Контроль состояния ткзи. Меры технического контроля эффективности защиты информации Технический контроль эффективности мер защиты информации

В связи с тем, что меры контроля / анализа защищённости персональных данных входят в базовые наборы мер защиты начиная с УЗ4 – УЗ3, большинство операторов персональных данных обзавелось сканерами защищенности. Иногда сталкиваюсь со следующими вопросом: а нужно ли вообще запускать этот сканер, и если да, то с какой периодичностью и что именно проверять.

Давайте попробуем разобраться:
· сканеры используется для реализации группы мер по контролю (анализу) защищенности персональных данных (АНЗ) обязательных в соответствии с приказом ФСТЭК России №21 от 18 февраля 2013 г.
· посмотрим, имеется ли в нормативно-правовых актах РФ какие-то обязательные требования к порядку или периодичности проведения сканирования защищенности:

Приказ ФСТЭК России №21
“8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации”

ГОСТ Р 51583-2014 порядок создания АС в защищенном исполнении

Больше НПА, содержащих требования к анализу защищенности найти не удалось

Значит в нормативно-правовых актах РФ не содержится требований к порядку и периодичности проведения сканирований защищенности, соответственно параметры настройки профилей сканирования, периодичности анализа уязвимостей определяется оператором самостоятельно
· как же ему определить этот порядок и периодичность?

· скорее всего нужно исходить из особенностей и критичности информационной системы, состава используемого программного обеспечения и внутренних правил обновления программного обеспечения;

· также необходимо понимать, что по результатам сканирования формирует отчет по уязвимостям, который ещё необходимо отработать – устранить уязвимости и установить недостающие обновления. Нет никакого смысла проводить сканирование чаще, чем ответственные лица успевают обработать отчет и устранить уязвимости. Периодичность сканирования > среднего времени на обработку отчета по уязвимостям

· при определении порядка и периодичности сканирования оператор информационной системы может руководствоваться собственной экспертизой в области информационной безопасности, опытом проведения мероприятий по анализу защищенности, рекомендациями внешних экспертов и лицензиатов ФСТЭК, а также документами, носящими статус “рекомендованных” или “лучших практик”

· при этом необходимо учитывать, что меры по анализу защищенности должен быть систематическими (пункт 8.8 приказ ФСТЭК №21) и должны быть достаточными для нейтрализации актуальных угроз (пункт 2 Постановление правительства №1119)

· посмотрим, что есть в лучших методических документах и лучших практиках:

ГОСТ Р ИСО/МЭК 27002-2012
“12.6 Менеджмент технических уязвимостей
Цель: Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей.

Менеджмент технических уязвимостей следует осуществлять эффективным, систематическим и повторяемым способом, с проведением измерений с целью подтверждения его эффективности. Эти соображения должны касаться эксплуатируемых систем и любых других используемых прикладных программ.
12.6.1 Управление техническими уязвимостями

Мера и средство контроля и управления

Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать незащищенность организации в отношении таких уязвимостей и принимать соответствующие меры для рассмотрения связанного с ними риска.

Постоянно обновляемая и полная опись активов (см. 7.1) является предпосылкой эффективного менеджмента технических уязвимостей. Специальная информация, необходимая для поддержки менеджмента технических уязвимостей, включает в себя информацию о поставщике программного обеспечения, номерах версий, текущем состоянии развертывания (например, какое программное обеспечение установлено на каких системах) и специалисте(ах), отвечающем(их) в организации за программное обеспечение.

