14.1. Проверить закрепление за соответствующим структурным подразделением полномочий по осуществлению функции обеспечения режима секретности и безопасности информации:
закрепление выполняемых полномочий в положении о структурном подразделении;
включение выполняемых полномочий в должностные регламенты сотрудников структурных подразделений;
отсутствие в должностных регламентах сотрудников структурного подразделения полномочий, не предусмотренных положением о соответствующем структурном подразделении;
наличие согласований назначения начальника структурного подразделения с органами ФСБ России и Федеральным казначейством;
укомплектованность работниками специализированного структурного подразделения по обеспечению безопасности информации и работниками, исполняющими функции режимно-секретного подразделения;
наличие постоянно действующей технической комиссии по защите информации с ограниченным доступом (приказ о ее создании, утвержденное Положение, планы работы, протоколы заседаний, отметки о выполненных мероприятиях);
укомплектованность специализированного структурного подразделения по защите информации средствами защиты информации и средствами контроля эффективности защиты информации (техническими, программными);
планирование мероприятий по обеспечению безопасности информации (наличие планов работы, отметок о выполненных мероприятиях), наличие, полнота и качество отработки внутренних организационно-распорядительных документов по защите информации;
полноту и правильность определения объектов защиты информации и их взаиморасположение относительно границ контролируемой зоны (наличие технических паспортов на защищаемые объекты, инструкций по эксплуатации технических средств защиты информации, по обеспечению режима секретности при обработке информации с использованием средств ЭВТ, порядка обеспечения защиты информации при эксплуатации объектов информатизации, перечней защищаемых информационных ресурсов, основных технических средств и систем, выделенных и защищаемых помещений, разрешенного к использованию прикладного программного обеспечения, допущенного персонала, утвержденной схемы контролируемой зоны);
организацию защиты информации от иностранных технических разведок (полнота проведения оценки разведдоступности, наличие согласованного с УФСБ России по субъекту Российской Федерации и Управлением режима секретности и безопасности информации Федерального казначейства Руководства по защите информации от технических разведок и от ее утечки по техническим каналам и качество его разработки).
14.2. Проверить организацию защиты информации, содержащей сведения, составляющие государственную тайну:
организацию режима секретности;
организацию защиты объектов информатизации (правильность категорирования и классификации, наличие средств защиты информации, полнота и качество отработки документации объекта, наличие аттестата соответствия требованиям безопасности информации, выполнение требований предписания на эксплуатацию объекта).
14.3. Проверить организацию секретного делопроизводства: соответствие установленного порядка делопроизводства требованиям законодательных и нормативных правовых актов Российской Федерации; организацию допуска работников к сведениям, составляющим государственную тайну; соблюдение порядка учета, хранения и выдачи документов.
14.4. Проверить организацию защиты конфиденциальной информации: наличие перечня сведений конфиденциальной информации; наличие положения о порядке организации и проведения работ по защите конфиденциальной информации.
14.5. Проверить организацию защиты информации в локальной вычислительной сети УФК: правильность классификации автоматизированной системы; разграничение доступа, администрирование безопасности, использование средств защиты от несанкционированного доступа; наличие матрицы доступа к информационным ресурсам, моделей угроз и потенциальных нарушителей на защищаемых объектах (наличие инструкции пользователя, инструкции по организации парольной защиты); организацию антивирусной защиты; организацию резервного копирования и архивирования информации.
14.6. Проверить организацию защиты персональных данных: соответствие порядка работы с персональными данными требованиям законодательных и нормативных правовых актов Российской Федерации; наличие и соответствие нормативным правовым актам Российской Федерации нормативных и распорядительных документов УФК, регламентирующих порядок обработки персональных данных, а также порядок организации и проведения работ по обеспечению безопасности персональных данных; соответствие состояния защиты информационных систем персональных данных руководящим документам ФСТЭК России и ФСБ России (правильность классификации информационных систем персональных данных, наличие Модели угроз, наличие Перечня актуальных угроз и правильность их определения, наличие организационно-технических требований по защите информационных систем персональных данных).
14.7. Проверить организацию безопасности связи: организацию региональных узлов связи, внутренних узлов связи, организацию взаимодействия с сетью Интернет; организацию защищенного документооборота между УФК и находящимися в его непосредственном подчинении отделениями УФК и сторонними организациями; наличие действующих лицензий органов ФСБ России, необходимых для работы с шифровальными (криптопэафическими) средствами.
14.8. Проверить использование централизованно поставляемых выделяемых средств защиты информации: эффективность использования средств обработки и/или защиты информации ограниченного доступа, в том числе приобретенных за счет финансирования на обеспечение деятельности по защите информации.
14.9. Проверить обеспечение контроля состояния защиты информации: устранение замечаний, выявленных в ходе проверок Федеральной службой безопасности Российской Федерации, Федеральной службой по техническому и экспортному контролю и Федеральным казначейством; планирование контрольных мероприятий, осуществляемых подразделением обеспечения безопасности информации в рамках внутреннего контроля, в том числе в УФК, и отчетность по ним; сведения о годовых проверках объектов информатизации (акты проверок, отметки в техническом паспорте).
14.10. Проверить организацию работы Регионального центра регистрации Уполномоченного удостоверяющего центра Федерального казначейства (далее - РЦР и УУЦ соответственно): ведение учета средств криптографической защиты информации (далее - СКЗИ) и обеспечение установленного порядка их передачи пользователям; соблюдение установленных правил использования и хранения закрытых ключей ЭЦП РЦР и уполномоченных лиц УУЦ; соблюдение установленного порядка осуществления целевых функций РЦР (взаимодействие с пользователями и соискателями сертификатов ключей подписей, обеспечение взаимодействия с центром сертификации УУЦ).
14.11. Проверить организацию внутриобъектового и пропускного режимов: организацию физической охраны (наличие подразделения охраны, количество постов охраны, наличие согласованного "Плана охраны", взаимодействие с подразделением режима секретности и безопасности информации); организацию пропускного и внутриобъектового режимов (наличие и выполнение регламентирующих организационно-распорядительных документов); обеспеченность техническими средствами охраны, видеонаблюдения, контроля доступа, организация их использования (эксплуатации).
14.12. Проверить достоверность показателей результативности деятельности УФК по защите информации ограниченного доступа.
14.13. Проверить достоверность отражаемой в Паспорте территориального органа Федерального казначейства информации по показателям в части, касающейся деятельности УФК по защите информации ограниченного доступа.
14.14. Проверить другие вопросы, возникающие при проведении проверки, в том числе проверка периодов прошлых лет по фактам, требующим их уточнения.