Контроль состояния работ по защите информации в организации


Контроль состояния защиты подразделяется на:

межведомственный контроль - ФСТЭК России, ФСБ России, Роскомнадзор и др.;

ведомственный контроль - вышестоящие ведомственная структура управления;

объектовый контроль - подразделение (штатный специалист) по защите информации или организация-лицензиат ФСТЭК России.

Контроль состояния защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.


Межведомственный контроль состояния работ по защите информации


Основная задача контроля – предупреждение нарушений установленных требований и правил в области защиты информации и выработка рекомендаций по совершенствованию объектовой системы защиты информации.

Контроль состояния защиты информации складывается из контроля организации защиты информации и контроля эффективности защиты информации.

Согласно ГОСТ Р 50922-96 «Защита информации. Термины и определения»:

Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

Контроль организации защиты информации – проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности защиты информации – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

Его можно разделить на организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации; технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием технических средств контроля.

Организационный контроль эффективности защиты информации заключается в выявлении предпосылок к утечке защищаемой информации, технический контроль эффективности защиты информации – в выявлении технических каналов утечки защищаемой информации.

Методы технического контроля:

инструментальный метод;

инструментально-расчетный метод;

расчетный метод;

экспертный метод.

Инструментальный метод заключается в проведении определенных измерений с помощью аппаратуры контроля с целью проверки эффективности защиты информации.

Инструментально – расчетный заключается в проведении определенных измерений с помощью аппаратуры контроля и последующим расчетом контролируемых параметров на границе контролируемой зоны.

Расчетный метод заключается в проведении определенных Методиками расчетов с использованием исходных данных по объекту разведки и технических средств разведки.

Экспертный метод заключается в проведении проверок средства вычислительной техники на наличие подключений к сетям международного информационного обмена и обработки информации ограниченного доступа.

Результаты технического контроля оформляются в виде протокола, подписываются представителем органа контроля и представителем организации. Проверке подлежит объектовая система защиты информации.

Объектами контроля являются:

органы и/или исполнители;

объекты защиты;

технические средства защиты;

организационно-распорядительная документация по защите информации.

Направления контроля:

проверка общей организации работ по технической защите информации;

проверка состояния работ по технической защите информации на объектах информатизации (ИС): средства вычислительной техники и защита речевой информации;

проверка состояния работ по обеспечению безопасности персональных данных;

проверка состояния работ по обеспечению безопасности информации в ключевой системе информационной инфраструктуры (КСИИ).


Основные вопросы контроля деятельности объектовой системы защиты информации


наличие постоянно действующей технической комиссии (ПДТК), планирование ее деятельности, степень участия комиссии в решении вопросов противодействия иностранным техническим разведкам (ПД ИТР) и технической защиты информации (ТЗИ);

наличие подразделения (специалистов) по ПД ИТР и ТЗИ, соответствие функций и решаемых задач подразделения требований Положения о государственной системе защиты информации (ГСЗИ) и Типового положения о подразделении по защите информации;

соответствие содержания Руководства по защите информации и порядка его согласования Типовым требованиям к содержанию… (решение от 01.10.1995 №42 Гостехкомиссии России).

оценка разведдоступности объекта контроля;

обеспеченность нормативными правовыми актами, НМД, государственными стандартами для организации работ по ТЗИ;

обеспеченность средствами контроля эффективности мероприятий по защите от ИТР;

соответствие порядка приема иностранных граждан (делегаций) на объекте контроля установленным требованиям.

Какие документы при этом просят предоставить на проверку? Ниже их обычный перечень:

организационно-штатная структура;

положение (Устав) об организации;

документ, определяющий границы контролируемой зоны;

перечень организаций, оказывающих (оказывавших) услуги по защите информации;

перечень сторонних организаций, находящихся внутри границ границы контролируемой зоны;

документы, регламентирующие деятельность ПДТК по защите государственной тайны, экспертной комиссии (приказы, положения, планы, протоколы, решения);

перечень, имеющихся нормативных правовых и методических документов по ТЗИ;

положение о подразделении по защите информации;

должностные регламенты сотрудников, ответственных за информационную безопасность;

документы о согласовании назначения на должность руководителя подразделения (штатных специалистов) по защите информации;

свидетельства о повышении квалификации;

планы мероприятий по защите информации (за прошлый и текущий годы);

отчеты о деятельности;

руководство по защите информации от технических разведок и от ее утечки по техническим каналам;

разрешение на функционирование РСО;

документы, устанавливающие категорию объекта по требованиям обеспечения защиты информации;

результаты категорирования объекта по важности защиты от ИТР;

перечни (выписки из перечней) сведений, составляющих государственную тайну;

положения, инструкции, планы мероприятий по обеспечению режима секретности и защите информации при приеме иностранных граждан;

согласованные списки лиц, допущенных к работе с иностранными делегациями;

отчеты о проведенной работе.


Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе ПДн, при её обработке в ГИС


наличие, краткая характеристика государственных информационных систем, или их сегментов, задействованных в обработке информации ограниченного доступа, в том числе персональных данных;

состав используемых технических и программных средств;

наличие уведомления уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных;

состав обрабатываемых персональных данных;

классификация ГИС по требованиям защиты информации;

определение уровня защищенности персональных данных;

определение угроз безопасности информации;

наличие требований к системе защиты информации;

правила и процедуры для обеспечения защиты информации в ГИС в ходе её эксплуатации;

особенности эксплуатации ГИС и обработки в ней информации ограниченного доступа;

реализованные в ГИС организационные и технические меры по защите информации;

состав применяемых СЗИ, в том числе прошедших процедуру оценки соответствия;

оценка соответствия принимаемых мер по ОБИ ограниченного доступа при её обработке в ГИС.


Перечень предоставляемых документов


перечень эксплуатируемых ГИС;

правовые акты, на основании которых создавались (вводились в эксплуатацию) ГИС;

технические задания на создание информационных систем;

перечень используемых технических и программных средств. Топология систем (схемы);

уведомление об обработке персональных данных;

перечень обрабатываемых персональных данных;

акт классификации ГИС. Акт оператора, устанавливающий уровень защищенности персональных данных;

модель угроз безопасности информации;

техническое задание на создание системы защиты информации информационной системы;

организационно-распорядительные документы (приказы, положения, инструкции, памятки), регламентирующие вопросы защиты информации в ГИС;

перечень применяемых программных и технических средств защиты информации;

документация, сертификаты соответствия и знаки соответствия («голографические метки») на средства защиты информации;

аттестаты соответствия и (или) материалы по оценке соответствия принимаемых мер по обеспечению безопасности информации в ГИС;


Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну (служебная тайна), при её обработке в иных ИС


наличие и анализ перечней сведений ограниченного доступа, не содержащих информацию, отнесенную в установленном порядке к сведениям, составляющим государственную тайну;

наличие и анализ документов, определяющих порядок организации и проведения работ по защите информации ограниченного доступа;

анализ состояния работ по защите информации ограниченного доступа при ее обработке на средствах вычислительной техники;

наличие подключений объектов информатизации к сетям международного информационного обмена;

порядок учета машинных носителей информации.


Представляемые документы


перечень сведений конфиденциального характера;

перечни автоматизированных систем, предназначенных для обработки информации ограниченного доступа;

положение о порядке организации и проведения работ по защите конфиденциальной информации;

материалы по оценке соответствия, контролю эффективности принимаемых мер защиты;

документация, сертификаты соответствия, знаки соответствия («голографические метки») на применяемые средства защиты информации.


Объектовый контроль состояния работ по защите информации в организации


Проведение периодического контроля эффективности мер защиты информации в организации, учет и анализ результатов контроля является одной из основных функций подразделения (специалиста) по защите информации (из типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32).

Контроль состояния и эффективности защиты информации осуществляется подразделением по защите информациии заключается:

в оценке выполнения требований нормативных документов организационно-технического характера;

обоснованности принятых мер;

проверке выполнения норм эффективности защиты информации по действующим методикам с применением поверенной КИА и сертифицированных программных средств контроля.

Согласно пункту 3.24 специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации, проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности организации.

Отраслевыми и федеральными органами контроля состояние защиты информации проводится не реже одного раза в 2 года и заключается в оценке:

соблюдения требований нормативно-методических документов по защите информации;

работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.


