Контроль состояния работ по защите информации в организации


Контроль состояния защиты подразделяется на:

Контроль состояния защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.


Межведомственный контроль состояния работ по защите информации


Основная задача контроля – предупреждение нарушений установленных требований и правил в области защиты информации и выработка рекомендаций по совершенствованию объектовой системы защиты информации.

Контроль состояния защиты информации складывается из контроля организации защиты информации и контроля эффективности защиты информации.

Согласно ГОСТ Р50922-96 «Защита информации. Термины и определения»:

Контроль состояния защиты информации – проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

Контроль организации защиты информации – проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности защиты информации – проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

Его можно разделить на организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации; технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием технических средств контроля.

Организационный контроль эффективности защиты информации заключается в выявлении предпосылок к утечке защищаемой информации, технический контроль эффективности защиты информации – в выявлении технических каналов утечки защищаемой информации.

Методы технического контроля:

Инструментальный метод заключается в проведении определенных измерений с помощью аппаратуры контроля с целью проверки эффективности защиты информации.

Инструментально – расчетный заключается в проведении определенных измерений с помощью аппаратуры контроля и последующим расчетом контролируемых параметров на границе контролируемой зоны.

Расчетный метод заключается в проведении определенных Методиками расчетов с использованием исходных данных по объекту разведки и технических средств разведки.

Экспертный метод заключается в проведении проверок средства вычислительной техники на наличие подключений к сетям международного информационного обмена и обработки информации ограниченного доступа.

Результаты технического контроля оформляются в виде протокола, подписываются представителем органа контроля и представителем организации. Проверке подлежит объектовая система защиты информации.

Объектами контроля являются:

Направления контроля:


Основные вопросы контроля деятельности объектовой системы защиты информации


Вот они:

Какие документы при этом просят предоставить на проверку? Ниже их обычный перечень:


Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну, в том числе ПДн, при её обработке в ГИС



Перечень предоставляемых документов:


Основные вопросы контроля состояния ТЗИ ограниченного доступа, не содержащей сведений, составляющих государственную тайну (служебная тайна), при её обработке в иных ИС


Представляемые документы:


Объектовый контроль состояния работ по защите информации в организации


Проведение периодического контроля эффективности мер защиты информации в организации, учет и анализ результатов контроля является одной из основных функций подразделения (специалиста) по защите информации (из типового положения о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации). Одобрено решением Гостехкомиссии России от 14 марта 1995 г. №32).

Контроль состояния и эффективности защиты информации осуществляется подразделением по защите информациии заключается:

Согласно пункту 3.24 специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращения специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации, проводится периодический (не реже одного раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности организации.

Отраслевыми и федеральными органами контроля состояние защиты информации проводится не реже одного раза в 2 года и заключается в оценке:


Планирования контроля состояния защиты информации


Планирование контроля осуществляется на основании внутренних нормативных документов организации: руководства по защите информации и положения по защите конфиденциальной информации, в которые должен быть включен раздел «Контроль состояния защиты информации». При составлении раздела используются:

Раздел «Контроль состояния защиты информации» содержит:

Пример раздела:

IХ. Контроль состояния защиты

9.1 Задачи контроля:

Контроль состояния защиты информации осуществляется с целью ….. Контроль заключается в проверке выполнения актов ….. (пункт 47 Положения о ГСЗИ).

9.2 Перечень органов и подразделений, имеющих право проверки:

Контроль осуществляется ФСТЭК России, ФСБ России, другими федеральными органами исполнительной власти, представителем заказчика, аккредитованным в организации (межведомственный контроль), ведомственным подразделением защиты информации ( ведомственный контроль) и подразделением по защите информации (объектовый контроль) в соответствии с их компетенцией.

9.3 Привлекаемые силы и средства контроля, порядок привлечения (при необходимости) к этой работе специалистов основных подразделений объекта:

Для проведения контроля могут привлекаться работники отдела информационных технологий ….. и др.

