Анализ и использование результатов проведения контрольных мероприятий

Цель проведения контрольных мероприятий в КСЗИ

Целью контроля является установление степени соответствия принимаемых мер по защите информации требованиям законо­дательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и

несанкционированного (неправомерного, противоправного) до­ступа к информации, выработка рекомендаций по закрытию этих каналов.

• Основные задачи контроля:

— оценка деятельности органов управления по методическому руководству и координации работ в области зашиты информации в подчиненных подразделениях;

— выявление каналов утечки информации об объектах зашиты и несанкционированного доступа к информации (воздействия на информацию), анализ и оценка возможностей злоумышленников по ее получению;

— выявление работ с защищаемой информацией, выполняе­мых с нарушением установленных норм и требований по защите информации, и пресечение выявленных нарушений;

— анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;

— анализ состояния защиты информации в подразделениях предприятия, информирование руководства предприятия, подго­товка предложений по совершенствованию защиты информации;

— предупреждение нарушений по защите информации при проведении работ с защищаемой информацией и ее носителями.

• Направлениями контроля состояния защиты информации являются:

— контроль деятельности и состояния работ по противодей­ствию ИТР и технической защите;

— контроль с применением технических средств эффективно­сти мер защиты объектов, информационных систем, средств и систем связи и управления на всех стадиях их жизненного цикла;

— контроль эффективности защиты автоматизированных си­стем обработки информации от несанкционированного доступа, от специальных воздействий на информацию и средства ее обра­ботки с целью разрушения, уничтожения, искажения и блокиро­вания информации;

— контроль эффективности мероприятий по защите информа­ции в системах связи автоматизированного управления;

— контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятия, вы­полняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании от­крытых каналов радио- и радиорелейных, тропосферных и спут­никовых линий связи, доступных для радиоразведки.

• Система контроля состояния защиты информации бази­руется на следующих основных принципах:

— наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые объекты и обеспечивающими эффективность и действенность контроля;

— независимость органов контроля от должностных лиц конт­ролируемых объектов при осуществлении полномочий;

— соблюдение законности в работе органов контроля и их дол­жностных лиц;

— системность и регулярность в проведении контроля;

— профессионализм сотрудников органов контроля, примене­ние ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;

— объективность анализа обстоятельств и причин нарушений в состоянии зашиты информации;

— наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и не­достатков;

— экономическая целесообразность функционирования конт­рольных органов — оптимальное сочетание результативности де­ятельности органов с затратами на их содержание.

В функции органа контроля входят следующие обязанно­сти:

— организация и осуществление контроля силами подразделе­ний ЗЙ и специализированных организаций;

— сбор, анализ и обобщение материалов о состоянии защиты информации по результатам проверок;

— информирование руководства предприятия об эффективно­сти мер и состоянии работ по защите информации.

Проведение текущего (постоянного) контроля возлагается на объектовые органы в целях обеспечения установленного порядка функционирования средств защиты, соблюдения установленных режимов работы технических средств, в которых циркулирует за­щищаемая информация, выполнения установленных мер защи­ты, контроля за правильностью реализации правил разграниче­ния доступа к информации в автоматизированных системах ее обработки, выявления и пресечения нарушений в области техни­ческой зашиты информации.

В зависимости от объема работ по технической защите инфор­мации и контролю, функции объектового органа контроля по ре­шению руководителя организации могут выполняться подразде­лением зашиты информации либо специально созданными объек­товыми органами контроля.

Основные методы контроля: проверка; изучение; испытания; наблюдения; зачеты, экзамены, тестирование; провокации; ата­ки; отзыв и изучение документов и др.

Периодичность проведения проверок организаций определя­ется исходя из высшего грифа секретности обрабатываемой (цир­кулирующей) в ней информации или установленной категории по требованиям обеспечения защиты образцов вооружения и во­енной техники. Такая периодичность может указываться в руко­водстве по технической защите информации или в инструкциях по технической защите информации, касающейся изделия (об­разца).

Периодичность проведения проверок состояния технической зашиты информации устанавливается:

• для организаций, работающих со сведениями «особой важно­сти» (образцы 1-й категории) — не реже одного раза в два года;

• для организаций, работающих со сведениями, имеющими гриф «совершенно секретно» (образцы 2-й категории) — не реже одно­го раза в три года;

• для организаций, работающих со сведениями, имеющими гриф «секретно» (образцы 3-й категории) — не реже одного раза в пять лет.

