Paano magbukas 

Listahan at timing ng TZI control. Pagsubaybay sa katayuan ng seguridad ng impormasyon. Dokumentasyon ng mga resulta ng kontrol. Mga kinakailangan para sa mga kontrol sa seguridad ng impormasyon

Pagsubaybay sa kondisyon proteksyon ng impormasyon(mula rito ay tinutukoy bilang kontrol) ay isinasagawa sa layunin ng napapanahong pagtuklas at pag-iwas sa pagtagas ng impormasyon sa pamamagitan ng mga teknikal na channel, hindi awtorisadong pag-access dito, at sinasadyang epekto ng software at hardware sa impormasyon.

Ang kontrol ay binubuo ng pagsuri sa pagpapatupad ng mga batas na pambatasan Pederasyon ng Russia sa mga isyu sa proteksyon ng impormasyon, mga desisyon ng FSTEC ng Russia, pati na rin sa pagtatasa ng bisa at pagiging epektibo ng mga hakbang sa proteksyon na ginawa upang matiyak ang pagsunod sa mga naaprubahang kinakailangan at pamantayan para sa proteksyon ng impormasyon.

Ang kontrol ay organisado Serbisyong pederal para sa teknikal at kontrol sa pag-export, ang Federal Security Service ng Russian Federation, ang Ministry of Internal Affairs ng Russian Federation, ang Ministry of Defense ng Russian Federation, ang Foreign Intelligence Service ng Russian Federation at ang Federal Security Service ng Russian Federation Federation, istruktura at intersectoral na mga dibisyon ng mga katawan ng pamahalaan na kasama sa sistema ng proteksyon ng impormasyon ng estado, at mga negosyo alinsunod sa kanilang kakayahan.

Ang mga aksyon sa mga inspeksyon ng mga negosyo ay ipinadala ng kanilang mga tagapamahala sa katawan na nagsagawa ng inspeksyon at sa katawan ng gobyerno ayon sa subordination ng negosyo.

Ang FSTEC ng Russia ay nag-aayos ng kontrol sa pamamagitan ng sentral na tanggapan at mga departamento ng FSTEC ng Russia sa mga pederal na distrito. Maaaring kabilang dito ang mga yunit ng proteksyon ng impormasyon ng mga awtoridad ng gobyerno para sa mga layuning ito.

Ang sentral na kagamitan ng FSTEC ng Russia na pagsasanay, sa loob ng kakayahan nito, kontrol sa mga katawan at negosyo ng gobyerno, ay nagbibigay ng metodolohikal na patnubay para sa gawaing kontrol (maliban sa mga bagay at teknikal na paraan, ang proteksyon kung saan ay nasa loob ng kakayahan ng FSB ng Russia , ang Ministry of Internal Affairs ng Russia, ang Ministry of Defense ng Russia, ang Foreign Intelligence Service ng Russia, ang FSO Russia).

Ang mga departamento ng FSTEC ng Russia sa mga pederal na distrito, sa loob ng kanilang kakayahan, ay nagsasagawa ng kontrol sa mga katawan ng gobyerno at mga negosyo na matatagpuan sa mga lugar ng responsibilidad ng mga sentrong ito.

Ang mga awtoridad ng estado ay nag-oorganisa at nagsasagawa ng kontrol sa mga negosyong nasasakupan nila sa pamamagitan ng kanilang mga yunit ng proteksyon ng impormasyon. Ang pang-araw-araw na pagsubaybay sa estado ng seguridad ng impormasyon sa mga negosyo ay isinasagawa ng kanilang mga departamento ng seguridad ng impormasyon.

Ang kontrol sa mga negosyong hindi sektor ng estado kapag gumaganap ng trabaho gamit ang impormasyong inuri bilang estado o opisyal na lihim ay isinasagawa ng mga katawan ng gobyerno, FSTEC ng Russia, FSB ng Russia, at ang customer ng trabaho alinsunod sa kanilang kakayahan.

Ang proteksyon ng impormasyon ay itinuturing na epektibo kung ang mga hakbang na ginawa ay sumusunod sa mga itinatag na kinakailangan o pamantayan.

