Периодичность проведения проверок организаций определяется исходя из высшего грифа секретности обрабатываемой (циркулирующей) в ней информации или установленной категории по требованиям обеспечения защиты образцов вооружения и военной техники. Такая периодичность может указываться в руководстве по технической защите информации или в инструкциях по технической защите информации, касающейся изделия (образца).
Периодичность проведения проверок состояния технической защиты информации устанавливается:
• для организаций, работающих со сведениями «особой важности» (образцы 1-й категории) — не реже одного раза в два года;
• для организаций, работающих со сведениями, имеющими гриф «совершенно секретно» (образцы 2-й категории) — не реже одного раза в три года;
• для организаций, работающих со сведениями, имеющими гриф «секретно» (образцы 3-й категории) — не реже одного раза в пять лет.
Нарушения в области технической защиты информации представляют собой несоответствие мер технической защиты информации установленным требованиям или нормам.
По степени опасности нарушения делятся на три категории:
первая категория — невыполнение требований или норм по технической защите информации, составляющей государственную тайну, подтвержденное протоколом технического контроля, в результате которого имелась или имеется реальная возможность утечки информации по техническим каналам, несанкционированный доступ к информации или воздействие на информацию;
вторая категория — невыполнение требований по технической защите информации, в результате чего создаются предпосылки к утечке информации по техническим каналам или несанкционированному доступу к ней;
третья категория — недостатки в оформлении документов по организации технической защиты информации, которые не ведут непосредственно к возникновению предпосылок к утечке информации по техническим каналам или к несанкционированному доступу к ней.
При обнаружении нарушений второй и третьей категорий руководитель проверяемой организации обязан принять необходимые меры по их устранению в сроки, согласованные с проверяющим органом. Контроль за устранением этих нарушений осуществляется подразделением контроля проверенной организации.
Содержание контроля состояния технической защиты информации составляет оценка деятельности (состояния работ) по противодействию ИТР и технической защите информации, а также эффективности мер (мероприятий) по защите государственных и промышленных объектов, образцов вооружения и военной техники, информационных систем, средств и систем связи и управления (далее — контроль эффективности защиты).
Контроль деятельности по технической защите информации заключается в проверке организации работ по защите информации, наличия органов (подразделений) технической защиты информации, включения задач защиты информации в положения о подразделениях и функциональных обязанностях должностных лиц, наличия и содержания внутренних организационно-распорядительных документов (приказов, руководств, положений, инструкций) на соответствие требованиям правовых и нормативных документов в области защиты информации, порядка и своевременности их доведения до исполнителей и подведомственных организаций, наличия и полноты планов работ по технической защите информации и контролю ее эффективности, а также состояния их выполнения.
Контроль эффективности защиты — это проверка соответствия качественных и количественных показателей эффективности мер (мероприятий) по противодействию ИТР и технической защите государственных и промышленных объектов, образцов вооружения и военной техники, информационных систем, средств и систем связи и управления требованиям или нормам эффективности защиты информации.
Состав видов технической разведки и их возможности, угрозы безопасности информации и каналы ее утечки, подлежащие контролю, определяются Гостехкомиссией России в соответствующих моделях технических разведок и концепциях защиты.
В зависимости от вида контроль эффективности защиты может быть организационным и техническим.
Организационный контроль — проверка соответствия полноты и обоснованности мероприятий по защите требованиям руководящих документов в области технической защиты информации.
Технический контроль — это контроль эффективности защиты, проводимый с использованием соответствующих средств. Целью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контроля. При проведении технического контроля оценивается соответствие объективных показателей состояния защиты объекта предельно допустимым значениям (нормам). Для проведения технического контроля эффективности защиты информации могут использоваться космические, воздушные, наземные, морские, а также встроенные средства технического контроля. Проведение объема технического контроля эффективности технической защиты информации может быть разным.
Комплексный контроль проводится по всем каналам возможной утечки информации (несанкционированного доступа к информации или воздействия на нее), характерным для контролируемого технического средства (образца, объекта информатизации), причем оценка эффективности технической защиты информации осуществляется во взаимной увязке результатов обследования по всем указанным каналам.
Целевой контроль — это проверка по одному из каналов возможной утечки информации, характерных для контролируемого технического средства, в котором циркулирует защищаемая информация.
