19. Исходными данными, необходимыми для оценки показателя защищенности КЗИ (далее — исходные данные), могут являться:
- акты, протоколы, иные документы, составленные по результатам государственного контроля в области защиты информации (обеспечения безопасности объектов КИИ);
- отчеты, протоколы, иные документы, составленные по результатам внутреннего контроля уровня защищенности информации (обеспечения безопасности объектов КИИ);
- отчеты, составленные по результатам внешней оценки соответствия в области защиты информации (обеспечения безопасности объектов КИИ);
- внутренние организационно-распорядительные документы, регламентирующие организацию защиты информации (обеспечение безопасности объектов КИИ) в органе (организации);
- эксплуатационная документация на средства защиты информации, содержащая сведения об их настройках и конфигурации;
- результаты проведения инвентаризации информационных систем;
- результаты опроса (интервьюирования) работников органа (организации) о выполнении ими функций (задач) с использованием информационных систем и (или) по обеспечению информационной безопасности;
- результаты анализа функционирования (применения) отдельных программных, программно-аппаратных средств информационных систем органа (организации);
- результаты работы инструментальных средств оценки (анализа) защищенности информационных систем и (или) мониторинга информационной безопасности.
20. Для сбора и анализа исходных данных назначаются наиболее подготовленные специалисты из состава структурного подразделения, осуществляющего функции по обеспечению информационной безопасности органа (организации) (далее — специалисты по сбору и анализу исходных данных). Рекомендуется назначать специалистов, обладающих следующими компетенциями:
- знание целей, задач, основ организации защиты информации (обеспечения безопасности объектов КИИ);
- знание состава и содержания организационно-распорядительных документов по вопросам защиты информации (обеспечения безопасности объектов КИИ);
- знание процессов организации защиты информации (обеспечения безопасности объектов КИИ) и умение их внедрять;
- знание основных методов и способов защиты информации (обеспечения безопасности объектов КИИ) и умение их практически реализовывать.
По решению заместителя руководителя органа (организации), ответственного за обеспечение информационной безопасности, для сбора и анализа исходных данных могут привлекаться специалисты из других структурных подразделений, обладающие необходимыми компетенциями.
21. Специалисты по сбору и анализу исходных данных не должны проводить оценку материалов, характеризующих (демонстрирующих, подтверждающих) результаты реализации ими собственных функций и (или) задач.
22. Порядок назначения специалистов по сбору и анализу исходных данных, сроков сбора и анализа исходных данных определяется органом (организацией) во внутренних регламентах с учетом положений настоящей Методики.
23. Специалисты по сбору и анализу исходных данных:
- запрашивают в структурных подразделениях (филиалах, представительствах) органа (организации) требуемые для анализа документы и материалы;
- проводят опросы (интервьюирование) работников органа (организации) о выполнении ими функций с использованием информационных систем и(или) по обеспечению информационной безопасности;
- осуществляют анализ функционирования отдельных программных, программно-аппаратных средств в информационных системах, в том числе средств защиты информации, средств инвентаризации информационных систем, инструментальных средств оценки защищенности и (или) мониторинга информационной безопасности.
Подразделения и специалисты органа (организации), привлекаемые для сбора исходных данных, оказывают содействие и принимают исчерпывающие меры для предоставления документов и материалов, требуемых для анализа.
В случае непредставления структурным подразделением и привлекаемыми специалистами органа (организации) запрошенных для проведения оценки документов и материалов соответствующим частным показателям безопасности kji присваивается значение 0.
24. Результаты проведения опроса (интервьюирования) работников органа (организации) о составе и порядке реализации ими функций (задач) в информационных системах и (или) обеспечении информационной безопасности подлежат документированию в виде и в форме, определяемыми органом (организацией).
25. Собранные исходные данные подлежат анализу специалистами по сбору и анализу исходных данных с целью формирования выводов о реализации в органе (организации) мероприятий (процессов) по защите информации (обеспечению безопасности объектов КИИ), о достаточности принимаемых мер по защите информации (обеспечению безопасности объектов КИИ). По результатам анализа исходных данных специалисты формируют выводы о реализации мер, соответствующих частным показателям безопасности kji.
26. Полученные результаты анализа исходных данных, а также результаты расчета значений показателя защищенности КЗИ подлежат документированию в виде и по форме, определяемой органом (организацией), и направляются в ФСТЭК России в случае поступления запроса.
