XIV. Обеспечение режима секретности и безопасности информации | |||||
1 | 14 | 1 | Ненадлежащее оформление документов, закрепляющих за соответствующим структурным подразделением УФК функции по обеспечению в УФК режима секретности и условий работы со сведениями, составляющими государственную тайну, организации и обеспечения выполнения установленных в соответствии с действующим законодательством норм и требований защиты конфиденциальных сведений и электронных документов: | ||
14 | 1 | 1 | отсутствие осуществляемых функций в положении о структурном подразделении УФК; | ||
14 | 1 | 2 | несоответствие должностных обязанностей, включенных в должностные регламенты сотрудников структурного подразделения УФК, функциям, предусмотренным положением о структурном подразделении УФК; | ||
14 | 1 | 3 | отсутствие согласований назначения начальника структурного подразделения с органами ФСБ России и Федеральным казначейством; | ||
14 | 1 | 4 | наличие в должностных регламентах сотрудников структурного подразделения полномочий, не предусмотренных положением о соответствующем структурном подразделении; | ||
14 | 1 | 5 | отсутствие постоянно действующей технической комиссии по защите информации ограниченного доступа (отсутствие приказа о ее создании, утвержденного Положения, плана работы, протоколов заседаний, отметок о выполненных мероприятиях); | ||
14 | 1 | 6 | неукомплектованность специализированного структурного подразделения по защите информации средствами защиты информации и средствами контроля эффективности защиты информации (техническими, программными); | ||
14 | 1 | 7 | отсутствие планирования мероприятий по обеспечению безопасности информации (планов работы, отметок о выполненных мероприятиях), отсутствие полноты и качества отработки внутренних организационно-распорядительных документов по защите информации; | ||
14 | 1 | 8 | неправильное, неполное определение объектов защиты информации и их взаиморасположение относительно границ контролируемой зоны (отсутствие технических паспортов на защищаемые объекты, инструкций по эксплуатации технических средств защиты информации, по обеспечению режима секретности при обработке информации с использованием средств ЭВТ, порядка обеспечения защиты информации при эксплуатации объектов информатизации, перечней защищаемых информационных ресурсов, основных технических средств и систем, выделенных и защищаемых помещений, разрешенного к использованию прикладного программного обеспечения, допущенного персонала, утвержденной схемы контролируемой зоны); | ||
14 | 1 | 9 | несоблюдение порядка организации защиты информации от иностранных технических разведок (неполное проведение оценки разведдоступности, отсутствие согласованного с УФСБ России по субъекту Российской Федерации и Управлением режима секретности и безопасности информации Федерального казначейства Руководства по защите информации от технических разведок и от ее утечки по техническим каналам и качество его разработки); | ||
14 | 1 | 10 | прочие нарушения по коду 14.1. | ||
2 | 14 | 2 | Недостоверность значений показателей результативности деятельности УФК в части касающейся обеспечения режима секретности и безопасности информации. | ||
3 | 14 | 3 | Неосуществление внутреннего контроля соответствия деятельности структурного подразделения по исполнению государственных функций и полномочий требованиям нормативных правовых актов Российской Федерации и принятых управленческих решений в установленной сфере деятельности. | ||
4 | 14 | 4 | Нарушения, установленные при проверке организации защиты информации, содержащей сведения, составляющие государственную тайну: | ||
14 | 4 | 1 | несоблюдение требований к организации режима секретности; | ||
14 | 4 | 2 | несоблюдение требований к организации защиты объектов информатизации (неправильное категорирование и классификация, отсутствие средств защиты информации, неполная и некачественная отработка документации объекта, отсутствие аттестата соответствия требованиям безопасности информации, невыполнение требований предписания на эксплуатацию объекта); | ||
14 | 4 | 3 | прочие нарушения по коду 14.4. | ||
5 | 14 | 5 | Несоблюдение порядка организации секретного делопроизводства: | ||
14 | 5 | 1 | несоответствие установленного порядка делопроизводства требованиям законодательных и нормативных правовых актов Российской Федерации; | ||
14 | 5 | 2 | несоблюдение порядка организации допуска сотрудников к сведениям, составляющим государственную тайну; | ||
14 | 5 | 3 | несоблюдение порядка учета, хранения и выдачи документов; | ||
14 | 5 | 4 | прочие нарушения по коду 14.5. | ||
6 | 14 | 6 | Несоблюдение порядка организации защиты конфиденциальной информации: | ||
14 | 6 | 1 | отсутствие перечня сведений конфиденциальной информации; | ||
14 | 6 | 2 | отсутствие положения о порядке организации и проведения работ по защите конфиденциальной информации; | ||
14 | 6 | 3 | прочие нарушения по коду 14.6. | ||
7 | 14 | 7 | Несоблюдение порядка организации защиты информации в локальной вычислительной сети УФК: | ||
14 | 7 | 1 | неправильная классификация автоматизированной системы; | ||