Ang pagkabigong sumunod sa mga itinakdang kinakailangan o pamantayan para sa proteksyon ng impormasyon ay isang paglabag. Ang mga paglabag ay nahahati sa tatlong kategorya ayon sa kalubhaan:

    ang una ay ang kabiguang sumunod sa mga kinakailangan o pamantayan para sa proteksyon ng impormasyon, bilang isang resulta kung saan nagkaroon o may tunay na posibilidad ng pagtagas nito sa pamamagitan ng mga teknikal na channel;

    ang pangalawa ay ang kabiguang sumunod sa mga kinakailangan sa proteksyon ng impormasyon, bilang isang resulta kung saan ang mga paunang kondisyon ay nilikha para sa pagtagas nito sa pamamagitan ng mga teknikal na channel;

    ang pangatlo ay ang kabiguang sumunod sa iba pang mga kinakailangan sa proteksyon ng impormasyon.

Kung ang mga paglabag sa unang kategorya ay nakita, ang mga pinuno ng mga katawan at negosyo ng gobyerno ay obligado na:

    agad na huminto sa trabaho sa site (lugar ng trabaho) kung saan natagpuan ang mga paglabag at gumawa ng mga hakbang upang maalis ang mga ito;

    ayusin, sa inireseta na paraan, ang isang pagsisiyasat sa mga sanhi at kundisyon ng mga paglabag upang maiwasan ang mga ito sa hinaharap at dalhin ang mga may kasalanan sa hustisya;

    ipaalam sa FSTEC ng Russia, ang FSB ng Russia, ang pamunuan ng awtoridad ng gobyerno at ang customer tungkol sa mga paglabag na natuklasan at ang mga hakbang na ginawa.

Ang pagpapatuloy ng trabaho ay pinahihintulutan pagkatapos na maalis ang mga paglabag at ang sapat at pagiging epektibo ng mga hakbang na ginawa ay napatunayan ng FSTEC ng Russia o sa mga tagubilin nito ng mga yunit ng proteksyon ng impormasyon ng mga ahensya ng gobyerno.

Kung ang mga paglabag sa pangalawa at pangatlong kategorya ay nakita, ang mga pinuno ng mga na-inspeksyon na katawan at negosyo ay obligadong gawin ang mga kinakailangang hakbang upang maalis ang mga ito sa loob ng takdang panahon na napagkasunduan sa katawan na nagsagawa ng inspeksyon o ng customer (kinatawan ng customer) . Ang kontrol sa pag-aalis ng mga paglabag na ito ay isinasagawa ng mga yunit ng proteksyon ng impormasyon ng mga katawan at negosyong ito ng pamahalaan.

1. Organisasyon ng trabaho sa proteksyon ng teknikal na impormasyon:

1.1.Organisasyon ng teknikal na proteksyon ng impormasyon na inuri bilang estado at opisyal na mga lihim mula sa mga tauhan ng inhinyero at mula sa pagtagas sa pamamagitan ng mga teknikal na channel:

  • pagkakaroon ng mga alituntunin at regulasyon at teknikal na mga dokumento sa mga isyu sa seguridad ng teknikal na impormasyon;
  • pagkakaroon ng mga dokumento na kumokontrol sa mga aktibidad ng mga yunit ng istruktura para sa proteksyon ng teknikal na impormasyon (mga gawain, mga pananagutan sa pagganap atbp.);
  • pagsusuri at pagtatasa ng tunay na panganib ng pagtagas ng impormasyon sa pamamagitan ng mga teknikal na channel, pagkakumpleto at kawastuhan ng pagkakakilanlan ng mga posibleng teknikal na channel ng pagtagas ng impormasyon upang maprotektahan;
  • pagkakumpleto, kalidad at bisa ng pagbuo ng mga pang-organisasyon at teknikal na mga hakbang para sa proteksyon ng impormasyon, ang pamamaraan para sa kanilang pagpapatupad;
  • ang pamamaraan para sa pag-aayos at pagsubaybay sa estado ng seguridad ng teknikal na impormasyon, ang pagiging epektibo nito;
  • pagiging maagap at pagkakumpleto ng pagsunod sa mga kinakailangan ng namamahala na mga dokumento, mga desisyon ng State Technical Commission ng Russia, mga dokumento ng regulasyon, teknikal at pamamaraan sa proteksyon ng teknikal na impormasyon.