Нарушения в области технической защиты информации представляют собой несоответствие мер технической защиты ин­формации установленным требованиям или нормам.

По степени опасности нарушения делятся на три категории:

первая категория — невыполнение требований или норм по технической защите информации, составляющей государственную тайну, подтвержденное протоколом технического контроля, в ре­зультате которого имелась или имеется реальная возможность утеч­ки информации по техническим каналам, несанкционированный доступ к информации или воздействие на информацию;

вторая категория — невыполнение требований по техниче­ской защите информации, в результате чего создаются предпо­сылки к утечке информации по техническим каналам или несан­кционированному доступу к ней;

третья категория — недостатки в оформлении документов по организации технической защиты информации, которые не ведут непосредственно к возникновению предпосылок к утечке информации по техническим каналам или к несанкционирован­ному доступу к ней.

При обнаружении нарушений второй и третьей категорий ру­ководитель проверяемой организации обязан принять необходи­мые меры по их устранению в сроки, согласованные с проверяю­щим органом. Контроль за устранением этих нарушений осуще­ствляется подразделением контроля проверенной организации.

Содержание контроля состояния технической защиты ин­формации составляет оценка деятельности (состояния работ) по противодействию ИТР и технической защите информации, а так­же эффективности мер (мероприятий) по защите государствен­ных и промышленных объектов, образцов вооружения и военной техники, информационных систем, средств и систем связи и уп­равления (далее — контроль эффективности зашиты).

'Контроль деятельности по технической защите информа­ции заключается в проверке организации работ по защите инфор­мации) наличия органов (подразделений) технической защиты ин­формации, включения задач защиты информации в положения о подразделениях и функциональных обязанностях должностных лиц, наличия и содержания внутренних организационно-распо­рядительных документов (приказов, руководств, положений, ин­струкций) на соответствие требованиям правовых и нормативных документов в области зашиты информации, порядка и своевре­менности их доведения до исполнителей и подведомственных орга­низаций, наличия и полноты планов работ по технической защи­те информации и контролю ее эффективности, а также состояния их выполнения.

Контроль эффективности защиты — это проверка соответ^ ствия качественных и количественных показателей эффективно­сти мер (мероприятий) по противодействию ИТР и технической защите государственных и промышленных объектов, образцов во­оружения и военной техники, информационных систем, средств и систем связи и управления требованиям или нормам эффектив­ности зашиты информации.

Состав видов технической разведки и их возможности, угрозы безопасности информации и каналы ее утечки, подлежащие кон­тролю, определяются Гостехкомиссией России в соответствующих моделях технических разведок и концепциях защиты.

В зависимости от вида контроль эффективности защиты может быть организационным и техническим.

Организационный контроль — проверка соответствия полно­ты и обоснованности мероприятий по защите требованиям руко­водящих документов в области технической защиты информации.

Технический контроль — это контроль эффективности защи­ты, проводимый с использованием соответствующих средств. Це­лью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контро­ля. При проведении технического контроля оценивается соответ­ствие объективных показателей состояния защиты объекта пре­дельно допустимым значениям (нормам). Для проведения техни­ческого контроля эффективности защиты информации могут ис­пользоваться космические, воздушные, наземные, морские, а также встроенные средства технического контроля.

Проведение объема технического контроля эффективности технической защиты информации может быть разным.

Комплексный контроль проводится по всем каналам возмож­ной утечки информации (несанкционированного доступа к ин­формации или воздействия на нее), характерным для контроли­руемого технического средства (образца, объекта информатиза­ции), причем оценка эффективности технической защиты инфор­мации осуществляется во взаимной увязке результатов обследова­ния по всем указанным каналам.

Целевой контроль — это проверка по одному из каналов воз­можной утечки информации, характерных для контролируемого технического средства, в котором циркулирует защищаемая ин­формация.

Для выборочного контроля из всего состава технических средств на объекте для проверки выбирают те из них, которые по резуль­татам предварительной оценки с наибольшей вероятностью име­ют технические каналы утечки защищаемой информации.

В зависимости от имеющихся условий проведения технический контроль эффективности технической защиты информации мо­жет осуществляться тремя методами.

В ходе инструментального контроля используется техниче­ское измерительное средство и моделируются реальные условия работы технического средства разведки.

При инструментально-расчетном контроле измерения прово­дятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются относительно предполагае­мого места (условий) нахождения технического средства разведки.