14 | 7 | 2 | отсутствие разграничения доступа, отсутствие организации администрирования безопасности, отсутствие средств защиты от несанкционированного доступа; | ||
14 | 7 | 3 | отсутствие матрицы доступа к информационным ресурсам, моделей угроз и потенциальных нарушителей на защищаемых объектах, отсутствие инструкции пользователя, инструкции по организации парольной защиты; | ||
14 | 7 | 4 | несоблюдение порядка организации антивирусной защиты; | ||
14 | 7 | 5 | несоблюдение порядка организации резервного копирования, архивирования информации, порядка хранения резервных копий; | ||
14 | 7 | 6 | несоблюдение требований Регламента предоставления удаленного доступа к информационным ресурсам Федерального казначейства, утвержденного приказом Федерального казначейства от 12 ноября 2013 года N 256; | ||
14 | 7 | 7 | прочие нарушения по коду 14.7. | ||
8 | 14 | 8 | Несоблюдение порядка организации защиты персональных данных: | ||
14 | 8 | 1 | несоответствие порядка работы с персональными данными требованиям законодательных и нормативных правовых актов Российской Федерации; | ||
14 | 8 | 2 | отсутствие и несоответствие нормативным правовым актам Российской Федерации нормативных и распорядительных документов УФК, регламентирующих порядок обработки персональных данных, а также порядок организации и проведения работ по обеспечению безопасности персональных данных; | ||
14 | 8 | 3 | несоответствие состояния защиты информационных систем персональных данных руководящим документам ФСТЭК России и ФСБ России; | ||
14 | 8 | 3 | 1 | неправильная классификация информационных систем персональных данных; | |
14 | 8 | 3 | 2 | отсутствие Модели угроз; | |
14 | 8 | 3 | 3 | отсутствие Перечня актуальных угроз; | |
14 | 8 | 3 | 4 | отсутствие организационно-технических требований по защите информационных систем персональных данных; | |
14 | 8 | 4 | прочие нарушения по коду 14.8. | ||
9 | 14 | 9 | Нарушения, установленные при проверке организации безопасности связи: | ||
14 | 9 | 1 | нарушение требований организации региональных узлов связи, внутренних узлов связи, к организации взаимодействия с сетью Интернет; | ||
14 | 9 | 2 | нарушение требований к организации защищенного документооборота между УФК и территориально удаленными отделами УФК, сторонними организациями; | ||
14 | 9 | 3 | отсутствие действующих лицензий органов ФСБ России, необходимых для работы с шифровальными (криптографическими) средствами защиты информации, не содержащей сведений, составляющих государственную тайну; | ||
14 | 9 | 4 | прочие нарушения по коду 14.9. | ||
10 | 14 | 10 | Неэффективное использование средств обработки и/или защиты информации ограниченного доступа, в том числе приобретенных за счет финансирования на обеспечение деятельности по защите информации. | ||
11 | 14 | 11 | Нарушения, установленные при проверке обеспечения контроля состояния защиты информации: | ||
14 | 11 | 1 | неустранение замечаний, выявленных в ходе проверок Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и Федеральным казначейством; | ||
14 | 11 | 2 | отсутствие планирования контрольных мероприятий, осуществляемых подразделением обеспечения безопасности информации в рамках внутреннего контроля, в том числе в УФК; | ||
14 | 11 | 3 | отсутствие сведений о проведении контроля защищенности объектов информатизации (наличие актов проверок, протоколов, отметок в техническом паспорте); | ||
14 | 11 | 4 | прочие нарушения по коду 14.11. | ||
12 | 14 | 12 | Нарушения организации работы Регионального центра регистрации Удостоверяющего центра Федерального казначейства (далее - РЦР): | ||
14 | 12 | 1 | несоблюдение требований законодательства Российской Федерации в сфере использования электронной подписи; | ||
14 | 12 | 2 | несоблюдение требований Положения и Регламента Удостоверяющего центра Федерального казначейства; | ||
14 | 12 | 3 | невыполнение указаний и требований, доведенных письмами Федерального казначейства, по вопросу организации работы РЦР; | ||
14 | 12 | 4 | несоблюдение требований применения программно-аппаратных средств Удостоверяющего центра, изложенных в Формуляре на указанные средства; | ||
14 | 12 | 5 | несоблюдение правил использования и хранения ключей электронных подписей Операторов РЦР - удаленных автоматизированных рабочих мест РЦР. | ||
13 | 14 | 13 | Несоблюдение порядка организации внутриобъектового и пропускного режимов: | ||
14 | 13 | 1 | несоблюдение установленного порядка организации физической охраны (отсутствие подразделения охраны, отсутствие согласованного "Плана охраны", отсутствие взаимодействия с подразделением режима секретности и безопасности информации); | ||
14 | 13 | 2 | несоблюдение порядка организации пропускного и внутриобъектового режимов (отсутствие и невыполнение регламентирующих организационно-распорядительных документов); | ||
14 | 13 | 3 | необеспеченность техническими средствами охраны, видеонаблюдения, контроля доступа, несоблюдение порядка организации их использования (эксплуатации); | ||
14 | 13 | 4 | прочие нарушения по коду 14.13. | ||
14 | 14 | 14 | Другие нарушения по разделу XIV "Обеспечение режима секретности и безопасности информации" Типовой программы проверки УФК, в том числе по результатам проверки периодов прошлых лет по фактам, требующим их уточнения. | ||