Планирования контроля состояния защиты информации


Планирование контроля осуществляется на основании внутренних нормативных документов организации: руководства по защите информации и положения по защите конфиденциальной информации, в которые должен быть включен раздел «Контроль состояния защиты информации». При составлении раздела используются:

положение о ГСЗИ;

нормативно-методические документы ФСТЭК России;

ведомственные документы.

Раздел «Контроль состояния защиты информации» содержит:

задачи контроля

перечень органов и подразделений, имеющих право проверки состояния защиты информации на объекте;

привлекаемые силы и средства контроля;

порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта;

периодичность и виды контроля;

порядок оформления результатов контроля;

действия должностных лиц по устранению нарушений норм и требований;

порядок разработки мероприятий по устранению указанных нарушений.


Пример раздела:


IХ. Контроль состояния защиты


9.1 Задачи контроля:

Контроль состояния защиты информации осуществляется с целью ….. Контроль заключается в проверке выполнения актов ….. ( пункт 47 Положения о ГСЗИ).

9.2 Перечень органов и подразделений, имеющих право проверки:

Контроль осуществляется ФСТЭК России, ФСБ России, другими федеральными органами исполнительной власти, представителем заказчика, аккредитованным в организации (межведомственный контроль), ведомственным подразделением защиты информации ( ведомственный контроль) и подразделением по защите информации (объектовый контроль) в соответствии с их компетенцией.

9.3 Привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта:

Для проведения контроля могут привлекаться работники отдела информационных технологий ….. и др.

Перечень технических средств контроля, имеющихся в ……, приведен в Приложении № 9.

9.4 Периодичность и виды контроля:

Контроль состояния защиты информации проводится на плановой основе в соответствии с годовыми планами контроля и внезапных проверок состояния защиты информации.


Периодичность контроля состояния защиты информации


Контроль состояния защиты информации делится на плановый и внеплановый. Плановый контроль может быть ежемесячным, ежеквартальным, ежегодным. Внеплановый контроль проводится на основании планов проведения проверок, утвержденных руководителем организации.

Периодичность контроля определяется в Руководстве по защите информации, Положении о защите конфиденциальной информации


Пример раздела:


Годовой план проведения проверок состояния защиты информации в структурных подразделениях …… разрабатывается к 25 декабря, и согласовывается с руководителями структурных подразделений, заместителями руководителями и утверждается руководителем ………

План (график) внезапных (внеплановых) проверок состояния защиты информации в структурных подразделениях …….. разрабатывается…….совместно с годовым планом проведения проверок, согласовывается с заместителем руководителя по безопасности и утверждаются руководителем …...

Утвержденные планы регистрируются установленным порядком в служебном делопроизводстве и хранятся в подразделении по защите информации.

Плановый организационный контроль состояния защиты информации проводится подразделением по защите информации с участием представителей структурных подразделений на основании письменного приказа (распоряжения) руководителя организации и заключается в оценке:

соблюдения требований нормативно-методических документов по защите информации;

работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

знаний и выполнения работниками организации своих функциональных обязанностей в части защиты информации.

Внезапный (внеплановый) контроль осуществляется в соответствии с планом силами подразделения по защите информации. В ходе данного контроля проверяется состояние работ по защите информации в подразделениях организации по вопросам планового контроля в полном объеме.

Повседневный контроль состояния защиты информации в структурных подразделениях организации проводится руководителями подразделений.

Для проведения периодического технического контроля на объектах информатизации на договорной основе привлекаются организации-лицензиаты ФСТЭК России.

Технический контроль предназначен для оценки эффективности и надежности принятых мер защиты от технической разведки. Основными задачами технического контроля являются:

выявление возможных ТКУИ;

определение (проверка) зон возможного обнаружения ТДП объектов ТСР;

проверка соответствия и эффективности принятых мер защиты установленным нормам;

разработка предложений по совершенствованию защитных мероприятий.

Технический контроль осуществляется инструментальным, инструментально-расчетным и расчетным методами.


Оформление результатов контроля состояния защиты информации


Результаты контроля оформляются в соответствии с периодичностью контроля в организации и содержат:

журнал проведения проверок ЗИ;

служебная записка на имя руководителя;

формуляр (паспорт) проверяемого объекта.


