XXII. Обеспечение режима секретности и безопасности информации | |||||
1 | 22 | 1 | Ненадлежащее оформление документов, закрепляющих за соответствующим структурным подразделением МОУ ФК функций по обеспечению режима секретности и безопасности информации (далее - структурное подразделение по защите информации): | ||
22 | 1 | 1 | отсутствие осуществляемых функций в положении о структурном подразделении по защите информации МОУ ФК; | ||
22 | 1 | 2 | несоответствие должностных обязанностей, включенных в должностные регламенты сотрудников структурного подразделения МОУ ФК, функциям, предусмотренным положением о структурном подразделении по защите информации МОУ ФК; | ||
22 | 1 | 3 | отсутствие согласований назначения начальника и заместителя начальника структурного подразделения по защите информации с органами ФСБ России и Федеральным казначейством; | ||
22 | 1 | 4 | неукомплектованность структурного подразделения по защите информации сотрудниками по обеспечению безопасности информации и сотрудниками, исполняющими функции режимно-секретного подразделения; | ||
22 | 1 | 5 | отсутствие постоянно действующей технической комиссии по защите информации с ограниченным доступом (отсутствие приказа о ее создании, утвержденного Положения, плана работы, протоколов заседаний); | ||
22 | 1 | 6 | неукомплектованность структурных подразделений, осуществляющих обработку информации ограниченного доступа техническими средствами защиты информации; | ||
22 | 1 | 7 | отсутствие планирования мероприятий по обеспечению безопасности информации (планов работы, отметок о выполненных мероприятиях), отсутствие полноты и качества отработки внутренних организационно-распорядительных документов по защите информации; | ||
22 | 1 | 8 | отсутствие закрепления функций Регионального центра регистрации Удостоверяющего центра Федерального казначейства (далее - РЦР); | ||
22 | 1 | 9 | прочие нарушения по коду 22.1. | ||
2 | 22 | 2 | Недостоверность значений показателей результативности деятельности МОУ ФК в части касающейся обеспечения режима секретности и безопасности информации. | ||
3 | 22 | 3 | Недостоверность значений показателей деятельности МОУ ФК, отраженных в Паспорте территориального органа Федерального казначейства, в части касающейся обеспечения режима секретности и безопасности информации. | ||
4 | 22 | 4 | Неосуществление внутреннего контроля соответствия деятельности структурного подразделения по исполнению государственных функций и полномочий требованиям нормативных правовых актов Российской Федерации и принятых управленческих решений в установленной сфере деятельности. | ||
5 | 22 | 5 | Нарушения, установленные при проверке полноты и правильности определения защищаемых объектов информатизации и их расположение относительно границ контролируемой зоны: | ||
22 | 5 | 1 | отсутствие технических паспортов на защищаемые объекты, утвержденной схемы контролируемой зоны, инструкции по обеспечению режима секретности при обработке информации с использованием средств СВТ, порядка обеспечения защиты информации при эксплуатации объектов информатизации, перечней защищаемых информационных ресурсов, выделенных и режимных помещений, разрешенного к использованию прикладного программного обеспечения, допущенного персонала на защищаемые объекты; | ||
22 | 5 | 2 | несоблюдение порядка организации защиты информации от иностранных технических разведок (отсутствие согласованного с органами ФСБ России и Федеральным казначейством Руководства по защите информации от технических разведок и от ее утечки по техническим каналам); | ||
22 | 5 | 3 | прочие нарушения по коду 22.5. | ||
6 | 22 | 6 | Нарушения, установленные при проверке организации защиты информации, содержащей сведения, составляющие государственную тайну: | ||
22 | 6 | 1 | несоблюдение требований к организации режима секретности; | ||
22 | 6 | 2 | несоблюдение требований к организации защиты объектов информатизации (отсутствие средств защиты информации, не полная и некачественная отработка документации объекта, отсутствие аттестата соответствия требованиям безопасности информации, невыполнение требований предписания на эксплуатацию объекта); | ||
22 | 6 | 3 | прочие нарушения по коду 22.6. | ||
7 | 22 | 7 | Несоблюдение порядка организации секретного делопроизводства: | ||
22 | 7 | 1 | несоответствие установленного порядка делопроизводства требованиям законодательных и нормативных правовых актов Российской Федерации; | ||
22 | 7 | 2 | несоблюдение порядка организации допуска сотрудников к сведениям, составляющим государственную тайну; | ||
22 | 7 | 3 | несоблюдение порядка учета, хранения и выдачи документов; | ||
22 | 7 | 4 | прочие нарушения по коду 22.7. | ||
8 | 22 | 8 | Несоблюдение порядка организации защиты конфиденциальной информации: | ||
22 | 8 | 1 | отсутствие утвержденного перечня сведений конфиденциального характера; | ||
22 | 8 | 2 | отсутствие утвержденного положения о порядке организации и проведения работ по защите конфиденциальной информации; | ||
22 | 8 | 3 | прочие нарушения по коду 22.8. | ||
9 | 22 | 9 | Несоблюдение порядка организации защиты информации в интегральной автоматизированной системе (конфиденциальный контур): | ||
