Опросный лист, предназначенный для сбора информации о предприятии и проведения анализа и оценки рисков в консалтинговой компании
|
РАЗДЕЛ |
1. ОБЩИЕ ВОПРОСЫ |
||
|
Вопрос |
1. Имеются ли в Вашей организации нормативные документы по информационной безопасности (федеральные законы, постановления Правительства РФ, руководящие документы)? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
2. Имеются ли в Вашей организации информационные системы общего пользования, подключенные к информационно-телекоммуникационным сетям, доступ к которым не ограничен определенным кругом лиц? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1,5 |
||
|
Вопрос |
3. Имеются ли в Вашей организации информационные системы, осуществляющие межведомственное взаимодействие? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
4. Проведена ли в ИС классификация хранящихся и обрабатываемых сведений? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
5. Проведено ли разграничение доступа в ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
6. Компьютеры, на которых обрабатываются конфиденциальные данные, находятся в локальной сети организации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
7. Имеется ли выход в сеть Интернет для компьютеров, на которых обрабатываются конфиденциальные данные, либо для всех компьютеров? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
8. Обрабатываются ли в Ваших информационных системах персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
9. Обрабатываются ли в Ваших информационных системах персональные данные, касающиеся состояния здоровья? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
10. Содержат ли персональные данные, которые не касаются сотрудников Вашей организации, паспортные данные и другую информацию (например, серия и номер паспорта, адрес)? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
11. Используется ли в Вашей организации антивирусная защита? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
12. Используется ли криптографическая защита информации (шифрование, электронно-цифровая подпись)? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
13. Осуществляется передача конфиденциальных данных по открытым каналам связи (Интернет)? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
14. Используются ли программно-аппаратные средства защиты информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1 |
||
|
РАЗДЕЛ |
2. СТРУКТУРНЫЕ ПОДРАЗДЕЛЕНИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ |
||
|
Вопрос |
1. Есть ли в структуре Вашей организации подразделение информационной безопасности, либо назначено ответственное лицо за режим информационной безопасности? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Утверждение |
2. Наличие структурных подразделений по защите информации |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
3. Наличие штатных специалистов по защите информации |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Наличие нештатных специалистов по защите информации |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
3. ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫЕ ДОКУМЕНТЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ |
||
|
Вопрос |
1. Существует ли документ, подтверждающий наличие в организации подразделения по технической защите информации или специально назначенного должностного лица, ответственного за осуществление мероприятий по технической защите информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
2. Определены ли цели построения системы защиты информации ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1 |
||
|
Вопрос |
3. Определен ли перечень защищаемых сведений в ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
4. Определена ли ответственность субъектов информационных отношений за обеспечение защиты информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2 |
||
|
Вопрос |
5. Определены ли права и порядок доступа к защищаемой информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
6. Определены ли правила доступа к сетям общего пользования, в том числе глобальной сети Интернет? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
7. Определен ли порядок работы с электронной почтой и другими системами обмена, передачи сообщений? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
8. Определен ли порядок применения технических средств защиты и обработки информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
9. Определены ли организационные мероприятия по разграничению доступа к техническим средствам защиты и обработки информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
10. Определен ли порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств, и ликвидации их последствий? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
11. Разработана ли инструкция, регламентирующая порядок доступа к ресурсам ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
12. Разработана ли инструкция, регламентирующая порядок установления подлинности субъектов? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
13. Разработана ли инструкция, регламентирующая порядок аудита безопасности? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
14. Разработана ли инструкция, регламентирующая порядок резервирования и уничтожения информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
15. Разработана ли инструкция, регламентирующая порядок контроля целостности защищаемых сведений? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1,5 |
||
|
Вопрос |
16. Разработана ли инструкция регламентирующая порядок защиты от вредоносного программного обеспечения и вторжений? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1,5 |
||
|
Вопрос |
17. Имеется ли в Вашей организации эксплуатационная документация на информационную систему и СЗИ для пользователей и администратора, в том числе антивирусной защиты: инструкция по установке и настройке администратору и пользователю? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1 |
||
|
Вопрос |
