Technická kontrola účinnosti opatrení informačnej bezpečnosti. Monitorovanie stavu informačnej bezpečnosti. Dokumentácia výsledkov kontroly. Požiadavky na kontroly informačnej bezpečnosti

Monitorovanie stavu ochranu informácií(ďalej len kontrola) sa vykonáva s cieľom včas odhaliť a zabrániť úniku informácií technickými kanálmi, neoprávnenému prístupu k nim a úmyselným softvérovým a hardvérovým zásahom do informácií.

Kontrola pozostáva z kontroly plnenia legislatívnych aktov Ruská federácia o otázkach ochrany informácií, rozhodnutia FSTEC Ruska, ako aj pri posudzovaní platnosti a účinnosti ochranných opatrení prijatých na zabezpečenie súladu so schválenými požiadavkami a štandardmi na ochranu informácií.

Kontrolu organizujú Federálna služba pre technickú a exportnú kontrolu, Federálna bezpečnostná služba Ruskej federácie, Ministerstvo vnútra Ruskej federácie, Ministerstvo obrany Ruskej federácie, Zahraničná spravodajská služba Ruskej federácie a Federálna bezpečnostná služba Ruskej federácie, štrukturálne a medzirezortné útvary orgánov štátnej správy zaradených do štátneho systému ochrany informácií a podniky v súlade s ich kompetenciou.

Zápisy o kontrole podnikov zasielajú ich vedúci orgánu orgánu, ktorý kontrolu vykonal, a orgánu štátnej správy podľa podriadenosti podniku.

FSTEC Ruska organizuje kontrolu prostredníctvom centrály a oddelení FSTEC Ruska vo federálnych okresoch. Na tieto účely môže zahŕňať útvary orgánov na ochranu informácií. štátnej moci.

Centrálny aparát FSTEC Ruska vykonáva v rámci svojej pôsobnosti kontrolu vo vládnych orgánoch a podnikoch, metodicky usmerňuje kontrolnú prácu (s výnimkou objektov a technických prostriedkov, ktorých ochrana je v kompetencii FSB Ruska). , Ministerstvo vnútra Ruska, Ministerstvo obrany Ruska, Zahraničná spravodajská služba Ruska, FSO Rusko).

Oddelenia FSTEC Ruska vo federálnych okresoch v rámci svojej pôsobnosti vykonávajú kontrolu vo vládnych orgánoch a podnikoch nachádzajúcich sa v oblastiach zodpovednosti týchto centier.

Štátne orgány organizujú a vykonávajú kontrolu v im podriadených podnikoch prostredníctvom svojich útvarov ochrany informácií. Každodenné monitorovanie stavu informačnej bezpečnosti v podnikoch vykonávajú ich oddelenia informačnej bezpečnosti.

Kontrolu v podnikoch neštátneho sektora pri výkone prác s informáciami klasifikovanými ako štátne alebo služobné tajomstvo vykonávajú štátne orgány, FSTEC Ruska, FSB Ruska a objednávateľ diela v súlade so svojou kompetenciou.

Ochrana informácií sa považuje za účinnú, ak sú prijaté opatrenia v súlade so stanovenými požiadavkami alebo normami.

Nedodržanie stanovených požiadaviek alebo noriem na ochranu informácií je porušením. Porušenia sú rozdelené do troch kategórií podľa závažnosti:

prvým je nedodržanie požiadaviek alebo noriem na ochranu informácií, v dôsledku čoho bola alebo je reálna možnosť ich úniku technickými kanálmi;

druhým je nedodržiavanie požiadaviek na ochranu informácií, v dôsledku čoho sú vytvorené predpoklady na ich únik technickými kanálmi;

treťou je nedodržanie iných požiadaviek na ochranu informácií.

Ak sa zistia porušenia prvej kategórie, vedúci vládnych orgánov a podnikov sú povinní:

okamžite zastaviť prácu na mieste (pracovisku), kde sa zistia porušenia, a prijať opatrenia na ich odstránenie;

zorganizovať predpísaným spôsobom vyšetrovanie príčin a podmienok porušenia s cieľom zabrániť im v budúcnosti a postaviť páchateľov pred súd;

informovať FSTEC Ruska, FSB Ruska, vedenie vládneho orgánu a zákazníka o zistených porušeniach a prijatých opatreniach.

Obnovenie práce je povolené po odstránení priestupkov a po overení dostatočnosti a účinnosti prijatých opatrení zo strany FSTEC Ruska alebo na jeho pokyn jednotkami ochrany informácií vládnych agentúr.

Ak sa zistia porušenia druhej a tretej kategórie, vedúci kontrolovaných orgánov štátnej správy a podnikov sú povinní prijať potrebné opatrenia na ich odstránenie v lehote dohodnutej s orgánom, ktorý kontrolu vykonal, alebo objednávateľom (zástupcom zákazníka) . Kontrolu odstraňovania týchto porušení vykonávajú útvary ochrany informácií týchto vládnych orgánov a podnikov.

Kontrola bezpečnosti informácií pred nediskriminačnými informáciami zahŕňa kontrolu, či účinnosť opatrení na ochranu informácií spĺňa stanovené požiadavky alebo štandardy informačnej bezpečnosti. Testované sú všetky skupiny prostriedkov ochrany pred NSD, o ktorých sme hovorili v predchádzajúcich prednáškach.

