N п/п
|
Критерии
|
Показатели
|
Индикаторы
|
Оценка
|
Удовлетвори- тельно
|
Неудовлетвори- тельно
|
1.
|
Организацион- ные мероприя- тия по защите информации
|
Созданы подразделе- ния технической за- щиты информации (назначены сотрудни- ки, отвечающие за осуществление техни- ческой защиты инфор- мации, сотрудники, имеющие допуск к работе со средствами криптографической защиты информации, и сотрудники, имеющие допуск к работе с конфиденциальной ин- формацией) (далее - сотрудники)
|
1. Утверждены приказами по- ложения о под- разделениях по защите инфор- мации, долж- ностные инст- рукции сотруд- ников данных подразделений (внесены соот- ветствующие изменения в уже существую- щие должност- ные инструкции сотрудников). 2. Наличие подписанных обязательств о неразглашении конфиденциаль- ной информа- ции. 3. Осуществля- ется планиро- вание меро- приятий по за- щите информа- ции в террито- риальном орга- не ФМС России
|
Выполнены все требования
|
Не выполнено хотя бы одно из требований
|
Наличие нормативной базы по информацион- ной безопасности
|
Нормативная база имеется полностью
|
Соответствует требованиям
|
Отсутствует один из необ- ходимых документов
|
|
Сотрудники, допущенные к работе с кон- фиденциальной информацией, ознакомлены со всеми докумен- тами
|
|
|
Организация работ по защите информации в соответствии с нор- мативно-методическими документами
|
"Специальные технические требования и рекомендации по технической защите конфи- денциальной информации" (СТР-К), утвержденные Приказом Гостехкомиссии N 282 от 30 августа 2002 года
|
Знание поло- жений СТР-К и организация работ по тех- нической за- щите инфор- мации в соот- ветствии с ним
|
Невыполнение требований документа
|
|
Концепция информационной безопасности АС ЦБД УИГ до 2012 года, утвержденная Приказом ФМС России от 17 сентября 2007 года N 204
|
Знание и выполнение положений Концепции
|
Невыполнение требований Концепции
|
|
Исполнение распоряжения ФМС России от 2 ноября 2007 года N МС-1/11-21779 "О разработке инструкций"
|
Разработаны и утверждены: 1. Инструк- ция, опреде- ляющая поря- док предос- тавления дос- тупа внутрен- ним пользова- телям к ре- сурсам АС ЦБД УИГ. 2. Инструк- ция, опреде- ляющая поря- док разграни- чения и уп- равления дос- тупом на тер- риторию, в здания и по- мещения. 3. Инструк- ция, опреде- ляющая поря- док проведе- ния эксплуа- тации, обслу- живания, ре- монта и моди- фикации ап- паратных и программных средств АС ЦБД УИГ. 4. Инструк- ция, опреде- ляющая поря- док действий при возникно- вении нештат- ной ситуации в АС ЦБД УИГ. 5. Инструк- ция, опреде- ляющая меха- низмы распре- деления ролей сотрудников системы ФМС России по доступу к ресурсам АС ЦБД УИГ
|
Отсутствие хо- тя бы одной инструкции
|
|
Положение о порядке и про- ведении работ по технической защите конфи- денциальной информации в системе ФМС России, утвер- жденное Прика- зом ФМС России от 20 ноября 2007 года N 441
|
Знание поло- жений указан- ного докумен- та и органи- зация работ по защите ин- формации в соответствии с ним
|
Нарушаются требования Положения
|
|
Приказ ФМС России от 27 июля 2007 года N 160 "О за- щитном голо- графическом знаке"
|
Работы орга- низованы в соответствии с "Порядком учета, конт- роля и нане- сения защит- ных гологра- фических зна- ков на техни- ческие средс- тва автомати- зированных информацион- ных систем ФМС России"
|
Невыполнение Порядка
|
Подготовка сотрудни- ков, обеспечивающих техническую защиту информации
|
Наличие обу- ченных специа- листов по за- щите информа- ции
|
Не менее 2-х специалистов прошли обуче- ние
|
Сотрудники для обучения не направлялись
|
Обеспечение режима доступа сотрудников территориального органа на объекты информатизации АС ЦБД УИГ
|
Документальное закрепление организации доступа лиц, имеющих право доступа в сер- верные помеще- ния, в помеще- ния, предназ- наченные для обработки ин- формации АС ЦБД УИГ
|
1. Утверждены перечни лиц, имеющих право доступа в серверные помещения АС ЦБД УИГ, в помещения, предназначен- ные для обра- ботки инфор- мации АС ЦБД УИГ. 2. Ведется журнал учета доступа сот- рудников в серверное помещение
|
Не выполнено одно из требо- ваний на оцен- ку удовлетво- рительно
|
2.
