Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Постановление главы администрации Краснодарского края от 16 июля 2002 г. N 783 "О системе защиты информационных ресурсов Краснодарского края"
- Приложение N 2. Руководство по контролю состояния защиты информационных ресурсов Краснодарского края
Приложение N 2. Руководство по контролю состояния защиты информационных ресурсов Краснодарского края
Приложение N 2
к постановлению главы
администрации Краснодарского края
от 16 июля 2002 г. N 783
Руководство по контролю состояния защиты
информационных ресурсов Краснодарского края
Введение
Настоящее Руководство является документом, обязательным для исполнения при проведении работ по контролю состояния защиты информационных ресурсов Краснодарского края в органах государственной власти (далее именуются - органы власти), государственных предприятиях, учреждениях Краснодарского края (далее именуются - организации) и носит рекомендательный характер для органов местного самоуправления и организаций иных форм собственности.
Руководство определяет структуру системы контроля состояния защиты информационных ресурсов края, не содержащих сведений, составляющих государственную тайну, ее задачи и функции, основы организации контроля.
1. Цель и задачи контроля состояния защиты информационных
ресурсов края
Контроль состояния защиты информационных ресурсов это деятельность органов власти края, уполномоченных ими органов или лиц по проверке соблюдения законодательных и иных нормативных правовых актов, норм, стандартов и правил, оценке обоснованности принятия управленческих решений, связанных с обеспечением защиты информационных ресурсов края от утечки информации по техническим каналам, несанкционированного доступа, несанкционированных и непреднамеренных воздействий на защищаемую информацию, а также по устранению и предупреждению различных нарушений по указанным вопросам.
Основная цель контроля - обеспечение единой дисциплины в организации работ по защите информационных ресурсов края, своевременное выявление предпосылок и предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства ее обработки.
Основными функциями контроля является оценка организации и эффективности защиты информационных ресурсов.
Основными задачами в обеспечении реализации этой функции являются:
оценка полноты и качества выполнения органами, организациями и должностными лицами, осуществляющими деятельность в области защиты информационных ресурсов, возложенных на них обязанностей и функций;
оценка целесообразности и обоснованности с точки зрения обеспечения защиты информации принимаемых управленческих решений с целью предупреждения возможных неблагоприятных последствий их выполнения;
выявление нарушений установленных требований или норм по защите информации, установление их причин и определение виновных в появлении нарушений, в необходимых случаях привлечение виновных к ответственности;
профилактика различных видов нарушений.
Система контроля состояния защиты информационных ресурсов базируется на следующих основных принципах:
законодательно-правовое определение статуса, полномочий и ответственности контрольных органов и должностных лиц для обеспечения действенности контроля;
соблюдение законности в действиях контрольных органов и их должностных лиц;
независимость контрольных органов при осуществлении ими своих полномочий от проверяемых органов власти, предприятий и должностных лиц;
регулярность проведения контроля;
обязательное расследование инцидентов, связанных с нарушениями требований и норм по защите информации, с последующим их анализом, разработкой соответствующих мер и корректировкой (при необходимости) нормативных и технических документов;
единая методология проведения контроля, общая информационная база всех органов контроля, обеспечивающая доступ к информации при сохранении в тайне информации ограниченного доступа;
эффективность контроля как с точки зрения его результативности (действенности), так и экономичности (обоснованности затрат на содержание контрольных органов, соответствия затрат результатам их деятельности).
В своей деятельности органы контроля состояния защиты информационных ресурсов края руководствуются Конституцией Российской Федерации, федеральными законами "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", Положением о региональной системе технической защиты информации в Краснодарском крае, Положением о системе защиты информационных ресурсов Краснодарского края, государственными стандартами в области защиты информации, решениями, руководящими и нормативными документами Государственной технической комиссии при Президенте Российской Федерации и иными нормативными актами в области защиты информационных ресурсов, а также настоящим Руководством.
2. Виды контроля
2.1. Предварительный и текущий контроль, контроль устранения недостатков:
Предварительный контроль представляет собой оценочную проверку обоснованности мер защиты информации до начала обработки защищаемой информации в информационных системах. Осуществляется с целью своевременного выявления и предотвращения предпосылок возможных нарушений требований или норм защиты информации в процессе функционирования контролируемого объекта.