Перечень технических средств контроля, имеющихся в ……, приведен в Приложении № 9.

9.4 Периодичность и виды контроля:

Контроль состояния защиты информации проводится на плановой основе в соответствии с годовыми планами контроля и внезапных проверок состояния защиты информации.


Контроль состояния защиты информации делится на плановый и внеплановый. Плановый контроль может быть ежемесячным, ежеквартальным, ежегодным. Внеплановый контроль проводится на основании планов проведения проверок, утвержденных руководителем организации.

Периодичность контроля определяется в Руководстве по защите информации, Положении о защите конфиденциальной информации


Пример раздела:

Годовой план проведения проверок состояния защиты информации в структурных подразделениях …… разрабатывается к 25 декабря, и согласовывается с руководителями структурных подразделений, заместителями руководителями и утверждается руководителем ………

План (график) внезапных (внеплановых) проверок состояния защиты информации в структурных подразделениях …….. разрабатывается…….совместно с годовым планом проведения проверок, согласовывается с заместителем руководителя по безопасности и утверждаются руководителем …...

Утвержденные планы регистрируются установленным порядком в служебном делопроизводстве и хранятся в подразделении по защите информации.

Плановый организационный контроль состояния защиты информации проводится подразделением по защите информации с участием представителей структурных подразделений на основании письменного приказа (распоряжения) руководителя организации и заключается в оценке:

соблюдения требований нормативно-методических документов по защите информации;

работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;

знаний и выполнения работниками организации своих функциональных обязанностей в части защиты информации.

Внезапный (внеплановый) контроль осуществляется в соответствии с планом силами подразделения по защите информации. В ходе данного контроля проверяется состояние работ по защите информации в подразделениях организации по вопросам планового контроля в полном объеме.

Повседневный контроль состояния защиты информации в структурных подразделениях организации проводится руководителями подразделений.

Для проведения периодического технического контроля на объектах информатизации на договорной основе привлекаются организации-лицензиаты ФСТЭК России.

Технический контроль предназначен для оценки эффективности и надежности принятых мер защиты от технической разведки. Основными задачами технического контроля являются:

выявление возможных ТКУИ;

определение (проверка) зон возможного обнаружения ТДП объектов ТСР;

проверка соответствия и эффективности принятых мер защиты установленным нормам;

разработка предложений по совершенствованию защитных мероприятий.

Технический контроль осуществляется инструментальным, инструментально-расчетным и расчетным методами.

Результаты контроля оформляются в соответствии с периодичностью контроля в организации и содержат:


Пример раздела:

9.5.Оформление результатов контроля:

Результаты планового и внепланового контроля вносятся в журнал учета проверок рабочих мест (формуляры).

Общие результаты контроля докладываются заместителю руководителя по безопасности служебной запиской руководителем подразделения по защите информации.

Результаты технического контроля оформляются протоколами в соответствии с нормативно-методическими документами ФСТЭК России и хранятся в установленном порядке в ……..

9.6 Порядок действий должностных лиц по устранению нарушений норм и требований по защите информации:

Категории нарушений требований ………………….. (пункт 52 Положения о ГСЗИ).

При обнаружении нарушений требований первой категории руководитель организации обязан:…………………..

При обнаружении нарушений второй и третьей категорий ………. (пункт 53 Положения о ГСЗИ).

9.7 Порядок разработки мероприятий по устранению нарушений:

По итогам контроля с учетом всех отмеченных недостатков и выданных рекомендаций, руководителем подразделения, в котором были выявлены нарушения, в течение пяти дней должен быть разработан план мероприятий по совершенствованию деятельности (устранению нарушений) в области ……... Для оценки полноты спланированных работ план согласовывается с руководителем подразделения по защите информации, ……… и утверждается руководителем организации.

При формировании плана в обязательном порядке предусмотреть мероприятия по письменному информированию органов государственного контроля, проводивших проверку, о результатах выполненных работ.