|
Организация технической и криптографи- ческой защиты информации
|
Функционирование средств криптографи- ческой защиты инфор- мации в соответствии с Инструкцией по настройке средства криптографической защиты информации "Атликс-VPN" для ор- ганизации защищенного канала связи между региональным и федеральным уровнем АС ЦБД УИГ (МС-1/11-4791 от 27.03.2007)
|
Наличие шифро- ванного канала передачи дан- ных между ре- гиональным и территориаль- ным уровнями ЦБД УИГ
|
Бесперебойное функциониро- вание шифро- ванного кана- ла передачи данных
|
Отсутствие шифрованного канала
|
Наличие эксплуатаци- онной документации на средства защиты информации, в том числе криптографи- ческие
|
1. Эксплуата- ционная доку- ментация на средства крип- тографической защиты информации. 2. Сертификат ФСБ России N СФ/129-0979 от 1 марта 2007 г. на систему обнаружения атак "Аргус". 3. Сертификат ФСБ России от 25 ноября 2005 г. N СФ/144- 0823 на средс- тво криптогра- фической защи- ты информации "Атликс VPN". 4. Сертификат ФСБ России от 31 марта 2006 г. N СФ/114- 0884 на опера- ционную систе- му "Атликс". 5. Сертификат ФСБ России от 23 октября 2006 г. N СФ/112-0937 на операционную систему "Microsoft Windows XP Professional Service Pack 2" сборки 5.1.2600. 6. Сертификат ФСТЭК России от 10 июля 2006 г. N 1217, N 1218 или N 1219 на межсетевой эк- ран Cisco PIX- 525 ver. 6.3 (5)
|
Наличие
|
Отсутствие
|
Персональное закреп- ление ключевых доку- ментов (дискета и подписанный владель- цем ключа сертификат открытого ключа пользователя) за соответствующим сотрудником
|
1. Наличие ключевых доку- ментов (диске- та и подписан- ный владельцем ключа сертифи- кат открытого ключа подпи- си). 2. Организация учета ключевых документов в соответствии с Приказом ФАПСИ от 13.06.2001 N 152
|
Выполнены все требования
|
Не выполнено хотя бы одно из требований
|
3.
|
Аттестация программно-ап- паратных комп- лексов регио- нального уров- ня АС ЦБД УИГ по требованиям безопасности информации
|
Программно-аппаратный комплекс регионально- го уровня АС ЦБД УИГ прошел аттестационные испытания
|
1. Утвержден- ный техничес- кий паспорт программно-ап- паратного ком- плекса регио- нального уров- ня АС ЦБД УИГ. 2. Утвержден- ный перечень защищаемых ре- сурсов прог- раммно-аппа- ратного комп- лекса регио- нального уров- ня АС ЦБД УИГ. 3. Акт готов- ности к работе средств защиты информации. 4. Протокол аттестационных испытаний. 5. Заключение по результатам аттестационных испытаний. 6. Аттестат соответствия
|
Выполнены все требования
|
Не выполнено хотя бы одно из требований
|
Общая оценка
|
|
|
|
|