Файл: Контроль состояния работ по защите информации в организации Контроль состояния защиты подразделяется на.docx

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 07.11.2023

Просмотров: 118

Скачиваний: 7

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Контроль состояния работ по защите информации в организации


Контроль состояния защиты подразделяется на:

  • межведомственный контроль - ФСТЭК России, ФСБ России, Роскомнадзор и др.;

  • ведомственный контроль - вышестоящие ведомственная структура управления;

  • объектовый контроль - подразделение (штатный специалист) по защите информации или организация-лицензиат ФСТЭК России.

Контроль состояния защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.


Межведомственный контроль состояния работ по защите информации

Основная задача контроля – предупреждение нарушений установленных требований и правил в области защиты информации и выработка рекомендаций по совершенствованию объектовой системы защиты информации.

Контроль состояния защиты информации складывается из контроля организации защиты информации и контроля эффективности защиты информации.

Согласно ГОСТ Р50922-96 «Защита информации. Термины и определения»:

Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

Контроль организации защиты информации – проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности защиты информации – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

Его можно разделить на организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных
документов по защите информации; технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием технических средств контроля.

Организационный контроль эффективности защиты информации заключается в выявлении предпосылок к утечке защищаемой информации, технический контроль эффективности защиты информации – в выявлении технических каналов утечки защищаемой информации.

Методы технического контроля:

  • инструментальный метод;

  • инструментально-расчетный метод;

  • расчетный метод;

  • экспертный метод.

Инструментальный метод заключается в проведении определенных измерений с помощью аппаратуры контроля с целью проверки эффективности защиты информации.

Инструментально – расчетный заключается в проведении определенных измерений с помощью аппаратуры контроля и последующим расчетом контролируемых параметров на границе контролируемой зоны.

Расчетный метод заключается в проведении определенных Методиками расчетов с использованием исходных данных по объекту разведки и технических средств разведки.

Экспертный метод заключается в проведении проверок средства вычислительной техники на наличие подключений к сетям международного информационного обмена и обработки информации ограниченного доступа.

Результаты технического контроля оформляются в виде протокола, подписываются представителем органа контроля и представителем организации. Проверке подлежит объектовая система защиты информации.

Объектами контроля являются:

  • органы и/или исполнители;

  • объекты защиты;

  • технические средства защиты;

  • организационно-распорядительная документация по защите информации.

Направления контроля:

  • проверка общей организации работ по технической защите информации;

  • проверка состояния работ по технической защите информации на объектах информатизации (ИС): средства вычислительной техники и защита речевой информации;

  • проверка состояния работ по обеспечению безопасности персональных данных;

  • проверка состояния работ по обеспечению безопасности информации в ключевой системе информационной инфраструктуры (КСИИ).


Основные вопросы контроля деятельности объектовой системы защиты информации


Вот они:

  • наличие постоянно действующей технической комиссии (ПДТК), планирование ее деятельности, степень участия комиссии в решении вопросов противодействия иностранным техническим разведкам (ПД ИТР) и технической защиты информации (ТЗИ);

  • наличие подразделения (специалистов) по ПД ИТР и ТЗИ, соответствие функций и решаемых задач подразделения требований Положения о государственной системе защиты информации (ГСЗИ) и Типового положения о подразделении по защите информации;

  • соответствие содержания Руководства по защите информации и порядка его согласования Типовым требованиям к содержанию… (решение от 01.10.1995 №42 Гостехкомиссии России).

  • оценка разведдоступности объекта контроля;

  • обеспеченность нормативными правовыми актами, НМД, государственными стандартами для организации работ по ТЗИ;

  • обеспеченность средствами контроля эффективности мероприятий по защите от ИТР;

  • соответствие порядка приема иностранных граждан (делегаций) на объекте контроля установленным требованиям.


Какие документы при этом просят предоставить на проверку? Ниже их обычный перечень:

  • организационно-штатная структура;

  • положение (Устав) об организации;

  • документ, определяющий границы контролируемой зоны;

  • перечень организаций, оказывающих (оказывавших) услуги по защите информации;

  • перечень сторонних организаций, находящихся внутри границ границы контролируемой зоны;

  • документы, регламентирующие деятельность ПДТК по защите государственной тайны, экспертной комиссии (приказы, положения, планы, протоколы, решения);

  • перечень, имеющихся нормативных правовых и методических документов по ТЗИ;

  • положение о подразделении по защите информации;

  • должностные регламенты сотрудников, ответственных за информационную безопасность;

  • документы о согласовании назначения на должность руководителя подразделения (штатных специалистов) по защите информации;

  • свидетельства о повышении квалификации;

  • планы мероприятий по защите информации (за прошлый и текущий годы);

  • отчеты о деятельности;

  • руководство по защите информации от технических разведок и от ее утечки по техническим каналам;

  • разрешение на функционирование РСО;

  • документы, устанавливающие категорию объекта по требованиям обеспечения защиты информации;

  • результаты категорирования объекта по важности защиты от ИТР;

  • перечни (выписки из перечней) сведений, составляющих государственную тайну;

  • положения, инструкции, планы мероприятий по обеспечению режима секретности и защите информации при приеме иностранных граждан;

  • согласованные списки лиц, допущенных к работе с иностранными делегациями;

  • отчеты о проведенной работе.


Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе ПДн, при её обработке в ГИС


  • наличие, краткая характеристика государственных информационных систем, или их сегментов, задействованных в обработке информации ограниченного доступа, в том числе персональных данных;

  • состав используемых технических и программных средств;

  • наличие уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных;

  • состав обрабатываемых персональных данных;

  • классификация ГИС по требованиям защиты информации;

  • определение уровня защищенности персональных данных;

  • определение угроз безопасности информации;

  • наличие требований к системе защиты информации;

  • правила и процедуры для обеспечения защиты информации в ГИС в ходе её эксплуатации;

  • особенности эксплуатации ГИС и обработки в ней информации ограниченного доступа;

  • реализованные в ГИС организационные и технические меры по защите информации;

  • состав применяемых СЗИ, в том числе прошедших процедуру оценки соответствия;

  • оценка соответствия принимаемых мер по ОБИ ограниченного доступа при её обработке в ГИС.



Перечень предоставляемых документов:

  • перечень эксплуатируемых ГИС;

  • правовые акты, на основании которых создавались (вводились в эксплуатацию) ГИС;

  • технические задания на создание информационных систем;

  • перечень используемых технических и программных средств. Топология систем (схемы);

  • уведомление об обработке персональных данных;

  • перечень обрабатываемых персональных данных;

  • акт классификации ГИС. Акт оператора, устанавливающий уровень защищенности персональных данных;

  • модель угроз безопасности информации;

  • техническое задание на создание системы защиты информации информационной системы;

  • организационно-распорядительные документы (приказы, положения, инструкции, памятки), регламентирующие вопросы защиты информации в ГИС;

  • перечень применяемых программных и технических средств защиты информации;

  • документация, сертификаты соответствия и знаки соответствия («голографические метки») на средства защиты информации;

  • аттестаты соответствия и (или) материалы по оценке соответствия принимаемых мер по обеспечению безопасности информации в ГИС.


Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну (служебная тайна), при её обработке в иных ИС


  • наличие и анализ перечней сведений ограниченного доступа, не содержащих информацию, отнесенную в установленном порядке к сведениям, составляющим государственную тайну;

  • наличие и анализ документов, определяющих порядок организации и проведения работ по защите информации ограниченного доступа;

  • анализ состояния работ по защите информации ограниченного доступа при ее обработке на средствах вычислительной техники;

  • наличие подключений объектов информатизации к сетям международного информационного обмена;

  • порядок учета машинных носителей информации.

Представляемые документы:

  • перечень сведений конфиденциального характера;

  • перечни автоматизированных систем, предназначенных для обработки информации ограниченного доступа;

  • положение о порядке организации и проведения работ по защите конфиденциальной информации;

  • материалы по оценке соответствия, контролю эффективности принимаемых мер защиты;

  • документация, сертификаты соответствия, знаки соответствия («голографические метки») на применяемые средства защиты информации.



Объектовый контроль состояния работ по защите информации в организации


Проведение периодического контроля эффективности мер защиты информации в организации, учет и анализ результатов контроля является одной из основных функций подразделения (специалиста) по защите информации (из типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Одобрено решением Гостехкомиссии России от 14 марта 1995 г. №32).

Контроль состояния и эффективности защиты информации осуществляется подразделением по защите информациии заключается:

  • в оценке выполнения требований нормативных документов организационно-технического характера;

  • обоснованности принятых мер;

  • проверке выполнения норм эффективности защиты информации по действующим методикам с применением поверенной КИА и сертифицированных программных средств контроля.

Согласно пункту 3.24 специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации, проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности организации.

Отраслевыми и федеральными органами контроля состояние защиты информации проводится не реже одного раза в 2 года и заключается в оценке:

  • соблюдения требований нормативно-методических документов по защите информации;

  • работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

  • знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.


Планирования контроля состояния защиты информации


Планирование контроля осуществляется на основании внутренних нормативных документов организации: руководства по защите информации и положения по защите конфиденциальной информации, в которые должен быть включен раздел «Контроль состояния защиты информации». При составлении раздела используются:

  • положение о ГСЗИ;

  • нормативно-методические документы ФСТЭК России;

  • ведомственные документы.