Для проведения расчетного контроля эффективность защиты оценивается математически, исходя из реальных условий разме­щения и возможностей технического средства разведки и извест­ных характеристик объекта контроля.

Технический контроль осуществляется в соответствии с методиками контроля состояния технической защиты инфор­мации, утвержденными или согласованными с ФСТЭК России. Не допускается физическое подключение технических средств кон­троля, а также формирование тестовых режимов, запуск тестовых программ на образцах, средствах и информационных системах в процессе выполнения ими обработки информации или техноло­гического процесса.

Технический контроль состояния защиты информации в си­стемах управления производствами, транспортом, связью, энер­гетикой и передачи финансовой и другой информации осуществ­ляется в соответствии со специально разрабатываемыми програм­мами и методиками контроля, согласованными Гостехкомиссией России, владельцем объекта и ведомством по подчиненности объек­та контроля.

Во всех органах исполнительной власти и организациях про­веряется:

• наличие должностных лиц, структурных подразделений или отдельных сотрудников по защите информации, уровень их под­готовки (квалификации);

• наличие и полнота отработки Руководства по технической защите информации в соответствии с требованиями руководящих документов ФСТЭК России, правильность оценки опасности тех­нических средств разведки применительно к данному объекту;

• наличие и достаточность руководящих и внутренних органи­зационно-распорядительных документов по защите информации;

• наличие физической защиты территории и здания, где разме­щаются устройства и носители информации, с помощью техни­ческих средств охраны и специального персонала, обеспечение пропускного режима и специального оборудования помещений, где размещаются устройства и носители информации;

• своевременность и правильность категорирования выделен­ных помещений, соблюдение порядка их аттестации при вводе в эксплуатацию, оформление разрешения на проведение закрытых мероприятий и ведение переговоров по секретной тематике;

• эффективность мероприятий по защите информации, осуще­ствляемых на объектах при посещении их иностранными пред­ставителями;

• организация и фактическое состояние доступа персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску пер­сонала к защищаемым ресурсам;

• выполнение организационных и технических мер по техни­ческой защите информации при ее обработке средствами вычис­лительной и оргтехники;

• соответствие принятых мер по технической защите информа­ции установленным нормам и требованиям.

В органах исполнительной власти и органах производствен­ного управления (холдингах, аппаратах научно-производственных и производственных объединений, вышестоящих акционерных об­ществах по отношению к дочерним и зависимым организациям) проверяется:

• наличие в системе соответствующего органа исполнительной власти или производственного управления (далее — органа уп­равления) необходимых руководящих документов по защите ин­формации;

• своевременность доведения требований руководящих доку­ментов по технической защите информации до сотрудников ап­парата и подведомственных организаций;

• состояние информационной безопасности в ведомственных (корпоративных) сетях связи и информатизации;

• деятельность аппарата органа управления по методическо­му руководству и координации работ по технической защите информации в отраслевых (дочерних, зависимых) организа­циях.

В научно-исследовательских и проектных организациях, на промышленных предприятиях и в испытательных организациях оборонного промышленного комплекса проверяется также:

• перечень проводимых работ и создаваемых образцов воору­жения и военной техники, подлежащих защите от технических разведок, в соответствии с годовым планом (перечнем) работ по оборонной тематике;

• наличие в технических заданиях на разработку (создание) из­делий (систем, средств, объектов) разделов по защите охраняемых сведений (характеристик) и конкретных требований по защите информации;

• качество проработки и обоснованность в эскизных и техни­ческих проектах мероприятий по защите информации, перечней охраняемых сведений и демаскирующих признаков, правильность определения технических каналов утечки информации и их опас­ности;

• наличие и полнота отработки «Инструкции по технической защите информации (противодействию техническим средствам разведки)» для различных этапов жизненного цикла объектов за­щиты (изделий);

• наличие и правильность ведения документов на рабочие мес­та, где проводятся работы по закрытой тематике, а также журна­лов учета времени работы изделий;

• правильность оценки разведдоступности защищаемых работ (изделий) на объекте и основные результаты проведенного ранее на объекте технического контроля (аттестации);

• наличие и деятельность экспертных комиссий на предприя­тиях, осуществляющих поставки образцов вооружения и военной техники на экспорт, а также степень привлечения к их работе специалистов по технической защите информации и представи­телей заказчика;

• эффективность мер по защите охраняемых характеристик об­разцов вооружения и военной техники, их элементов — носите­лей защищаемой информации, охраняемых характеристик пред­приятия (как объекта защиты) по результатам технического конт­роля.