Аналогично, своевременное действие должно предприниматься в ответ на выявление потенциальных технических уязвимостей. Для создания эффективного процесса менеджмента в отношении технических уязвимостей необходимо выполнять следующие рекомендации:
a) в организации необходимо определять и устанавливать роли и обязанности, связанные с менеджментом технических уязвимостей, включая мониторинг уязвимостей, оценку риска проявления уязвимостей, исправление программ (патчинг), слежение за активами и любые другие координирующие функции;
b) информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них, следует определять для программного обеспечения и другой технологии на основе списка инвентаризации активов (см. 7.1.1); эти информационные ресурсы должны обновляться вслед за изменениями, вносимыми в опись, или когда найдены другие новые или полезные ресурсы;
c) необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;
d) после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; такие действия могут включать внесение исправлений в уязвимые системы и (или) применение других мер и средств контроля и управления;
e) в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами и средствами контроля и управления, связанными с менеджментом изменений (см. 12.5.1), или следуя процедурам реагирования на инциденты информационной безопасности (см. 13.2);
f) если имеется возможность установки патча, следует оценить риски, связанные с его установкой (риски, создаваемые уязвимостью, необходимо сравнить с риском установки патча);
g) перед установкой патчи следует тестировать и оценивать для обеспечения уверенности в том, что они являются эффективными и не приводят к побочным эффектам, которые нельзя допускать; если нет возможности установить патч, следует рассмотреть другие меры и средства контроля и управления, например:
1) отключение сервисов, связанных с уязвимостью;
2) адаптацию или добавление средств управления доступом, например, межсетевых экранов на сетевых границах (см. 11.4.5);
3) усиленный мониторинг для обнаружения или предотвращения реальных атак;
4) повышение осведомленности об уязвимостях;
h) в контрольный журнал следует вносить информацию о всех предпринятых процедурах;
i) следует регулярно проводить мониторинг и оценку процесса менеджмента технических уязвимостей в целях обеспечения уверенности в его эффективности и действенности;
j) в первую очередь следует обращать внимание на системы с высоким уровнем риска.

Дополнительная информация

Правильное функционирование процесса менеджмента технических уязвимостей играет важную роль для многих организаций, поэтому процесс должен подвергаться регулярному мониторингу. Для обеспечения уверенности в том, что потенциально значимые технические уязвимости выявлены, важна точная инвентаризация.

Менеджмент технических уязвимостей может рассматриваться как подфункция менеджмента изменений и в качестве таковой может воспользоваться процессами и процедурами менеджмента изменений (см. 10.1.2 и 12.5.1).

Поставщики часто испытывают на себе значительное давление, заключающееся в требовании выпускать патчи в кратчайшие сроки. Поэтому патч не может решить проблему адекватно и может иметь побочные эффекты. К тому же, в некоторых случаях, если патч был однажды применен, деинсталлировать его может быть нелегко.

Если адекватное тестирование патчей провести не удается, например по причине затрат или отсутствия ресурсов, можно рассмотреть задержку в осуществлении внесения изменений, чтобы оценить связанные с этим риски, основанные на опыте других пользователей.”

РС БР ИББС-2.6-2014
“10. Стадия эксплуатации
10.1. Основными задачами на стадии эксплуатации в части обеспечения ИБ являются:
- периодическая оценка защищенности АБС (проведение мероприятий по выявлению типичных уязвимостей программных компонентов АБС, тестирование на проникновение);
10.2. Периодичность проведения работ по оценке защищенности определяется решении
ем организации БС РФ. Для АБС, используемых для реализации банковского платежного тех-
нелогического процесса, рекомендуется проведение комплексной оценки защищенности не
реже одного раза в год”

методический документ ФСТЭК России “Меры защиты информации в государственных информационных системах” , который может применяться и для обеспечения безопасности персональных данных по решению оператора
“АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в информационной системе.
Требования к усилению АНЗ.1:
2) оператор должен уточнять перечень сканируемых в информационной системе уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;”

· руководствуясь методическим документом ФСТЭК - анализ защищенности необходимо проводить в обязательном порядке после опубликования информации о критической уязвимости или обновлении;

· для ОС Windows такие уязвимости появляются в среднем ежемесячно ;

· по моему мнению для обеспечения нейтрализации актуальных угроз анализ защищенности с использованием сканеров необходимо проводить не реже чем ежеквартально

· в качестве старта при определении что и как проверять, можно использовать приложение 3 Рекомендации к проведению оценки защищенности к РС БР ИББС-2.6-2014 – раздел 2 “Выявление известных уязвимостей”

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

Технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

Организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

Технический контроль эффективности ТЗИ (который рассматриваем) – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

Комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

Целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

Выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

Инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

Инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

Расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

1) побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

3) наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

4) неравномерности потребления тока в сети электропитания ОТСС;

5) линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

2. ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

3. Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва

5. Приказ ФСТЭК России от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

Скрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.

