
|
|
|
|
3.4) маркировка коммутации на patch-панели
|
|
|
|
3.5) ведение журнала коммутации
|
|
|
|
4. Система охлаждения и вентиляции
|
|
|
|
4.1) наличие системы охлаждения
|
|
|
|
4.2) тип системы охлаждения
|
|
|
|
4.3) система охлаждения отсутствует
|
|
|
|
4.4) наличие вытяжной вентиляции
|
|
|
|
5. Вводно-кабельное оборудование, характеристика канала
|
|
|
|
5.1) волоконно-оптическая линия
|
|
|
|
5.2) тип медиаконвертера
|
|
|
|
5.3) медный кабель
|
|
|
|
5.4) тип модема
(модель)
|
|
|
|
5.5) пропускная способность канала, Мбит/с
|
|
|
|
6. Контроль доступа в серверную
|
|
п. 57 пр. ФАПСИ от 13.07.2001 №152
|
|
6.1) наличие охранной сигнализации
|
|
|
|
6.2) наличие системы видеонаблюдения перед серверной
|
|
|
|
6.3) наличие системы видеонаблюдения в серверной
|
|
|
|
7. Наличие сервера администрации
|
|
Необязательно
|
|
7.1) тип сервера ( башенный (Tower), стоечный (Rack ), блэйд (Blade)
|
|
|
|
7.2) тип операционной системы
|
|
|
|
7.3) тип антивирусного ПО
|
|
|
II.
|
Условия эксплуатации СКЗИ
|
|
8. Вход в спецпомещения
|
|
|
|
8.1) прочная дверь с замком
|
|
п. 52 пр. ФАПСИ от 13.07.2001 №152
|
|
8.2) отсутствие двери и замка
|
|
|
|
9. Требования к ключам от спецпомещений
|
|
п. 55 пр. ФАПСИ от 13.07.2001 №152
|
|
9.1) нумерация ключей
|
|
|
|
9.2) выдача ключей под расписку в журнале учета хранилищ
|
|
|
|
9.3) наличие дубликатов ключей
|
|
|
|
9.4) место хранения дубликата ключей
|
|
|
|
10. Предотвращение несанкционированного проникновения через окна (для первого и последнего этажа здания)
|
|
п. 52 пр. ФАПСИ от 13.07.2001 №152
|
|
10.1) наличие металл. решеток
|
|
|
10.2) наличие металлических ставень
|
|
|
10.3) наличие охранной сигнализации
|
|
|
10.4) иные средства (указать)
|
|
|
10.5) Отсутствуют средства, предотвращающие несанкционированное проникновение
|
|
|
|
11. Предотвращение просмотра извне
|
|
п. 56 пр. ФАПСИ от 13.07.2001 №152
|
|
11.1) наличие жалюзи
|
|
|
|
11.2) наличие плотных штор
|
|
|
|
11.3) иные средства (указать)
|
|
|
|
12. Условия хранения средств СКЗИ
|
|
|
|
12.1) наличие у пользователя СКЗИ места хранения (запираемого шкафа, сейфа, ящика)
|
|
п. 30 пр. ФАПСИ от 13.07.2001 №152
|
|
12.2) наличие контроля за вскрытием аппаратных средств (печати, пломбы)
|
|
п. 31 пр. ФАПСИ от 13.07.2001 №152
|
III.
|
Нормативно-правовая база, рекомендуемая с целью обеспечения требований информационной безопасности
|
|
13.1) приказ о назначении ответственного за организацию обработки персональных данных;
|
|
Постановление 211 от 21 марта 2012 года
|
|
13.2) правила обработки персональных данных,
|
|
|
13.3) правила рассмотрения запросов субъектов персональных данных или их представителей;
|
|
|
13.4) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных,
|
|
|
13.5) правила работы с обезличенными данными;
|
|
|
13.6) перечень информационных систем персональных данных;
|
|
|
13.7) перечни персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
|
|
|
13.8) перечень должностей служащих ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
|
|
|
13.9) перечень должностей служащих замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
|
|
|
13.10) должностная инструкция ответственного за организацию обработки персональных данных
|
|
|
13.11) типовое обязательство служащего непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
|
|
|
13.12) типовая форма согласия на обработку персональных данных служащих, иных субъектов персональных данных,
|
|
|
13.13) типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
|
|
|
13.14) порядок доступа служащих в помещения, в которых ведется обработка персональных данных;
|
|
|
13.15) журнал ознакомления служащих, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных
|
|
|
13.16) уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных,
|
|
|
13.17) акты классификации ИСПдн (ИСПДн, для которых решение о создании системы защиты информации было принято до вступления в силу Постановление Правительства 119 от 01.11.2012)
|
|
Рекомендовано: ФЗ «О персональных данных» 152-ФЗ от 27.07.06 г.,
Постановление Правительства 119 от 01.11.2012,
Постановление Правительства 687 от 15. 09.08г.
