Главная» Как защитить информацию» Статьи по защите конфиденциальной информации»Перечень вопросов, подлежащих проверке при контроле состояния ТЗИ

Перечень вопросов, подлежащих проверке при контроле состояния ТЗИ

При инспекционном контроле состояния ТЗИ проверке (анализу) подлежат следующие вопросы:

 Общие вопросы организации ТЗИ:

наличие перечня (выписки из перечня) сведений, подлежащих защите;

наличие системы ТЗИ Структура системы защиты информации. Наличие экспертной комиссии, постоянно действующей технической комиссии. Деятельность комиссий по решению вопросов ТЗИ ;

наличие структурного подразделения (штатных специалистов) ТЗИ, его укомплектованность;

наличие документов, регламентирующих деятельность структурного подразделения (задачи подразделения, функциональные обязанности его сотрудников и т.д.) ;

наличие технических средств контроля ;

наличие и достаточность руководящих, нормативных и методических документов по ТЗИ в организации;

размещение на территории проверяемого объекта власти сторонних организаций;

наличие "Руководства по защите информации …на объекте", а также полнота, правильность и обоснованность его содержания;

соответствие организации работ и проводимых мероприятий по ТЗИ содержанию "Руководства по защите информации …на объекте";

наличие документа, определяющего порядок приема иностранных граждан в органе власти. Анализ достаточности принимаемых мер по ТЗИ при посещении органа власти иностранными гражданами. Участие специалистов по ТЗИ в подготовке приема иностранных граждан на объекте. Согласование мероприятий по технической защите информации по целям, задачам, месту и времени с режимными мероприятиями;

порядок взаимодействия по вопросам  ТЗИ с предприятиями, организациями, отраслевыми службами министерств, ведомств. Методическое руководство вопросами ТЗИ ;

перечень организаций, имеющих лицензии ФСТЭК России и привлекаемых для решения вопросов ТЗИ;

выполнение мероприятий по устранению ранее выявленных недостатков по ТЗИ.

 Организация и состояние защиты объектов информатизации:

Организация и состояние защиты речевой информации

а) принимаемые меры акустической защиты выделенных помещений (ВП), эффективность принимаемых мер, в том числе:

количество ВП, их размещение относительно границ контролируемой зоны (охраняемой территории);

наличие актов категорирования ВП;

наличие аттестатов соответствия на ВП;

наличие сертифицированных технических средств защиты информации, установленных в ВП, заключений по результатам специсследований вспомогательных технических средств и специальных проверок (для вспомогательных технических средств зарубежного производства);

наличие технических паспортов на ВП, их соответствие реальному составу и размещению оборудования и технических средств;

применяемые организационные и режимные меры защиты ВП, их обоснованность и достаточность;

оценка правильности определения технических каналов утечки информации и степени их защищенности (по результатам проведенного инструментального контроля);

достаточность применяемых организационных и технических мер защиты;

оценка полноты и качества работ, выполненных лицензиатами;

б) эффективность принимаемых мер защиты основных технических средств и систем (систем звукоусиления и звукового сопровождения кинофильмов, средств магнитной записи), предназначенных для обслуживания закрытых мероприятий:

количество систем и средств, их категория, состав и структура построения, размещение систем относительно границ контролируемой зоны (охраняемой территории);

наличие сертификатов или предписаний на эксплуатацию с протоколами результатов специальных исследований;

соответствие построения кабельных сооружений, усилительного и коммутационного оборудования, оконечных устройств, систем электропитания и заземления установленным требованиям ;

оценка правильности выявления технических каналов утечки информации и полноты их защиты (по результатам проведенного инструментального контроля);

достаточность применяемых организационных и технических мер защиты;

оценка полноты и качества выполненных лицензиатами работ.

Организация и состояние защиты информации на объектах вычислительной техники (ВТ):

а) эффективность организации работ по защите информации на объектах ВТ :

количество объектов ВТ, предназначенных для обработки информации, их категория и класс защиты;

размещение объектов ВТ относительно границ контролируемой зоны (охраняемой территории);

наличие утвержденных обязанностей лиц, ответственных за безопасность информации на объектах ВТ;

соответствие документации на объекты ВТ и систему защиты информации требованиям руководящих документов;

наличие сертификатов или предписаний на эксплуатацию средств вычислительной техники (СВТ), протоколов по результатам специальных исследований СВТ, заключений по результатам специальных проверок СВТ иностранного производства, технических паспортов на объекты ВТ;

наименования организаций, привлекавшихся к проведению работ по аттестации объектов ВТ;

правильность размещения технических средств относительно проложенных информационных и неинформационных линий и цепей, выходящих за пределы контролируемой территории;

порядок учета, использования и хранения магнитных, оптических и других физических носителей информации;

применяемые организационные и технические меры защиты объектов ВТ, их обоснованность и достаточность (по результатам проведенного инструментального контроля);

оценка полноты и качества выполненных лицензиатами работ;

б) эффективность организации работ по защите информации, обрабатываемой в автоматизированных системах (АС), от НСД :

правильность проведения классификации АС и наличие актов классификации;

наличие установленного порядка допуска персонала к информации АС;

наличие системы разграничения доступа пользователей АС к обрабатываемой информации;

наличие комплекса программно-технических средств и поддерживающих их организационных мер на всех технологических этапах обработки информации и во всех режимах функционирования АС, в том числе при проведении ремонтных и регламентных работ;

наличие сертифицированных средств защиты, соответствующих установленному классу АС, и правильность их настройки;

наличие и содержание (качество исполнения) организационно-распорядительной и рабочей документации по эксплуатации системы защиты информации от НСД;

оценка полноты и качества работ, выполненных лицензиатами ;

в) эффективность организации работ по защите информации, обрабатываемой в автоматизированных системах, при их подключении к международным информационным системам, организация работы с международными информационными системами и ее соответствие требованиям Федерального закона от 4 июля 1996 года № 85-ФЗ “Об участии в международном информационном обмене” и решению Гостехкомиссии России от 21 октября 1997 года № 61.

Организация защиты средств изготовления и размножения  документов (СИРД):

количество СИРД, их категория и размещение относительно границ контролируемой зоны (охраняемой территории);

наличие сертификатов на СИРД или предписаний на эксплуатацию с протоколами результатов специальных исследований;

оценка достаточности применяемых организационных и технических мер защиты (по результатам проведенного инструментального контроля);

оценка полноты и качества выполненных лицензиатами работ).

 Полнота и качество проведения организациями-лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации

При проведении контроля объектов информатизации, на которых установлены сертифицированные средства защиты, или на которых проводились работы организациями-лицензиатами ФСТЭК России, обращается особое внимание:

на выполнение лицензиатами условий действия лицензии, а также требований законодательных и иных нормативных правовых актов Российской Федерации, нормативно-методических документов по технической защите информации в ходе проведения ими работ (оказания услуг) по разрешенным видам деятельности;

на соответствие выполненных лицензиатами работ (оказанных услуг) требованиям руководящих и нормативно-методических документов по технической защите информации (оценку соответствия проводить по результатам технического контроля и с приложением протоколов измерений), полноту и правильность оформления по ним отчетных документов;

на соответствие условий применения сертифицированных средств защиты информации требованиям, указанным в их сертификатах.

Комментарии к статье "Перечень вопросов, подлежащих проверке при контроле состояния ТЗИ "
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?