Организационные задачи по скрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.

Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.

Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.

Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.

Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый "серый фон".

Класс 1.2. Дезинформация противника.

К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Роль дезинформации подчеркивал А.Ф.Вивиани, специалист в области контр шпионажа: На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...

Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, группировки и деятельности войск, намерений органов управления.

Решение этой задачи осуществляется в рамках известной оперативной радиомаскировки путем искажения технических демаскирующих признаков объекта защиты или имитации технических демаскирующих признаков ложного объекта.

Частными задачами технической дезинформации являются:

Искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;

Создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т.д.;

Передача, обработка, хранение в системах обработки ложной информации;

Имитация боевой деятельности средств, комплексов и систем обработки информации на ложных пунктах управления;

Участие сил и средств в демонстративных действиях на ложных направлениях;

Передача ложной информации (радио дезинформация), в расчете на ее перехват противником и др.

В общем, виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радио дезинформации, демонстративных действий.

Контроль состояния защиты информации (далее именуется - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно­технических воздействий на информацию.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утверждённых требований и норм по защите информации.

Контроль организуется Федеральной службой по техническому и экспортному контролю, Федеральной службой безопасности Российской Федерации, Министерством внутренних дел Российской Федерации, Министерством обороны Российской Федерации, Службойвнешней разведки Российской Федерации и Федеральной службой охраны Российской Федерации, структурными и межотраслевыми подразделениями органов государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

Акты проверок предприятий рассылаются их руководителями в орган, проводивший проверку, и в орган государственной власти по подчинённости предприятия.

ФСТЭК России организует контроль силами центрального аппарата и управлений ФСТЭК России по федеральным округам. Она может привлекать для этих целей подразделения по защите информации органов государственной власти.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю (за исключением объектов и технических средств, защита которых входит в компетенцию ФСБ России, МВД России, Минобороны России, СВР России, ФСО Росси).

Управления ФСТЭК России по федеральным округам, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих центров.

Органы государственной власти организуют и осуществляют контроль на подчинённых им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесённых к государственной или служебной тайне, осуществляется органами государственной власти, ФСТЭК России, ФСБ России, и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением. Нарушения по степени важности делятся на три категории:

первая - невыполнение требований или норм по защите информации, в результате чего имелась или имеется реальная возможность ее утечки по техническим каналам;

вторая - невыполнение требований по защите информации, в результате чего создаются предпосылки к ее утечке по техническим каналам;

третья - невыполнение других требований по защите информации.

При обнаружении нарушений первой категории руководители органов государственной власти и предприятий обязаны:

немедленно прекратить работы на участке (рабочем месте), где обнаруженынарушения и принять меры по их устранению;

организовать в установленном порядке расследование причин и условийпоявления нарушений с целью недопущения их в дальнейшем и привлеченияк ответственности виновных лиц;

сообщить в ФСТЭК России, ФСБ России, руководству органагосударственной власти и заказчику о вскрытых нарушениях и принятыхмерах.

Возобновление работ разрешается после устранения нарушений и проверки достаточности и эффективности принятых мер, проводимой ФСТЭК России или по её поручению подразделениями по защите информации органов государственной власти.

При обнаружении нарушений второй и третьей категорий руководители проверяемых органов государственной власти и предприятий обязаны принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку, или заказчиком (представителем заказчика). Контроль за устранением этих нарушений осуществляется подразделениями по защите информации этих органов государственной власти и предприятий.

1. Организация работ по технической защите информации:

1.1.Организация технической защиты информации, отнесенной к государственной и служебной тайне, от ИТР и от утечки по техническим каналам:

• наличие руководящих и нормативно-технических документов по вопросам технической защиты информации;
• наличие документов, регламентирующих деятельность структурных подразделений по технической защите информации (задачи, функциональные обязанности и т.д.);
• проведение анализа и оценки реальной опасности утечки информации по техническим каналам, полнота и правильность выявления возможных технических каналов утечки информации, подлежащей защите;
• полнота, качество и обоснованность разработки организационно-технических мероприятий по защите информации, порядок их реализации;
• порядок организации и проведения контроля состояния технической защиты информации, его эффективность;
• своевременность и полнота выполнения требований руководящих документов, решений Гостехкомиссии России, нормативно-технических и методических документов по технической защите информации.