Текущий контроль - это проверка в процессе обработки защищаемой информации. Осуществляется с целью своевременного выявления возникающих трудностей и недостатков в реализации принятых мер защиты информации и выработки мероприятий по их устранению. Текущий контроль может быть периодическим, повседневным или непрерывным.
Контроль устранения недостатков - это проверка, проводимая после устранения ранее допущенных нарушений норм и требований защиты информации на контролируемом объекте, вследствие которых были приостановлены или ограничены работы с защищаемой информацией. Осуществляется с целью выдачи разрешения на продолжение работ с защищаемой информации.#
2.2. Внутренний контроль, контроль владельцем и собственником информационных ресурсов:
Внутренний контроль проводится в подразделениях органов власти и предприятий - пользователях информационных ресурсов (на объектах контроля) силами уполномоченных должностных лиц этих объектов.
Контроль владельцем информационных ресурсов осуществляется непосредственно силами предприятия (подразделения органа власти), ведущего соответствующие базы и банки данных, информационные системы и другие информационные объекты.
Контроль собственником информационных ресурсов осуществляется силами структурного подразделения по технической защите информации администрации края, а также Советом по вопросам технической защиты информации при главе администрации Краснодарского края. Собственник информационных ресурсов может осуществлять контроль владельцев этих ресурсов, владельцев их носителей и пользователей информационных ресурсов.
2.3. Организационный контроль, контроль эффективности, технический контроль:
Организационный контроль состояния защиты информации состоит в проверке соответствия полноты и обоснованности мероприятий по защите информационных ресурсов в крае требованиям нормативных документов.
Контроль эффективности защиты информации заключается в проверке соответствия количественных или качественных показателей эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Технический контроль эффективности защиты информации заключается в проверке эффективности защиты информации с использованием технических и/или программных средств контроля. Он обеспечивает получение наиболее объективной и достоверной информации о состоянии объектов контроля.
3. Формы контроля
К основным формам контроля защиты информационных ресурсов относятся: инспектирование, надзор, экспертиза, аттестация, сертификация, специальные исследования и специальные проверки.
Инспектирование - это контроль за соблюдением установленных правил и требований по защите информации. Это наиболее распространенная форма контроля. Используется всеми контрольными органами.
Надзор - это контроль в форме правового регулирования. Эта форма применяется, прежде всего, для осуществления контроля за соблюдением законов, установленных норм, требований, стандартов. В отличие от инспектирования субъекты надзора вправе при соответствующих обстоятельствах применять к объектам надзора меры административного принуждения. Необходимым условием надзора является отсутствие между субъектами и объектами надзора организационной соподчиненности.
Экспертиза - это предварительный контроль в форме оценки возможности организации исполнять заявленные ею функции по защите информационных ресурсов. Результатом экспертизы является экспертное заключение.
Сертификация продукции по требованиям безопасности информации (далее сертификация) - это предварительный контроль в форме испытания конкретной продукции с целью подтверждения посредством специального документа сертификата и знака соответствия, что продукция соответствует требованиям стандартов или иных нормативных и методических документов по безопасности информации, утвержденных государственным органом по сертификации в пределах его компетенции. При сертификации могут подтверждаться как отдельные характеристики, так и весь комплекс характеристик продукции, связанных с обеспечением безопасности информации.
Специальные исследования - это предварительный контроль в форме исследования (проверки) отдельных характеристик конкретного объекта с целью установления посредством специального документа - Предписания на эксплуатацию, предельных значений указанных характеристик, при соблюдении которых выполняются требования нормативных документов по безопасности информации, утвержденных государственным органом в пределах его компетенции.
Аттестация - это предварительный контроль в форме комплексной проверки (испытания) защищаемого (контролируемого) объекта в реальных условиях его эксплуатации с целью официальной оценки соответствия используемого комплекса мер и средств защиты требуемому уровню безопасности информации. Аттестация по требованиям безопасности информации предшествует началу обработки подлежащей защите информации. По результатам проверки выдается специальный документ - аттестат соответствия.