Kontroluje sa súlad popisy technologický postup spracovanie a ukladanie chránených informácií do reálneho procesu.

Príležitosť sa posudzuje prenos informácií s vyššou úrovňou dôvernosti na nosič informácií s nižšou úrovňou.

Prebieha analýza povolené a zakázané spojenia medzi subjektmi a objektmi prístupu s odvolaním sa na konkrétny OTSS a personál personálu.

Posudzuje sa súlad povolené a zakázané pripojenia k systému povoľovania prístupu personálu k chráneným zdrojom vo všetkých fázach spracovania.

Overenie sa spravidla vykonáva pomocou softvérových a hardvérovo-softvérových nástrojov na kontrolu bezpečnosti. Ako príklad si predstavte produkty jednej spoločnosti, Information Security Center LLC.

Bezpečnostný kontrolný nástroj od NSD „Inspector 2 XP“ je určený na kontrolu prístupových oprávnení k informačným zdrojom.

• zobrazenie všetkých informácií obsiahnutých v PRD (je možné len prezeranie);
• porovnanie štruktúry zdrojov AWS opísanej v povolení na prácu so skutočnou štruktúrou zdrojov;
• vytvorenie správy na základe výsledkov porovnania;
• vytvorenie plánu testovania pre automatizované objekty na pracovisku;
• kontrola skutočných prístupových práv používateľov k prístupovým objektom;
• vytvorenie správy o výsledkoch testovania.

Sieťový skener "Network Inspector" verzia 3.0 je určený na detekciu zraniteľností v nainštalovanom sieťovom softvéri a hardvéri, ktoré používajú protokoly TCP/IP. Systém má rozsiahle možnosti, jednou z nich je vyhľadávanie zraniteľností obsiahnutých v databáze hrozieb a zraniteľností FSTEC, o ktorej sme hovorili vyššie. Okrem toho program hľadá zraniteľnosti obsiahnuté v cve.mitre. org, ovaldb.altx-soft.ru, microsoft. com a niektoré ďalšie zdroje.

Nástroj na opravu a monitorovanie počiatočného stavu softvérového balíka FIX je určený na riadenie subsystému zabezpečenia integrity. Hlavné vlastnosti programu:

• oprava počiatočného stavu softvérového balíka;
• monitorovanie počiatočného stavu softvérového balíka;
• fixácia a kontrola adresárov;
• kontrola rozdielov v určených súboroch (adresároch);
• schopnosť pracovať s dlhými názvami súborov a názvami obsahujúcimi znaky cyriliky.

Program na vyhľadávanie a zaručené zničenie informácií na diskoch "TERRIER" vám umožňuje kontrolovať zničenie informácií. Pre kontrolu je potrebné vytvoriť súbor s riadiacou kombináciou znakov na dôvernom logickom disku, lokalizovať sektory pomocou "TERRIER", vymazať súbor pomocou štandardných nástrojov a ovládať jeho vymazanie pomocou TERRIER.

18.4. Dokumentácia výsledkov kontroly. Požiadavky na kontroly informačnej bezpečnosti

Je potrebné poznamenať, že prostriedky monitorovania účinnosti opatrení informačnej bezpečnosti, ako aj výrobcovia takýchto prostriedkov podliehajú dostatočnému prísne požiadavky. V súlade s „Predpisom o povoľovacej činnosti na vývoj a výrobu prostriedkov na ochranu dôverných informácií“, schváleným nariadením vlády SR č. podlieha licencovaniu. A vyvinuté a vyrobené prostriedky na monitorovanie účinnosti ochranných opatrení sami musia mať osvedčenie o zhode FSTEC podľa požiadaviek vyhlášky vlády Ruskej federácie z 26. júna 1995 N 608 „O certifikácii prostriedkov informačnej bezpečnosti“.

Sledovanie účinnosti ochrany sa končí vydaním Záveru so stručným zhodnotením súladu informačného objektu s ohľadom na informačnú bezpečnosť, konkrétnymi odporúčaniami na elimináciu porušení, uvedením systému ochrany informačného objektu do súladu so stanovenými požiadavkami, zlepšením tohto systému a odporúčania na monitorovanie fungovania informačného objektu. K záveru sú pripojené protokoly o skúškach, ktoré potvrdzujú výsledky získané počas skúšok a odôvodňujú záver uvedený v závere.

Vzhľadom na to, že kontrolné / analytické opatrenia na zabezpečenie osobných údajov sú zahrnuté v základných súboroch ochranných opatrení od UZ4 - UZ3, väčšina prevádzkovateľov osobných údajov si zaobstarala bezpečnostné skenery. Občas sa stretávam s nasledujúcimi otázkami: je vôbec potrebné tento skener spúšťať a ak áno, ako často a čo presne kontrolovať.