|
|
13.18) акты уничтожения носителей персональных данных
|
|
|
13.19) журнал регистрации запросов граждан
|
|
|
13.20) журнал учёта носителей ПДн
|
|
|
13.21) журнал регистрации обращений граждан
|
|
|
13.22) журнал резервирования информационных ресурсов ИСПДн
|
|
|
13.23) журнал учета передачи ПДн
|
|
|
13.24) дублирующий журнал учёта носителей ПДн
|
|
|
13.25) журнал учета проверок
|
|
|
13.26) журнал учёта печати персональных данных
|
|
|
13.27) журнал учета посетителей
|
|
|
13.28) план мероприятий по защите персональных данных
|
|
|
13.29) приказ об установлении границ контролируемой зоны
|
|
|
13.30) приказ об утверждении мест хранения материальных носителей
|
|
|
13.31) приказ о создании комиссии по классификации
|
|
|
13.32) модели угроз
|
|
|
13.33) политика по работе с инцидентами ИБ
|
|
|
13.34) заключение об оценке вреда субъектам персональных данных
|
|
|
13.35) памятка о работе с шифровальными (криптографическими) средствами
|
|
Приказ ФАПСИ от 13 июня 2001 г. N 152
"Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну",
Типовые требования
по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
(утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622)
|
|
13.36) акт о выводе из эксплуатации средств криптографической защиты информации или акт уничтожения ключевого документа
|
|
|
13.37) журнал учета ключей от хранилищ ключевых документов и технической документации
|
|
|
13.38) журнал учета пломб
|
|
|
13.39) журнал проверок исправности сигнализации
|
|
|
13.40) журнал учета хранилищ ключевых документов, технической и эксплуатационной документации к СКЗИ
|
|
|
13.41) инструкция по допуску лиц в помещения, в которых эксплуатируются криптографические средства защиты информации
|
|
|
13.42) инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
|
|
|
13.43) лицевой счет пользователя СКЗИ
|
|
|
13.44) план проведения проверок за соблюдением условий использования средств криптографической защиты информации
|
|
|
13.45) приказ о допуске к работе с криптографическими средствами
|
|
|
13.46) приказ о назначении ответственного пользователя средств криптографической защиты информации
|
|
|
13.47) технический (аппаратный) журнал
|
|
|
13.48) функциональные обязанности
ответственного пользователя средств криптографической защиты информации
|
|
IV.
|
Функционирование системы межведомственного электронного взаимодействия
|
|
14.1) сколько имеется собственных сервисов межведомственного взаимодействия (список, указать наименования сервисов).
|
|
|
|
14.2) сколько подключенных сервисов ФОИВ (список, указать наименования сервисов).
|
|
|
|
14.3) количество рабочих мест, оборудованных для работы в СИР.
|
|
|
|
14.4) наличие ЭЦП у сотрудников, ответственных за наполнение РГУ, оказание гос.услуг и ведение электронного межведомственного обмена.
|
|
|
|
14.5) наличие сертификатов у сотрудников, ответственных за работу в СИР.
|
|
|
|
14.6) количество гос.услуг (наименование) предоставляемых органом власти.
|
|
|
V.
|
Функционирование информационных систем
|
|
15.1) наличие приказа об назначенных лицах, обрабатывающих персональные данные.
|
|
|
|
15.2) наличие приказа об ответственных за функционирование системы электронного документооборота в органе государственной власти Ставропольского края или муниципальном образовании.
|
|
|
|
15.3) соответствие личных кабинетов реально работающим сотрудникам в системе межведомственного документооборота.
|
|
|
|
15.4) наличие соглашений о подключении к системе межведомственного электронного документооборота и СМЭВ.
|
|
|
|
15.5) Очищен ли ящик почтового сервиса (есть ли свободное место для получения почты)?
|
|
|
|
15.6) Проводится ли регистрация писем, получаемых в системе документооборота?
|
|
|
|
15.7) Выполняются ли требования информационной безопасности к АРМ, на котором осуществляется получение документов по системе?
|
|
|
|
15.8) Актуализируются ли справочники организации и пользователей (исполнителей)?
|
|
Для муниципальных районов, базы которых находятся на площадке ГКУ
|
VI.
|
Подключение к сети ip-телефонии ОГВ СК (носит рекомендательный характер, рамками Соглашения не определено)
|
|
16.1) количество ip-телефонов, функционирующих в сети по состоянию на I квартал 2013 года.
|
|
|
|
16.2) наличие ip-телефона у руководителя ОИВ СК (ОМСУ СК).
|
|
|
|
16.3) наличие ip-телефона у заместителя руководителя ОИВ СК (ОМСУ СК).
|
|
|
|
16.4) наличие ip-телефона в приемной руководителя ОИВ СК (ОМСУ СК).
|
|
|
|
16.5) планируемое количество ip-телефонов, их тип.
|
|
|
