Файл: Контроль состояния работ по защите информации в организации Контроль состояния защиты подразделяется на.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 07.11.2023
Просмотров: 119
Скачиваний: 7
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Контроль состояния работ по защите информации в организации
Контроль состояния защиты подразделяется на:
-
межведомственный контроль - ФСТЭК России, ФСБ России, Роскомнадзор и др.; -
ведомственный контроль - вышестоящие ведомственная структура управления; -
объектовый контроль - подразделение (штатный специалист) по защите информации или организация-лицензиат ФСТЭК России.
Контроль состояния защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.
Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.
Межведомственный контроль состояния работ по защите информации
Основная задача контроля – предупреждение нарушений установленных требований и правил в области защиты информации и выработка рекомендаций по совершенствованию объектовой системы защиты информации.
Контроль состояния защиты информации складывается из контроля организации защиты информации и контроля эффективности защиты информации.
Согласно ГОСТ Р50922-96 «Защита информации. Термины и определения»:
Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
Контроль организации защиты информации – проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Его можно разделить на организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных
документов по защите информации; технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием технических средств контроля.
Организационный контроль эффективности защиты информации заключается в выявлении предпосылок к утечке защищаемой информации, технический контроль эффективности защиты информации – в выявлении технических каналов утечки защищаемой информации.
Методы технического контроля:
-
инструментальный метод; -
инструментально-расчетный метод; -
расчетный метод; -
экспертный метод.
Инструментальный метод заключается в проведении определенных измерений с помощью аппаратуры контроля с целью проверки эффективности защиты информации.
Инструментально – расчетный заключается в проведении определенных измерений с помощью аппаратуры контроля и последующим расчетом контролируемых параметров на границе контролируемой зоны.
Расчетный метод заключается в проведении определенных Методиками расчетов с использованием исходных данных по объекту разведки и технических средств разведки.
Экспертный метод заключается в проведении проверок средства вычислительной техники на наличие подключений к сетям международного информационного обмена и обработки информации ограниченного доступа.
Результаты технического контроля оформляются в виде протокола, подписываются представителем органа контроля и представителем организации. Проверке подлежит объектовая система защиты информации.
Объектами контроля являются:
-
органы и/или исполнители; -
объекты защиты; -
технические средства защиты; -
организационно-распорядительная документация по защите информации.
Направления контроля:
-
проверка общей организации работ по технической защите информации; -
проверка состояния работ по технической защите информации на объектах информатизации (ИС): средства вычислительной техники и защита речевой информации; -
проверка состояния работ по обеспечению безопасности персональных данных; -
проверка состояния работ по обеспечению безопасности информации в ключевой системе информационной инфраструктуры (КСИИ).
Основные вопросы контроля деятельности объектовой системы защиты информации
Вот они:
-
наличие постоянно действующей технической комиссии (ПДТК), планирование ее деятельности, степень участия комиссии в решении вопросов противодействия иностранным техническим разведкам (ПД ИТР) и технической защиты информации (ТЗИ); -
наличие подразделения (специалистов) по ПД ИТР и ТЗИ, соответствие функций и решаемых задач подразделения требований Положения о государственной системе защиты информации (ГСЗИ) и Типового положения о подразделении по защите информации; -
соответствие содержания Руководства по защите информации и порядка его согласования Типовым требованиям к содержанию… (решение от 01.10.1995 №42 Гостехкомиссии России). -
оценка разведдоступности объекта контроля; -
обеспеченность нормативными правовыми актами, НМД, государственными стандартами для организации работ по ТЗИ; -
обеспеченность средствами контроля эффективности мероприятий по защите от ИТР; -
соответствие порядка приема иностранных граждан (делегаций) на объекте контроля установленным требованиям.
Какие документы при этом просят предоставить на проверку? Ниже их обычный перечень:
-
организационно-штатная структура; -
положение (Устав) об организации; -
документ, определяющий границы контролируемой зоны; -
перечень организаций, оказывающих (оказывавших) услуги по защите информации; -
перечень сторонних организаций, находящихся внутри границ границы контролируемой зоны; -
документы, регламентирующие деятельность ПДТК по защите государственной тайны, экспертной комиссии (приказы, положения, планы, протоколы, решения); -
перечень, имеющихся нормативных правовых и методических документов по ТЗИ; -
положение о подразделении по защите информации; -
должностные регламенты сотрудников, ответственных за информационную безопасность; -
документы о согласовании назначения на должность руководителя подразделения (штатных специалистов) по защите информации; -
свидетельства о повышении квалификации; -
планы мероприятий по защите информации (за прошлый и текущий годы); -
отчеты о деятельности; -
руководство по защите информации от технических разведок и от ее утечки по техническим каналам; -
разрешение на функционирование РСО; -
документы, устанавливающие категорию объекта по требованиям обеспечения защиты информации; -
результаты категорирования объекта по важности защиты от ИТР; -
перечни (выписки из перечней) сведений, составляющих государственную тайну; -
положения, инструкции, планы мероприятий по обеспечению режима секретности и защите информации при приеме иностранных граждан; -
согласованные списки лиц, допущенных к работе с иностранными делегациями; -
отчеты о проведенной работе.
Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе ПДн, при её обработке в ГИС
-
наличие, краткая характеристика государственных информационных систем, или их сегментов, задействованных в обработке информации ограниченного доступа, в том числе персональных данных; -
состав используемых технических и программных средств; -
наличие уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных; -
состав обрабатываемых персональных данных; -
классификация ГИС по требованиям защиты информации; -
определение уровня защищенности персональных данных; -
определение угроз безопасности информации; -
наличие требований к системе защиты информации; -
правила и процедуры для обеспечения защиты информации в ГИС в ходе её эксплуатации; -
особенности эксплуатации ГИС и обработки в ней информации ограниченного доступа; -
реализованные в ГИС организационные и технические меры по защите информации; -
состав применяемых СЗИ, в том числе прошедших процедуру оценки соответствия; -
оценка соответствия принимаемых мер по ОБИ ограниченного доступа при её обработке в ГИС.
Перечень предоставляемых документов:
-
перечень эксплуатируемых ГИС; -
правовые акты, на основании которых создавались (вводились в эксплуатацию) ГИС; -
технические задания на создание информационных систем; -
перечень используемых технических и программных средств. Топология систем (схемы); -
уведомление об обработке персональных данных; -
перечень обрабатываемых персональных данных; -
акт классификации ГИС. Акт оператора, устанавливающий уровень защищенности персональных данных; -
модель угроз безопасности информации; -
техническое задание на создание системы защиты информации информационной системы; -
организационно-распорядительные документы (приказы, положения, инструкции, памятки), регламентирующие вопросы защиты информации в ГИС; -
перечень применяемых программных и технических средств защиты информации; -
документация, сертификаты соответствия и знаки соответствия («голографические метки») на средства защиты информации; -
аттестаты соответствия и (или) материалы по оценке соответствия принимаемых мер по обеспечению безопасности информации в ГИС.
Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну (служебная тайна), при её обработке в иных ИС
-
наличие и анализ перечней сведений ограниченного доступа, не содержащих информацию, отнесенную в установленном порядке к сведениям, составляющим государственную тайну; -
наличие и анализ документов, определяющих порядок организации и проведения работ по защите информации ограниченного доступа; -
анализ состояния работ по защите информации ограниченного доступа при ее обработке на средствах вычислительной техники; -
наличие подключений объектов информатизации к сетям международного информационного обмена; -
порядок учета машинных носителей информации.
Представляемые документы:
-
перечень сведений конфиденциального характера; -
перечни автоматизированных систем, предназначенных для обработки информации ограниченного доступа; -
положение о порядке организации и проведения работ по защите конфиденциальной информации; -
материалы по оценке соответствия, контролю эффективности принимаемых мер защиты; -
документация, сертификаты соответствия, знаки соответствия («голографические метки») на применяемые средства защиты информации.
Объектовый контроль состояния работ по защите информации в организации
Проведение периодического контроля эффективности мер защиты информации в организации, учет и анализ результатов контроля является одной из основных функций подразделения (специалиста) по защите информации (из типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Одобрено решением Гостехкомиссии России от 14 марта 1995 г. №32).
Контроль состояния и эффективности защиты информации осуществляется подразделением по защите информациии заключается:
-
в оценке выполнения требований нормативных документов организационно-технического характера; -
обоснованности принятых мер; -
проверке выполнения норм эффективности защиты информации по действующим методикам с применением поверенной КИА и сертифицированных программных средств контроля.
Согласно пункту 3.24 специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации, проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности организации.
Отраслевыми и федеральными органами контроля состояние защиты информации проводится не реже одного раза в 2 года и заключается в оценке:
-
соблюдения требований нормативно-методических документов по защите информации; -
работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией; -
знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
Планирования контроля состояния защиты информации
Планирование контроля осуществляется на основании внутренних нормативных документов организации: руководства по защите информации и положения по защите конфиденциальной информации, в которые должен быть включен раздел «Контроль состояния защиты информации». При составлении раздела используются:
-
положение о ГСЗИ; -
нормативно-методические документы ФСТЭК России; -
ведомственные документы.