Skúsme na to prísť:
· skenery sa používajú na implementáciu skupiny opatrení na kontrolu (analýzu) bezpečnosti osobných údajov (APD) povinných v súlade s príkazom FSTEC Ruska č. 21 z 18. februára 2013.
Pozrime sa, či existujú nejaké právne akty Ruskej federácie povinné požiadavky na poradie alebo frekvenciu bezpečnostného skenovania:

Rozkaz FSTEC Ruska č. 21
„8.8. Opatrenia na kontrolu (analýzu) bezpečnosti osobných údajov by mali zabezpečiť kontrolu úrovne bezpečnosti osobných údajov spracúvaných v informačnom systéme vykonávaním systematických opatrení na analýzu bezpečnosti informačného systému a testovanie výkonnosti systému ochrany osobných údajov .
ANZ.1 Identifikácia, analýza zraniteľností informačného systému a rýchla eliminácia novo identifikovaných zraniteľností
ANZ.2 Kontrola inštalácie aktualizácie softvér vrátane aktualizácie softvéru na zabezpečenie informácií
ANZ.3 Monitorovanie výkonu, nastavenia a správneho fungovania softvérových nástrojov a nástrojov informačnej bezpečnosti
ANZ.4 Kontrola zloženia hardvéru, softvéru a prostriedkov informačnej bezpečnosti“

GOST R 51583-2014 postup vytvárania chránených reproduktorov

Nebolo možné nájsť viac predpisov obsahujúcich požiadavky na bezpečnostnú analýzu

To znamená, že v právnych aktoch Ruskej federácie neobsahuje požiadavky na poradie a frekvenciu vykonávanie bezpečnostných skenov, resp. nastavení skenovacích profilov, frekvencie analýzy zraniteľnosti určí prevádzkovateľ nezávisle
Ako môže určiť toto poradie a frekvenciu?

· s najväčšou pravdepodobnosťou je potrebné vychádzať z vlastností a kritickosti informačného systému, zloženia použitého softvéru a interné pravidlá aktualizácie softvéru;

· Musíte tiež pochopiť, že na základe výsledkov skenovania vygeneruje správu o zraniteľnostiach, ktorú je potrebné ešte dopracovať - ​​odstrániť zraniteľnosti a nainštalovať chýbajúce aktualizácie. Nemá zmysel vykonávať kontroly častejšie, než majú zodpovední ľudia čas na spracovanie hlásenia a opravu slabých miest. Frekvencia skenovania > priemerný čas spracovania správy o zraniteľnosti

· pri určovaní poradia a frekvencie skenovania sa môže prevádzkovateľ informačného systému riadiť vlastnou odbornosťou v danej oblasti informačná bezpečnosť, skúsenosti s vykonávaním činností bezpečnostnej analýzy, odporúčania od externých odborníkov a držiteľov licencie FSTEC, ako aj dokumenty so statusom „odporúčané“ alebo „ osvedčené postupy”

· je potrebné vziať do úvahy, že opatrenia bezpečnostnej analýzy musia byť systematický(bod 8.8 objednávky FSTEC č. 21) a musí byť dostatočné neutralizovať súčasné hrozby (bod 2 nariadenia vlády č. 1119)

Pozrime sa, čo je v najlepších metodických dokumentoch a osvedčených postupoch:

GOST R ISO/IEC 27002-2012
„12.6 Riadenie technickej zraniteľnosti
Cieľ: Znížiť riziká vyplývajúce z využívania zverejnených technických zraniteľností.

Riadenie technickej zraniteľnosti by sa malo vykonávať účinným, systematickým a opakovateľným spôsobom, pričom by sa mali vykonávať merania na potvrdenie jeho účinnosti. Tieto úvahy by sa mali vzťahovať na prevádzkované systémy a akékoľvek iné používané aplikačné programy.
12.6.1 Správa technických zraniteľností

Miera a prostriedky kontroly a riadenia

Je potrebné získať včasné informácie o technických slabinách používaných informačných systémov, posúdiť vystavenie organizácie takýmto zraniteľnostiam a prijať vhodné opatrenia na riešenie rizika s nimi spojeného.

Priebežne aktualizovaný a kompletný inventár majetku (pozri 7.1) je predpokladom efektívneho riadenia technickej zraniteľnosti. Špecifické informácie potrebné na podporu riadenia technickej zraniteľnosti zahŕňajú informácie o dodávateľovi softvéru, čísla verzií, aktuálnom stave nasadenia (napríklad, ktorý softvér je nainštalovaný na ktorých systémoch) a osobách zodpovedných za softvér v organizácii.

Podobne by sa mali prijať včasné opatrenia v reakcii na identifikáciu potenciálnych technických slabín. Na vytvorenie efektívneho procesu riadenia technických zraniteľností by sa mali dodržiavať tieto odporúčania:
a) organizácia by mala definovať a stanoviť úlohy a zodpovednosti spojené s technickým riadením zraniteľnosti vrátane monitorovania zraniteľnosti, hodnotenia rizika zraniteľnosti, opravy softvéru, sledovania aktív a akýchkoľvek iných koordinačných funkcií;
b) informačné zdroje, ktoré sa použijú na identifikáciu a informovanie o významných technických slabinách, by sa mali určiť pre softvér a inú technológiu na základe inventárneho zoznamu aktív (pozri 7.1.1); tieto informačné zdroje by sa mali aktualizovať, keď sa vykonajú zmeny v inventári alebo keď sa nájdu iné nové alebo užitočné zdroje;
c) je potrebné určiť načasovanie reakcie na oznámenia o potenciálne závažných technických slabinách;
d) Po identifikácii potenciálnej technickej zraniteľnosti by mala organizácia určiť riziká s ňou spojené a opatrenia, ktoré je potrebné prijať; takéto akcie môžu zahŕňať opravu postihnutých systémov a/alebo implementáciu iných kontrol a kontrol;
e) V závislosti od toho, ako naliehavo je potrebné riešiť technickú zraniteľnosť, podniknuté opatrenie by sa malo vykonať v súlade s kontrolami spojenými s riadením zmien (pozri 12.5.1) alebo podľa postupov reakcie na incidenty bezpečnosti informácií (pozri 13.2);
f) ak je možné nainštalovať opravu, mali by sa posúdiť riziká spojené s jej inštaláciou (porovnať riziká vyplývajúce zo zraniteľnosti s rizikom inštalácie opravy);
g) pred inštaláciou by sa mali náplasti otestovať a vyhodnotiť, aby sa zabezpečilo, že sú účinné a nevedú k vedľajším účinkom, ktoré by sa nemali tolerovať; Ak nie je možné nainštalovať opravu, mali by sa zvážiť iné ovládacie prvky a ovládacie prvky, napríklad:
1) zakázanie služieb spojených s zraniteľnosťou;
2) prispôsobenie alebo pridanie kontrol prístupu, ako sú firewally na hraniciach siete (pozri 11.4.5);
3) vylepšené monitorovanie na zistenie alebo prevenciu skutočných útokov;
4) zvyšovanie povedomia o zraniteľnostiach;
h) revízny záznam by mal zaznamenávať všetky vykonané postupy;
i) proces riadenia technickej zraniteľnosti by sa mal pravidelne monitorovať a hodnotiť, aby sa získala dôvera v jeho účinnosť a efektívnosť;
j) Mali by sa uprednostniť vysokorizikové systémy.