1.2. Pag-aaral at pagsusuri ng mga aktibidad ng mga yunit ng istruktura (responsable mga opisyal), upang matiyak ang seguridad ng impormasyong mapoprotektahan, ang mga gawaing kanilang nilulutas at mga responsibilidad sa pagganap.

1.3. Pagsusuri ng mga materyal na nagpapakilala sa pag-access ng katalinuhan sa impormasyong nagpapalipat-lipat sa mga istrukturang dibisyon. Detection ng presensya sa isang 1000-meter zone mga misyon sa ibang bansa, tinatamasa ang karapatan ng extraterritoriality, mga lugar ng paninirahan ng mga dayuhang espesyalista.

1.4 Pag-aaral at pagsusuri ng listahan ng impormasyong napapailalim sa proteksyon:

  • pagkakaroon ng listahan ng impormasyong napapailalim sa proteksyon mula sa teknikal na paraan katalinuhan at pagtagas sa pamamagitan ng mga teknikal na channel:
  • pagkakumpleto at katumpakan ng kahulugan ng pag-unmask ng mga palatandaan na nagpapakita ng impormasyong ito;

1.5 Availability ng isang information security system:

  • ang pagkakaroon ng mga gawain para sa teknikal na proteksyon ng impormasyon sa mga dokumento ng organisasyon at administratibo na kumokontrol sa mga aktibidad ng mga organisasyon at departamento na bahagi ng isang pinag-isang sistema ng mga katawan kontrolado ng gobyerno Sa Russian Federation;
  • organisasyon at pagpapatupad ng trabaho sa teknikal na proteksyon ng impormasyon sa sentral na tanggapan ng ministeryo (kagawaran) at sa mga subordinate na negosyo, organisasyon at institusyon nito;
  • pakikipag-ugnayan sa mga isyu sa seguridad ng teknikal na impormasyon sa iba pang mga ministri (kagawaran) at iba pang mga organisasyong third-party;
  • pagtiyak ng kontrol sa pagiging epektibo ng proteksyon ng impormasyon na bumubuo ng estado at opisyal na mga lihim sa lahat ng mga negosyo, institusyon at organisasyon na nasa ilalim at nasa ilalim ng ministeryo (kagawaran) na nagtatrabaho sa kanila.

1.6 Pagsusuri ng mga posibleng teknikal na channel para sa pagtagas ng impormasyon tungkol sa impormasyon na inuri bilang mga lihim ng estado sa panahon ng mga aktibidad ng ministeryo (kagawaran) at ang mga subordinate na negosyo, organisasyon at institusyon nito.

1.7 Pagsusuri ng mga daloy ng impormasyon sa panahon ng paggana ng mga istrukturang dibisyon.

1.8 Pagsusuri ng komposisyon ng hardware at software na kasangkot sa pagproseso ng impormasyon, ang kanilang lokasyon, teknolohiya sa pagproseso ng impormasyon at ang estado ng proteksyon nito:

  • ang estado ng accounting ng lahat ng hardware at software ng domestic at imported na produksyon na kasangkot sa pagproseso ng impormasyon na napapailalim sa proteksyon;
  • paglalagay ng mga elektronikong kagamitan, TSPI (na may pagtukoy sa mga lugar kung saan naka-install ang mga ito), mga ruta para sa paglalagay ng impormasyon at mga circuit na hindi pang-impormasyon na lumalampas sa kontroladong teritoryo.

1.9 Pagsasagawa ng pagsusuri ng pagkakaroon ng impormasyong naproseso sa mga awtomatikong sistema ng kontrol, mga computer at iba pang teknikal na paraan.

1.10 Pag-aaral ng organisasyon at aktwal na estado ng pag-access ng maintenance at operating personnel sa mga mapagkukunan ng impormasyon.

