Раздел «Контроль состояния защиты информации» содержит:

• 
  задачи контроля
  
• 
  перечень органов и подразделений, имеющих право проверки состояния защиты информации на объекте;
  
• 
  привлекаемые силы и средства контроля;
  
• 
  порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта;
  
• 
  периодичность и виды контроля;
  
• 
  порядок оформления результатов контроля;
  
• 
  действия должностных лиц по устранению нарушений норм и требований;
  
• 
  порядок разработки мероприятий по устранению указанных нарушений.
  

Пример раздела:

IХ. Контроль состояния защиты

9.1 Задачи контроля:

Контроль состояния защиты информации осуществляется с целью ….. Контроль заключается в проверке выполнения актов ….. (пункт 47 Положения о ГСЗИ).

9.2 Перечень органов и подразделений, имеющих право проверки:

Контроль осуществляется ФСТЭК России, ФСБ России, другими федеральными органами исполнительной власти, представителем заказчика, аккредитованным в организации (межведомственный контроль), ведомственным подразделением защиты информации ( ведомственный контроль) и подразделением по защите информации (объектовый контроль) в соответствии с их компетенцией.

9.3 Привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта:

Для проведения контроля могут привлекаться работники отдела информационных технологий ….. и др.

Перечень технических средств контроля, имеющихся в ……, приведен в Приложении № 9.

9.4 Периодичность и виды контроля:

Контроль состояния защиты информации проводится на плановой основе в соответствии с годовыми планами контроля и внезапных проверок состояния защиты информации.


Контроль состояния защиты информации делится на плановый и внеплановый. Плановый контроль может быть ежемесячным, ежеквартальным, ежегодным. Внеплановый контроль проводится на основании планов проведения проверок, утвержденных руководителем организации.

---

Периодичность контроля определяется в Руководстве по защите информации, Положении о защите конфиденциальной информации


Пример раздела:

Годовой план проведения проверок состояния защиты информации в структурных подразделениях …… разрабатывается к 25 декабря, и согласовывается с руководителями структурных подразделений, заместителями руководителями и утверждается руководителем ………

План (график) внезапных (внеплановых) проверок состояния защиты информации в структурных подразделениях …….. разрабатывается…….совместно с годовым планом проведения проверок, согласовывается с заместителем руководителя по безопасности и утверждаются руководителем …...

Утвержденные планы регистрируются установленным порядком в служебном делопроизводстве и хранятся в подразделении по защите информации.

Плановый организационный контроль состояния защиты информации проводится подразделением по защите информации с участием представителей структурных подразделений на основании письменного приказа (распоряжения) руководителя организации и заключается в оценке:

соблюдения требований нормативно-методических документов по защите информации;

работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

знаний и выполнения работниками организации своих функциональных обязанностей в части защиты информации.

Внезапный (внеплановый) контроль осуществляется в соответствии с планом силами подразделения по защите информации. В ходе данного контроля проверяется состояние работ по защите информации в подразделениях организации по вопросам планового контроля в полном объеме.

Повседневный контроль состояния защиты информации в структурных подразделениях организации проводится руководителями подразделений.

Для проведения периодического технического контроля на объектах информатизации на договорной основе привлекаются организации-лицензиаты ФСТЭК России.

Технический контроль предназначен для оценки эффективности и надежности принятых мер защиты от технической разведки. Основными задачами технического контроля являются:

---

выявление возможных ТКУИ;

определение (проверка) зон возможного обнаружения ТДП объектов ТСР;

проверка соответствия и эффективности принятых мер защиты установленным нормам;

разработка предложений по совершенствованию защитных мероприятий.

Технический контроль осуществляется инструментальным, инструментально-расчетным и расчетным методами.

Результаты контроля оформляются в соответствии с периодичностью контроля в организации и содержат:

• 
  журнал проведения проверок ЗИ;
  
• 
  служебная записка на имя руководителя;
  
• 
  формуляр (паспорт) проверяемого объекта.
  

Пример раздела:

9.5.Оформление результатов контроля:

Результаты планового и внепланового контроля вносятся в журнал учета проверок рабочих мест (формуляры).

Общие результаты контроля докладываются заместителю руководителя по безопасности служебной запиской руководителем подразделения по защите информации.

Результаты технического контроля оформляются протоколами в соответствии с нормативно-методическими документами ФСТЭК России и хранятся в установленном порядке в ……..

9.6 Порядок действий должностных лиц по устранению нарушений норм и требований по защите информации:

Категории нарушений требований ………………….. (пункт 52 Положения о ГСЗИ).

При обнаружении нарушений требований первой категории руководитель организации обязан:…………………..

При обнаружении нарушений второй и третьей категорий ………. (пункт 53 Положения о ГСЗИ).

9.7 Порядок разработки мероприятий по устранению нарушений:

По итогам контроля с учетом всех отмеченных недостатков и выданных рекомендаций, руководителем подразделения, в котором были выявлены нарушения, в течение пяти дней должен быть разработан план мероприятий по совершенствованию деятельности (устранению нарушений) в области ……... Для оценки полноты спланированных работ план согласовывается с руководителем подразделения по защите информации, ……… и утверждается руководителем организации.

---

При формировании плана в обязательном порядке предусмотреть мероприятия по письменному информированию органов государственного контроля, проводивших проверку, о результатах выполненных работ.


Организационный контроль состояния защиты информации заключается в оценке:

• 
  соблюдения требований нормативно-методических документов по защите информации;
  
• 
  работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
  
• 
  знаний и выполнения работниками организации своих функциональных обязанностей в части защиты информации.
  

С помощью организационного контроля осуществляется выявление предпосылок к утечки информации.

Технический контроль состояния защиты информации проводится при наличии технических средств контроля в организации. Технический контроль заключается в:

• 
  выявлении технических демаскирующих признаков, раскрывающих охраняемые сведения и технических каналов утечки информации;
  
• 
  оценке реальных зон возможной разведки;
  
• 
  проверке (оценке) эффективности применяемых мер технической защиты информации.
  

С помощью технического контроля осуществляется выявление технических каналов утечки информации.

Технический контроль эффективности защиты информации определяется в Руководстве по защите информации, Положении по защите информации конфиденциальной информации и документации на аттестованные объекты информатизации. Протокол технического контроля (оформляется по формам, приведенным в НМД ФСТЭК России).


Контроль состояния защиты информации на объектах информатизации

Виды контроля, периодичность объекты и субъекты контроля различаются в зависимости от защищаемой информации.

Для информации, содержащей государственную тайну, контроль эффективности внедренных на объекте мер и средств защиты информации должен проводиться в соответствии с требованиями ЭД на сертифицированные средства ЗИ, требований других нормативных документов, но не реже одного раз в год.

Обязательному контролю подлежат средства защиты (СЗ) при вводе их в эксплуатацию, после проведения ремонта СЗ, при изменении условий их расположения или эксплуатации. Контроль проводится организациями-лицензиатами ФСТЭК России в части технической защиты информации, содержащей государственную тайну.

Для конфиденциальной информации предусмотрен сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам (Гостехкомиссия России, 2002 г., дсп) и эксплуатационная документация СВТ конфиденциальной информации. Контроль проводится организациями-лицензиатами ФСТЭК России в части технической защиты конфиденциальной информации.

---

ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» определяет порядок проведения аттестации объектов информатизации.

Заявители организуют ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

Указанный контроль проводят в порядке, установленном программой и методиками аттестационных испытаний объекта информатизации.

По результатам проведенного контроля оформляют соответствующие заключения и протоколы.

При добровольной аттестации необходимость и периодичность контроля устанавливает заказчик.

Согласно положению по аттестации объектов информации по требованиям безопасности информации, утвержденному председателем Гостехкомиссии России 25 ноября 1994 г., при выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением решения в «Аттестате соответствия» и информирование органа, ведущего сводную информационную базу аттестованных объектов информатизации и ФСТЭК России.


Структура и содержание программы и методики аттестационных испытаний объектов информатизации


Структуру и содержание программы и методики аттестационных испытаний объектов информатизации определяет национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методика аттестационных испытаний».

В соответствии с ним, программу и методику разрабатывают и утверждают орган по аттестации (при информации, содержащей государственную тайну) или организация, имеющая лицензию на деятельность в области ТЗКИ (в случае конфиденциальной информации).

Категории нарушений требований по защите информации установлены пунктом 52 Положения:

Первая категория - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам.

Вторая категория – невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам.

Третья категория – невыполнение других требований по защите информации.

Контроль наличия информации ограниченного доступа на объектах вычислительной техники, не предназначенных для ее обработки осуществляется за счет встроенных функций операционной системы путем поиска электронных копий документов, содержащих ключевые слова «ДСП», «С», «СС».

---

Смотрите также файлы

• Упражнения на силу. Силовое комплексное упражнение.doc

• 19. Правонарушение понятие и виды. Состав правонарушения.docx

• Нефть, ее происхождение и переработка.ppt

• Дроби и проценты.docx

• 5. тгруппы, их принципы, задачи, эффективность.docx