1.2. Изучение и анализ деятельности структурных подразделений (ответственных должностных лиц), по обеспечению безопасности информации, подлежащей защите, решаемые ими задачи и функциональные обязанности.

1.3. Анализ материалов, характеризующих разведдоступность к информации, циркулирующей в структурных подразделениях. Выявление наличия в 1000-метровой зоне иностранных представительств, пользующихся правом экстерриториальности, мест пребывания иностранных специалистов.

1.4 Изучение и анализ перечня сведений, подлежащих защите:

• наличие перечня сведений, подлежащих защите от технических средств разведки и от утечки по техническим каналам:
• полнота и правильность определения демаскирующих признаков, раскрывающих эти сведения;

1.5 Наличие системы защиты информации:

• наличие задач по технической защите информации в организационно-распорядительных документах, регламентирующих деятельность организаций и ведомств, входящих в единую систему органов государственного управления в Российской Федерации;
• организация и осуществление работ по технической защите информации в центральном аппарате министерства (ведомства) и в подведомственных ему предприятиях, организациях и учреждениях;
• взаимодействие по вопросам технической защиты информации с другими министерствами (ведомствами) и другими сторонними организациями;
• обеспечение контроля эффективности защиты сведений, составляющих государственную и служебную тайну, во всех подчиненных и подведомственных министерству (ведомству) предприятиях, учреждениях и организациях, осуществляющих работу с ними.

1.6 Анализ возможных технических каналов утечки информации о сведениях, отнесенных к государственной тайне, в процессе деятельности министерства (ведомства) и подведомственных им предприятий, организаций и учреждений.

1.7 Анализ информационных потоков при функционировании структурных подразделений.

1.8 Анализ состава технических и программных средств, участвующих в обработке информации, их дислокации, технологии обработки информации и состояния ее защиты:

• состояние учета всех технических и программных средств отечественного и импортного производства, участвующих в обработке информации, подлежащей защите;
• размещение средств ЭВТ, ТСПИ (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории.

1.9 Проведение анализа доступности информации, обрабатываемой в АСУ, ЭВТ и другими техническими средствами.

1.10 Изучение организации и фактического состояния доступа обслуживающего и эксплуатирующего персонала к информационным ресурсам.

2. Контроль состояния защиты информации:

Организация защиты информации в системах и средствах информатизации и связи:

• проведение аттестования систем и средств автоматизации и связи, которые участвуют в обработке информации, отнесенной к государственной и служебной тайне;
• проведение спецпроверок по выявлению закладных устройств;
• деятельность структурных подразделений, отвечающих за проведение автоматизации процессов обработки информации, учет, хранение, доступ к ее магнитным носителям, обязанности лиц, ответственных за безопасность информации;
• своевременность и правильность внедрения системы защиты информации, оформления разрешения на обработку конфиденциальной информации;
• правильность размещения и использования технических средств, их отдельных элементов;
• применяемые меры защиты информации oт утечки за счет побочных электромагнитных излучений и наводок, электроакустических преобразований;
• применяемые меры по предотвращению несанкционированного доступа к информации, а также перехвата техническими средствами речевой информации из помещений и объектов защиты.

• проверку выполнения требований предписаний на эксплуатацию и порядка эксплуатации технических средств передачи, хранения и обработки информации ТСПИ (обход всех выделенных помещений);
• проверку своевременности и правильности категорирования выделенных помещений, порядка их аттестации при вводе в эксплуатацию и оформления разрешения на право проведения мероприятий конфиденциального характера и ведения конфиденциальных переговоров;
• проверку наличия, качества установки и порядка эксплуатации средств защиты речевой информации от утечки по техническим каналам;
• проверку выполнения требований по проведению спецпроверок технических средств (на отсутствие специальных излучающих устройств);

2.3.3 Провести инструментальный контроль защищенности речевой информации, циркулирующей в выделенных помещениях, обрабатываемой и передаваемой ТСПИ, с целью выявления возможных технических каналов утечки:

. Контроль за выполнением требовании закона Российской Федерации “О государственной тайне”

Порядок приема иностранных граждан и его соответствие требованиям нормативных документов. Оценка применяемых мер защиты информации при посещении организаций (предприятий) иностранными представителями. Участие специалистов по противодействию разведкам в анализе возможных каналов утечки информации, аттестации и специальных проверках помещений до и после приема иностранных специалистов. Наличие Программ приема, согласование с органами ФСБ. Разработка и осуществление (при необходимости) дополнительных мероприятий по технической защите информации.

