IV. Сбор и анализ исходных данных, необходимых для оценки показателя защищенности
19. Исходными данными, необходимыми для оценки показателя защищенности КЗИ (далее - исходные данные), могут являться:
а) акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации (обеспечения безопасности объектов КИИ);
б) отчеты, протоколы, иные документы, составленные по результатам внутреннего контроля уровня защищенности информации (обеспечения безопасности объектов КИИ);
в) отчеты, составленные по результатам внешней оценки соответствия в области защиты информации (обеспечения безопасности объектов КИИ);
г) внутренние организационно-распорядительные документы, регламентирующие организацию защиты информации (обеспечение безопасности объектов КИИ) в органе (организации);
д) эксплуатационная документация на средства защиты информации, содержащая сведения об их настройках и конфигурации;
е) результаты проведения инвентаризации информационных систем;
ж) результаты опроса (интервьюирования) работников органа (организации) о выполнении ими функций (задач) с использованием информационных систем и (или) по обеспечению информационной безопасности;
з) результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств информационных систем органа (организации);
и) результаты работы инструментальных средств оценки (анализа) защищенности информационных систем и (или) мониторинга информационной безопасности.
20. Для сбора и анализа исходных данных назначаются наиболее подготовленные специалисты из состава структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации) (далее - специалисты по сбору и анализу исходных данных). Рекомендуется назначать специалистов, обладающих следующими компетенциями:
а) знание целей, задач, основ организации защиты информации (обеспечения безопасности объектов КИИ);
б) знание состава и содержания организационно-распорядительных документов по вопросам защиты информации (обеспечения безопасности объектов КИИ);
в) знание процессов организации защиты информации (обеспечения безопасности объектов КИИ) и умение их внедрять;
г) знание основных методов и способов защиты информации (обеспечения безопасности объектов КИИ) и умение их практически реализовывать.
По решению заместителя руководителя органа (организации), ответственного за обеспечение информационной безопасности, для сбора и анализа исходных данных могут привлекаться специалисты из других структурных подразделений, обладающие необходимыми компетенциями.
21. Специалисты по сбору и анализу исходных данных не должны проводить оценку материалов, характеризующих (демонстрирующих, подтверждающих) результаты реализации ими собственных функций и (или) задач.
22. Порядок назначения специалистов по сбору и анализу исходных данных, сроков сбора и анализа исходных данных определяется органом (организацией) во внутренних регламентах с учетом положений настоящей Методики.
23. Специалисты по сбору и анализу исходных данных:
а) запрашивают в структурных подразделениях (филиалах, представительствах) органа (организации) требуемые для анализа документы и материалы;
б) проводят опросы (интервьюирование) работников органа (организации) о выполнении ими функций с использованием информационных систем и (или) по обеспечению информационной безопасности;
в) осуществляют анализ функционирования отдельных программных, программно-аппаратных средств в информационных системах, в том числе средств защиты информации, средств инвентаризации информационных систем, инструментальных средств оценки защищенности и (или) мониторинга информационной безопасности.
Подразделения и специалисты органа (организации), привлекаемые для сбора исходных данных, оказывают содействие и принимают исчерпывающие меры для предоставления документов и материалов, требуемых для анализа.
В случае непредставления структурным подразделением и привлекаемыми специалистами органа (организации) запрошенных для проведения оценки документов и материалов соответствующим частным показателям безопасности kji присваивается значение 0.
24. Результаты проведения опроса (интервьюирования) работников органа (организации) о составе и порядке реализации ими функций (задач) в информационных системах и (или) обеспечении информационной безопасности подлежат документированию в виде и в форме, определяемыми органом (организацией).
25. Собранные исходные данные подлежат анализу специалистами по сбору и анализу исходных данных с целью формирования выводов о реализации в органе (организации) мероприятий (процессов) по защите информации (обеспечению безопасности объектов КИИ), о достаточности принимаемых мер по защите информации (обеспечению безопасности объектов КИИ). По результатам анализа исходных данных специалисты формируют выводы о реализации мер, соответствующих частным показателям безопасности kji.
26. Полученные результаты анализа исходных данных, а также результаты расчета значений показателя защищенности КЗИ подлежат документированию в виде и по форме, определяемой органом (организацией), и направляются в ФСТЭК России в случае поступления запроса.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей