1. Общие положения
1.1 Настоящее Положение устанавливает организацию и порядок проведения контроля защищенности информационных систем (ИС) города Москвы, находящихся в эксплуатации.
1.2 Положение разработано на основе действующих в Российской Федерации правовых и нормативных документов по защите информации и в соответствии с «Положением о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы».
1.3 Финансирование работ по контролю защищенности информационных систем города Москвы осуществляется:
– при проведении контроля на государственном и ведомственном уровнях, аудита информационной безопасности за счет средств бюджета города Москвы, выделяемых на эти цели;
– при проведении контроля на уровне организации за счет средств бюджета города Москвы, выделяемых на эксплуатацию.
1.4 Информационные системы органов исполнительной власти города Москвы рассматриваются в Положении как автоматизированные системы (АС). Определение понятия АС приводится в документе «Информационная безопасность информационных систем и ресурсов органов исполнительной власти и организаций города Москвы. Термины и определения».
1.5 Настоящее Положение носит обязательный характер для всех органов власти и государственных организаций города Москвы.
2. Цели и задачи контроля состояния защиты информации
2.1 Контроль состояния защиты информации в ИС (контроль защищенности ИС) осуществляется с целью своевременного выявления и предотвращения несанкционированного доступа к информации, ее утечки по техническим каналам, преднамеренных специальных воздействий на информацию (носители информации) и других угроз информационной безопасности, определенных «Положением о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы» по нормам и методикам, утвержденным ФСТЭК России.
Контроль состояния защиты информации и оценка эффективности средств защиты являются неотъемлемой составной частью работ по защите информации при создании и эксплуатации ИС.
2.2 Основными задачами контроля являются:
– проверка соответствия принятых и принимаемых мер по защите информации требованиям настоящего Положения, доведённого до организации и её сотрудников установленным порядком;
– проверка своевременности и полноты выполнения требований нормативных документов, регламентирующих организацию и порядок осуществления мероприятий по защите информации.
При проведении контроля проверяемая организация должна обеспечить подтверждение того, что:
– созданная система обеспечивает выполнение требований по защите информации при эксплуатации ИС;
– меры, средства и мероприятия, проводимые в целях защиты информации, соответствуют предъявляемым к ИС требованиям безопасности информации;
– средства защиты информации настроены и используются правильно;
– рекомендации предшествующих проверок реализованы.
3. Организация контроля
3.1 Состояние защиты информации в ИС контролируется на внешнем и внутреннем уровнях.
Внешний контроль осуществляется следующим образом:
– на государственном уровне контроль защищенности ИС, обрабатывающих конфиденциальную информацию, осуществляется ФСБ России и ФСТЭК России;
– на ведомственном уровне контроль защищенности ИС осуществляется уполномоченными Правительством Москвы органами исполнительной власти города Москвы:
– Управлением Правительства Москвы по экономической безопасности города Москвы;
– Управлением информатизации города Москвы;
– Первым управлением Правительства Москвы в соответствии с требованиями «Положения о защите информации в информационных системах и ресурсах органов исполнительной власти города Москвы».
По инициативе организации может быть проведен аудит информационной безопасности (контроль состояния защиты информации) с привлечением третьей стороны – организации, имеющей лицензию ФСТЭК России на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации.
Внутренний контроль осуществляет подразделение информационной безопасности организации.
3.2 Основными составляющими контроля являются:
– автоматизированный контроль на основе мониторинга событий информационной безопасности;
– проверка правильности и полноты проводимых мероприятий по обеспечению соответствия ИС требованиям безопасности информации;
– проверка работоспособности и эффективности средств защиты информации. Проверка работоспособности средств защиты в рамках контрольных мероприятий проводятся в соответствии с программой проведения контроля состояния защиты информации в ИС. Данная программа разрабатывается проверяющей организацией и согласовывается с проверяемой организацией;
– проверка своевременности внесения изменений в проектную, техническую и нормативно-техническую документацию по обеспечению безопасности информации;
– принятие на основании результатов контроля мер по устранению последствий нарушений требований безопасности вплоть до полного или частичного приостановления эксплуатации ИС, приостановления или прекращения действия «Аттестата соответствия», если иными мерами невозможно устранить нарушения требований безопасности информации;
– проведение в ходе мероприятий по государственному контролю разъяснительной работы по применению требований законодательства Российской Федерации и нормативных документов в области обеспечения безопасности информации в АС.
3.3 Контроль подразделяется на плановый и внеплановый.
К плановому контролю относится государственный и ведомственный контроль, который проводится в соответствии с планами ведомств, осуществляющих этот контроль. Проверяемая организация информируется о времени проведения контроля.
Подразделение ИБ организации проводит как плановый (периодический), так и внеплановый контроль. Время проведения внепланового контроля проверяемым не сообщается. Порядок проведения контроля определяется организационно-распорядительными документами организации и соответствующими методиками.
Повседневный (оперативный) контроль за выполнением требований по защите информации осуществляют лица, ответственные за эксплуатацию АС, обработку информации, а также администратор безопасности и другие уполномоченные лица.
Повседневный контроль, в том числе автоматизированный контроль, включает мониторинг событий информационной безопасности с использованием возможностей Системы мониторинга информационной безопасности ИСиР города Москвы, аудита действий пользователей ИС, контроль работоспособности средств защиты и т.д.
3.4 Контроль состояния защиты информации в АС проводится экспертной комиссией, образованной по приказу руководителя организации, проводящей контроль.
Результаты контроля оформляются актами, заключениями и записями в специальных журналах и доводятся до сведения руководителя организации и должностных лиц в соответствии с уровнем контроля.
Представители органов, осуществляющих контроль (эксперты), имеют право:
– знакомиться с организацией работ по защите информации в АС;
– получать по запросу в печатном виде документацию, касающуюся функционирования АС;
– получать доступ во все места, где размещены технические средства АС и хранятся носители информации;
– требовать демонстрации режимов функционирования системы, конфигурации аппаратных и программных средств, их настроек и других параметров, влияющих на безопасность ресурсов АС;
– получать доступ через представителя проверяемой организации к журналам регистрации событий, происходящих в АС;
– получать информацию о нарушениях безопасности в АС и результаты разбора этих нарушений при наличии таковых;
– знакомиться с работой пользователей АС и другого персонала.
Проверяемая организация должна содействовать проверяющим в реализации вышеуказанных прав.
Представители органов, осуществляющих контроль (эксперты), обязаны выполнять правила и распорядок работы проверяемой организации, а так же не должны препятствовать работе пользователей и персонала проверяемой организации.
3.5 Проверки работоспособности средств защиты в рамках контрольных мероприятий проводятся в соответствии с программами проведения контроля состояния защиты информации в ИС, разрабатываемыми проверяющими организациями и согласованными с проверяемыми организациями.
3.6 Одной из форм контроля защищенности ИС является аудит информационной безопасности (контроль эффективности защиты с привлечением третьей стороны), заключающийся в оценке соответствия текущего состояния информационной безопасности ИС и требований правовых и нормативных документов в области защиты информации.
3.7 Инициатором аудита может быть как сама проверяемая организация, так и уполномоченный орган по информационной безопасности города Москвы.
3.8 Аудит информационной безопасности должен проводиться независимой от инициатора аудита организацией, имеющей лицензию ФСТЭК России на осуществление мероприятий и оказание услуг по технической защите конфиденциальной информации.
3.9 Организация, проводящая аудит, должна информировать проверяемую организацию обо всех мероприятиях, проводимых в рамках аудиторской проверки.
До сведения проверяемой организации и заказчика аудита должна доводиться информация о ходе аудита информационной безопасности и любых возникающих проблемах. Данные о защищенности ИС собранные при проведении аудита, которые выявляются критическими для информационной безопасности проверяемой организации, должны быть немедленно доведены до сведения проверяемой организации.
3.10 Проверяемая организация должна обеспечивать предоставление организации, проводящей аудит, всей необходимой информации для проведения аудита информационной безопасности.
Руководство проверяемой организации несет ответственность за:
– достоверность и полноту предоставляемых при проведении аудита данных;
– ограничения возможности осуществления организацией, проводящей аудит, своих обязательств.
3.11 Порядок выбора организации, проводящей аудит, определяется уполномоченным органом по информационной безопасности города Москвы.
4. Проведение контроля
4.1 Контроль состояния защиты информации, проводимый государственными и ведомственными органами, заключается в оценке:
– соблюдения требований правовых и организационно-распорядительных и нормативных документов по защите информации;
– корректности использования и работоспособности применяемых мер и средств защиты информации в соответствии с их эксплуатационной документацией;
– знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
В результатах контроля должны содержаться оценка состояния защиты информации в АС и, при необходимости, рекомендации по устранению недостатков и/или по совершенствованию системы защиты информации в АС.
При проведении государственного (ФСБ России и ФСТЭК России) и ведомственного (Правительство Москвы) контроля в случае грубых нарушений в обеспечении безопасности информации может быть принято решение о прекращении (приостановлении) эксплуатации АС, а в отношении должностных лиц, виновных в этих нарушениях, решается вопрос о привлечении их к ответственности в соответствии с действующим законодательством. В этом случае эксплуатация АС может быть возобновлена только с разрешения органа власти, выявившего нарушения установленных требований обеспечения информационной безопасности.
4.2 Внутренний плановый контроль состояния защиты информации при эксплуатации АС проводится подразделением информационной безопасности организации в соответствии с планами организации. Планы, как правило, составляются на один год таким образом, чтобы в течение года была проведена проверка выполнения всех требований информационной безопасности, которым должна отвечать АС.
4.3 В рамках подготовки к проведению внутреннего планового контроля рекомендуется выполнить:
– формирование группы для проведения контроля из числа сотрудников подразделения ИБ организации;
– определение руководителя проверяющей группы;
– формирование плана проведения контроля;
– подготовка отчетных материалов (актов, заключений) с результатами контроля.
4.4 При проведении внутреннего планового контроля группа контроля:
– проверяет наличие необходимых организационно-распорядительных и эксплуатационных документов на СЗИ и знание их сотрудниками организации;
– проверяет выполнение требований организационно-распорядительных и эксплуатационных документов сотрудниками организации в соответствии;
– документирует результаты контроля;
– вырабатывает рекомендации по устранению недостатков в обеспечении информационной безопасности и по совершенствованию СЗИ ИС.
4.5 По результатам внутреннего планового контроля разрабатывается план по устранению недостатков в обеспечении информационной безопасности и по совершенствованию системы защиты информации ИС, в соответствии с которым в организации разрабатываются и проводятся необходимые мероприятия.
4.6 При повседневном контроле осуществляется анализ событий произошедших в ИС по различным системным журналам, включая данные Системы мониторинга событий информационной безопасности. Для расследования инцидентов, связанных с нештатными ситуациями или нарушением безопасности информации, в организации для их (инцидентов) расследований могут создаваться комиссии.
4.7 В ходе проведения аудита информационной безопасности осуществляется оценка соответствия текущего состояния информационной безопасности требованиям правовых и нормативных документов в области защиты информации.
При проведении аудита информационной безопасности осуществляется анализ:
– организационно-распорядительных и эксплуатационных документов по обеспечению безопасности информации;
– организации работ по эксплуатации АС, распределения обязанностей, ответственности и функций подразделений, участвующих в эксплуатации АС;
– состава и характеристик используемых средств защиты и порядка их применения;
– порядка разработки, приобретения, испытания, внедрения и модификации программных средств АС;
– порядка установки, эксплуатации, модификации, замены и ремонта технических средств.
4.8 В ходе проведения аудита информационной безопасности эксперты указывают на возможные нарушения и несоответствия в обеспечении безопасности информации и дают рекомендации по их устранению.
4.9 По результатам аудита организацией, проводящей аудит, составляется заключение, содержащее рекомендации по устранению нарушений и несоответствий, которые не удалось устранить в процессе проведения аудита.