№
п/п
| Вопросы мониторинга
| Результаты
мониторинга
| Примечание
|
I.
| Условия эксплуатации телекоммуникационного оборудования и средств криптографической защиты информации ( СКЗИ)
|
| 1. Размещение модема, коммутатора Cisco2960, маршрутизатора Cisco2951, ViPNet координатора HW-100
|
|
|
| 1.1) в серверной (отдельное помещения без рабочего места персонала)
|
|
|
| 1.2) в серверной (находится рабочее место системного администратора)
|
|
|
| 1.2) в кабинете сотрудников администрации
|
|
|
| 2. Электропитание серверной
|
|
|
| 2.1) наличие и тип ИБП
|
|
|
| 2.2) отсутствует ИБП
|
|
|
| 3. Монтаж оборудования
|
|
|
| 3.1) наличие телекоммуникационного шкафа
|
|
|
| 3.2) укладка кабельных линий
|
|
|
| 3.3) наличие patch-панели
|
|
|
| 3.4) маркировка коммутации на patch-панели
|
|
|
| 3.5) ведение журнала коммутации
|
|
|
| 4. Система охлаждения и вентиляции
|
|
|
| 4.1) наличие системы охлаждения
|
|
|
| 4.2) тип системы охлаждения
|
|
|
| 4.3) система охлаждения отсутствует
|
|
|
| 4.4) наличие вытяжной вентиляции
|
|
|
| 5. Вводно-кабельное оборудование, характеристика канала
|
|
|
| 5.1) волоконно-оптическая линия
|
|
|
| 5.2) тип медиаконвертера
|
|
|
| 5.3) медный кабель
|
|
|
| 5.4) тип модема
(модель)
|
|
|
| 5.5) пропускная способность канала, Мбит/с
|
|
|
| 6. Контроль доступа в серверную
|
| п. 57 пр. ФАПСИ от 13.07.2001 №152
|
| 6.1) наличие охранной сигнализации
|
|
|
| 6.2) наличие системы видеонаблюдения перед серверной
|
|
|
| 6.3) наличие системы видеонаблюдения в серверной
|
|
|
| 7. Наличие сервера администрации
|
| Необязательно
|
| 7.1) тип сервера ( башенный (Tower), стоечный (Rack ), блэйд (Blade)
|
|
|
| 7.2) тип операционной системы
|
|
|
| 7.3) тип антивирусного ПО
|
|
|
II.
| Условия эксплуатации СКЗИ
|
| 8. Вход в спецпомещения
|
|
|
| 8.1) прочная дверь с замком
|
| п. 52 пр. ФАПСИ от 13.07.2001 №152
|
| 8.2) отсутствие двери и замка
|
|
|
| 9. Требования к ключам от спецпомещений
|
| п. 55 пр. ФАПСИ от 13.07.2001 №152
|
| 9.1) нумерация ключей
|
|
|
| 9.2) выдача ключей под расписку в журнале учета хранилищ
|
|
|
| 9.3) наличие дубликатов ключей
|
|
|
| 9.4) место хранения дубликата ключей
|
|
|
| 10. Предотвращение несанкционированного проникновения через окна (для первого и последнего этажа здания)
|
| п. 52 пр. ФАПСИ от 13.07.2001 №152
|
| 10.1) наличие металл. решеток
|
|
| 10.2) наличие металлических ставень
|
|
| 10.3) наличие охранной сигнализации
|
|
| 10.4) иные средства (указать)
|
|
| 10.5) Отсутствуют средства, предотвращающие несанкционированное проникновение
|
|
|
| 11. Предотвращение просмотра извне
|
| п. 56 пр. ФАПСИ от 13.07.2001 №152
|
| 11.1) наличие жалюзи
|
|
|
| 11.2) наличие плотных штор
|
|
|
| 11.3) иные средства (указать)
|
|
|
| 12. Условия хранения средств СКЗИ
|
|
|
| 12.1) наличие у пользователя СКЗИ места хранения (запираемого шкафа, сейфа, ящика)
|
| п. 30 пр. ФАПСИ от 13.07.2001 №152
|
| 12.2) наличие контроля за вскрытием аппаратных средств (печати, пломбы)
|
| п. 31 пр. ФАПСИ от 13.07.2001 №152
|
III.
| Нормативно-правовая база, рекомендуемая с целью обеспечения требований информационной безопасности
|
| 13.1) приказ о назначении ответственного за организацию обработки персональных данных;
|
| Постановление 211 от 21 марта 2012 года
|
| 13.2) правила обработки персональных данных,
|
|
| 13.3) правила рассмотрения запросов субъектов персональных данных или их представителей;
|
|
| 13.4) правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных,
|
|
| 13.5) правила работы с обезличенными данными;
|
|
| 13.6) перечень информационных систем персональных данных;
|
|
| 13.7) перечни персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с оказанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;
|
|
| 13.8) перечень должностей служащих ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных;
|
|
| 13.9) перечень должностей служащих замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;
|
|
| 13.10) должностная инструкция ответственного за организацию обработки персональных данных
|
|
| 13.11) типовое обязательство служащего непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним контракта прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей;
|
|
| 13.12) типовая форма согласия на обработку персональных данных служащих, иных субъектов персональных данных,
|
|
| 13.13) типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;
|
|
| 13.14) порядок доступа служащих в помещения, в которых ведется обработка персональных данных;
|
|
| 13.15) журнал ознакомления служащих, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных
|
|
| 13.16) уведомление уполномоченного органа по защите прав субъектов персональных данных об обработке (намерении осуществлять обработку) персональных данных,
|
|
| 13.17) акты классификации ИСПдн (ИСПДн, для которых решение о создании системы защиты информации было принято до вступления в силу Постановление Правительства 119 от 01.11.2012)
|
| Рекомендовано: ФЗ «О персональных данных» 152-ФЗ от 27.07.06 г.,
Постановление Правительства 119 от 01.11.2012,
Постановление Правительства 687 от 15. 09.08г.
