Оценка соответствия Приказу ФСТЭК России № 21 (УЗ-3)

Добро пожаловать в опрос: Оценка соответствия требованиям Приказа ФСТЭК России от 18 февраля 2013 г. № 21 (УЗ-3)

Здесь Вы сможете оценить выполнение Вашей организацией — оператором персональных данных базового набора требований Приказа ФСТЭК России № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” установленных для третьего уровня защищенности персональных данных (УЗ-3). Для этого Вам предстоит пройти опрос и ответить на 51 вопросов.

Про результатам прохождения данного опроса Вам на электронную почту будет направлен подробный отчет, содержащий требования, которые необходимо выполнить для того, чтобы обеспечить соответствие Вашей организации федеральному законодательству в области персональных данных. Данный отчет также будет выведен на экран.

Перед прохождением опроса, укажите, пожалуйста, свои данные для оформления сертификата соответствия и адрес электронной почты для направления Вам результатов.

Имя

Email

Телефон

Организация

1.

В вашей организации безопасность ПДн при их обработке в ИСПДн обеспечивает оператор, либо лицо, осуществляющее обработку ПДн по поручению оператора, либо для выполнения работ по обеспечению безопасности ПДн привлекается на договорной основе юридическое лицо или индивидуальный предприниматель, имещий лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации?

да нет

2.

В вашей организации меры по обеспечению безопасности ПДн реализуются в рамках системы защиты ПДн, создаваемой в соответствии с Требованиями к защите ПДн при их обработке в ИСПДн, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. № 1119 и направлены на нейтрализацию актуальных угроз безопасности ПДн??

да нет

3.

В вашей организации меры по обеспечению безопасности ПДн реализуются в т.ч. посредством применения в ИС средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн?

да нет

4.

Проводится ли в вашей организации оценка эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн не реже одного раза в 3 года?

да нет

5.

Ваша организация определила базовый набор мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с Приложением к Приказу ФСТЭК от 18 февраля 2013 г. № 21?

да нет

6.

Ваша организация выполнила адаптацию базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик ИС, ИТ, особенностей функционирования ИС (в т.ч. исключение из базового набора мер, непосредственно связанных с ИТ, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС)?

да нет

7.

Ваша организация выполнила уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к Приказу ФСТЭК № 21, в результате чего определяются меры по обеспечению безопасности ПДн, направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной ИС?

да нет

8.

Ваша организация выполнила дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации?

да нет

9.

Ваша организация при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер разработала иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн, а также соответствующее обоснование применения компенсирующих мер для обеспечения безопасности ПДн?

да нет

10.

В вашей организации при использовании в ИС сертифицированных по требованиям безопасности информации средств защиты информации применяются средства защиты информации не ниже 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 5 класса?

да нет

11.

(ИАФ.1) В вашей организации реализованы меры по идентификации и аутентификации пользователей, являющихся работниками оператора?

да нет

12.

(ИАФ.3) В вашей организации реализованы меры по управлению идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов?

да нет

13.

(ИАФ.4) В вашей организации реализованы меры по управлению средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации?

да нет

14.

(ИАФ.5) В вашей организации реализованы меры по защите обратной связи при вводе аутентификационной информации?

да нет

15.

(ИАФ.6) В вашей организации реализованы меры по идентификации и аутентификации пользователей, не являющихся работниками оператора (внешних пользователей)?

да нет

16.

(УПД.1) В вашей организации реализованы меры по управлению (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей?

да нет

17.

(УПД.2) В вашей организации реализованы необходимые методы (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа?

да нет

18.

(УПД.3) В вашей организации реализовано управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами ИС, а также между ИС?

да нет

19.

(УПД.4) В вашей организации реализовано разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС?

да нет

20.

(УПД.5) В вашей организации реализовано назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИС?

да нет

21.

(УПД.6) В вашей организации реализовано ограничение неуспешных попыток входа в ИС (доступа к ИС)?

да нет

22.

(УПД.10) В вашей организации реализовано блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу?

да нет

23.

(УПД.11) В вашей организации реализовано разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации?

да нет

24.

(УПД.13) В вашей организации реализован защищенный удаленный доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети?

да нет

25.

(УПД.14) В вашей организации реализованы регламентация и контроль использования в информационной системе технологий беспроводного доступа?

да нет

26.

(УПД.15) В вашей организации реализованы Регламентация и контроль использования в информационной системе мобильных технических средств?

да нет

27.

(УПД.16) В вашей организации реализовано управление взаимодействием с ИС сторонних организаций (внешние ИС)?

да нет

28.

(ЗНИ.8) В вашей организации реализовано уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания?

да нет

29.

(РСБ.1) В вашей организации определены события безопасности, подлежащие регистрации, и сроки их хранения?

да нет

30.

(РСБ.2) В вашей организации определены состав и содержание информации о событиях безопасности, подлежащих регистрации?

да нет

31.

(РСБ.3) В вашей организации осуществляется сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения?

да нет

32.

(РСБ.7) В вашей организации реализована защита информации о событиях безопасности?

да нет

33.

(АВЗ.1) В вашей организации реализована антивирусная защита?

да нет

34.

(АВЗ.2) В вашей организации реализовано обновление базы данных признаков вредоносных компьютерных программ (вирусов)?

да нет

35.

(АНЗ.1) В вашей организации осуществляется выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей?

да нет

36.

(АНЗ.2) В вашей организации осуществляется контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации?

да нет

37.

(АНЗ.3) В вашей организации осуществляется контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации?

да нет

38.

(АНЗ.4) В вашей организации осуществляется контроль состава технических средств, программного обеспечения и средств защиты информации?

да нет

39.

(ЗСВ.1) В вашей организации реализована идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации?

да нет

40.

(ЗСВ.2) В вашей организации реализовано управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин?

да нет

41.

(ЗСВ.3) В вашей организации осуществляется регистрация событий безопасности в виртуальной инфраструктуре?

да нет

42.

(ЗСВ.9) В вашей организации осуществляется реализация и управление антивирусной защитой в виртуальной инфраструктуре?

да нет

43.

(ЗСВ.10) В вашей организации реализовано разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей?

да нет

44.

(ЗТС.3) В вашей организации осуществляется контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к ним?

да нет

45.

(ЗТС.4) В вашей организации осуществляется размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр?

да нет

46.

(ЗИС.3) В вашей организации обеспечивается защита персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи?

да нет

47.

(ЗИС.20) В вашей организации обеспечивается защита беспроводных соединений, применяемых в информационной системе?

да нет

48.

(УКФ.1) В вашей организации определены лица, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных?

да нет

49.

(УКФ.2) В вашей организации реализовано управление изменениями конфигурации информационной системы и системы защиты персональных данных?

да нет

50.

(УКФ.3) В вашей организации осуществляется анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных?

да нет

51.

(УКФ.4) В вашей организации осуществляется документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных?

да нет

Здесь Вы можете оставить свои комментарии.

Спасибо за прохождение опроса по Оценка соответствия требованиям Приказа ФСТЭК России от 18 февраля 2013 г. № 21 (УЗ-3)!