Ďalšie informácie

Správne fungovanie procesu riadenia technickej zraniteľnosti je dôležité pre mnohé organizácie a tento proces by sa mal pravidelne monitorovať. Presný inventár je dôležitý na to, aby sa zabezpečilo, že sa identifikujú potenciálne významné technické nedostatky.

Riadenie technickej zraniteľnosti možno považovať za podfunkciu riadenia zmien a ako také môže mať prospech z procesov a postupov riadenia zmien (pozri 10.1.2 a 12.5.1).

Predajcovia často pociťujú značný tlak na uvoľnenie záplat čo najskôr. Náplasť preto nemusí adekvátne vyriešiť problém a môže mať vedľajšie účinky. Okrem toho v niektorých prípadoch nemusí byť po aplikácii opravy ľahké ju odinštalovať.

Ak nie je možné vykonať primerané testovanie záplat, napríklad z dôvodu nákladov alebo nedostatku zdrojov, možno zvážiť oneskorenie implementácie zmien, aby sa posúdili súvisiace riziká na základe skúseností iných používateľov.“

RS BR IBBS-2.6-2014
"10. Fáza prevádzky
10.1. Hlavnými úlohami v prevádzkovej fáze z hľadiska zabezpečenia informačnej bezpečnosti sú:
- periodické hodnotenie bezpečnosti ABS (vykonávanie opatrení na identifikáciu typických slabín softvérových komponentov ABS, penetračné testovanie);
10.2. Frekvencia prác na posudzovanie bezpečnosti je určená rozhodnutím
organizácie RF BS. Pre základné bankové systémy používané na implementáciu technológie bankových platieb
nelogický proces, odporúča sa vykonať komplexné hodnoteniežiadne zabezpečenie
menej ako raz za rok"

metodický dokument FSTEC Ruska „Opatrenia na ochranu informácií v štátnych informačných systémoch“, ktoré je možné použiť aj na zaistenie bezpečnosti osobných údajov podľa uváženia prevádzkovateľa
„ANZ.1 IDENTIFIKÁCIA, ANALÝZA A ODSTRÁNENIE ZRANITEĽNOSTÍ INFORMAČNÉHO SYSTÉMU
Identifikácia (vyhľadávanie), analýza a eliminácia zraniteľností by sa mali vykonávať vo fázach vytvárania a prevádzky informačného systému. V prevádzkovej fáze sa vyhľadávanie a analýza zraniteľností vykonáva v intervaloch stanovených prevádzkovateľom. Zároveň je to povinné pre kritické zraniteľnosti vyhľadávanie a analýza zraniteľností v prípade zverejnenia vo verejne dostupných zdrojoch informácie o nových zraniteľnostiach nástrojov informačnej bezpečnosti, hardvéru a softvéru používaného v informačnom systéme.
Požiadavky na posilnenie ANZ.1:
2) prevádzkovateľ je povinný aktualizovať zoznam zraniteľností naskenovaných v informačnom systéme v ním stanovenej frekvencii, ako aj po objavení sa informácií o nových zraniteľnostiach;“

· riadi sa metodickým dokumentom FSTEC - bezpečnostná analýza musí byť vykonaná bez problémov po zverejnení informácie o kritickej zraniteľnosti alebo aktualizácii;

· pri OS Windows sa takéto zraniteľnosti vyskytujú v priemere mesačne;

· podľa môjho názoru na zabezpečenie neutralizácie súčasných hrozieb musí byť vykonaná aspoň bezpečnostná analýza pomocou skenerov štvrťročne

· ako východiskový bod pri určovaní toho, čo a ako skontrolovať, môžete použiť Prílohu 3 Odporúčania na vykonávanie bezpečnostných hodnotení k RS BR IBBS-2.6-2014 - časť 2 „Identifikácia známych zraniteľností“

1. Organizácia práce na technickej ochrane informácií:

1.1.Organizácia technickej ochrany informácií klasifikovaných ako štátne a služobné tajomstvo pred technickým personálom a pred únikom cez technické kanály:

