Перечень вопросов, подлежащих проверке при контроле состояния ТЗИ
При инспекционном контроле состояния ТЗИ проверке (анализу) подлежат следующие вопросы:
Общие вопросы организации ТЗИ:
наличие перечня (выписки из перечня) сведений, подлежащих защите;
наличие системы ТЗИ Структура системы защиты информации. Наличие экспертной комиссии, постоянно действующей технической комиссии. Деятельность комиссий по решению вопросов ТЗИ;
наличие структурного подразделения (штатных специалистов) ТЗИ, его укомплектованность;
наличие документов, регламентирующих деятельность структурного подразделения (задачи подразделения, функциональные обязанности его сотрудников и т.д.);
наличие технических средств контроля;
наличие и достаточность руководящих, нормативных и методических документов по ТЗИ в организации;
размещение на территории проверяемого объекта власти сторонних организаций;
наличие "Руководства по защите информации …на объекте", а также полнота, правильность и обоснованность его содержания;
соответствие организации работ и проводимых мероприятий по ТЗИ содержанию "Руководства по защите информации …на объекте";
наличие документа, определяющего порядок приема иностранных граждан в органе власти. Анализ достаточности принимаемых мер по ТЗИ при посещении органа власти иностранными гражданами. Участие специалистов по ТЗИ в подготовке приема иностранных граждан на объекте. Согласование мероприятий по технической защите информации по целям, задачам, месту и времени с режимными мероприятиями;
порядок взаимодействия по вопросам ТЗИ с предприятиями, организациями, отраслевыми службами министерств, ведомств. Методическое руководство вопросами ТЗИ;
перечень организаций, имеющих лицензии ФСТЭК России и привлекаемых для решения вопросов ТЗИ;
выполнение мероприятий по устранению ранее выявленных недостатков по ТЗИ.
Организация и состояние защиты объектов информатизации:
Организация и состояние защиты речевой информации
а) принимаемые меры акустической защиты выделенных помещений (ВП), эффективность принимаемых мер, в том числе:
количество ВП, их размещение относительно границ контролируемой зоны (охраняемой территории);
наличие актов категорирования ВП;
наличие аттестатов соответствия на ВП;
наличие сертифицированных технических средств защиты информации, установленных в ВП, заключений по результатам специсследований вспомогательных технических средств и специальных проверок (для вспомогательных технических средств зарубежного производства);
наличие технических паспортов на ВП, их соответствие реальному составу и размещению оборудования и технических средств;
применяемые организационные и режимные меры защиты ВП, их обоснованность и достаточность;
оценка правильности определения технических каналов утечки информации и степени их защищенности (по результатам проведенного инструментального контроля);
достаточность применяемых организационных и технических мер защиты;
оценка полноты и качества работ, выполненных лицензиатами;
б) эффективность принимаемых мер защиты основных технических средств и систем (систем звукоусиления и звукового сопровождения кинофильмов, средств магнитной записи), предназначенных для обслуживания закрытых мероприятий:
количество систем и средств, их категория, состав и структура построения, размещение систем относительно границ контролируемой зоны (охраняемой территории);
наличие сертификатов или предписаний на эксплуатацию с протоколами результатов специальных исследований;
соответствие построения кабельных сооружений, усилительного и коммутационного оборудования, оконечных устройств, систем электропитания и заземления установленным требованиям ;
оценка правильности выявления технических каналов утечки информации и полноты их защиты (по результатам проведенного инструментального контроля);
достаточность применяемых организационных и технических мер защиты;
оценка полноты и качества выполненных лицензиатами работ.
Организация и состояние защиты информации на объектах вычислительной техники (ВТ):
а) эффективность организации работ по защите информации на объектах ВТ :
количество объектов ВТ, предназначенных для обработки информации, их категория и класс защиты;
размещение объектов ВТ относительно границ контролируемой зоны (охраняемой территории);
наличие утвержденных обязанностей лиц, ответственных за безопасность информации на объектах ВТ;
соответствие документации на объекты ВТ и систему защиты информации требованиям руководящих документов;
наличие сертификатов или предписаний на эксплуатацию средств вычислительной техники (СВТ), протоколов по результатам специальных исследований СВТ, заключений по результатам специальных проверок СВТ иностранного производства, технических паспортов на объекты ВТ;
наименования организаций, привлекавшихся к проведению работ по аттестации объектов ВТ;
правильность размещения технических средств относительно проложенных информационных и неинформационных линий и цепей, выходящих за пределы контролируемой территории;
порядок учета, использования и хранения магнитных, оптических и других физических носителей информации;
применяемые организационные и технические меры защиты объектов ВТ, их обоснованность и достаточность (по результатам проведенного инструментального контроля);
оценка полноты и качества выполненных лицензиатами работ;
б) эффективность организации работ по защите информации, обрабатываемой в автоматизированных системах (АС), от НСД :
правильность проведения классификации АС и наличие актов классификации;
наличие установленного порядка допуска персонала к информации АС;
наличие системы разграничения доступа пользователей АС к обрабатываемой информации;
наличие комплекса программно-технических средств и поддерживающих их организационных мер на всех технологических этапах обработки информации и во всех режимах функционирования АС, в том числе при проведении ремонтных и регламентных работ;
наличие сертифицированных средств защиты, соответствующих установленному классу АС, и правильность их настройки;
наличие и содержание (качество исполнения) организационно-распорядительной и рабочей документации по эксплуатации системы защиты информации от НСД;
оценка полноты и качества работ, выполненных лицензиатами ;
в) эффективность организации работ по защите информации, обрабатываемой в автоматизированных системах, при их подключении к международным информационным системам, организация работы с международными информационными системами и ее соответствие требованиям Федерального закона от 4 июля 1996 года № 85-ФЗ “Об участии в международном информационном обмене” и решению Гостехкомиссии России от 21 октября 1997 года № 61.
Организация защиты средств изготовления и размножения документов (СИРД):
количество СИРД, их категория и размещение относительно границ контролируемой зоны (охраняемой территории);
наличие сертификатов на СИРД или предписаний на эксплуатацию с протоколами результатов специальных исследований;
оценка достаточности применяемых организационных и технических мер защиты (по результатам проведенного инструментального контроля);
оценка полноты и качества выполненных лицензиатами работ).
Полнота и качество проведения организациями-лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации
При проведении контроля объектов информатизации, на которых установлены сертифицированные средства защиты, или на которых проводились работы организациями-лицензиатами ФСТЭК России, обращается особое внимание:
на выполнение лицензиатами условий действия лицензии, а также требований законодательных и иных нормативных правовых актов Российской Федерации, нормативно-методических документов по технической защите информации в ходе проведения ими работ (оказания услуг) по разрешенным видам деятельности;
на соответствие выполненных лицензиатами работ (оказанных услуг) требованиям руководящих и нормативно-методических документов по технической защите информации (оценку соответствия проводить по результатам технического контроля и с приложением протоколов измерений), полноту и правильность оформления по ним отчетных документов;
на соответствие условий применения сертифицированных средств защиты информации требованиям, указанным в их сертификатах.