Порядок организации и проведения работ по контролю состояния ТЗИ
Контроль состояния технической защиты конфиденциальной информации осуществляется в целях оценки организации защиты такой информации, своевременного выявления и предотвращения технических каналов ее утечки, несанкционированного доступа (НСД) к ней, оценки эффективности защиты ее от технических разведок. В общем случае он включает ознакомительные и инспекционные проверки.
При проведении ознакомительных проверок состояния технической защиты конфиденциальной информации изучаются и анализируются следующие вопросы:
наличие перечня сведений конфиденциального характера, подлежащих защите в соответствии с нормативными правовыми актами;
порядок выявления защищаемой конфиденциальной информации, наличие Положения о порядке обращения со сведениями конфиденциального характера;
порядок привлечения специализированных организаций к разработке и эксплуатации объектов информатизации, на которых проводятся работы со сведениями конфиденциального характера, и систем технической защиты конфиденциальной информации, задачи и функции этих систем на различных стадиях создания и эксплуатации объектов информатизации;
порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
порядок разработки, ввода в действие и эксплуатации объектов информатизации;
ответственность должностных лиц за своевременность и качество формирования требований по технической защите конфиденциальной информации.
Основными объектами инспекционных проверок являются:
информационные ресурсы, содержащие сведения конфиденциального характера;
средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети и системы), программные средства (операционные системы управления базами данных, другое общесистемное и прикладное программное обеспечение), АСУ, системы связи и передачи данных, осуществляющие прием, обработку, хранение и передачу конфиденциальной информации, технические каналы утечки такой информации;
технические средства и системы, обрабатывающие открытую информацию, но размещаемые в помещениях, в которых обрабатывается конфиденциальная информация, а также сами помещения, предназначенные для обработки такой информации;
помещения, предназначенные для ведения переговоров, в ходе которых оглашаются сведения, отнесенные к конфиденциальной информации.
Планирование работ по инспекционному контролю состояния технической защиты конфиденциальной информации базируется на основных направлениях деятельности и результатах анализа угроз безопасности информации на территории федерального округа и отдельных субъектов Российской Федерации и сведениях по технической защите конфиденциальной информации на объектах федерального округа и субъектов Российской Федерации.
Планы проверок объектов, на которых осуществляются работы с конфиденциальной информацией, являются составной частью годового и ежемесячных планов работ Управления ФСТЭК России по федеральному округу.
Предписания на право проверки состояния технической защиты конфиденциальной информации выдаются руководителем Управления.
Инспекционный контроль состояния технической защиты конфиденциальной информации на конкретном объекте проверки включает:
рассмотрение актов ранее проведенных обследований и результатов оценки защищенности конфиденциальной информации на объекте;
выявление технических каналов утечки конфиденциальной информации на объекте, каналов НСД к ней и специальных воздействий на нее, оценку возможностей технических средств разведки по добыванию сведений конфиденциального характера;
оценку эффективности проводимых мероприятий по технической защите конфиденциальной информации;
выявление и анализ нарушений установленных норм и требований по технической защите конфиденциальной информации и принятие мер по пресечению выявленных нарушений;
разработку рекомендаций по устранению выявленных недостатков в организации и проведении работ по технической защите конфиденциальной информации на объекте;
проверку устранения недостатков, выявленных в результате контроля.
При проведении указанных работ подлежат проверке следующие вопросы:
наличие структурных подразделений, сотрудников, обеспечивающих решение вопросов, связанных с защитой конфиденциальной информации, а также уровень их подготовки и квалификации;
наличие необходимых руководящих документов по защите конфиденциальной информации;
своевременность и правильность доведения требований руководящих документов по защите конфиденциальной информации до сотрудников органов власти, органов местного самоуправления и подведомственных им организаций, знание этих требований сотрудниками;
наличие аттестатов на объекты информатизации;
правильность обработки и хранения конфиденциальной информации при использовании технических средств (СВТ, ТСПИ, оргтехники и т.п.), правильность распечатки документов и их учета;
наличие необходимых документов на технические средства, используемые при обработке конфиденциальной информации;
состояние безопасности (эффективность защиты) конфиденциальной информации в сетях связи и на объектах информатизации.
Несоответствие мер технической защиты конфиденциальной информации установленным нормам и требованиям защиты такой информации считается нарушением.
При выявлении нарушений руководитель проверяемого объекта обязан принять необходимые меры по их устранению. При этом в месячный срок должен быть составлен план устранения недостатков, который согласовывается с 3 отделом Управления, вышестоящим органом (по подчиненности объекта) и владельцем или распорядителем защищаемой информации. Контроль за его выполнением осуществляется объектовым органом контроля .
Проверка считается законченной после выполнения всех мероприятий плана устранения нарушений и недостатков и положительных результатов проверки устранения недостатков.
По результатам проверки составляется акт, с которым руководитель комиссии знакомит руководителя проверяемого объекта (органа местного самоуправления, организации).
Все документы, касающиеся проверки (акт, протоколы, план устранения недостатков, результаты проверки устранения нарушений и недостатков), хранятся в Управлении и на проверенном объекте до следующей проверки.