к Методике
|
Подтверждающие документы и материалы, на основании которых показателю присваивается значение из таблицы N 1 Методики |
|||
|
1. Утвержденный руководителем или иным уполномоченным лицом органа (организации) приказ (распоряжение) или иной организационно-распорядительный документ (далее - ОРД) о назначении одного из заместителей руководителя ответственным за организацию работ по информационной безопасности органа (организации). |
|||
|
2. Должностной регламент (инструкция) или иной документ, определяющий должностные обязанности (трудовые функции) по обеспечению информационной безопасности органа (организации) заместителя руководителя органа (организации), ответственного за организацию работ по информационной безопасности |
|||
|
Утвержденное руководителем или иным уполномоченным лицом органа (организации) положение (иной ОРД) о структурном подразделении по обеспечению информационной безопасности или о возложении обязанностей по обеспечению информационной безопасности органа (организации) на отдельных работников, содержащее обязанности (трудовые функции) по обеспечению информационной безопасности структурного подразделения или отдельных работников органа (организации) |
|||
|
Договор (контракт, выписка, техническое задание или иной документ), на основании которого привлекаемые подрядные организации (при их наличии) имеют доступ к информационным системам органа (организации), содержащий требования по реализации в инфраструктуре подрядчика мер по защите информации |
|||
|
1. Утвержденный руководителем или иным уполномоченным лицом органа (организации) ОРД, определяющий парольную политику органа (организации), содержащий требования к длине, периодичности смены и содержанию паролей учетных записей пользователей информационных систем (пароль должен содержать не менее 12 символов, буквы верхнего и нижнего регистра (А - Я, A - Z, а - я, a - z), специальные символы (!, ", N, %, *, /), в пароле не должно быть персонифицированной информации (имен, адресов, даты рождения, телефонов). |
|||
|
2. Снимок экрана, отображающий установленные на средстве реализации парольной политики настройки для паролей учетных записей пользователей информационных систем органа (организации), подтверждающий соответствие настроек паролей учетных записей пользователей информационных систем органа (организации) парольной политике. |
|||
|
3. Отчет, сформированный средством анализа защищенности или иным инструментальным средством, позволяющим выявить пароли, не соответствующие установленным требованиям (например, сетевой аудит паролей в Сканер-ВС, MaxPatrol VM, RedCheck). |
|||
|
В случае отсутствия технической возможности выполнения требований к паролям подтверждающим документом является перечень реализованных в информационной системе компенсирующих мер, и материалы, подтверждающие их реализацию <12> |
|||
|
1. Сведения о программном, программно-аппаратном средстве (снимок экрана панели управления средства), с использованием которого осуществляется многофакторная аутентификация привилегированных пользователей органа (организации). |
|||
|
2. Сведения о количестве привилегированных пользователей (которые осуществляют удаленное подключение) информационной системы органа (организации), а также о количестве привилегированных пользователей, в отношении которых реализована многофакторная аутентификация. |
|||
|
В случае отсутствия технической возможности использования второго фактора аутентификации подтверждающим документом является перечень реализованных компенсирующих мер и материалы, подтверждающие их реализацию <12> |
|||
|
1. Снимок экрана, отображающий установленные на средстве реализации парольной защиты (политики) настройки сброса пароля после первой аутентификации для используемых в информационной системе сервисных учетных записей и учетных записей разработчиков. |
|||
|
2. Отчет, сформированный средством анализа защищенности или иным инструментальным средством, позволяющим выявить установленные по умолчанию пароли учетных записей пользователей (например, сетевой аудит паролей в Сканер-ВС, MaxPatrol VM, RedCheck) |
|||
|
Утвержденный руководителем или иным уполномоченным лицом органа (организации) ОРД, содержащий требования о необходимости удаления (отключения) учетных записей работников органа (организации) и работников, привлекаемых на договорной основе, с которыми прекращены трудовые или иные отношения |
|||
|
1. Перечень интерфейсов (IP-адреса, доменные имена, физические интерфейсы (порты)), доступных из сети "Интернет". |
|||
|
2. Сведения о применяемых средствах межсетевого экранирования уровня L3/L4 и снимки экрана панели управления средств межсетевого экранирования, содержащие настройки правил доступа к сервисам (службам), доступным из сети "Интернет". |
|||
|
В случае отсутствия в информационной системе сервисов (служб), доступных из сети "Интернет" (отсутствие взаимодействия с сетью "Интернет"), подтверждающим документом являются сведения об их отсутствии <13> |
|||
|
1. Сведения о количестве устройств и перечень интерфейсов органа (организации), доступных из сети "Интернет". |
|||
|
2. Отчет, сформированный средством анализа защищенности, содержащий результаты сканирования устройств и интерфейсов, доступных из сети "Интернет", на наличие уязвимостей уровня "критический" (с датой сканирования не ранее 30 дней даты проведения оценки). |
