Для служебного пользования
(по заполнению)
Экз. № __
Анкета
состояния системы защиты информации в организации
1. Общие сведения
1.1 Полное наименование организации: ______________________________
________________________________________________________________
1.2 Сокращённое название организации: ______________________________
________________________________________________________________
1.3 Адрес: _______________________________________________________
1.4 Тел./Факс, e-mail: ______________________________________________
1.5 Ф. И.О. руководителя: ___________________________________________
2. Наличие подведомственных учреждений, организаций
2.1 Полное наименование организации: ______________________________
________________________________________________________________
2.2 Сокращённое название организации: ______________________________
________________________________________________________________
2.3 Адрес: _______________________________________________________
2.4 Тел./Факс, e-mail: ______________________________________________
2.5 Ф. И.О. руководителя: ___________________________________________
……….
……….
……….
3. Наличие объектов, требующих защиты
3.1 Наличие информационных систем персональных данных.
|
Да |
Нет |
3.2 Класс и количество информационных систем персональных данных.
|
Класс |
1 |
2 |
3 |
4 |
|
Кол-во |
3.3 Наличие ключевых систем информационной инфраструктуры.
|
Да |
Нет |
3.4 Наличие информационных систем конфиденциальной информации.
|
Да |
Нет |
3.5 Наличие информационных систем общего пользования, подключенных к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц.
|
Да |
Нет |
3.6 Наличие информационных систем, осуществляющих межведомственное взаимодействие.
|
Да |
Нет |
4. Наличие структурных подразделений по защите информации и специалистов ответственных за безопасность информации
4.1 Наличие структурных подразделений по защите информации.
|
Да |
Нет |
4.2 Наличие штатных специалистов по защите информации.
|
Да |
Нет |
4.3 Наличие нештатных специалистов по защите информации.
|
Да |
Нет |
4.4 Кол-во штатных/(нештатных) специалистов по защите информации.
____________________
4.5 Количество специалистов, прошедших профессиональную подготовку
(повышение квалификации) в области информационной безопасности.
____________________
5. Нормативная правовая база и методические документы ФСТЭК России по обеспечению безопасности информации
5.1 Доктрина информационной безопасности Российской Федерации от 09.№ Пр-1895.
|
Да |
Нет |
5.2 Федеральный закон от 01.01.2001 "Об информации, информационных технологиях и о защите информации".
|
Да |
Нет |
5.3 Федеральный закон от 01.01.2001 г. № 152-ФЗ "О персональных данных".
|
Да |
Нет |
5.4 Приказ Федеральной службы по техническому и экспортному контролю, ФСБ РФ и Министерства информационных технологий и связи РФ от 01.01.2001 № 55/86/20 "Об утверждении Порядка проведения классификации информационных систем персональных данных".
|
Да |
Нет |
5.5 Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных".
|
Да |
Нет |
5.6 Постановление Правительства Российской Федерации от 01.01.2001 № 1233 "Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти".
|
Да |
Нет |
5.7 Постановление Правительства Российской Федерации от 01.01.2001 № 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных".
|
Да |
Нет |
5.8 Постановление Правительства Российской Федерации от 01.01.2001 № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации".
|
Да |
Нет |
5.9 Указ Президента Российской Федерации от 01.01.2001 № 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена".
|
Да |
Нет |
5.10 Указ Президента Российской Федерации "Об утверждении перечня сведений конфиденциального характера".
|
Да |
Нет |
5.11 Базовая модель угроз безопасности персональных данных при обработке в информационных системах персональных данных, ФСТЭК России 15.02.2008.
|
Да |
Нет |
5.12 Методика определения актуальных угроз безопасности персональных данных при обработке в информационных системах персональных данных, ФСТЭК России 14.02.2008.
|
Да |
Нет |
5.13 Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры, ФСТЭК России 18.05.2007.
|
Да |
Нет |
5.14 Общие требования по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, ФСТЭК России 18.05.2007.
|
Да |
Нет |
5.15 Рекомендации по обеспечению безопасности информации в ключевых системах информационной инфраструктуры, ФСТЭК России 19.011.2007.
|
Да |
Нет |
5.16 Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, ФСТЭК России 18.05.2007.