• dostupnosť usmernení a regulačných a technických dokumentov o otázkach technickej bezpečnosti informácií;
• dostupnosť dokumentov upravujúcich činnosť štruktúrnych jednotiek na ochranu technickej informácie (úlohy, funkčné povinnosti atď.);
• analýza a hodnotenie skutočného nebezpečenstva úniku informácií cez technické kanály, úplnosť a správnosť identifikácie možných technických kanálov úniku informácií, ktoré treba chrániť;
• úplnosť, kvalita a opodstatnenosť rozvoja organizačných a technické opatrenia opatrenia na ochranu informácií, postup pri ich vykonávaní;
• postup pri organizovaní a monitorovaní stavu technickej informačnej bezpečnosti, jej efektívnosti;
• včasnosť a úplnosť súladu s požiadavkami riadiacich dokumentov, rozhodnutí Štátnej technickej komisie Ruska, regulačných, technických a metodických dokumentov o technickej ochrane informácií.

1.2. Štúdium a analýza činností štrukturálnych jednotiek (zodpovedných úradníkov) na zaistenie bezpečnosti informácií, ktoré sa majú chrániť, úloh, ktoré riešia a funkčných zodpovedností.

1.3. Analýza materiálov charakterizujúcich prístup spravodajských služieb k informáciám v obehu štrukturálne členenia. Identifikácia prítomnosti zahraničných zastupiteľských úradov požívajúcich právo extrateritoriality a miesta pobytu v zóne 1000 metrov zahraničných špecialistov.

1.4 Štúdium a analýza zoznamu informácií podliehajúcich ochrane:

• dostupnosť zoznamu informácií, ktoré sú predmetom ochrany pred technickými spravodajskými prostriedkami a pred únikom cez technické kanály:
• úplnosť a správnosť definície demaskovacích znakov, ktoré odhaľujú tieto informácie;

1.5 Dostupnosť systému informačnej bezpečnosti:

• prítomnosť úloh na technickú ochranu informácií v organizačných a administratívnych dokumentoch upravujúcich činnosť organizácií a útvarov zaradených do jednotný systém orgánov kontrolovaná vládou V Ruskej federácii;
• organizácia a vykonávanie prác na technickej ochrane informácií v ústredí ministerstva (odbore) a v jemu podriadených podnikoch, organizáciách a inštitúciách;
• interakcia v otázkach technickej bezpečnosti informácií s inými ministerstvami (oddeleniami) a inými organizáciami tretích strán;
• zabezpečenie kontroly účinnosti ochrany informácií tvoriacich štátne a služobné tajomstvo vo všetkých podnikoch, inštitúciách a organizáciách podriadených a podriadených ministerstvu (odboru), ktoré s nimi pracujú.

1.6 Analýza možných technických kanálov úniku informácií o informáciách klasifikovaných ako štátne tajomstvo pri činnosti ministerstva (rezortu) a jemu podriadených podnikov, organizácií a inštitúcií.

1.7 Analýza informačných tokov pri fungovaní štruktúrnych oddelení.

1.8 Analýza zloženia hardvéru a softvéru zapojených do spracovania informácií, ich umiestnenie, technológia spracovania informácií a stav ich ochrany:

• stav účtovníctva všetkého hardvéru a softvéru domácej a dovážanej produkcie zapojených do spracovania informácií podliehajúcich ochrane;
• umiestnenie elektronických zariadení, TSPI (s odkazom na priestory, v ktorých sú inštalované), trasy pre kladenie informačných a neinformačných okruhov presahujúcich kontrolované územie.

1.9 Vykonávanie analýzy dostupnosti informácií spracovávaných v automatizovaných riadiacich systémoch, počítačoch a iných technických prostriedkoch.

1.10 Štúdia organizácie a aktuálneho stavu prístupu personálu údržby a obsluhy k informačným zdrojom.

2. Monitorovanie stavu informačnej bezpečnosti:

Organizácia informačnej bezpečnosti v systémoch a prostriedkoch informácií a komunikácie:

• vykonávanie certifikácie automatizačných a komunikačných systémov a prostriedkov, ktoré sa podieľajú na spracovaní informácií klasifikovaných ako štátne a úradné tajomstvo;
• Vykonávanie špeciálnych kontrol na identifikáciu vstavaných zariadení;
• činnosti štrukturálnych jednotiek zodpovedných za automatizáciu procesov spracovania informácií, účtovníctvo, uchovávanie, prístup k magnetickým médiám, zodpovednosti osôb zodpovedných za informačnú bezpečnosť;
• včasnosť a správna implementácia systému informačnej bezpečnosti, získanie povolenia na spracovanie dôverných informácií;
• správne umiestnenie a používanie technických prostriedkov a ich jednotlivých prvkov;
• aplikované opatrenia na ochranu informácií pred únikom v dôsledku bočných elektromagnetická radiácia a interferencie, elektroakustické transformácie;
• prijaté opatrenia na zamedzenie neoprávneného prístupu k informáciám, ako aj odpočúvania hlasových informácií z priestorov a chránených objektov technickými prostriedkami.