2. Pagsubaybay sa katayuan ng seguridad ng impormasyon:

Organisasyon ng seguridad ng impormasyon sa mga sistema at paraan ng impormasyon at komunikasyon:

  • pagsasagawa ng sertipikasyon ng mga sistema ng automation at komunikasyon at mga paraan na kasangkot sa pagproseso ng impormasyon na inuri bilang mga lihim ng estado at opisyal;
  • Pagsasagawa ng mga espesyal na inspeksyon upang matukoy ang mga naka-embed na device;
  • mga aktibidad ng mga istrukturang yunit na responsable para sa pag-automate ng mga proseso ng pagproseso ng impormasyon, accounting, imbakan, pag-access sa magnetic media, mga responsibilidad ng mga tao ang mga responsable para sa seguridad ng impormasyon;
  • pagiging maagap at kawastuhan ng pagpapatupad ng sistema ng seguridad ng impormasyon, pagpaparehistro ng pahintulot upang maproseso ang kumpidensyal na impormasyon;
  • tamang paglalagay at paggamit ng mga teknikal na paraan at ang kanilang mga indibidwal na elemento;
  • inilapat na mga hakbang upang maprotektahan ang impormasyon mula sa pagtagas dahil sa side electromagnetic radiation at interference, electroacoustic transformations;
  • mga hakbang na ginawa upang maiwasan ang hindi awtorisadong pag-access sa impormasyon, pati na rin ang pagharang ng impormasyon ng boses mula sa mga lugar at mga protektadong bagay sa pamamagitan ng mga teknikal na paraan.

2.1 Mula sa hindi awtorisadong pag-access (NAD)

Kapag sinusuri ang estado ng proteksyon ng software at mga mapagkukunan ng impormasyon mula sa hindi awtorisadong pag-access, ipinapayong gawin ang mga sumusunod na hakbang:

2.1.1 Tukuyin ang klase ng automated system na ginamit operating system, mga sistema ng proteksyon laban sa hindi awtorisadong pag-access at iba pang software. 2.1.2 Suriin ang pagpapatupad ng pang-organisasyon at teknikal na mga hakbang para sa teknikal na proteksyon ng impormasyong nagpapalipat-lipat sa AS o SVT. 2.1.3 Suriin ang pagkakaroon, kalidad ng pag-install at mga pamamaraan sa pagpapatakbo ng software at mga tool sa proteksyon ng hardware. 2.1.4 Maghanda at magsagawa ng control testing ng mga paraan ng seguridad ng impormasyon na pinoproseso ng AS at SVT, bumuo ng mga ulat sa pagsubok ng makina at pag-aralan ang mga ito. 2.1.5 Pag-aralan ang mga resulta ng pagsubok at itatag ang aktwal na mga katangian ng mga kagamitan sa proteksyon at ang kanilang pagsunod sa mga tagapagpahiwatig ng seguridad awtomatikong sistema. 2.1.6 Magsagawa ng survey ng software at suporta sa impormasyon ng isa o higit pang mga PC (hiwalay o bahagi ng mga lokal na network ng computer) para sa kawalan ng espesyal na impluwensya ng software:

  • pagsusuri ng impormasyon tungkol sa hindi direkta at direktang mga palatandaan ng impeksyon ng software ng computer at impormasyon sa "mga virus" ng computer;
  • pagsusuri ng circuit-technical, software-hardware, organisasyon at iba pang mga solusyon para sa pag-aayos ng proteksyon ng impormasyon mula sa mga espesyal na impluwensya ng software, mga paraan upang makakuha ng isang produkto ng software at ang pamamaraan para sa paggamit nito upang matukoy ang mga channel ng pagtagos ng "mga virus" o pagpapakilala ng mga umaatake mga espesyal na programa sa AC o SVT;
  • pagsubaybay sa integridad ng software at suporta sa impormasyon, system-wide at application software at paghahanap ng mga nakatagong mekanismo ng software para sa pagbaluktot (pagsira) ng impormasyon.