18. Разработана ли в Вашей организации инструкция по организации парольной защиты? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
19. Имеется ли в Вашей организации акт установки и настройки средств защиты информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
20. Существуют ли документы, устанавливающие отнесение ИС к классу типовых объектов информатизации согласно СТБ 34.101.30-2007? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
21. Существует ли в Вашей организации заключение о возможности эксплуатации средств защиты информации и проверке их готовности? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
РАЗДЕЛ |
4. НОРМАТИВНЫЕ И ОРГАНИЗАЦИОННОРАСПОРЯДИТЕЛЬНЫЕ ДОКУМЕНТЫ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ |
||
|
Вопрос |
1. Имеется ли в Вашей организации документ о запрете обработки информации ограниченного доступа на объектах информатизации, не аттестованных по требованиям обеспечения безопасности информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
2. Имеется ли в Вашей организации документ об утверждении Положения о порядке организации и проведения работ по защите конфиденциальной информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
3. Разработан ли в Вашей организации Перечень сведений конфиденциального характера? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
4. Существует ли в Вашей организации документ о назначении ответственного за техническую защиту информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1 |
||
|
Вопрос |
5. Имеется ли в Вашей организации Аттестат соответствия по требованиям обеспечения безопасности конфиденциальной информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
5. ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ |
||
|
Утверждение |
1. Существует понимание общих принципов, однако политика не в полной мере соответствует требованиям российского законодательства и не документирована |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Утверждение |
2. Политика удовлетворяет требованиям законодательства; существуют письменные инструкции, но не определены специфические для Вашего предприятия требования и сферы ответственности |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Утверждение |
3. Политика и сферы ответственности определены и документированы, специфические требования разработаны и доведены до сведения всего персонала. Политика соответствует требованиям российского законодательства |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Политика в данной области является частью интегрированной системы управления, охватывающей все основные области деятельности. Политика соответствует не только требованиям российского законодательства, но и международным стандартам. Деятельность предприятия регулярно проверяется на соответствие политике в данной области |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
6. УПРАВЛЕНИЕ РИСКАМИ И ОПАСНЫМИ ФАКТОРАМИ |
||
|
Вопрос |
1. Ведется ли в Вашей организации деятельность по выявлению и снижению рисков и опасных факторов? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
2. Деятельность по выявлению, документированию рисков и опасных факторов ведется от случая к случаю, как правило, после возникновения аварийных ситуаций и инцидентов на предприятии? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
3. Проводятся ли в Вашей организации регулярные мероприятия по выявлению, документированию, оценке и снижению рисков (опасных факторов)? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
4. Сформирован ли план мероприятий по снижению рисков в соответствии с российскими и международными стандартами? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
5. Процесс управления рисками затрагивает значительное количество факторов и объектов и интегрирован в общую систему управления предприятия? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
6. Является ли процесс управления рисками постоянным и контролируемым? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
7. ПЛАНИРОВАНИЕ |
||
|
Утверждение |
1. На регулярной основе мероприятия не планируются, планы возникают по факту обнаружения существенных нарушений или по запросам сотрудников |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Утверждение |
2. Планирование мероприятий проводится ежегодно, в рамках общих процедур планирования деятельности предприятия, есть ответственный за эту деятельность |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Утверждение |
3. Планирование мероприятий проводится ежегодно с учетом стратегических целей предприятия. Планы корректируются на основании обратной связи с заинтересованными лицами |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Существуют стратегические цели предприятия по данному направлению, а также планы по их достижению. Планирование мероприятий проводится ежегодно, планы корректируются на основании обратной связи с заинтересованными лицами. Процесс планирования автоматизирован |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
8. ВЫПОЛНЕНИЕ |
||
|
Вопрос |
1. Мероприятия в Вашей организации осуществляются от случая к случаю? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Утверждение |
2. Мероприятия проводятся в соответствии с планом, однако не связаны со стратегическими целями предприятия. Деятельность соответствует российскому законодательству |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Утверждение |
3. Ведется планомерная работа по реализации мероприятий, которые связаны с достижением стратегических целей предприятия. Результаты и принятые меры фиксируются. Персонал информируется обо всех проводимых мероприятиях. Деятельность соответствует российским стандартам |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Ведется планомерная работа по реализации мероприятий, фиксируются их результаты и принятые меры. Проводимые мероприятия направлены на достижение стратегических целей предприятия. По результатам проведения специалисты получают обратную связь от участников, на основе которой проводятся корректировки. Деятельность соответствует российским и международным стандартам |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