Пример раздела:


9.5.Оформление результатов контроля:

Результаты планового и внепланового контроля вносятся в журнал учета проверок рабочих мест (формуляры).

Общие результаты контроля докладываются заместителю руководителя по безопасности служебной запиской руководителем подразделения по защите информации.

Результаты технического контроля оформляются протоколами в соответствии с нормативно-методическими документами ФСТЭК России и хранятся в установленном порядке в ……..

9.6 Порядок действий должностных лиц по устранению нарушений норм
и требований по защите информации:

Категории нарушений требований ………………….. (пункт 52 Положения о ГСЗИ).

При обнаружении нарушений требований первой категории руководитель организации обязан:…………………..

При обнаружении нарушений второй и третьей категорий ………. (пункт 53 Положения о ГСЗИ).

9.7 Порядок разработки мероприятий по устранению нарушений:

По итогам контроля с учетом всех отмеченных недостатков и выданных рекомендаций, руководителем подразделения, в котором были выявлены нарушения, в течение пяти дней должен быть разработан план мероприятий по совершенствованию деятельности (устранению нарушений) в области ……... Для оценки полноты спланированных работ план согласовывается с руководителем подразделения по защите информации, ……… и утверждается руководителем организации.

При формировании плана в обязательном порядке предусмотреть мероприятия по письменному информированию органов государственного контроля, проводивших проверку, о результатах выполненных работ.


Организационный контроль состояния защиты информации заключается в оценке:

соблюдения требований нормативно-методических документов по защите информации;

работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

знаний и выполнения работниками организации своих функциональных обязанностей в части защиты информации.

С помощью организационного контроля осуществляется выявление предпосылок к утечки информации.

Технический контроль состояния защиты информации проводится при наличии технических средств контроля в организации. Технический контроль заключается в:

выявлении технических демаскирующих признаков, раскрывающих охраняемые сведения и технических каналов утечки информации;

оценке реальных зон возможной разведки;

проверке (оценке) эффективности применяемых мер технической защиты информации.

С помощью технического контроля осуществляется выявление технических каналов утечки информации.

Технический контроль эффективности защиты информации определяется в Руководстве по защите информации, Положении по защите информации конфиденциальной информации и документации на аттестованные объекты информатизации. Протокол технического контроля (оформляется по формам, приведенным в НМД ФСТЭК России).


Контроль состояния защиты информации на объектах информатизации


Виды контроля, периодичность объекты и субъекты контроля различаются в зависимости от защищаемой информации.

Для информации, содержащей государственную тайну, контроль эффективности внедренных на объекте мер и средств защиты информации должен проводиться в соответствии с требованиями ЭД на сертифицированные средства ЗИ, требований других нормативных документов, но не реже одного раз в год.

Обязательному контролю подлежат средства защиты (СЗ) при вводе их в эксплуатацию, после проведения ремонта СЗ, при изменении условий их расположения или эксплуатации. Контроль проводится организациями-лицензиатами ФСТЭК России в части технической защиты информации, содержащей государственную тайну.

Для конфиденциальной информации предусмотрен сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам (Гостехкомиссия России, 2002 г., дсп) и эксплуатационная документация СВТ конфиденциальной информации. Контроль проводится организациями-лицензиатами ФСТЭК России в части технической защиты конфиденциальной информации.

ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» определяет порядок проведения аттестации объектов информатизации.

Заявители организуют ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

Указанный контроль проводят в порядке, установленном программой и методиками аттестационных испытаний объекта информатизации.

По результатам проведенного контроля оформляют соответствующие заключения и протоколы.

При добровольной аттестации необходимость и периодичность контроля устанавливает заказчик.

Согласно положению по аттестации объектов информации по требованиям безопасности информации, утвержденному председателем Гостехкомиссии России 25 ноября 1994 г., при выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия» , с оформлением решения в «Аттестате соответствия» и информирование органа, ведущего сводную информационную базу аттестованных объектов информатизации и ФСТЭК России.


Структура и содержание программы и методики аттестационных испытаний объектов информатизации


Структуру и содержание программы и методики аттестационных испытаний объектов информатизации определяет национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методика аттестационных испытаний».