|
| 13.18) акты уничтожения носителей персональных данных
|
|
| 13.19) журнал регистрации запросов граждан
|
|
| 13.20) журнал учёта носителей ПДн
|
|
| 13.21) журнал регистрации обращений граждан
|
|
| 13.22) журнал резервирования информационных ресурсов ИСПДн
|
|
| 13.23) журнал учета передачи ПДн
|
|
| 13.24) дублирующий журнал учёта носителей ПДн
|
|
| 13.25) журнал учета проверок
|
|
| 13.26) журнал учёта печати персональных данных
|
|
| 13.27) журнал учета посетителей
|
|
| 13.28) план мероприятий по защите персональных данных
|
|
| 13.29) приказ об установлении границ контролируемой зоны
|
|
| 13.30) приказ об утверждении мест хранения материальных носителей
|
|
| 13.31) приказ о создании комиссии по классификации
|
|
| 13.32) модели угроз
|
|
| 13.33) политика по работе с инцидентами ИБ
|
|
| 13.34) заключение об оценке вреда субъектам персональных данных
|
|
| 13.35) памятка о работе с шифровальными (криптографическими) средствами
|
| Приказ ФАПСИ от 13 июня 2001 г. N 152
"Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну",
Типовые требования
по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
(утв. ФСБ РФ 21 февраля 2008 г. N 149/6/6-622)
|
| 13.36) акт о выводе из эксплуатации средств криптографической защиты информации или акт уничтожения ключевого документа
|
|
| 13.37) журнал учета ключей от хранилищ ключевых документов и технической документации
|
|
| 13.38) журнал учета пломб
|
|
| 13.39) журнал проверок исправности сигнализации
|
|
| 13.40) журнал учета хранилищ ключевых документов, технической и эксплуатационной документации к СКЗИ
|
|
| 13.41) инструкция по допуску лиц в помещения, в которых эксплуатируются криптографические средства защиты информации
|
|
| 13.42) инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну
|
|
| 13.43) лицевой счет пользователя СКЗИ
|
|
| 13.44) план проведения проверок за соблюдением условий использования средств криптографической защиты информации
|
|
| 13.45) приказ о допуске к работе с криптографическими средствами
|
|
| 13.46) приказ о назначении ответственного пользователя средств криптографической защиты информации
|
|
| 13.47) технический (аппаратный) журнал
|
|
| 13.48) функциональные обязанности
ответственного пользователя средств криптографической защиты информации
|
|
IV.
| Функционирование системы межведомственного электронного взаимодействия
|
| 14.1) сколько имеется собственных сервисов межведомственного взаимодействия (список, указать наименования сервисов).
|
|
|
| 14.2) сколько подключенных сервисов ФОИВ (список, указать наименования сервисов).
|
|
|
| 14.3) количество рабочих мест, оборудованных для работы в СИР.
|
|
|
| 14.4) наличие ЭЦП у сотрудников, ответственных за наполнение РГУ, оказание гос.услуг и ведение электронного межведомственного обмена.
|
|
|
| 14.5) наличие сертификатов у сотрудников, ответственных за работу в СИР.
|
|
|
| 14.6) количество гос.услуг (наименование) предоставляемых органом власти.
|
|
|
V.
| Функционирование информационных систем
|
| 15.1) наличие приказа об назначенных лицах, обрабатывающих персональные данные.
|
|
|
| 15.2) наличие приказа об ответственных за функционирование системы электронного документооборота в органе государственной власти Ставропольского края или муниципальном образовании.
|
|
|
| 15.3) соответствие личных кабинетов реально работающим сотрудникам в системе межведомственного документооборота.
|
|
|
| 15.4) наличие соглашений о подключении к системе межведомственного электронного документооборота и СМЭВ.
|
|
|
| 15.5) Очищен ли ящик почтового сервиса (есть ли свободное место для получения почты)?
|
|
|
| 15.6) Проводится ли регистрация писем, получаемых в системе документооборота?
|
|
|
| 15.7) Выполняются ли требования информационной безопасности к АРМ, на котором осуществляется получение документов по системе?
|
|
|
| 15.8) Актуализируются ли справочники организации и пользователей (исполнителей)?
|
| Для муниципальных районов, базы которых находятся на площадке ГКУ
|
VI.
| Подключение к сети ip-телефонии ОГВ СК (носит рекомендательный характер, рамками Соглашения не определено)
|
| 16.1) количество ip-телефонов, функционирующих в сети по состоянию на I квартал 2013 года.
|
|
|
| 16.2) наличие ip-телефона у руководителя ОИВ СК (ОМСУ СК).
|
|
|
| 16.3) наличие ip-телефона у заместителя руководителя ОИВ СК (ОМСУ СК).
|
|
|
| 16.4) наличие ip-телефона в приемной руководителя ОИВ СК (ОМСУ СК).
|
|
|
| 16.5) планируемое количество ip-телефонов, их тип.
|
|
|