9. АУДИТ |
||
|
Утверждение |
1. Все проверки осуществляются в рамках действующего законодательства. Никакого дополнительного аудита на предприятии в этой области не проводится |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Утверждение |
2. Аудит проводится от случая к случаю, без плана и регистрации результатов, однако меры в случае выявления нарушений принимаются |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
1 |
||
|
Утверждение |
3. Аудит проводится систематически в соответствии с планом, производится детальное документирование результатов и реализация полученных рекомендаций |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Система аудита и мероприятия по контролю регламентированы, прописаны в должностных инструкциях. Планы реализуются и пересматриваются в целях совершенствования. Проводится информирование персонала о результатах аудита и принятых мерах |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
10. ОБРАТНАЯ СВЯЗЬ И КОРРЕКТИРОВКА |
||
|
Утверждение |
1. Деятельность по установлению обратной связи, анализу результатов мероприятий и проверок не ведется. Вносятся минимальные изменения в документы и регламенты в соответствии с новыми требованиями законодательства |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Утверждение |
2. Проводится анализ результатов проведенных проверок и мероприятий. На основе этого вносятся отдельные изменения в документы и регламенты с учетом новых требований законодательства. Работа по установлению обратной связи с заинтересованными лицами не ведется |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
3. Ведется работа по установлению обратной связи с заинтересованными лицами, анализу результатов мероприятий и проверок. Корректировки (политики, регламентов и пр.) производятся ежегодно, при этом учитывается мнение персонала, а также других заинтересованных лиц |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Ведется регулярная работа по получению обратной связи от заинтересованных лиц, анализу результатов мероприятий, а также принятых мер по результатам проведенных проверок. Запросы на изменения фиксируются в информационной системе и анализируются. Проводится планомерная работа по корректировке целей предприятия, политики, бизнес-процессов и регламентов в данной области с учетом изменения законодательства |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
11. СБОР ДАННЫХ И АВТОМАТИЗАЦИЯ |
||
|
Утверждение |
1. На предприятии существует неописанное множество источников происхождения данных. Документы хранятся только в бумажном виде. Недостаток актуальной информации, в том числе для принятия решений |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Утверждение |
2. Есть система сбора данных и информации, которые хранятся в электронном виде, но не интегрированы в единую систему |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Утверждение |
3. Данные и информация хранятся в электронном виде, автоматизировано планирование и сбор отчетов |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Утверждение |
4. Процесс автоматизирован и интегрирован в общую информационную систему, которая предоставляет оперативные данные, отчеты и информацию для принятия решений |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
12. ИНФОРМИРОВАНИЕ |
||
|
Утверждение |
1. Информирование проводится нерегулярно. Информация предоставляется, как правило, по запросу |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Утверждение |
2. Проводятся отдельные мероприятия по информированию заинтересованных лиц, но нерегулярно, предоставляемая информация неполная. Нет единой политики по предоставлению информации заинтересованным лицам, не определен центр ответственности за проведение мероприятий |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
3. Существует политика и четкий план проведения мероприятий по информированию по каждой группе заинтересованных лиц. Информация доступна, структурирована, содержит стандартные показатели. Определен центр ответственности за предоставление информации |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Существует политика и четкий план проведения мероприятий по информированию по каждой группе заинтересованных лиц. Отчет и информация открыты и публикуются, в том числе на официальном сайте предприятия. Есть план оповещения населения о чрезвычайных ситуациях. Определен единый центр ответственности и принятия решений |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
13. ОРГАНИЗАЦИОННАЯ СТРУКТУРА ИС |
||
|
Вопрос |
1. Определена ли организационная структура ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
2. Определен ли состав комплекса технических средств, на которых обрабатывается защищаемая информация? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
3. Определена ли структура используемого программного обеспечения, предназначенного для обработки защищаемой информации в ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
4. Определены ли используемые протоколы обмена информацией в ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
5. Разработана ли общая функциональная схема ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
6. Разработана ли схема информационных потоков ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
7. Определены ли режимы обработки защищаемой информации в ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
8. Определены ли наличие и характер взаимодействия ИС с другими объектами? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
9. Определены ли состав и структура системы защиты информации ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
10. Проведены ли приемочные испытания системы защиты информации? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
11. Обеспечивается ли физическая защита помещений, где обрабатывается защищаемая информация и хранятся информационные носители? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
РАЗДЕЛ |
14 ЗАДАНИЕ ПО БЕЗОПАСНОСТИ НА ИС |
||
|
Вопрос |