В соответствии с ним, программу и методику разрабатывают и утверждают орган по аттестации (при информации, содержащей государственную тайну) или организация, имеющая лицензию на деятельность в области ТЗКИ (в случае конфиденциальной информации).


Категории нарушений требований по защите информации


Категории нарушений требований по защите информации установлены пунктом 52 Положения:

Первая категория - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам.

Вторая категория – невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам.

Третья категория – невыполнение других требований по защите информации.


Контроль наличия информации ограниченного доступа на объектах вычислительной техники, не предназначенных для ее обработки


Контроль осуществляется за счет встроенных функций операционной системы путем поиска электронных копий документов, содержащих ключевые слова «ДСП», «С», «СС».

Контроль ведется в подразделениях, в которых обнаружена информация, а также в местах ее хранения, а именно:

отчуждаемые накопители информации и накопители информации автономных АРМ;

накопители информации сегментов локальных и территориально-распределенных ЛВС;

накопители информации сегментов доступа к сети «Интернет».


Типовые нарушения в деятельности по защиты информации


Типовые недостатки и нарушения в деятельности объектовой системы защиты информации


отсутствуют необходимые для организации работ нормативно-методические документы по защите информации;

объекту защиты не присвоена категория по требованиям обеспечения безопасности информации и (или) категория объекта документально не подтверждена;

структура и содержание «Руководства по защите информации…» не соответствует установленным требованиям;

не проведена оценка разведдоступности объекта защиты;

не создана ПДТК по защите государственной тайны;

деятельность коллегиального органа не организована и (или) его деятельность не способствует эффективному решению задач в области защиты информации;

отсутствуют документы, регламентирующие работу комиссии (приказы, планы, решения, отчеты);

отсутствует экспертная комиссия по проведению анализа материалов, предназначенных для открытого опубликования;

деятельность ЭК не организована и (или) ее деятельность не способствует эффективному решению задач направленных на нераспространение информации ограниченного доступа;

назначение руководителя подразделения (штатного специалиста) по технической защите информации не согласовано с ФСТЭК России;

отсутствует подразделение (штатный специалист) по технической защите информации;

функции по защите информации возложены на нештатного специалиста;

специалисты по ТЗИ не проходили дополнительной подготовки на специализированных курсах повышения квалификации и (или) их уровень подготовки является недостаточным;

не разработано Положение о подразделении (специалисте) по технической защите информации или содержание данного документа не учитывает требования Типового положения о подразделении по защите информации;

мероприятия по технической защите информации и контролю не спланированы;

на объекте контроля отсутствуют документы, регламентирующие порядок приема иностранных граждан или их содержание (порядок приема) не соответствует требованиям руководящих документов;


Типовые недостатки и нарушения в общей организации работ на средствах вычислительной техники


отсутствует инструкция по обеспечению режима секретности при обработке секретной информации с использованием средств вычислительной техники или данная инструкция не соответствует Типовой инструкции;

не проводился или нарушены сроки проведения периодического контроля эффективности принимаемых мер защиты;

обработка информации ограниченного доступа на неаттестованных по требованиям безопасности информации СВТ либо обработка такой информации на АС с неполученным или истекшим аттестатом соответствия;

администраторы безопасности информации, являясь также пользователями автоматизированной системы, продолжают обрабатывать информацию под учетной записью с правами администратора;

администратором безопасности информации не проводится аудит событий электронных журналов комплекса СЗИ от НСД;

настройки СЗИ от НСД не соответствующее установленным требованиям для класса защищенности АС.


Типовые недостатки и нарушения в организации работ по защите речевой информации


обсуждение сведений, составляющих государственную тайну, ведется в помещениях, не подвергавшихся аттестационным испытаниям;

в выделенном помещении отсутствуют сертифицированные средства защиты информации или их применение является недостаточным;

технические паспорта на выделенные помещения отсутствуют или при их разработке (ведении) допущены недостатки;

на ВТСС отсутствуют заключения по результатам специальных исследований и (или) специальных проверок (для ВТСС импортного производства) или протоколы инструментального контроля;

реальный состав оборудования и технических средств, а также их размещение не соответствуют данным технических паспортов на ВП;

несоответствие запланированных организационных и технических мер защиты ВП установленным требованиям.