Контроль состояния работ по защите информации в организации


Контроль состояния защиты подразделяется на:

• 
  межведомственный контроль - ФСТЭК России, ФСБ России, Роскомнадзор и др.;
  
• 
  ведомственный контроль - вышестоящие ведомственная структура управления;
  
• 
  объектовый контроль - подразделение (штатный специалист) по защите информации или организация-лицензиат ФСТЭК России.
  

Контроль состояния защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.


Межведомственный контроль состояния работ по защите информации

Основная задача контроля – предупреждение нарушений установленных требований и правил в области защиты информации и выработка рекомендаций по совершенствованию объектовой системы защиты информации.

Контроль состояния защиты информации складывается из контроля организации защиты информации и контроля эффективности защиты информации.

Согласно ГОСТ Р50922-96 «Защита информации. Термины и определения»:

Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

Контроль организации защиты информации – проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности защиты информации – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

Его можно разделить на организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных

---

документов по защите информации; технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием технических средств контроля.

Организационный контроль эффективности защиты информации заключается в выявлении предпосылок к утечке защищаемой информации, технический контроль эффективности защиты информации – в выявлении технических каналов утечки защищаемой информации.

Методы технического контроля:

• 
  инструментальный метод;
  
• 
  инструментально-расчетный метод;
  
• 
  расчетный метод;
  
• 
  экспертный метод.
  

Инструментальный метод заключается в проведении определенных измерений с помощью аппаратуры контроля с целью проверки эффективности защиты информации.

Инструментально – расчетный заключается в проведении определенных измерений с помощью аппаратуры контроля и последующим расчетом контролируемых параметров на границе контролируемой зоны.

Расчетный метод заключается в проведении определенных Методиками расчетов с использованием исходных данных по объекту разведки и технических средств разведки.

Экспертный метод заключается в проведении проверок средства вычислительной техники на наличие подключений к сетям международного информационного обмена и обработки информации ограниченного доступа.

Результаты технического контроля оформляются в виде протокола, подписываются представителем органа контроля и представителем организации. Проверке подлежит объектовая система защиты информации.

Объектами контроля являются:

• 
  органы и/или исполнители;
  
• 
  объекты защиты;
  
• 
  технические средства защиты;
  
• 
  организационно-распорядительная документация по защите информации.
  

Направления контроля:

• 
  проверка общей организации работ по технической защите информации;
  
• 
  проверка состояния работ по технической защите информации на объектах информатизации (ИС): средства вычислительной техники и защита речевой информации;
  
• 
  проверка состояния работ по обеспечению безопасности персональных данных;
  
• 
  проверка состояния работ по обеспечению безопасности информации в ключевой системе информационной инфраструктуры (КСИИ).
  

Основные вопросы контроля деятельности объектовой системы защиты информации


Вот они:

• 
  наличие постоянно действующей технической комиссии (ПДТК), планирование ее деятельности, степень участия комиссии в решении вопросов противодействия иностранным техническим разведкам (ПД ИТР) и технической защиты информации (ТЗИ);
  
• 
  наличие подразделения (специалистов) по ПД ИТР и ТЗИ, соответствие функций и решаемых задач подразделения требований Положения о государственной системе защиты информации (ГСЗИ) и Типового положения о подразделении по защите информации;
  
• 
  соответствие содержания Руководства по защите информации и порядка его согласования Типовым требованиям к содержанию… (решение от 01.10.1995 №42 Гостехкомиссии России).
  
• 
  оценка разведдоступности объекта контроля;
  
• 
  обеспеченность нормативными правовыми актами, НМД, государственными стандартами для организации работ по ТЗИ;
  
• 
  обеспеченность средствами контроля эффективности мероприятий по защите от ИТР;
  
• 
  соответствие порядка приема иностранных граждан (делегаций) на объекте контроля установленным требованиям.
  

---

Какие документы при этом просят предоставить на проверку? Ниже их обычный перечень:

• 
  организационно-штатная структура;
  
• 
  положение (Устав) об организации;
  
• 
  документ, определяющий границы контролируемой зоны;
  
• 
  перечень организаций, оказывающих (оказывавших) услуги по защите информации;
  
• 
  перечень сторонних организаций, находящихся внутри границ границы контролируемой зоны;
  
• 
  документы, регламентирующие деятельность ПДТК по защите государственной тайны, экспертной комиссии (приказы, положения, планы, протоколы, решения);
  
• 
  перечень, имеющихся нормативных правовых и методических документов по ТЗИ;
  
• 
  положение о подразделении по защите информации;
  
• 
  должностные регламенты сотрудников, ответственных за информационную безопасность;
  
• 
  документы о согласовании назначения на должность руководителя подразделения (штатных специалистов) по защите информации;
  
• 
  свидетельства о повышении квалификации;
  
• 
  планы мероприятий по защите информации (за прошлый и текущий годы);
  
• 
  отчеты о деятельности;
  
• 
  руководство по защите информации от технических разведок и от ее утечки по техническим каналам;
  
• 
  разрешение на функционирование РСО;
  
• 
  документы, устанавливающие категорию объекта по требованиям обеспечения защиты информации;
  
• 
  результаты категорирования объекта по важности защиты от ИТР;
  
• 
  перечни (выписки из перечней) сведений, составляющих государственную тайну;
  
• 
  положения, инструкции, планы мероприятий по обеспечению режима секретности и защите информации при приеме иностранных граждан;
  
• 
  согласованные списки лиц, допущенных к работе с иностранными делегациями;
  
• 
  отчеты о проведенной работе.
  

Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе ПДн, при её обработке в ГИС

• 
  наличие, краткая характеристика государственных информационных систем, или их сегментов, задействованных в обработке информации ограниченного доступа, в том числе персональных данных;
  
• 
  состав используемых технических и программных средств;
  
• 
  наличие уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных;
  
• 
  состав обрабатываемых персональных данных;
  
• 
  классификация ГИС по требованиям защиты информации;
  
• 
  определение уровня защищенности персональных данных;
  
• 
  определение угроз безопасности информации;
  
• 
  наличие требований к системе защиты информации;
  
• 
  правила и процедуры для обеспечения защиты информации в ГИС в ходе её эксплуатации;
  
• 
  особенности эксплуатации ГИС и обработки в ней информации ограниченного доступа;
  
• 
  реализованные в ГИС организационные и технические меры по защите информации;
  
• 
  состав применяемых СЗИ, в том числе прошедших процедуру оценки соответствия;
  
• 
  оценка соответствия принимаемых мер по ОБИ ограниченного доступа при её обработке в ГИС.
  

---

Перечень предоставляемых документов:

• 
  перечень эксплуатируемых ГИС;
  
• 
  правовые акты, на основании которых создавались (вводились в эксплуатацию) ГИС;
  
• 
  технические задания на создание информационных систем;
  
• 
  перечень используемых технических и программных средств. Топология систем (схемы);
  
• 
  уведомление об обработке персональных данных;
  
• 
  перечень обрабатываемых персональных данных;
  
• 
  акт классификации ГИС. Акт оператора, устанавливающий уровень защищенности персональных данных;
  
• 
  модель угроз безопасности информации;
  
• 
  техническое задание на создание системы защиты информации информационной системы;
  
• 
  организационно-распорядительные документы (приказы, положения, инструкции, памятки), регламентирующие вопросы защиты информации в ГИС;
  
• 
  перечень применяемых программных и технических средств защиты информации;
  
• 
  документация, сертификаты соответствия и знаки соответствия («голографические метки») на средства защиты информации;
  
• 
  аттестаты соответствия и (или) материалы по оценке соответствия принимаемых мер по обеспечению безопасности информации в ГИС.
  

Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну (служебная тайна), при её обработке в иных ИС

• 
  наличие и анализ перечней сведений ограниченного доступа, не содержащих информацию, отнесенную в установленном порядке к сведениям, составляющим государственную тайну;
  
• 
  наличие и анализ документов, определяющих порядок организации и проведения работ по защите информации ограниченного доступа;
  
• 
  анализ состояния работ по защите информации ограниченного доступа при ее обработке на средствах вычислительной техники;
  
• 
  наличие подключений объектов информатизации к сетям международного информационного обмена;
  
• 
  порядок учета машинных носителей информации.
  

Представляемые документы:

• 
  перечень сведений конфиденциального характера;
  
• 
  перечни автоматизированных систем, предназначенных для обработки информации ограниченного доступа;
  
• 
  положение о порядке организации и проведения работ по защите конфиденциальной информации;
  
• 
  материалы по оценке соответствия, контролю эффективности принимаемых мер защиты;
  
• 
  документация, сертификаты соответствия, знаки соответствия («голографические метки») на применяемые средства защиты информации.
  

---

Объектовый контроль состояния работ по защите информации в организации


Проведение периодического контроля эффективности мер защиты информации в организации, учет и анализ результатов контроля является одной из основных функций подразделения (специалиста) по защите информации (из типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Одобрено решением Гостехкомиссии России от 14 марта 1995 г. №32).

Контроль состояния и эффективности защиты информации осуществляется подразделением по защите информациии заключается:

• 
  в оценке выполнения требований нормативных документов организационно-технического характера;
  
• 
  обоснованности принятых мер;
  
• 
  проверке выполнения норм эффективности защиты информации по действующим методикам с применением поверенной КИА и сертифицированных программных средств контроля.
  

Согласно пункту 3.24 специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации, проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности организации.

Отраслевыми и федеральными органами контроля состояние защиты информации проводится не реже одного раза в 2 года и заключается в оценке:

• 
  соблюдения требований нормативно-методических документов по защите информации;
  
• 
  работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
  
• 
  знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
  

Планирования контроля состояния защиты информации


Планирование контроля осуществляется на основании внутренних нормативных документов организации: руководства по защите информации и положения по защите конфиденциальной информации, в которые должен быть включен раздел «Контроль состояния защиты информации». При составлении раздела используются:

• 
  положение о ГСЗИ;
  
• 
  нормативно-методические документы ФСТЭК России;
  
• 
  ведомственные документы.
  

---

Смотрите также файлы

• Упражнения на силу. Силовое комплексное упражнение.doc

• 19. Правонарушение понятие и виды. Состав правонарушения.docx

• Нефть, ее происхождение и переработка.ppt

• Дроби и проценты.docx

• 5. тгруппы, их принципы, задачи, эффективность.docx