22 | 9 | 1 | отсутствие акта классификации автоматизированной системы; | ||
22 | 9 | 2 | отсутствие разграничения доступа, отсутствие организации администрирования безопасности, отсутствие средств защиты от несанкционированного доступа; | ||
22 | 9 | 3 | отсутствие матрицы доступа к информационным ресурсам, моделей угроз и потенциальных нарушителей для объектов интегральной автоматизированной системы; | ||
22 | 9 | 4 | отсутствие инструкции пользователя, инструкции по организации парольной защиты; | ||
22 | 9 | 5 | несоблюдение порядка организации антивирусной защиты; | ||
22 | 9 | 6 | несоблюдение порядка организации резервного копирования и архивирования информации и порядка хранения резервных копий; | ||
22 | 9 | 7 | несоблюдение требований Регламента предоставления удаленного доступа к информационным ресурсам Федерального казначейства, утвержденного приказом Федерального казначейства от 12 ноября 2013 года N 256; | ||
22 | 9 | 8 | прочие нарушения по коду 22.9. | ||
10 | 22 | 10 | Несоблюдение порядка организации защиты персональных данных и несоответствие требованиям законодательных и нормативных правовых актов Российской Федерации: | ||
22 | 10 | 1 | несоответствие состояния защиты информационных систем персональных данных руководящим документам ФСТЭК России и ФСБ России; | ||
22 | 10 | 2 | прочие нарушения по коду 22.10. | ||
11 | 22 | 11 | Нарушения, установленные при проверке организации безопасности связи: | ||
22 | 11 | 1 | нарушение требований организации регионального узла связи; | ||
22 | 11 | 2 | нарушение требований организации подключения средств вычислительной техники к сети "Интернет"; | ||
22 | 11 | 3 | нарушение требований к организации защищенного документооборота со сторонними организациями; | ||
22 | 11 | 4 | отсутствие действующих лицензий ФСБ России, необходимых для работы с шифровальными (криптографическими) средствами защиты информации, не содержащей сведений, составляющих государственную тайну; | ||
22 | 11 | 5 | прочие нарушения по коду 22.11. | ||
12 | 22 | 12 | Неэффективное использование централизованно поставляемых (выделяемых) средств защиты информации ограниченного доступа, в том числе приобретенных за счет финансирования на обеспечение деятельности по защите информации. | ||
13 | 22 | 13 | Нарушения, установленные при проверке организации контроля за состоянием защиты информации: | ||
22 | 13 | 1 | неустранение замечаний, выявленных в ходе проверок ФСБ России, ФСТЭК России, Роскомнадзором и Федеральным казначейством; | ||
22 | 13 | 2 | отсутствие планирования контрольных мероприятий, осуществляемых структурным подразделением по защите информации в рамках внутреннего контроля, в том числе в МОУ ФК, и отчетности по ним; | ||
22 | 13 | 3 | отсутствие сведений о проведении контроля защищенности объектов информатизации (наличие актов проверок, протоколов, отметок в технических паспортах); | ||
22 | 13 | 4 | прочие нарушения по коду 22.13. | ||
14 | 22 | 14 | Несоблюдение установленного порядка работы РЦР: | ||
22 | 14 | 1 | несоблюдение требований законодательства Российской Федерации в сфере использования электронной подписи; | ||
22 | 14 | 2 | несоблюдение требований Положения и Регламента Удостоверяющего центра Федерального казначейства; | ||
22 | 14 | 3 | невыполнение указаний и требований по вопросу организации работы РЦР, доведенных письмами Федерального казначейства; | ||
22 | 14 | 4 | несоблюдение требований применения программно-аппаратных средств Удостоверяющего центра, изложенных в Формуляре на указанные средства; | ||
22 | 14 | 5 | несоблюдение правил использования и хранения ключей электронных подписей Операторов РЦР - удаленных автоматизированных рабочих мест РЦР; | ||
22 | 14 | 6 | прочие нарушения по коду 22.14. | ||
15 | 22 | 15 | Несоблюдение порядка организации внутри объектового и пропускного режимов: | ||
22 | 15 | 1 | несоблюдение установленного порядка организации физической охраны (отсутствие подразделения охраны, постов охраны, отсутствие согласованного утвержденного "Плана охраны", отсутствие взаимодействия со структурным подразделением по защите информации); | ||
22 | 15 | 2 | несоблюдение порядка организации пропускного и внутриобъектового режимов (отсутствие и невыполнение регламентирующих организационно-распорядительных документов); | ||
22 | 15 | 3 | необеспеченность техническими средствами охраны, видеонаблюдения, контроля доступа, несоблюдение порядка организации их использования (эксплуатации); | ||
22 | 15 | 4 | прочие нарушения по коду 22.15. | ||
16 | 22 | 16 | Нарушения в деятельности структурного подразделения по защите информации по отдельным вопросам, возникающим в ходе проведения проверки, а также по другим вопросам обеспечения безопасности информации по фактам выявленных нарушений, отмеченных в ходе ранее проведенных проверок контрольными органами. | ||
17 | 22 | 17 | Другие нарушения по разделу XXII "Обеспечение режима секретности и безопасности информации" Типовой программы проверки МОУ ФК, в том числе по результатам проверки периодов прошлых лет по фактам, требующим их уточнения. | ||
Редакция документа с учетом
изменений и дополнений подготовлена
АО "Кодекс"