• kontrola dodržiavania požiadaviek návodu na obsluhu a prevádzkového poriadku technických prostriedkov na prenos, uchovávanie a spracovanie informácií TSPI (obídenie všetkých určených priestorov);
• kontrola včasnosti a správnosti kategorizácie pridelených priestorov, postupu pri ich certifikácii pri uvádzaní do prevádzky a vydávaní povolenia na oprávnenie vykonávať dôverné podujatia a viesť dôverné rokovania;
• kontrola dostupnosti, kvality inštalácie a prevádzkového postupu prostriedkov na ochranu rečových informácií pred únikom cez technické kanály;
• kontrola dodržiavania požiadaviek na vykonávanie špeciálnych kontrol technických zariadení (pre absenciu špeciálnych emitujúcich zariadení);

2.3.3 Vykonávať inštrumentálne monitorovanie bezpečnosti hlasových informácií cirkulujúcich vo vyhradených priestoroch, spracovávaných a prenášaných TSPI, s cieľom identifikovať možné kanály technického úniku:

. Kontrola dodržiavania požiadaviek zákona Ruskej federácie „o štátnych tajomstvách“

Prijímacie konanie cudzích občanov a jeho súlad s požiadavkami regulačné dokumenty. Hodnotenie opatrení informačnej bezpečnosti pri návštevách organizácií (podnikov) zahraničných zástupcov. Účasť špecialistov kontrarozviedky na analýze možných kanálov úniku informácií, certifikácia a špeciálne inšpekcie priestorov pred a po prijatí zahraničných špecialistov. Dostupnosť prijímacích programov, koordinácia s orgánmi FSB. Vývoj a implementácia (v prípade potreby) dodatočných opatrení na technickú ochranu informácií.

3.1 Kontrola disponibility štrukturálnych jednotiek, zamestnancov, ich úrovne vzdelania, kvalifikácie, ktoré poskytujú riešenia otázok týkajúcich sa štátneho tajomstva. 3.2 Kontrola dostupnosti licencie na právo vykonávať prácu súvisiacu s implementáciou zákona Ruskej federácie „O štátnom tajomstve“, a to tak v bežných štrukturálnych jednotkách, ako aj v externých organizáciách vykonávajúcich práce (poskytujúce služby) v oblasti technickej ochrany informácie v záujme ministerstva (rezortu) a jemu podriadených podnikov, organizácií a inštitúcií. 3.3 Kontrola dostupnosti usmerňujúcich dokumentov a ich obsahu k problematike technickej ochrany informácií (zákon RF „O štátnom tajomstve“, Zoznam chránených informácií... atď.). 3.4 Kontrola stavu režimu utajenia na oddeleniach a stupňa jeho súladu s platnými dokumentmi o vedení evidencie (vybavenie priestorov, evidencia a uchovávanie dôverných dokumentov, prístup k evidencii a dôverným dokumentom). 3.5 Kontrola včasnosti a správnosti oznamovania požiadaviek riadiacich dokumentov o technickej ochrane informácií zamestnancom oddelení, ich znalosť zamestnancami. 3.6 Kontrola správnosti kategorizácie informácií podľa stupňa utajenia, postupu pri ich zaznamenávaní a uchovávaní pri použití technických prostriedkov (elektronika, TSPI, kancelárska technika a pod.). 3.7 Kontrola správnosti tlače (reprodukcie) dôverných dokumentov, ich zaznamenávania a postupu pri ich oznamovaní účinkujúcim. 3.8 Kontrola postupu prijímania zamestnancov na prácu s utajovanými skutočnosťami. 3.9 Kontrola organizácie práce s cieľom znížiť stupeň utajenia (odtajnenie) dokumentov a oznamovanie informácií výkonným umelcom. 3.10 Kontrola dostupnosti „Certifikátov zhody“ pre pridelené priestory a technické prostriedky zapojené do spracovania informácií, ktoré majú byť chránené, a certifikačných dokumentov pre prostriedky technickej ochrany informácií a sledovanie ich účinnosti.

4. Otázky, ktoré treba zvážiť pri kontrole držiteľov licencií

4.1 Skontrolované:

• Dostupnosť licencie (povolenia) na právo vykonávať prácu na technickej ochrane informácií, kontrola platnosti licencie stanovené termíny a súlad s prácou prakticky vykonávanou držiteľom licencie (1.5)*;
• dostupnosť dokumentov od držiteľa licencie štátna registrácia podnikateľskú činnosť a zakladateľskú listinu (1.7)*;
• stav výrobnej a skúšobnej základne, dostupnosť regulačnej a metodickej dokumentácie na vykonávanie prác na deklarovaných druhoch činností (1.6)*;
• personálne obsadenie vedeckými, inžinierskymi a technickými pracovníkmi na vykonávanie prác na deklarovaných druhoch činností. Úroveň pripravenosti špecialistov na výkon práce (1.6)*;
• profesionálny tréning vedúci podniku držiteľa licencie a (alebo) ním poverené osoby na riadenie licencovaných činností (1.7)*;
• dodržiavanie zmluvných záväzkov na zaistenie bezpečnosti dôverných a hmotných aktív fyzických a právnických osôb kto využil služby držiteľa licencie (2.4)*;
• včasnosť a úplnosť predloženia informácií o vykonanej práci pre konkrétne druhy činností uvedených v licencii štátnemu licenčnému úradu alebo licenčnému centru v súlade s požiadavkami Štátnej technickej komisie Ruska (2.4)*;
• kvalita služieb poskytovaných držiteľom licencie (hodnotenie účinnosti opatrení prijatých držiteľmi licencie na technickú ochranu informácií u 1-3 spotrebiteľských podnikov, ktoré využili služby držiteľa licencie (3.2)*.