3.1 Проверка наличия структурных подразделений, сотрудников, уровня их подготовки, квалификации, обеспечивающих решение вопросов, связанных с гостайной. 3.2 Проверка наличия лицензии на право проведения работ, связанных с выполнением закона РФ “О государственной тайне”, как в штатных структурных подразделениях, так и во внешних организациях, выполняющих работы (оказывающих услуги) по технической защите информации в интересах министерства (ведомства) и подведомственных им предприятиях, организациях и учреждениях. 3.3 Проверка наличия руководящих документов и их содержания по вопросу технической защиты информации (закона РФ “О государственной тайне”, Перечня сведений, подлежащих защите... и др.). 3.4 Проверка состояния режима конфиденциальности в подразделениях и степени его соответствия руководящим документам по ведению делопроизводства (оборудование помещений, учет и хранение конфиденциальных документов, допуск к ведению делопроизводства и конфиденциальным документам). 3.5 Проверка своевременности и правильности доведения требований руководящих документов по технической защите информации до сотрудников подразделений, знание их сотрудниками. 3.6 Проверка правильности категорирования информации по степени конфиденциальности, порядка ее учета и хранения при использовании технических средств (ЭВТ, ТСПИ, оргтехники и т.п.). 3.7 Проверка правильности распечатки (размножения) конфиденциальных документов, их учета и порядка доведения до исполнителей. 3.8 Проверка порядка допуска сотрудников к работам с грифованной информацией. 3.9 Проверка организации работ по снижению степени конфиденциальности (рассекречиванию) документов и доведения информации до исполнителей. 3.10 Проверка наличия “Аттестатов соответствия” на выделенные помещения и технические средства, участвующие в обработке информации, подлежащей защите, и сертификационных документов на средства технической защиты информации и контроля ее эффективности.

4. Вопросы, подлежащие рассмотрению при проверке лицензиатов

4.1 Проверяется:

• наличие лицензии (разрешения) на право проведения работ по технической защите информации, проверка действительности лицензии установленным срокам и соответствия практически выполняемым лицензиатом работ (1.5)*;
• наличие у лицензиата документов о государственной регистрации предпринимательской деятельности и устава предприятия (1.7)*;
• состояние производственной и испытательной базы, наличие нормативной и методической документации для проведения работ по заявленным видам деятельности (1.6)*;
• укомплектованность научным и инженерно-техническим персоналом для проведения работ по заявленным видам деятельности. Уровень подготовленности специалистов для проведения работ (1.6)*;
• профессиональная подготовка руководителя предприятия-лицензиата и (или) лиц, уполномоченных им для руководства лицензионной деятельностью (1.7)*;
• соблюдение договорных обязательств по обеспечению сохранности конфиденциальных и материальных ценностей физических и юридических лиц, воспользовавшихся услугами лицензиата (2.4)*;
• своевременность и полнота представления в государственный орган по лицензированию или в лицензионный центр сведений о выполненных работах по конкретным видам указанной в лицензии деятельности в соответствии с требованиями Гостехкомиссии России (2.4)*;
• качество оказанных лицензиатом услуг (оценка эффективности проведенных лицензиатами мероприятий по технической защите информации на 1-3 предприятиях-потребителях, воспользовавшихся услугами лицензиата (3.2)*.

4.2 Результаты проверки лицензиатов отражаются в виде отдельного раздела акта или справки, оформляемых по итогам плановой проверки министерств (ведомств) и подведомственных им предприятий, организаций и учреждений. На основании полученных результатов делается заключение о соответствии лицензиата установленным требованиям и возможности дальнейшего проведения им работ по заявленным направлениям.

Примечание: *) В скобках указаны разделы “Положения о государственном лицензировании деятельности в области защиты информации”.