|||
|
3. Перечень реализованных компенсирующих мер, в случае отсутствия технической возможности устранения уязвимостей уровня "критический", и материалы, подтверждающие их реализацию |
|||
|
1. Сведения о количестве пользовательских устройств и серверов органа (организации). |
|||
|
2. Отчет, сформированный средством анализа защищенности, содержащий результаты сканирования пользовательских устройств и серверов органа (организации) на наличие уязвимостей уровня "критический". |
|||
|
3. Перечень реализованных компенсирующих мер, в случае отсутствия технической возможности устранения уязвимостей уровня "критический", и материалы, подтверждающие их реализацию |
|||
|
1. Сведения, содержащие общее количество автоматизированных рабочих мест и количество автоматизированных рабочих мест, на которых осуществляется проверка почтовых вложений средствами антивирусной защиты. |
|||
|
2. Сведения о применяемых средствах антивирусной защиты (снимок экрана панели управления средством). |
|||
|
3. Отчет, сформированный средством антивирусной защиты, используемым для защиты электронной почты, содержащий сведения о количестве устройств, на которых функционируют средства антивирусной защиты, обеспечивающие проверку вложений в электронных письмах электронной почты на наличие вредоносного программного обеспечения. |
|||
|
В случае отсутствия электронной почты в информационных системах подтверждающим документом являются сведения о ее отсутствии <14> |
|||
|
1. Сведения, содержащие общее количество автоматизированных рабочих мест, функционирующих в органе (организации). |
|||
|
2. Снимок экрана страницы настройки средства централизованного управления антивирусной защиты информации, отображающий количество автоматизированных рабочих мест, которые находятся под его управлением. |
|||
|
3. Отчет, сформированный средством централизованного управления антивирусной защиты информации, содержащий: дату последнего обновлений средств антивирусной защиты на каждом объекте защиты (на автоматизированных рабочих местах, серверах, мобильных устройствах, подключенных к средству централизованного управления антивирусной защиты); дату последней проверки на автоматизированных рабочих местах, серверах, мобильных устройствах, подключенных к средству централизованного управления антивирусной защиты |
|||
|
Копия договора (выписки) с оператором связи (иной организацией), в который включены работы по очистке входящего из сети "Интернет" трафика на уровне L3/L4. |
|||
|
В случае самостоятельной блокировки органом (организацией) входящего сетевого трафика подтверждающим документом являются сведения о применяемых в органе (организации) методах и средствах защиты от атак типа "отказ в обслуживании". <15> |
|||
|
В случае отсутствия веб-сайтов, служб или иных сервисов, доступных из сети "Интернет" и подлежащих защите, подтверждающим документом являются сведения, предусмотренные для показателя k35 <15> |
|||
|
1. Сведения о количестве привилегированных учетных записей пользователей органа (организации), и перечень событий информационной безопасности, в отношении которых осуществляется сбор информации. |
|||
|
2. Снимок экрана с вкладки настроек системы (средства) мониторинга информационной безопасности, отображающий установленные настройки оповещения о неудачных попытках входа для всех привилегированных учетных записей. |
|||
|
3. Отчет, сформированный системой (средством) мониторинга информационной безопасности, содержащий сведения о зарегистрированных ранее событиях информационной безопасности |
|||
|
1. Перечень регистрируемых событий информационной безопасности и сведения о количестве автоматизированных рабочих мест, с которых осуществляется доступ в сеть "Интернет". |
|||
|
2. Снимок экрана с вкладки настроек системы (средства) мониторинга информационной безопасности, отображающий количество автоматизированных рабочих мест, с которых осуществляется централизованный сбор событий безопасности. |
|||
|
3. Отчет, сформированный системой (средством) мониторинга информационной безопасности, содержащий сведения о зарегистрированных ранее событиях информационной безопасности |
|||
|
Утвержденный руководителем или иным уполномоченным лицом органа (организации) ОРД, определяющий порядок реагирования на компьютерные инциденты <16> |
--------------------------------
<12> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.
<13> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.
<14> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.
<15> Форма представления подтверждающего документа определяется органом (организацией) самостоятельно.
<16> Представляется в ФСТЭК России при первичной оценке. В случае отсутствия указанного документа на момент проведения оценки и представления результатов оценки по показателю КЗИ в ФСТЭК России с нулевым значением по показателю k43, указанный документ должен быть представлен в ФСТЭК России при повторной оценке.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2026
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2026 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2026 год
- Частичная мобилизация: обзор новостей
- Постановление Правительства РФ N 1875