|
Да |
Нет |
5.17 Постановление Правительства Российской Федерации от 01.01.2001 № 424 «Об особенностях подключения федеральных государственных информационных систем к информационно-телекоммуникационным сетям»
|
Да |
Нет |
5.18 Приказ ФСБ России, ФСТЭК России /489 «Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования»
|
Да |
Нет |
5.19 Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), приказ Председателя Гостехкомиссии России от 01.01.2001 .
|
Да |
Нет |
6. Наличие нормативных и организационно-распорядительных документов по защите персональных данных
6.1 Приказ о назначении структурного или должностного лица (работника), ответственного за обеспечение безопасности персональных данных.
|
Да |
Нет |
6.2 Список лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения служебных (трудовых) обязанностей, утверждённый руководителем организации.
|
Да |
Нет |
6.3 Документы по учёту лиц, допущенных к работе с персональными данными в информационной системе.
|
Да |
Нет |
6.4 Документы по учёту применяемых средств защиты информации, эксплуатационной и технической документации к ним.
|
Да |
Нет |
6.5 Документы по учету машинных носителей персональных данных.
|
Да |
Нет |
6.6 Перечень персональных данных, подлежащих защите.
|
Да |
Нет |
6.7 Акт классификации информационной системы персональных данных.
|
Да |
Нет |
6.8 Частная модель угроз и протокол экспертной оценки актуальности
угроз.
|
Да |
Нет |
6.9 Требования по обеспечению безопасности персональных данных при обработке в информационных системах персональных данных.
|
Да |
Нет |
6.10 Порядок резервирования и восстановления работоспособности тех. средств и программного обеспечения, баз данных и систем защиты информации.
|
Да |
Нет |
6.11 Порядок охраны помещений.
|
Да |
Нет |
6.12 Положение по организации и проведению работ по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных.
|
Да |
Нет |
6.13 Должностные инструкции персоналу информационной системы персональных данных в части обеспечения безопасности персональных данных при их обработке в информационной системе персональных данных.
|
Да |
Нет |
6.14 Документы, определяющие порядок разбирательства и составления заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
|
Да |
Нет |
6.15 Документы, определяющие порядок приостановки предоставления персональных данных в случае обнаружения нарушений порядка их предоставления.
|
Да |
Нет |
6.16 Документы, определяющие порядок контроля за соблюдением условий использования средств защиты информации, предусмотренные эксплуатационной и технической документацией.
|
Да |
Нет |
6.17 Документы, определяющие условия расположения относительно границ контролируемой зоны.
|
Да |
Нет |
6.18 Документы, определяющие конфигурацию и топологию информа-ционной системы персональных данных, физических, функциональных и топологических связей.
|
Да |
Нет |
6.19 Документы, определяющие перечень технических средств информа-ционной системы персональных данных, общесистемного и прикладного программного обеспечения.
|
Да |
Нет |
6.20 Документы, определяющие режим обработки персональных данных в информационной системе персональных данных.
|
Да |
Нет |
6.21 Документы, определяющие степень участия персонала в обработке персональных данных.
|
Да |
Нет |
6.22 Матрица доступа для информационной системы персональных данных.
|
Да |
Нет |
6.23 Документы, определяющие подразделение (лицо), ответственное за эксплуатацию средств защиты информации.
|
Да |
Нет |
6.24 Эксплуатационная документация на информационную систему и СЗИ для пользователей и администратора, в том числе антивирусной защиты: инструкция по установке и настройке администратору и пользователю.
|
Да |
Нет |
6.25 Инструкция по организации парольной защиты.
|
Да |
Нет |
6.26 Акт установки и настройки средств защиты информации.
|
Да |
Нет |
6.27 Акт по результатам приемосдаточных испытаний средств защиты информации по результатам опытной эксплуатации.
|
Да |
Нет |
6.28 Заключение о возможности эксплуатации средств защиты информации и проверке их готовности.
|
Да |
Нет |
6.29 Описание системы защиты персональных данных.
|
Да |
Нет |
6.30 Аттестат соответствия по требованиям обеспечения безопасности персональных данных.
|
Да |
Нет |
6.31 Включение в реестр Роскомнадзора по Камчатскому краю как оператора обработки персональных данных.
