| |||||
1 | 14 | 1 | Ненадлежащее оформление документов, закрепляющих за соответствующим структурным подразделением УФК полномочий по осуществлению функций по обеспечению в УФК режима секретности и условий работы со сведениями, составляющими государственную тайну, организации и обеспечению выполнения установленных в соответствии с действующим законодательством норм и требований защиты конфиденциальных сведений и электронных документов: | ||
14 | 1 | 1 | отсутствие осуществляемых полномочий в положении о структурном подразделении УФК; | ||
14 | 1 | 2 | несоответствие полномочий, включенных в должностные регламенты/должностные инструкции сотрудников структурного подразделения УФК, полномочиям, предусмотренным положением о структурном подразделении УФК; | ||
14 | 1 | 3 | отсутствие согласований назначения начальника структурного подразделения с органами ФСБ России и Федеральным казначейством; | ||
14 | 1 | 4 | наличие в должностных регламентах сотрудников структурного подразделения полномочий, не предусмотренных положением о соответствующем структурном подразделении; | ||
14 | 1 | 5 | отсутствие постоянно действующей комиссии по защите информации (отсутствие приказа о ее создании, утвержденного Положения, плана работы, протоколов заседаний, отметок о выполненных мероприятиях); | ||
14 | 1 | 6 | неукомплектованность специализированного структурного подразделения по защите информации средствами защиты информации и средствами контроля эффективности защиты информации (техническими, программными); | ||
14 | 1 | 7 | отсутствие планирования мероприятий по обеспечению безопасности информации (планов работы, отметок о выполненных мероприятиях), отсутствие полноты и качества отработки внутренних организационно-распорядительных документов по защите информации; | ||
14 | 1 | 8 | неправильное, неполное определение объектов защиты информации и их взаиморасположение относительно границ контролируемой зоны (отсутствие технических паспортов на защищаемые объекты, инструкций по эксплуатации технических средств защиты информации, по обеспечению режима секретности при обработке информации с использованием средств ЭВТ, порядка обеспечения защиты информации при эксплуатации объектов информатизации, перечней защищаемых информационных ресурсов, основных технических средств и систем, выделенных и защищаемых помещений, разрешенного к использованию прикладного программного обеспечения, допущенного персонала, утвержденной схемы контролируемой зоны); | ||
14 | 1 | 9 | несоблюдение порядка организации защиты информации от иностранных технических разведок (не полное проведение оценки разведдоступности, отсутствие согласованного с УФСБ России по субъекту Российской Федерации и Управлением режима секретности и безопасности информации Федерального казначейства Руководства по защите информации от технических разведок и от ее утечки по техническим каналам и качество его разработки); | ||
14 | 1 | 10 | прочие нарушения по коду 14.1. | ||
2 | 14 | 2 | Нарушения, установленные при проверке организации защиты информации, содержащей сведения, составляющие государственную тайну: | ||
14 | 2 | 1 | несоблюдение требований к организации режима секретности; | ||
14 | 2 | 2 | несоблюдение требований к организации защиты объектов информатизации (неправильное категорирование и классификация, отсутствие средств защиты информации, не полная и некачественная отработка документации объекта, отсутствие аттестата соответствия требованиям безопасности информации, невыполнение требований предписания на эксплуатацию объекта); | ||
14 | 2 | 3 | прочие нарушения по коду 14.2. | ||
3 | 14 | 3 | Несоблюдение порядка организации секретного делопроизводства: | ||
14 | 3 | 1 | несоответствие установленного порядка делопроизводства требованиям законодательных и нормативных правовых актов Российской Федерации; | ||
14 | 3 | 2 | несоблюдение порядка организации допуска сотрудников к сведениям, составляющим государственную тайну; | ||
14 | 3 | 3 | несоблюдение порядка учета, хранения и выдачи документов; | ||
14 | 3 | 4 | прочие нарушения по коду 14.3. , | ||
4 | 14 | 4 | Несоблюдение порядка организации защиты конфиденциальной информации: | ||
14 | 4 | 1 | отсутствие перечня сведений конфиденциальной информации; | ||
14 | 4 | 2 | отсутствие положения о порядке организации и проведения работ по защите конфиденциальной информации; | ||
14 | 4 | 3 | прочие нарушения по коду 14.4. | ||
5 | 14 | 5 | Несоблюдение порядка организации защиты информации в локальной вычислительной сети УФК: | ||
14 | 5 | 1 | неправильная классификация автоматизированной системы; | ||
14 | 5 | 2 | отсутствие разграничения доступа, отсутствие организации администрирования безопасности, отсутствие средств защиты от несанкционированного доступа; | ||