4.2 Výsledky kontroly držiteľov povolení sa premietnu do samostatnej časti zákona alebo osvedčenia vydaného na základe výsledkov. plánovaná kontrola ministerstvá (rezorty) a im podriadené podniky, organizácie a inštitúcie. Na základe získaných výsledkov sa robí záver o dodržiavaní stanovených požiadaviek držiteľom povolenia a možnosti ďalšieho vykonávania prác v uvedených oblastiach.

Poznámka: *) V zátvorkách sú uvedené časti „Predpisy o štátnom povoľovaní činností v oblasti informačnej bezpečnosti“.

Sledovanie účinnosti TKI pozostáva z kontroly súladu kvalitatívnych a kvantitatívnych ukazovateľov účinnosti opatrení TKI s požiadavkami alebo výkonnostnými štandardmi TKI.

Monitorovanie účinnosti TZI zahŕňa:

Technická kontrola účinnosti technických informácií – kontrola účinnosti technických informácií vykonávaná prostriedkami technickej kontroly.

Organizačná kontrola účinnosti TKI - kontrola súladu úplnosti a platnosti opatrení na TKI s požiadavkami smerníc a normatívno-metodických dokumentov v oblasti TKI;

Technická kontrola účinnosti technických informácií (o ktorej uvažujeme) je kontrola účinnosti technických informácií vykonávaná pomocou prostriedkov technickej kontroly.

Technická kontrola účinnosti technických informácií môže byť v závislosti od cieľov a cieľov kontroly, ako aj od charakteristík kontrolovaných objektov:

Komplexné, keď sa organizácia a stav technických informácií kontroluje proti úniku všetkými možnými technickými kanálmi charakteristickými pre riadený technický prostriedok (objekt informatizácie), proti neoprávnenému prístupu k informáciám alebo zvláštnym vplyvom na ne;

Cielená, keď sa kontrola vykonáva jedným z možných technických kanálov úniku informácií, charakteristických pre kontrolovaný technický prostriedok, ktorý má chránené parametre alebo v ktorom kolujú chránené informácie;

Selektívne, keď sa z celého zloženia technických prostriedkov na zariadení vyberú tie, ktoré na základe výsledkov predbežného posúdenia s najväčšou pravdepodobnosťou disponujú technickými kanálmi na únik chránených informácií.

V závislosti od konkrétnych podmienok technickej kontroly možno kontrolu účinnosti vykonať nasledujúcimi spôsobmi:

Prístrojová metóda, kedy sa pri kontrole používajú technické meracie prístroje a modelujú sa reálne prevádzkové podmienky prieskumného technického zariadenia;

Inštrumentálno-výpočtová metóda, kedy sa merania uskutočňujú v bezprostrednej blízkosti riadiaceho objektu a následne sa výsledky meraní prepočítavajú na miesto (podmienky) predpokladaného umiestnenia prieskumných technických prostriedkov;

Metóda výpočtu, pri ktorej sa účinnosť technických informácií posudzuje výpočtom na základe skutočných podmienok umiestnenia a schopností prieskumných technických prostriedkov a známych charakteristík riadiaceho objektu.

Podstatou technických kontrolných opatrení je vykonávanie inštrumentálnych (inštrumentálnych a výpočtových) kontrol účinnosti ochrany informácií pred únikom cez technické kanály v dôsledku:

1) bočné elektromagnetické žiarenie (PEMR) pri prevádzke základných technických zariadení a systémov (OTSS) objektu informatizácie;

3) rušenie informačného signálu na spojovacích vedeniach VTSS umiestnených v oblasti pokrytia OTSS PEMI;

4) nerovnomerný odber prúdu v napájacej sieti OTSS;

5) lineárne vysokofrekvenčné uloženie a elektroakustické transformácie ako metódy zachytávania rečových informácií prostredníctvom VTSS inštalovaných vo vyhradených priestoroch.

Prístrojová kontrola sa vykonáva podľa štandardných programov a štandardných metód schválených certifikačnými a certifikačnými orgánmi. Všetky meracie zariadenia sú certifikované metrologickými orgánmi predpísaným spôsobom.

Hlavné normatívne a metodické dokumenty upravujúce činnosti technickej kontroly predmetných objektov sú:

2. GOST 29339-92. Informačné technológie. Ochrana informácií pred únikom v dôsledku bočného elektromagnetického žiarenia a rušením pri ich spracovaní výpočtovou technikou. Všeobecné technické požiadavky;

3. Zbierka metodických dokumentov o monitorovaní chránených informácií spracovávaných výpočtovou technikou proti úniku v dôsledku elektromagnetického žiarenia a rušenia (PEMIN). Schválené nariadením Štátnej technickej komisie Ruska zo dňa 19. novembra 2002 č.391.

4. Objednávka Federálna služba o technickej a exportnej kontrole (FSTEK Ruska) z 11. februára 2013 N 17 Moskva

5. Príkaz FSTEC Ruska zo dňa 18. februára 2013. 21 „O schválení zloženia a obsahu organizačných a technických opatrení na zaistenie bezpečnosti osobných údajov pri ich spracúvaní v informačných systémoch osobných údajov.“

Správa o kontrole stavu technických informácií musí obsahovať tieto časti:

1. Všeobecné informácie o predmete kontroly;

2. Všeobecné otázky organizácie technických a technických informácií v zariadení;

3. Organizácia a stav ochrany objektov informatizácie;

4. Úplnosť a kvalita prác vykonaných držiteľmi licencií FSTEC Ruska na ochranu a certifikáciu objektov informatizácie;

Skrytie informácií o prostriedkoch, komplexoch, objektoch a systémoch spracovania informácií. Tieto úlohy možno rozdeliť na technické a organizačné.