4. Структура системы контроля состояния защиты
информационных ресурсов края
Система контроля состояния защиты информационных ресурсов является составной частью региональной системы технической защиты информации.
Система контроля состояния защиты информационных ресурсов включает следующие субъекты контроля:
органы государственного надзора за состоянием защиты информации - Центральный аппарат и управление Государственной технической комиссии при Президенте Российской Федерации по Южному федеральному округу, органы Федерального агентства правительственной связи и информации при Президенте Российской Федерации;
органы контроля собственника информационных ресурсов - структурное подразделение по технической защите информации администрации края, Совет по вопросам технической защиты информации при главе администрации края;
органы контроля владельца информационных ресурсов - уполномоченные должностные лица предприятия (подразделения органа власти), ведущего соответствующие базы и банки данных, информационные системы и другие информационные объекты;
организации, оказывающие услуги по контролю (аттестованию) объектов по требованиям безопасности информации на договорной основе (аудит состояния защиты информации).
Контроль в администрации края силами Государственной технической комиссии при Президенте Российской Федерации осуществляется по согласованию с главой администрации края.
5. Нарушения в области защиты информационных ресурсов края
Несоответствие мер защиты информационных ресурсов установленным требованиям или нормам по защите информации является нарушением.
Нарушения мер защиты информационных ресурсов по степени опасности делятся на две категории:
первая - невыполнение требований или норм по защите информационных ресурсов, в результате чего имелась или имеется реальная возможность утечки информации ограниченного доступа, произошло разрушение, уничтожение, искажение, блокирование важной информации, сбои в работе средств ее обработки или имеется реальная возможность возникновения этих последствий;
вторая - невыполнение требований или норм по защите информационных ресурсов, в результате чего создаются предпосылки к утечке информации, разрушению, уничтожению, искажению, блокированию важной информации или к сбоям в работе средств ее обработки.
Руководитель контрольного органа (проверочной комиссии), выявившего нарушение первой категории, обязан:
принять меры к немедленному пресечению выявленного нарушения путем остановки процесса обработки информации или функционирования объекта;
составить протокол контроля, который довести до руководителя проверяемой организации (объекта);
сообщить, по подчиненности, руководству органа власти, организации (объекта) и владельцу защищаемых информационных ресурсов о вскрытых нарушениях и принятых мерах по их пресечению.
При обнаружении нарушений первой категории руководители проверяемых организаций (объектов) обязаны:
немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;
организовать в установленном порядке расследование причин и условий появления нарушений с целью недопущения их в дальнейшем и привлечения к ответственности виновных лиц.
Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер органом контроля, выявившим нарушение.
При обнаружении нарушений второй категорий руководители проверяемых организаций обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку. Контроль за устранением этих нарушений осуществляется подразделениями по контролю (уполномоченными должностными лицами) проверяемой организации.
6. Организация контроля состояния защиты информационных ресурсов
Организация контроля за состоянием защиты информационных ресурсов на различных видах объектов контроля включает:
планирование контроля состояния защиты информации;
доведение решения о проведении проверки до руководителя проверяемой организации (в случае проведения гласной проверки);
проведение контроля состояния защиты информации;
доведение результатов контроля, выводов и рекомендаций до соответствующих органов и должностных лиц.
Для проведения работ по контролю могут привлекаться на договорной основе организации, имеющие лицензии на право проведения работ в области контроля состояния защиты информации.
Контроль состояния защиты информации осуществляется посредством проведения плановых или внезапных, гласных или негласных проверок, проверок по заявкам проверяемых организаций, а также в ходе повседневного наблюдения за состоянием защиты информации на контролируемых объектах.
Порядок планирования контроля, доведения решений о проведении контроля до проверяемых организаций, а также виды проверок определяют руководители уполномоченных органов контроля.
С целью исключения дублирования проверок и рационального распределения сил и средств всех контрольных органов, исключения случаев выпадения предприятий из сферы контроля владельцы информационных ресурсов согласуют планы проведения контроля со структурным подразделением по защите информации администрации края.