В информационных и автоматизированных системах обра­ботки информации проверяется:

• наличие сведений, составляющих государственную или слу­жебную тайну, циркулирующих в средствах обработки информа­ции и помещениях в соответствии с принятой на объекте техно­логией обработки информации;

• правильность категорирования объектов информатизации, а также классификации автоматизированных систем в зависимости от степени секретности обрабатываемой информации;

• наличие и правильность оформления аттестатов соответствия на объекты информатизации, а также сертификатов на средства защиты информации, наличие материалов по специальным ис­следованиям и специальным проверкам технических средств (в необходимых случаях);

• организация и фактическое состояние доступа обслуживаю­щего и эксплуатирующего персонала к защищаемым информаци­онным ресурсам, наличие и качество организационно-распоря­дительных документов по допуску персонала к защищаемым ре­сурсам, организация учета, хранения и обращения с конфиденци­альными машинными носителями информации;

• состояние учета всех технических и программных средств оте­чественного и иностранного производства, участвующих в обра­ботке информации, подлежащей защите, наличие и правильность оформления документов по специальным исследованиям и про­веркам технических средств информатизации, в том числе на на­личие недекларированных возможностей программного обеспе­чения;

• правильность размещения технических средств информати­зации (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории, в соответ­ствии с предписаниями на эксплуатацию;

• обоснованность и полнота выполнения организационных и технических мер по защите информации, циркулирующей в сред­ствах электронной вычислительной техники;

• наличие, правильность установки и порядка эксплуатации средств защиты от несанкционированного доступа и специаль­ных программно-математических воздействий к информации;

• выполнение требований по технической защите информации при присоединении автоматизированных систем ее обработки к внешним и международным информационным системам общего пользования;

• оценка эффективности мер защиты по результатам проведе­ния выборочного технического контроля.

В системах и сетях связи, автоматизированных системах управления и передачи данных проверяется:

• выполнение требований по технической защите информации при присоединении ведомственной (внутренней) сети связи к сети связи общего пользования, взаимоувязанной сети связи Россий­ской Федерации;

• полнота и правильность оценки разведдоступности каналов и линий связи, анализ характера передаваемой по ним информации;

• наличие и правильность установки аппаратуры технической зашиты информации в каналах связи, а также ее исправность и работоспособность;

• обоснованность и полнота выполнения мероприятий по обес­печению защищенности от воздействий систем автоматизирован­ного управления, а также систем передачи оперативно-диспет­черской информации;

• состояние технической защиты информации в ходе деятель­ности предприятий связи по обеспечению живучести и устойчи­вости магистральных сетей связи;

• обеспечение защищенности от программно-математических воздействий и несанкционированного доступа систем управления цифровым коммутационным оборудованием;

• эффективность мероприятий по защите оконечных устройств и коммутационного оборудования, размещенных в выделенных помещениях или передающих подлежащую защите информацию, наличие материалов по специальным исследованиям и специаль­ным проверкам технических средств (в необходимых случаях).

В финансово-кредитных организациях, обслуживающих орга­ны исполнительной власти и предприятия оборонного промыш­ленного комплекса, проверяется:

• наличие требований по технической защите информации кли­ентов финансово-кредитной организации — органов исполнитель­ной власти и предприятий оборонного промышленного комплек­са;

• наличие специального участка (комплекса технических средств) для обработки информации, подлежащей защите;

• эффективность специального технологического процесса вы­деления подлежащей защите информации из общего массива фи­нансовой информации.

В организациях, осуществляющих топографо-геодезическую и картографическую деятельность или использующих топог­рафо-геодезическую информацию, проверяется:

• наличие лицензий и разрешений на выполнение топографо-геодезических и картографических работ;

• технические мероприятия по защите информации при осу­ществлении цифровой обработки фотоматериалов и обоснован­ность грифа секретности производных материалов;

• технические мероприятия по защите информации при разра­ботке и изготовлении тематических и специальных карт и планов на основе секретных топографических материалов;

• соответствие установленному порядку производства, реали­зации или эксплуатации аппаратуры для определения координат, работающей по сигналам космических аппаратов;

• порядок внедрения и использования геоинформационных систем для целей обработки подлежащей защите информации.