Организационный контроль состояния защиты информации заключается в оценке:

С помощью организационного контроля осуществляется выявление предпосылок к утечки информации.

Технический контроль состояния защиты информации проводится при наличии технических средств контроля в организации. Технический контроль заключается в:

С помощью технического контроля осуществляется выявление технических каналов утечки информации.

Технический контроль эффективности защиты информации определяется в Руководстве по защите информации, Положении по защите информации конфиденциальной информации и документации на аттестованные объекты информатизации. Протокол технического контроля (оформляется по формам, приведенным в НМД ФСТЭК России).


Контроль состояния защиты информации на объектах информатизации


Виды контроля, периодичность объекты и субъекты контроля различаются в зависимости от защищаемой информации.

Для информации, содержащей государственную тайну, контроль эффективности внедренных на объекте мер и средств защиты информации должен проводиться в соответствии с требованиями ЭД на сертифицированные средства ЗИ, требований других нормативных документов, но не реже одного раз в год.

Обязательному контролю подлежат средства защиты (СЗ) при вводе их в эксплуатацию, после проведения ремонта СЗ, при изменении условий их расположения или эксплуатации. Контроль проводится организациями-лицензиатами ФСТЭК России в части технической защиты информации, содержащей государственную тайну.

Для конфиденциальной информации предусмотрен сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам (Гостехкомиссия России, 2002 г., дсп) и эксплуатационная документация СВТ конфиденциальной информации. Контроль проводится организациями-лицензиатами ФСТЭК России в части технической защиты конфиденциальной информации.

ГОСТ РО 0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения» определяет порядок проведения аттестации объектов информатизации.

Заявители организуют ежегодный контроль соответствия системы защиты информации объекта информатизации требованиям безопасности информации.

Указанный контроль проводят в порядке, установленном программой и методиками аттестационных испытаний объекта информатизации.

По результатам проведенного контроля оформляют соответствующие заключения и протоколы.

При добровольной аттестации необходимость и периодичность контроля устанавливает заказчик.

Согласно положению по аттестации объектов информации по требованиям безопасности информации, утвержденному председателем Гостехкомиссии России 25 ноября 1994 г., при выявлении нарушения правил эксплуатации аттестованных объектов информатизации, технологии обработки защищаемой информации и требований безопасности информации органом, проводящим контроль и надзор, может быть приостановлено или аннулировано действие «Аттестата соответствия», с оформлением решения в «Аттестате соответствия» и информирование органа, ведущего сводную информационную базу аттестованных объектов информатизации и ФСТЭК России.


Структура и содержание программы и методики аттестационных испытаний объектов информатизации


Структуру и содержание программы и методики аттестационных испытаний объектов информатизации определяет национальный стандарт Российской Федерации ограниченного распространения ГОСТ РО 0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методика аттестационных испытаний».

В соответствии с ним, программу и методику разрабатывают и утверждают орган по аттестации (при информации, содержащей государственную тайну) или организация, имеющая лицензию на деятельность в области ТЗКИ (в случае конфиденциальной информации).

Категории нарушений требований по защите информации установлены пунктом 52 Положения:

Первая категория - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам.

Вторая категория – невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам.

Третья категория – невыполнение других требований по защите информации.

Контроль наличия информации ограниченного доступа на объектах вычислительной техники, не предназначенных для ее обработки осуществляется за счет встроенных функций операционной системы путем поиска электронных копий документов, содержащих ключевые слова «ДСП», «С», «СС».

Контроль ведется в подразделениях, в которых обнаружена информация, а также в местах ее хранения, а именно:


Типовые нарушения в деятельности по защиты информации


Типовые недостатки и нарушения в деятельности объектовой системы защиты информации:

Типовые недостатки и нарушения в общей организации работ на средствах вычислительной техники:

Типовые недостатки и нарушения в организации работ по защите речевой информации: