Контроль состояния ТКЗИ
17.1. Основные задачи контроля состояния ТКЗИ
В "Планирование работ по ТКЗИ" был рассмотрен цикл эффективного управления процессом - PDCA, одним из составляющих которого является контроль (C - англ. Check). Контроль является механизмом, позволяющим собрать информацию, которая в дальнейшем может быть использована для улучшения процесса, в том числе процесса обеспечения информационной безопасности.
Эффективность защиты информации - степень соответствия результатов защиты информации цели защиты информации.
Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации [127].
В соответствии с СТР-К методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации организации.
Контроль состояния защиты информации должен осуществляться не реже одного раза в год с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения НСД и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии).
Контроль осуществляется службой безопасности организации, а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:
- соблюдения нормативных и методических документов ФСТЭК России;
- работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
- знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
Для контроля может быть привлечена внешняя организация, имеющая лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.
Для объектов информатизации, требующих обязательной аттестации, контроль является частью аттестационных испытаний.
17.2. Классификация видов контроля состояния ТКЗИ. Организационный и технический контроль состояния ТЗКИ
Контроль состояния ТЗИ включает:
- контроль организации ТЗИ;
- контроль эффективности ТЗИ.
Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
В ГОСТ Р Р 50922-96 определены следующие виды контроля эффективности защиты информации:
Организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.
Средство контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации[127].
Под методом контроля понимают порядок и правила применения расчетных и измерительных операций при решении задач контроля эффективности защиты.
В зависимости от вида выполняемых операций методы технического контроля делятся на:
- инструментальные, когда контролируемые показатели определяются непосредственно по результатам измерения контрольно-измерительной аппаратурой;
- инструментально-расчетные, при которых контролируемые показатели определяются частично расчетным путем, частично измерением значений некоторых параметров физических полей аппаратными средствами;
- расчетные, при которых контролируемые показатели рассчитываются по методикам, содержащимся в руководящей литературе.
17.3. Система документов по контролю состояния ТЗКИ
Аттестационный технический контроль защиты информации от утечки по ТКУИ осуществляется в соответствии со специально разработанными программами и методиками контроля ФСТЭК. Существует "Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам", он носит гриф "Для Служебного Пользования". В его состав входят следующие документы:
- Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
- Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
- Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
- Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
Следует отметить, что ни СТР-К, ни приказ ФСТЭК России №21 не устанавливают форму оценки эффективности, формы и содержание документов, разрабатываемых в результате оценки. Таким образом, решение по данному вопросу возлагается на руководителя организации и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности информации.
В информационном сообщении от 15 июля 2013 г. № 240/22/2637 ФСТЭК говорит о том, что оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 "Защита информации. Аттестация объектов информатизации. Общие положения". Если же речь идет о ГИС, в которых обрабатываются персональные данные, оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний".
ГОСТ РО 0043-003-2012 "Аттестация объектов информатизации. Общие положения" и ГОСТ РО 0043-004-2013 "Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний" носят гриф "Для Служебного Пользования". Получить их можно, например, в ФГУП "Стандартинформ" или ФГУП "Рособоронстандарт". При этом необходимо иметь нотариально заверенную копию лицензии ФСТЭК на ТКЗИ.
17.4. Вопросы, подлежащие проверке при контроле состояния ТКЗИ в организации
Периодический контроль эффективности защиты информации предусматривает:
- проверку состава и размещения основных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
- проверку состава и размещения вспомогательных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
- правильность категорирования объектов информатизации, классификации автоматизированных систем;
- контроль деятельности и состояния работ по противодействию утечки информации по техническим каналам утечки;
- проверку работоспособности средств защиты информации на объекте информатизации; контроль того, что они эксплуатируются в соответствии с эксплуатационной документацией;
- наличие и качество организационно-распорядительных документов;
- проверку уровня знаний и соблюдения требований нормативно-методических и руководящих документов ФСТЭК России;
- проверку соблюдения инструкций, порядка ведения журналов учетов;
- оценку эффективности выполняемых мероприятий по защите информации по результатам проведения выборочного технического контроля.