Допуск представителей Государственной технической комиссии при Президенте Российской Федерации на объекты для проведения контроля, доступ их к работам и документам, необходимым для проведения контроля, осуществляется при предъявлении специального удостоверения и предписания на право проведения проверки данного объекта.
Предписания на право проверки состояния защиты информации выдаются:
для объектов органов государственной власти на всей территории края - начальником Инспекционного управления Государственной технической комиссии при Президенте Российской Федерации, заместителем главы администрации края - председателем Совета по вопросам защиты информации при главе администрации края;
для организаций и органов местного самоуправления - начальником Управления Государственной технической комиссии при Президенте Российской Федерации по Южному федеральному округу, руководителями (заместителями руководителей) исполнительных органов местного самоуправления;
для подведомственных организаций - руководителями (заместителями руководителей) органов государственной власти и местного самоуправления или руководителями их контрольных органов в соответствии с компетенцией.
Организация работ по текущему контролю состояния защиты информации в организациях осуществляется их руководителями. В зависимости от объема работ по контролю руководителем организации создается структурное подразделение по контролю либо назначаются штатные (нештатные) специалисты по этим вопросам.
Подразделения по контролю (штатные специалисты) в организациях - пользователях информационных ресурсов осуществляют мероприятия по предварительному и текущему контролю состояния защиты информации в ходе выполнения работ с защищаемыми информационными ресурсами определяют, совместно с владельцем информационных ресурсов основные направления комплексного контроля, участвуют в согласовании технических заданий на проведение работ, дают заключение о необходимости и возможности проведения работ по контролю.
Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю организации или его заместителю.
7. Порядок проведения ведомственного и вневедомственного
контроля на различных видах объектов
7.1. Общий порядок проведения проверки.
Для проведения проверки руководителем контролирующего органа назначается проверочная комиссия во главе с руководителем проверки, который получает предписание на право проведения проверки организации работ и выполнения требований по защите информации в организации (на объекте).
Предписание доводится руководителем проверки до руководителя проверяемой организации (объекта) или лица, его замещающего, который обязан создать проверочной комиссии необходимые условия для исполнения ей своих функций, определенных положением о соответствующем органе контроля.
Руководитель проверки доводит до указанного должностного лица перечень проверяемых вопросов, а также перечень необходимых документов, изделий, технических средств и помещений, к которым должен быть обеспечен доступ членов проверочной комиссии, в соответствии с их правами, определенными настоящим Руководством.
Общими задачами контроля состояния защиты информационных ресурсов, решаемыми в ходе проверки, являются:
проверка соответствия организации работ по защите информации, наличия и содержания внутренних организационно-распорядительных документов требованиям руководящих документов в области защиты информации;
проверка соответствия качественных и количественных показателей эффективности мероприятий по защите информации требованиям или нормам защиты информации.
По результатам проверки составляется акт. Акт проверки высылается в проверяемую организацию (на объект), руководству органа власти по подчиненности организации (объекта) и в орган, проводивший проверку.
При наличии в акте нарушений или недостатков, проверенной организацией в месячный срок составляется план устранения недостатков, который согласовывается с контролирующим органом, проводившим проверку.
О выполнении всех мероприятий плана устранения недостатков проверенная организация извещает орган контроля, который может направить в организацию своих сотрудников для оценки эффективности выполненных мероприятий.
Проверка считается законченной после отметки о выполнении всех мероприятий плана устранения недостатков.
7.2. Вопросы, подлежащие проверке на объектах информатизации:
наличие аттестата на объект информатизации;
характер сведений, циркулирующих между подразделениями, в соответствии с принятой в организации технологией обработки информации; правильность классификации обрабатываемой информации по категории доступа, порядка ее обработки, хранения и размножения при использовании технических средств (СВТ, ТСПИ, оргтехника и т.д.);
деятельность структурных подразделений и ответственных должностных лиц по обеспечению безопасности информации, подлежащей защите;
организация и фактическое состояние доступа обслуживающего и эксплуатирующего персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску персонала к защищаемым ресурсам;
состояние учета всех технических и программных средств отечественного и иностранного производства, участвующих в обработке информации, подлежащей защите, наличие и правильность оформления документов по специальным исследованиям и проверкам технических средств ЭВТ;
правильность размещения средств ЭВТ, ТСПИ (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории в соответствии с предписаниями на их эксплуатацию;
выполнение организационных и технических мер по защите информации, циркулирующей в средствах ЭВТ, наличия, качества установки и порядка эксплуатации программно-аппаратных средств защиты от НСД;
выполнение требований по защите информации при подключении автоматизированных систем обработки информации к внешним и международным информационным системам;
эффективность защиты информации по результатам технического контроля.