14 | 5 | 3 | отсутствие матрицы доступа к информационным ресурсам, моделей угроз и потенциальных нарушителей на защищаемых объектах (отсутствие инструкции пользователя, инструкции по организации парольной защиты); | ||
14 | 5 | 4 | несоблюдение порядка организации антивирусной защиты; | ||
14 | 5 | 5 | несоблюдение порядка организации резервного копирования и архивирования информации; | ||
14 | 5 | 6 | прочие нарушения по коду 14.5. | ||
6 | 14 | 6 | Несоблюдение порядка организации защиты персональных данных: | ||
14 | 6 | 1 | несоответствие порядка работы с персональными данными требованиям законодательных и нормативных правовых актов Российской Федерации; | ||
14 | 6 | 2 | отсутствие и несоответствие нормативным правовым актам Российской Федерации нормативных и распорядительных документов УФК, регламентирующих порядок обработки персональных данных, а также порядок организации и проведения работ по обеспечению безопасности персональных данных; | ||
14 | 6 | 3 | несоответствие состояния защиты информационных систем персональных данных руководящим документам ФСТЭК России и ФСБ России: | ||
14 | 6 | 3 | 1 | неправильная классификация информационных систем персональных данных; | |
14 | 6 | 3 | 2 | отсутствие Модели угроз; | |
14 | 6 | 3 | 3 | отсутствие Перечня актуальных угроз; | |
14 | 6 | 3 | 4 | отсутствие организационно-технических требований по защите информационных систем персональных данных; | |
14 | 6 | 4 | прочие нарушения по коду 14.6. | ||
7 | 14 | 7 | Нарушения, установленные при проверке организации безопасности связи: | ||
14 | 7 | 1 | нарушение требований организации региональных узлов связи, внутренних узлов связи, к организации взаимодействия с сетью Интернет; | ||
14 | 7 | 2 | нарушение требований к организации защищенного документооборота между УФК и территориально удаленными отделами УФК, сторонними организациями; | ||
14 | 7 | 3 | отсутствие действующих лицензий органов ФСБ России, необходимых для работы с шифровальными (криптографическими) средствами; | ||
14 | 7 | 4 | прочие нарушения по коду 14.7. | ||
8 | 14 | 8 | Неэффективное использование средств обработки и/или защиты информации ограниченного доступа, в том числе приобретенных за счет финансирования на обеспечение деятельности по защите информации. | ||
9 | 14 | 9 | Нарушения, установленные при проверке обеспечения контроля состояния защиты информации: | ||
14 | 9 | 1 | неустранение замечаний, выявленных в ходе проверок Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и Федеральным казначейством; | ||
14 | 9 | 2 | отсутствие планирования контрольных мероприятий, осуществляемых подразделением обеспечения безопасности информации в рамках внутреннего контроля, в том числе в УФК; | ||
14 | 9 | 3 | отсутствие сведений о годовых проверках объектов информатизации (акты проверок, отметки в техническом паспорте); | ||
14 | 9 | 4 | прочие нарушения по коду 14.9. | ||
10 | 14 | 10 | Несоблюдение порядка организации работы Регионального центра регистрации удостоверяющего центра Федерального казначейства (далее - РЦР и УЦ соответственно): | ||
14 | 10 | 1 | отсутствие ведения поэкземплярного учета средств криптографической защиты информации (далее - СКЗИ) и нарушение установленного порядка их передачи пользователям; | ||
14 | 10 | 2 | несоблюдение установленных правил использования и хранения закрытых ключей ЭП РЦР и уполномоченных лиц УЦ; | ||
14 | 10 | 3 | несоблюдение установленного порядка осуществления целевых функций РЦР; | ||
14 | 10 | 4 | прочие нарушения по коду 14.10. | ||
11 | 14 | 11 | Несоблюдение порядка организации внутриобъектового и пропускного режимов: | ||
14 | 11 | 1 | несоблюдение установленного порядка организации физической охраны (отсутствие подразделения охраны, отсутствие согласованного "Плана охраны", отсутствие взаимодействия с подразделением режима секретности и безопасности информации); | ||
14 | 11 | 2 | несоблюдение порядка организации пропускного и внутриобъектового режимов (отсутствие и невыполнение регламентирующих организационно-распорядительных документов); | ||
14 | 11 | 3 | необеспеченность техническими средствами охраны, видеонаблюдения, контроля доступа, несоблюдение порядка организации их использования (эксплуатации); | ||
14 | 11 | 4 | прочие нарушения по коду 14.11. | ||
12 | 14 | 12 | Недостоверность показателей результативности деятельности УФК в части, касающейся осуществления защиты информации ограниченного доступа. | ||
13 | 14 | 13 | Недостоверность отражаемой в Паспорте территориального органа Федерального казначейства информации по показателям в части, касающейся осуществления защиты информации ограниченного доступа. | ||
14 | 14 | 14 | Другие нарушения по разделу XIV. "Обеспечение режима секретности и безопасности информации" Типовой программы проверки УФК, в том числе по результатам проверки периодов прошлых лет по фактам, требующим их уточнения. |