Реестровый номер _________________________________________________
6.32 Ф. И.О., тел. специалиста ответственного за безопасность персональ-
ных данных.
____________________________________________________________
7. Наличие организационно-распорядительных документов по защите информации в ключевых системах информационной инфраструктуры
7.1 О назначении ответственного за безопасность информации в ключевых системах информационной инфраструктуры.
|
Да |
Нет |
7.2 Определение принадлежности ключевой системы информационной инфраструктуры к одному из установленных уровней важности.
|
Да |
Нет |
7.3 Определение перечня ключевой информации в ключевой системе информационной инфраструктуры.
|
Да |
Нет |
7.4 Оценка последствий нарушений безопасности в ключевой системе информационной инфраструктуры.
|
Да |
Нет |
7.5 Анализ и выявление актуальных угроз безопасности информации.
|
Да |
Нет |
7.6 Обоснование требований по обеспечению безопасности информации в ключевой системе информационной инфраструктуры.
|
Да |
Нет |
7.7 Концепция обеспечения безопасности информации в ключевой системе информационной инфраструктуры.
|
Да |
Нет |
7.8 План мероприятий по обеспечению безопасности информации в ключевой системе информационной инфраструктуры.
|
Да |
Нет |
7.9 Включение ключевой системе информационной инфраструктуры в реестр ФСТЭК.
|
Да |
Нет |
7.10 Порядок привлечения подразделений организаций к разработке и развертыванию системы обеспечения безопасности информации или ее элементов.
|
Да |
Нет |
7.11 Порядок тестирования функций систем защиты информации от несанкционированного доступа при изменении программной среды и персонала автоматизированной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа.
|
Да |
Нет |
7.12 Наличие средств восстановления системы защиты информации от несанкционированного доступа, предусматривающих ведение двух копий программных средств системы защиты информации от несанкционированного доступам и их периодическое обновление и контроль работоспособности.
|
Да |
Нет |
7.13 Порядок обеспечение целостности программных средств системы защиты информации от несанкционированного доступа, а также неизменности программной среды.
|
Да |
Нет |
7.14 Журнал проверки целостности системы защиты информации от несанкционированного доступа при загрузке системы по контрольным суммам.
|
Да |
Нет |
7.15 Ф. И.О., тел. специалиста ответственного за безопасность информа-
ции в ключевых системах информационной инфраструктуры.
____________________________________________________________
8. Наличие организационно-распорядительных документов по защите конфиденциальной информации
8.1 О назначении ответственного за техническую защиту информации.
|
Да |
Нет |
8.2 О запрете обработки информации ограниченного доступа на объектах информатизации, не аттестованных по требованиям обеспечения безопасности информации.
|
Да |
Нет |
8.3 Об утверждении Положения о порядке организации и проведения работ по защите конфиденциальной информации.
|
Да |
Нет |
8.4 Об утверждении Перечня сведений конфиденциального характера.
|
Да |
Нет |
8.5 О вводе в действие аттестованных объектов информатизации.
|
Да |
Нет |
8.6 Аттестат соответствия по требованиям обеспечения безопасности конфиденциальной информации.
|
Да |
Нет |
8.7 Ф. И.О., тел. специалиста ответственного за техническую защиту
информации.
____________________________________________________________
9. Планирование организационно-технических мероприятий по защите информации
9.1 Наличие плана организационно-технических мероприятий по защите информации за текущий год.
|
Да |
Нет |
9.2 Наличие плана организационно-технических мероприятий по защите информации за прошедший год.
|
Да |
Нет |
9.3 Процент исполнения плана организационно-технических мероприятий в текущем году.
___________________________________________________________________
9.4 Процент исполнения плана организационно-технических мероприятий в прошедшем году.
___________________________________________________________________
10. Финансирование мероприятий по информационной безопасности
10.1 Среднегодовая потребность в финансировании мероприятий по информационной безопасности _________________________________
10.2 Реальное финансирование мероприятий по информационной безопасности за прошедший и текущий год _______________________
____________________________________________________________
Руководитель организации ____________ _____________
(подпись) (Ф. И.О.)
«___» __________ 20 __ г.
