Направление деятельности МУ ФК: VI. Обеспечение режима секретности и безопасности информации

1.

Осуществление деятельности по обеспечению режима секретности и безопасности информации:

6

1

1

несоответствие положения о соответствующем структурном подразделении МУ ФК требованиям Типового положения об отделе режима секретности и безопасности информации территориального органа Федерального казначейства (далее - специализированное структурное подразделение);

-

-

X

X

-

-

значимый

6

1

2

несоответствие должностных обязанностей сотрудников специализированного структурного подразделения МУ ФК, содержащихся в их должностных регламентах, функциям, предусмотренным положением о специализированном структурном подразделении;

-

X

-

X

-

-

средний

6

1

3

отсутствие согласований назначения соответствующих должностных лиц специализированного структурного подразделения с органами Федеральной службы безопасности Российской Федерации (далее - ФСБ России), Федеральной службы по техническому и экспортному контролю Российской Федерации (далее - ФСТЭК России) и с Федеральным казначейством;

-

-

X

-

X

-

значимый

6

1

4

неукомплектованность сотрудниками специализированного структурного подразделения;

-

X

-

X

-

-

средний

6

1

5

неукомплектованность специализированного структурного подразделения средствами защиты информации и средствами контроля эффективности защиты информации (техническими, программными);

-

-

X

X

-

-

значимый

6

1

6

отсутствие постоянно действующей технической комиссии по защите государственной тайны (приказа о ее создании, утвержденного Положения, планов работы, протоколов заседаний, отметок о выполненных мероприятиях) <8>;

-

-

X

-

X

-

значимый

6

1

7

неосуществление или некачественное осуществление планирования мероприятий по обеспечению безопасности информации (отсутствие планов работы, отметок о выполненных мероприятиях).

-

-

X

-

X

-

значимый

2.

Осуществление организации безопасности связи:

6

2

1

несоблюдение требований Указа Президента Российской Федерации от 17 марта 2008 г. N 351 "О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена";

-

-

X

X

-

-

значимый

6

2

2

несоблюдение требований по организации защищенного документооборота между МУ ФК и территориально удаленными отделами МУ ФК, сторонними организациями.

-

-

X

X

-

-

значимый

3.

Осуществление функций органа криптографической защиты информации:

6

3

1

отсутствие лицензии на осуществление деятельности по выполнению работ с шифровальными (криптографическими) средствами защиты информации, не содержащей сведений, составляющих государственную тайну <9>;

-

-

X

-

X

-

значимый

6

3

2

отсутствие поэкземплярного учета используемых средств криптографической защиты информации (далее - СКЗИ), эксплуатационной и технической документации к ним, ключевых документов (носителей);

-

X

-

-

X

-

значимый

6

3

3

отсутствие заключений о возможности эксплуатации СКЗИ;

-

-

X

-

X

-

значимый

6

3

4

отсутствие обучения пользователей СКЗИ, учета пользователей СКЗИ (отсутствие утвержденного перечня пользователей СКЗИ, журнала учета пользователей СКЗИ, лицевых счетов пользователей СКЗИ);

-

X

-

-

X

-

значимый

6

3

5

несоответствие спецпомещений органа криптографической защиты информации требованиям нормативных правовых актов Российской Федерации <10>.

-

X

-

-

X

-

значимый

4.

Осуществление контроля состояния защиты информации:

6

4

1

отсутствие планирования контрольных мероприятий, осуществляемых специализированным структурным подразделением, в рамках внутреннего контроля и отчетности по ним;

-

X

-

-

X

-

значимый

6

4

2

отсутствие контроля защищенности объектов информатизации (актов проверок, протоколов, отметок в техническом паспорте) <11>;

-

X

-

-

X

-

значимый

6

4

3

неустранение замечаний, выявленных в ходе проверок ФСБ России, ФСТЭК России, Роскомнадзором и Федеральным казначейством.

-

-

X

-

-

X

значимый

5.

Осуществление функций аккредитованного удостоверяющего центра <12>:

6

5

1

отсутствие документов и сведений, представленных заявителями для создания, смены, прекращения действия сертификатов;

-

-

X

-

X

-

значимый

6

5

2

неознакомление владельцев сертификатов с содержанием сертификатов под роспись;

X

-

-

-

X

-

средний

6

5

3

несоответствие АРМ, используемого для создания ключей электронных подписей, установленным требованиям;

-

-

X

-

X

-

значимый

6

5

4

невыполнение сотрудниками МУ ФК требований по обеспечению конфиденциальности ключей электронных подписей;

-

-

X

X

-

-

значимый

6

5

5

непрекращение действия сертификатов уволенных сотрудников МУ ФК;

-

-

X

-

X

-

значимый

6

5

6

неактуальность информации, размещаемой в подразделе "Удостоверяющий центр" на официальном сайте МУ ФК (памятки, инструкции, лицензии и сертификаты).

X

-

-

X

-

-

низкий

6.

Осуществление организации пропускного режима <13>:

6

6

1

отсутствие соответствующей утвержденной инструкции;

-

-

X

X

-

-

значимый

6

6

2

необеспеченность техническими средствами охраны.

-

X

-

X

-

-

средний

7.

Другие операции, действия (в том числе по формированию документов), осуществляемые МУ ФК по направлению деятельности VI "Обеспечение режима секретности и безопасности информации" Классификатора рисков:

6

7

1

другие риски, возникающие в работе МУ ФК при осуществлении операций, действий (в том числе по формированию документов) по направлению деятельности VI "Обеспечение режима секретности и безопасности информации" Классификатора рисков.

X

-

-

X

-

-

низкий