1. Разработано ли задание по безопасности на ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
2. Проведена ли оценка задания по безопасности в установленном порядке в аккредитованной испытательной организации (организация, аккредитованная для проведения испытаний систем защиты информации в области защиты информации)? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
3. Реализованы ли требования задания по безопасности в информационной системе? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
4. Проходила ли система защиты информации ИС аттестацию в соответствии с «Положением о порядке аттестации систем защиты информации»? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
5. Имеется ли в Вашей организации аттестат соответствия на систему защиты информации ИС? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
6. Была ли введена ИС в эксплуатацию? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
РАЗДЕЛ |
15. ПЛАНИРОВАНИЕ ОРГАНИЗАЦИОННОТЕХНИЧЕСКИХ МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ |
||
|
Вопрос |
1. Имеется ли в Вашей организации план организационно-технических мероприятий по защите информации за текущий год? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
2. Имеется ли в Вашей организации план организационно-технических мероприятий по защите информации за прошедший год? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
16. ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫЕ ДОКУМЕНТЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ В КЛЮЧЕВЫХ СИСТЕМАХ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ |
||
|
Вопрос |
1. Имеется ли в Вашей организации документ о назначении ответственного за безопасность информации в ключевых системах информационной инфраструктуры? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
2. Существует ли определение принадлежности ключевой системы информационной инфраструктуры к одному из установленных уровней важности? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Утверждение |
3. Оценка последствий нарушений безопасности в ключевой системе информационной инфраструктуры |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Утверждение |
4. Анализ и выявление актуальных угроз безопасности информации |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Утверждение |
5. Обоснование требований по обеспечению безопасности информации в ключевой системе информационной инфраструктуры |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
6. Разработана ли в Вашей организации Концепция обеспечения безопасности информации в ключевой системе информационной инфраструктуры? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
7. Существует ли план мероприятий по обеспечению безопасности информации в ключевой системе информационной инфраструктуры? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
8. Существует ли порядок привлечения подразделений организаций к разработке и развертыванию системы обеспечения безопасности информации или ее элементов? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
9. Разработан ли в Вашей организации порядок тестирования функций систем защиты информации от несанкционированного доступа при изменении программной среды и персонала автоматизированной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
10. Имеются ли средства восстановления системы защиты информации от несанкционированного доступа, предусматривающих ведение двух копий программных средств системы защиты информации от несанкционированного доступа и их периодическое обновление и контроль работоспособности? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
11. Существует ли в Вашей организации порядок обеспечения целостности программных средств системы защиты информации от НСД, а также неизменности программной среды? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
12. Имеется ли в Вашей организации журнал проверки целостности системы защиты информации от несанкционированного доступа при загрузке системы по контрольным суммам? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
РАЗДЕЛ |
17. МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ |
||
|
Вопрос |
1. Используются ли в Вашей организации на границах сети межсетевые экраны или другие элементы управления доступом на сетевом уровне для защиты данных? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2 |
||
|
Вопрос |
2. Проводит ли Ваша организация обучение в области безопасности сотрудников? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2 |
||
|
Вопрос |
3. Существуют ли средства контроля применения политик паролей? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
4. Регулярно ли тестируются средства защиты конфиденциальной информации на предприятии? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0,5 |
||
|
Вопрос |
5. Ведутся ли журналы в среде для записи событий на компьютерах и устройствах? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
6. Регулярно ли резервируются важные и критические данные? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
7. Используется ли в Вашей компании программное обеспечение самых ранних версий (которое уже не поддерживается поставщиком)? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2,5 |
||
|
Вопрос |
8. Приобретает ли Ваша организации ПО у надежных поставщиков или источников? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
3 |
||
|
Вопрос |
9. Используется ли технология VPN для безопасного подключения пользователей к корпоративным ресурсам? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
10. Проводится ли многофакторная проверка подлинности для удаленных пользователей? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
11. Используется ли сегментация сети? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
0 |
||
|
Вопрос |
12. Существует ли официальная политика в отношении служащих, покидающих компанию? |
||
|
Варианты ответа и вес |
Да 1 |
Нет 0 |
Не знаю 0,5 |
|
Итог по результатам опроса |
2 |
||
|
Итого |
119,5 |
||
Примечание: в приведенном примере «Итог по результатам опроса» сформирован на основании мнений трех специалистов.
