Оценка соответствия Приказу ФСТЭК России № 21 (УЗ-3)

Добро пожаловать в опрос: Оценка соответствия требованиям Приказа ФСТЭК России от 18 февраля 2013 г. № 21 (УЗ-3)

Здесь Вы сможете оценить выполнение Вашей организацией — оператором персональных данных базового набора требований Приказа ФСТЭК России № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” установленных для третьего уровня защищенности персональных данных (УЗ-3). Для этого Вам предстоит пройти опрос и ответить на 51 вопросов.

Про результатам прохождения данного опроса Вам на электронную почту будет направлен подробный отчет, содержащий требования, которые необходимо выполнить для того, чтобы обеспечить соответствие Вашей организации федеральному законодательству в области персональных данных. Данный отчет также будет выведен на экран.

Перед прохождением опроса, укажите, пожалуйста, свои данные для оформления сертификата соответствия и адрес электронной почты для направления Вам результатов.

1. 
В вашей организации безопасность ПДн при их обработке в ИСПДн обеспечивает оператор, либо лицо, осуществляющее обработку ПДн по поручению оператора, либо для выполнения работ по обеспечению безопасности ПДн привлекается на договорной основе юридическое лицо или индивидуальный предприниматель, имещий лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации?

2. 
В вашей организации меры по обеспечению безопасности ПДн реализуются в рамках системы защиты ПДн, создаваемой в соответствии с Требованиями к защите ПДн при их обработке в ИСПДн, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. № 1119 и направлены на нейтрализацию актуальных угроз безопасности ПДн??

3. 
В вашей организации меры по обеспечению безопасности ПДн реализуются в т.ч. посредством применения в ИС средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн?

4. 
Проводится ли в вашей организации оценка эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн не реже одного раза в 3 года?

5. 
Ваша организация определила базовый набор мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с Приложением к Приказу ФСТЭК от 18 февраля 2013 г. № 21?

6. 
Ваша организация выполнила адаптацию базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик ИС, ИТ, особенностей функционирования ИС (в т.ч. исключение из базового набора мер, непосредственно связанных с ИТ, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС)?

7. 
Ваша организация выполнила уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к Приказу ФСТЭК № 21, в результате чего определяются меры по обеспечению безопасности ПДн, направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной ИС?

8. 
Ваша организация выполнила дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации?

9. 
Ваша организация при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер разработала иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн, а также соответствующее обоснование применения компенсирующих мер для обеспечения безопасности ПДн?

10. 
В вашей организации при использовании в ИС сертифицированных по требованиям безопасности информации средств защиты информации применяются средства защиты информации не ниже 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 5 класса?

11. 
(ИАФ.1) В вашей организации реализованы меры по идентификации и аутентификации пользователей, являющихся работниками оператора?

12. 
(ИАФ.3) В вашей организации реализованы меры по управлению идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов?

13. 
(ИАФ.4) В вашей организации реализованы меры по управлению средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации?

14. 
(ИАФ.5) В вашей организации реализованы меры по защите обратной связи при вводе аутентификационной информации?

15. 
(ИАФ.6) В вашей организации реализованы меры по идентификации и аутентификации пользователей, не являющихся работниками оператора (внешних пользователей)?

16. 
(УПД.1) В вашей организации реализованы меры по управлению (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей?

17. 
(УПД.2) В вашей организации реализованы необходимые методы (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа?

18. 
(УПД.3) В вашей организации реализовано управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами ИС, а также между ИС?

19. 
(УПД.4) В вашей организации реализовано разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС?

20. 
(УПД.5) В вашей организации реализовано назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИС?

21. 
(УПД.6) В вашей организации реализовано ограничение неуспешных попыток входа в ИС (доступа к ИС)?

22. 
(УПД.10) В вашей организации реализовано блокирование сеанса доступа в информационную систему после установленного времени бездействия (неактивности) пользователя или по его запросу?

23. 
(УПД.11) В вашей организации реализовано разрешение (запрет) действий пользователей, разрешенных до идентификации и аутентификации?

24. 
(УПД.13) В вашей организации реализован защищенный удаленный доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети?

25. 
(УПД.14) В вашей организации реализованы регламентация и контроль использования в информационной системе технологий беспроводного доступа?

26. 
(УПД.15) В вашей организации реализованы Регламентация и контроль использования в информационной системе мобильных технических средств?

27. 
(УПД.16) В вашей организации реализовано управление взаимодействием с ИС сторонних организаций (внешние ИС)?

28. 
(ЗНИ.8) В вашей организации реализовано уничтожение (стирание) или обезличивание персональных данных на машинных носителях при их передаче между пользователями, в сторонние организации для ремонта или утилизации, а также контроль уничтожения (стирания) или обезличивания?

29. 
(РСБ.1) В вашей организации определены события безопасности, подлежащие регистрации, и сроки их хранения?

30. 
(РСБ.2) В вашей организации определены состав и содержание информации о событиях безопасности, подлежащих регистрации?

31. 
(РСБ.3) В вашей организации осуществляется сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения?

32. 
(РСБ.7) В вашей организации реализована защита информации о событиях безопасности?

33. 
(АВЗ.1) В вашей организации реализована антивирусная защита?

34. 
(АВЗ.2) В вашей организации реализовано обновление базы данных признаков вредоносных компьютерных программ (вирусов)?

35. 
(АНЗ.1) В вашей организации осуществляется выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей?

36. 
(АНЗ.2) В вашей организации осуществляется контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации?

37. 
(АНЗ.3) В вашей организации осуществляется контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации?

38. 
(АНЗ.4) В вашей организации осуществляется контроль состава технических средств, программного обеспечения и средств защиты информации?

39. 
(ЗСВ.1) В вашей организации реализована идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации?

40. 
(ЗСВ.2) В вашей организации реализовано управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин?

41. 
(ЗСВ.3) В вашей организации осуществляется регистрация событий безопасности в виртуальной инфраструктуре?

42. 
(ЗСВ.9) В вашей организации осуществляется реализация и управление антивирусной защитой в виртуальной инфраструктуре?

43. 
(ЗСВ.10) В вашей организации реализовано разбиение виртуальной инфраструктуры на сегменты (сегментирование виртуальной инфраструктуры) для обработки персональных данных отдельным пользователем и (или) группой пользователей?

44. 
(ЗТС.3) В вашей организации осуществляется контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к ним?

45. 
(ЗТС.4) В вашей организации осуществляется размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр?

46. 
(ЗИС.3) В вашей организации обеспечивается защита персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи?

47. 
(ЗИС.20) В вашей организации обеспечивается защита беспроводных соединений, применяемых в информационной системе?

48. 
(УКФ.1) В вашей организации определены лица, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты персональных данных?

49. 
(УКФ.2) В вашей организации реализовано управление изменениями конфигурации информационной системы и системы защиты персональных данных?

50. 
(УКФ.3) В вашей организации осуществляется анализ потенциального воздействия планируемых изменений в конфигурации информационной системы и системы защиты персональных данных на обеспечение защиты персональных данных и согласование изменений в конфигурации информационной системы с должностным лицом (работником), ответственным за обеспечение безопасности персональных данных?

51. 
(УКФ.4) В вашей организации осуществляется документирование информации (данных) об изменениях в конфигурации информационной системы и системы защиты персональных данных?

Спасибо за прохождение опроса по Оценка соответствия требованиям Приказа ФСТЭК России от 18 февраля 2013 г. № 21 (УЗ-3)!