Перечень вопросов, подлежащих проверке при контроле состояния ТЗИ

При инспекционном контроле состояния ТЗИ проверке (анализу) подлежат следующие вопросы:

 Общие вопросы организации ТЗИ:

наличие перечня (выписки из перечня) сведений, подлежащих защите;

наличие системы ТЗИ Структура системы защиты информации. Наличие экспертной комиссии, постоянно действующей технической комиссии. Деятельность комиссий по решению вопросов ТЗИ ;

наличие структурного подразделения (штатных специалистов) ТЗИ, его укомплектованность;

наличие документов, регламентирующих деятельность структурного подразделения (задачи подразделения, функциональные обязанности его сотрудников и т.д.) ;

наличие технических средств контроля ;

наличие и достаточность руководящих, нормативных и методических документов по ТЗИ в организации;

размещение на территории проверяемого объекта власти сторонних организаций;

наличие "Руководства по защите информации …на объекте", а также полнота, правильность и обоснованность его содержания;

соответствие организации работ и проводимых мероприятий по ТЗИ содержанию "Руководства по защите информации …на объекте";

наличие документа, определяющего порядок приема иностранных граждан в органе власти. Анализ достаточности принимаемых мер по ТЗИ при посещении органа власти иностранными гражданами. Участие специалистов по ТЗИ в подготовке приема иностранных граждан на объекте. Согласование мероприятий по технической защите информации по целям, задачам, месту и времени с режимными мероприятиями;

порядок взаимодействия по вопросам  ТЗИ с предприятиями, организациями, отраслевыми службами министерств, ведомств. Методическое руководство вопросами ТЗИ ;

перечень организаций, имеющих лицензии ФСТЭК России и привлекаемых для решения вопросов ТЗИ;

выполнение мероприятий по устранению ранее выявленных недостатков по ТЗИ.

 Организация и состояние защиты объектов информатизации:

Организация и состояние защиты речевой информации

а) принимаемые меры акустической защиты выделенных помещений (ВП), эффективность принимаемых мер, в том числе:

количество ВП, их размещение относительно границ контролируемой зоны (охраняемой территории);

наличие актов категорирования ВП;

наличие аттестатов соответствия на ВП;

наличие сертифицированных технических средств защиты информации, установленных в ВП, заключений по результатам специсследований вспомогательных технических средств и специальных проверок (для вспомогательных технических средств зарубежного производства);

наличие технических паспортов на ВП, их соответствие реальному составу и размещению оборудования и технических средств;

применяемые организационные и режимные меры защиты ВП, их обоснованность и достаточность;

оценка правильности определения технических каналов утечки информации и степени их защищенности (по результатам проведенного инструментального контроля);

достаточность применяемых организационных и технических мер защиты;

оценка полноты и качества работ, выполненных лицензиатами;

б) эффективность принимаемых мер защиты основных технических средств и систем (систем звукоусиления и звукового сопровождения кинофильмов, средств магнитной записи), предназначенных для обслуживания закрытых мероприятий:

количество систем и средств, их категория, состав и структура построения, размещение систем относительно границ контролируемой зоны (охраняемой территории);

наличие сертификатов или предписаний на эксплуатацию с протоколами результатов специальных исследований;

соответствие построения кабельных сооружений, усилительного и коммутационного оборудования, оконечных устройств, систем электропитания и заземления установленным требованиям ;

оценка правильности выявления технических каналов утечки информации и полноты их защиты (по результатам проведенного инструментального контроля);

достаточность применяемых организационных и технических мер защиты;

оценка полноты и качества выполненных лицензиатами работ.

Организация и состояние защиты информации на объектах вычислительной техники (ВТ):

а) эффективность организации работ по защите информации на объектах ВТ :

количество объектов ВТ, предназначенных для обработки информации, их категория и класс защиты;

размещение объектов ВТ относительно границ контролируемой зоны (охраняемой территории);

наличие утвержденных обязанностей лиц, ответственных за безопасность информации на объектах ВТ;

соответствие документации на объекты ВТ и систему защиты информации требованиям руководящих документов;

наличие сертификатов или предписаний на эксплуатацию средств вычислительной техники (СВТ), протоколов по результатам специальных исследований СВТ, заключений по результатам специальных проверок СВТ иностранного производства, технических паспортов на объекты ВТ;

наименования организаций, привлекавшихся к проведению работ по аттестации объектов ВТ;

правильность размещения технических средств относительно проложенных информационных и неинформационных линий и цепей, выходящих за пределы контролируемой территории;

порядок учета, использования и хранения магнитных, оптических и других физических носителей информации;

применяемые организационные и технические меры защиты объектов ВТ, их обоснованность и достаточность (по результатам проведенного инструментального контроля);

оценка полноты и качества выполненных лицензиатами работ;

б) эффективность организации работ по защите информации, обрабатываемой в автоматизированных системах (АС), от НСД :

правильность проведения классификации АС и наличие актов классификации;

наличие установленного порядка допуска персонала к информации АС;

наличие системы разграничения доступа пользователей АС к обрабатываемой информации;

наличие комплекса программно-технических средств и поддерживающих их организационных мер на всех технологических этапах обработки информации и во всех режимах функционирования АС, в том числе при проведении ремонтных и регламентных работ;

наличие сертифицированных средств защиты, соответствующих установленному классу АС, и правильность их настройки;

наличие и содержание (качество исполнения) организационно-распорядительной и рабочей документации по эксплуатации системы защиты информации от НСД;

оценка полноты и качества работ, выполненных лицензиатами ;

в) эффективность организации работ по защите информации, обрабатываемой в автоматизированных системах, при их подключении к международным информационным системам, организация работы с международными информационными системами и ее соответствие требованиям Федерального закона от 4 июля 1996 года № 85-ФЗ “Об участии в международном информационном обмене” и решению Гостехкомиссии России от 21 октября 1997 года № 61.

Организация защиты средств изготовления и размножения  документов (СИРД):

количество СИРД, их категория и размещение относительно границ контролируемой зоны (охраняемой территории);

наличие сертификатов на СИРД или предписаний на эксплуатацию с протоколами результатов специальных исследований;

оценка достаточности применяемых организационных и технических мер защиты (по результатам проведенного инструментального контроля);

оценка полноты и качества выполненных лицензиатами работ).

 Полнота и качество проведения организациями-лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации

При проведении контроля объектов информатизации, на которых установлены сертифицированные средства защиты, или на которых проводились работы организациями-лицензиатами ФСТЭК России, обращается особое внимание:

на выполнение лицензиатами условий действия лицензии, а также требований законодательных и иных нормативных правовых актов Российской Федерации, нормативно-методических документов по технической защите информации в ходе проведения ими работ (оказания услуг) по разрешенным видам деятельности;

на соответствие выполненных лицензиатами работ (оказанных услуг) требованиям руководящих и нормативно-методических документов по технической защите информации (оценку соответствия проводить по результатам технического контроля и с приложением протоколов измерений), полноту и правильность оформления по ним отчетных документов;

на соответствие условий применения сертифицированных средств защиты информации требованиям, указанным в их сертификатах.