Organizačné úlohy utajovania informácií o objektoch sú zamerané na zabránenie prezradeniu týchto informácií zamestnancami a ich úniku prostredníctvom spravodajských kanálov.

Technické úlohy sú zamerané na elimináciu alebo oslabenie technických demaskovacích znakov chránených objektov a technických kanálov pre únik informácií o nich. V tomto prípade sa skrytie vykonáva znížením elektromagnetickej, časovej, štrukturálnej a prístupnosti funkcií, ako aj oslabením primeranosti medzi štruktúrou, topológiou a povahou fungovania prostriedkov, komplexov, objektov, systémov spracovania informácií a riadenia.

Riešenie tohto problému predstavuje realizáciu súboru organizačno-technických opatrení a opatrení, ktoré zabezpečia splnenie základnej požiadavky na prostriedky, komplexy a systémy spracovania informácií – spravodajskú bezpečnosť a smeruje k dosiahnutiu jedného z hlavných cieľov – eliminácie resp. výrazne komplikuje technické prieskumné pátranie, určovanie polohy, rádiové sledovanie zdrojov rádiového vyžarovania, klasifikáciu a identifikáciu objektov technickou inteligenciou na základe identifikovaných demaskovacích znakov.

Riešenie problému znižovania elektromagnetickej dostupnosti komplikuje tak energetickú detekciu, ako aj určovanie súradníc územia, kde sa nachádzajú zdroje rádiového vyžarovania, a tiež zvyšuje čas na identifikáciu demaskovacích znakov a znižuje presnosť merania parametrov a signálov prostriedkov rádiového vyžarovania.

Zníženie dočasnej dostupnosti rádiových vysielacích prostriedkov znamená skrátenie času, počas ktorého pracujú na vyžarovanie pri prenose informácií, a predĺženie trvania prestávky medzi reláciami spracovania informácií. Na zníženie štrukturálnej a charakteristickej dostupnosti nástrojov na spracovanie informácií, komplexov a systémov sa realizujú organizačné a technické opatrenia, ktoré oslabujú demaskovacie znaky a vytvárajú takzvané „šedé pozadie“.

Trieda 1.2. Nepriateľské dezinformácie.

Táto trieda zahŕňa úlohy, ktoré zahŕňajú šírenie úmyselne nepravdivých informácií týkajúcich sa skutočného účelu niektorých predmetov a produktov, skutočného stavu určitej oblasti vládnej činnosti, stavu vecí v podniku atď.

Dezinformácia sa zvyčajne uskutočňuje šírením nepravdivých informácií rôznymi kanálmi, simulovaním alebo skresľovaním znakov a vlastností jednotlivých prvkov predmetov ochrany, vytváraním nepravdivých predmetov, ktoré sú vzhľadom alebo prejavmi podobné predmetom záujmu oponenta a pod.

Úlohu dezinformácií zdôraznil A.F.Viviani, špecialista v oblasti kontrašpionáže: Obrovské množstvo informácií na nás padá, padá, chrlí von. Môže to byť falošné, ale vyzerá to vierohodne; môže byť pravdivé, ale v skutočnosti je šikovne prerobené, aby pôsobilo falošným dojmom; je čiastočne nepravdivý a čiastočne pravdivý. Všetko závisí od zvolenej metódy takzvanej dezinformácie, ktorej účelom je prinútiť vás veriť, túžiť, premýšľať, rozhodovať sa smerom výhodným pre tých, ktorí nás z nejakého dôvodu potrebujú ovplyvňovať...

Technické dezinformácie v objekte obrany predstavujú komplex organizačných opatrení a technických opatrení zameraných na zavádzanie technického spravodajstva o skutočných cieľoch systémov spracovania informácií, zoskupení a činnosti vojsk a zámeroch orgánov velenia a riadenia.

Riešenie tohto problému sa uskutočňuje v rámci známej prevádzkovej rádiovej kamufláže skreslením technických demaskovacích znakov chráneného objektu alebo simuláciou technických demaskovacích znakov falošného objektu.

Konkrétne ciele technických dezinformácií sú:

Skreslenie demaskujúcich znakov skutočných objektov a systémov zodpovedajúcich znakom falošných objektov;

Vytváranie (napodobňovanie) falošného prostredia, predmetov, systémov, komplexov reprodukovaním demaskujúcich znakov skutočných predmetov, systémových štruktúr, situácií, akcií, funkcií atď.;

Prenos, spracovanie, ukladanie nepravdivých informácií v systémoch spracovania;

Napodobňovanie bojových činností prostriedkov, komplexov a systémov spracovania informácií na falošných kontrolných bodoch;

Účasť síl a prostriedkov na demonštračných akciách v falošných smeroch;

Prenos nepravdivých informácií (rádiové dezinformácie), s očakávaním, že budú zachytené nepriateľom atď.

Vo všeobecnosti možno tieto úlohy zoskupiť do konkrétnych úloh rádiovej imitácie, rádiovej dezinformácie a demonštračných akcií.