7.3. Вопросы, подлежащие проверке в органах государственной власти и местного самоуправления:
наличие структурных подразделений, сотрудников, уровень их подготовки, квалификации, обеспечивающих решение вопросов, связанных с защитой конфиденциальной информации;
наличие руководящих документов по защите конфиденциальной информации;
наличие аттестатов на объекты информатизации;
своевременность и правильность доведения требований руководящих документов по защите информации до сотрудников аппарата и подведомственных организаций, знание их сотрудниками аппарата;
правильность классификации обрабатываемой информации по категории доступа, порядка ее обработки и хранения при использовании технических средств (СВТ, ТСПИ, оргтехника и т.д.), проверка правильности распечатки документов с грифом "Для служебного пользования", их учета;
наличие необходимых документов на технические средства, участвующие в обработке подлежащей защите информации;
состояние безопасности информации в сетях связи и информатизации; оценка деятельности аппарата по методическому руководству и координации работ по защите информации в подведомственных организациях.
7.4. Вопросы, подлежащие проверке в научно-исследовательских и проектных организациях, а также на промышленных предприятиях:
наличие и полнота отработки Руководства по технической защите информации в соответствии с требованиями Государственной технической комиссии при Президенте Российской Федерации, Положения о системе защиты информационных ресурсов Краснодарского края; правильность оценки угроз безопасности информации и налаженность взаимодействия с органами Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при Президенте Российской Федерации;
наличие в технических заданиях на разработку (создание) изделий (систем, средств, объектов) разделов по защите информации;
качество проработки и обоснованность в эскизных и технических проектах мероприятий по защите информации, правильность определения технических каналов утечки информации;
наличие и полнота разработки Инструкции по защите информации для различных этапов жизненного цикла объектов защиты;
наличие и правильность ведения журналов учета рабочего времени средств обработки защищаемой информации;
оценка безопасности информации на защищаемых объектах с учетом результатов технического контроля;
наличие аттестатов на объекты информатизации.
7.5. Вопросы, подлежащие проверке в системах и сетях связи, управления и передачи данных:
выполнение требований по защите информации при присоединении ведомственной (внутренней) сети связи к сети связи общего пользования;
наличие и правильность установки аппаратуры защиты информации в каналах связи;
обоснованность и полнота мероприятий по обеспечению надежности функционирования и защищенности от посторонних воздействий систем автоматизированного управления, а также систем передачи оперативно-диспетчерской информации;
наличие аттестатов на объекты информатизации;
эффективность мероприятий по защите оконечных устройств и коммутационного оборудования, размещенных в выделенных помещениях или передающих подлежащую защите информацию.
8. Финансирование мероприятий по контролю состояния защиты
информационных ресурсов края
Финансирование мероприятий по контролю состояния защиты информационных ресурсов края, а также подразделений контроля в органах власти и в организациях, финансируемых за счет средств краевого бюджета, предусматривается в сметах расходов на их содержание.
Финансирование деятельности подразделений контроля иных организаций осуществляется за счет средств, получаемых от их основной деятельности и из иных не запрещенных законодательством источников.
Создание средств контроля эффективности защиты информации, не требующих капитальных вложений, осуществляется в пределах средств, выделяемых заказчикам на научно-исследовательские и опытно-конструкторские работы, связанные с созданием информационных ресурсов. Расходы по разработке указанных средств включаются в стоимость создаваемых информационных ресурсов.
Заместитель руководителя аппарата,
генеральный директор социально-
производственного департамента
|
администрации Краснодарского края |
Н.А. Долуда |