Для выборочного контроля из всего состава технических средств на объекте для проверки выбирают те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.
В зависимости от имеющихся условий проведения технический контроль эффективности технической защиты информации может осуществляться тремя методами.
В ходе инструментального контроля используется техническое измерительное средство и моделируются реальные условия работы технического средства разведки.
При инструментально-расчетном контроле измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются относительно предполагаемого места (условий) нахождения технического средства разведки.
Для проведения расчетного контроля эффективность защиты оценивается математически, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.
Технический контроль осуществляется в соответствии с методиками контроля состояния технической защиты информации, утвержденными или согласованными с ФСТЭК России. Не допускается физическое подключение технических средств контроля, а также формирование тестовых режимов, запуск тестовых программ на образцах, средствах и информационных системах в процессе выполнения ими обработки информации или технологического процесса.
Технический контроль состояния защиты информации в системах управления производствами, транспортом, связью, энергетикой и передачи финансовой и другой информации осуществляется в соответствии со специально разрабатываемыми программами и методиками контроля, согласованными Гостехкомиссией России, владельцем объекта и ведомством по подчиненности объекта контроля.
Во всех органах исполнительной власти и организациях проверяется:
• наличие должностных лиц, структурных подразделений или отдельных сотрудников по защите информации, уровень их подготовки (квалификации);
• наличие и полнота отработки Руководства по технической защите информации в соответствии с требованиями руководящих документов ФСТЭК России, правильность оценки опасности технических средств разведки применительно к данному объекту;
• наличие и достаточность руководящих и внутренних организационно-распорядительных документов по защите информации;
• наличие физической защиты территории и здания, где размещаются устройства и носители информации, с помощью технических средств охраны и специального персонала, обеспечение пропускного режима и специального оборудования помещений, где размещаются устройства и носители информации;
• своевременность и правильность категорирования выделенных помещений, соблюдение порядка их аттестации при вводе в эксплуатацию, оформление разрешения на проведение закрытых мероприятий и ведение переговоров по секретной тематике;
• эффективность мероприятий по защите информации, осуществляемых на объектах при посещении их иностранными представителями;
• организация и фактическое состояние доступа персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску персонала к защищаемым ресурсам;
• выполнение организационных и технических мер по технической защите информации при ее обработке средствами вычислительной и оргтехники;
• соответствие принятых мер по технической защите информации установленным нормам и требованиям.
В органах исполнительной власти и органах производственного управления (холдингах, аппаратах научно-производственных и производственных объединений, вышестоящих акционерных обществах по отношению к дочерним и зависимым организациям) проверяется:
• наличие в системе соответствующего органа исполнительной власти или производственного управления (далее — органа управления) необходимых руководящих документов по защите информации;
• своевременность доведения требований руководящих документов по технической защите информации до сотрудников аппарата и подведомственных организаций;
• состояние информационной безопасности в ведомственных (корпоративных) сетях связи и информатизации;• деятельность аппарата органа управления по методическому руководству и координации работ по технической защите информации в отраслевых (дочерних, зависимых) организациях.
В научно-исследовательских и проектных организациях, на промышленных предприятиях и в испытательных организациях оборонного промышленного комплекса проверяется также:
• перечень проводимых работ и создаваемых образцов вооружения и военной техники, подлежащих защите от технических разведок, в соответствии с годовым планом (перечнем) работ по оборонной тематике;
• наличие в технических заданиях на разработку (создание) изделий (систем, средств, объектов) разделов по защите охраняемых сведений (характеристик) и конкретных требований по защите информации;
• качество проработки и обоснованность в эскизных и технических проектах мероприятий по защите информации, перечней охраняемых сведений и демаскирующих признаков, правильность определения технических каналов утечки информации и их опасности;
• наличие и полнота отработки «Инструкции по технической защите информации (противодействию техническим средствам разведки)» для различных этапов жизненного цикла объектов защиты (изделий);
• наличие и правильность ведения документов на рабочие места, где проводятся работы по закрытой тематике, а также журналов учета времени работы изделий;
• правильность оценки разведдоступности защищаемых работ (изделий) на объекте и основные результаты проведенного ранее на объекте технического контроля (аттестации);
• наличие и деятельность экспертных комиссий на предприятиях, осуществляющих поставки образцов вооружения и военной техники на экспорт, а также степень привлечения к их работе специалистов по технической защите информации и представителей заказчика;
• эффективность мер по защите охраняемых характеристик образцов вооружения и военной техники, их элементов — носителей защищаемой информации, охраняемых характеристик предприятия (как объекта защиты) по результатам технического контроля.
В информационных и автоматизированных системах обработки информации проверяется:
• наличие сведений, составляющих государственную или служебную тайну, циркулирующих в средствах обработки информации и помещениях в соответствии с принятой на объекте технологией обработки информации;
• правильность категорирования объектов информатизации, а также классификации автоматизированных систем в зависимости от степени секретности обрабатываемой информации;
• наличие и правильность оформления аттестатов соответствия на объекты информатизации, а также сертификатов на средства защиты информации, наличие материалов по специальным исследованиям и специальным проверкам технических средств (в необходимых случаях);
• организация и фактическое состояние доступа обслуживающего и эксплуатирующего персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску персонала к защищаемым ресурсам, организация учета, хранения и обращения с конфиденциальными машинными носителями информации;
• состояние учета всех технических и программных средств отечественного и иностранного производства, участвующих в обработке информации, подлежащей защите, наличие и правильность оформления документов по специальным исследованиям и проверкам технических средств информатизации, в том числе на наличие недекларированных возможностей программного обеспечения;
• правильность размещения технических средств информатизации (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории, в соответствии с предписаниями на эксплуатацию;
• обоснованность и полнота выполнения организационных и технических мер по защите информации, циркулирующей в средствах электронной вычислительной техники;
• наличие, правильность установки и порядка эксплуатации средств защиты от несанкционированного доступа и специальных программно-математических воздействий к информации;
• выполнение требований по технической защите информации при присоединении автоматизированных систем ее обработки к внешним и международным информационным системам общего пользования;
• оценка эффективности мер защиты по результатам проведения выборочного технического контроля.
В системах и сетях связи, автоматизированных системах управления и передачи данных проверяется:
• выполнение требований по технической защите информации при присоединении ведомственной (внутренней) сети связи к сети связи общего пользования, взаимоувязанной сети связи Российской Федерации;
• полнота и правильность оценки разведдоступности каналов и линий связи, анализ характера передаваемой по ним информации;
• наличие и правильность установки аппаратуры технической защиты информации в каналах связи, а также ее исправность и работоспособность;
• обоснованность и полнота выполнения мероприятий по обеспечению защищенности от воздействий систем автоматизированного управления, а также систем передачи оперативно-диспетчерской информации;
• состояние технической защиты информации в ходе деятельности предприятий связи по обеспечению живучести и устойчивости магистральных сетей связи;
• обеспечение защищенности от программно-математических воздействий и несанкционированного доступа систем управления цифровым коммутационным оборудованием;
• эффективность мероприятий по защите оконечных устройств и коммутационного оборудования, размещенных в выделенных помещениях или передающих подлежащую защите информацию, наличие материалов по специальным исследованиям и специальным проверкам технических средств (в необходимых случаях).
В финансово-кредитных организациях, обслуживающих органы исполнительной власти и предприятия оборонного промышленного комплекса, проверяется:
• наличие требований по технической защите информации клиентов финансово-кредитной организации — органов исполнительной власти и предприятий оборонного промышленного комплекса;
• наличие специального участка (комплекса технических средств) для обработки информации, подлежащей защите;
• эффективность специального технологического процесса выделения подлежащей защите информации из общего массива финансовой информации.
В организациях, осуществляющих топографе-геодезическую и картографическую деятельность или использующих топог-рафо-геодезическую информацию, проверяется:
• наличие лицензий и разрешений на выполнение топографо-геодезических и картографических работ;
• технические мероприятия по защите информации при осуществлении цифровой обработки фотоматериалов и обоснованность грифа секретности производных материалов;
• технические мероприятия по защите информации при разработке и изготовлении тематических и специальных карт и планов на основе секретных топографических материалов;
• соответствие установленному порядку производства, реализации или эксплуатации аппаратуры для определения координат, работающей по сигналам космических аппаратов;
• порядок внедрения и использования геоинформационных систем для целей обработки подлежащей защите информации.
Тема 18.