2.2 Laban sa pagtagas ng impormasyon dahil sa side electromagnetic radiation at interference (PEMIN)

2.2.1 Suriin ang applicability ng mga kasalukuyang test program o bumuo ng mga bago para sa ibinigay na teknikal na tool na sinusuri.
2.2.2 Batay sa paunang impormasyon, pumili ng mga teknikal na paraan ng pagpapadala, pag-iimbak at pagproseso ng impormasyon para sa instrumental na kontrol.
2.2.3 Magsagawa ng instrumental na pagsubaybay sa pagiging epektibo ng proteksyon laban sa pagtagas ng PEMIN ng protektadong teknikal na kagamitan.

2.3 Mula sa pagtagas ng impormasyon sa pagsasalita na nagpapalipat-lipat sa mga nakalaang silid dahil sa interference at acoustic field

Kapag sinusuri ang estado ng proteksyon ng impormasyon sa pagsasalita na nagpapalipat-lipat sa mga itinalagang lugar, ipinapayong:

2.3.1 Pag-aralan ang pagkakaroon ng impormasyon sa pagsasalita na nagpapalipat-lipat sa lugar ng opisina ng mga tauhan ng pamamahala, pati na rin ang mga lugar kung saan isinasagawa ang mga kumpidensyal na negosasyon o mga teknikal na paraan para sa pagproseso ng kumpidensyal na impormasyon ay naka-install.

  • pag-aralan ang mga kondisyon para sa paglalagay ng mga inilalaang lugar at ang pangunahing (OTSS) at pantulong na lugar na naka-install sa kanila mga teknikal na sistema and means (VTSS), ang kanilang mga placement diagram at ruta para sa paglalagay ng mga connecting lines;
  • tukuyin ang mga linya na lumalampas sa hangganan ng kontroladong zone (GKZ);
  • linawin ang sitwasyon ng reconnaissance, tukuyin ang mga mapanganib na direksyon sa reconnaissance at posibleng mga lokasyon para sa acoustic reconnaissance equipment;
  • suriin ang pagkakaroon at kalidad ng mga gumaganang dokumento sa proteksyon ng impormasyon sa pagsasalita;

2.3.2 Suriin ang pagpapatupad ng pang-organisasyon at teknikal na mga hakbang upang maprotektahan ang impormasyon sa pagsasalita na nagpapalipat-lipat sa mga itinalagang lugar. Sa kasong ito, ipinapayong isagawa ang mga sumusunod na hanay ng mga hakbang:
  • pagsuri sa pagsunod sa mga kinakailangan ng mga tagubilin sa pagpapatakbo at ang pamamaraan ng pagpapatakbo para sa mga teknikal na paraan ng pagpapadala, pag-iimbak at pagproseso ng impormasyon ng TSPI (paglalakad sa lahat ng itinalagang lugar);
  • pagsuri sa pagiging maagap at kawastuhan ng pagkakategorya ng mga inilalaang lugar, ang pamamaraan para sa kanilang sertipikasyon sa panahon ng pagkomisyon at ang pagpapalabas ng pahintulot para sa karapatang magsagawa ng mga kumpidensyal na kaganapan at magsagawa ng mga kumpidensyal na negosasyon;
  • pagsuri sa pagkakaroon, kalidad ng pag-install at pamamaraan ng pagpapatakbo ng mga paraan ng pagprotekta sa impormasyon ng pagsasalita mula sa pagtagas sa pamamagitan ng mga teknikal na channel;
  • pagsuri sa pagsunod sa mga kinakailangan para sa pagsasagawa ng mga espesyal na inspeksyon ng mga teknikal na kagamitan (para sa kawalan ng mga espesyal na nagpapalabas na aparato);

2.3.3 Magsagawa ng instrumental na pagsubaybay sa seguridad ng impormasyon ng boses na nagpapalipat-lipat sa mga nakalaang lugar, na pinoproseso at ipinadala ng TSPI, upang matukoy ang mga posibleng teknikal na channel ng pagtagas:

. Pagsubaybay sa pagsunod sa mga kinakailangan ng Russian Federation Law "Sa Mga Lihim ng Estado"

Ang pamamaraan para sa pagtanggap ng mga dayuhang mamamayan at ang pagsunod nito sa mga kinakailangan mga dokumento ng regulasyon. Ang pagtatasa ng mga hakbang sa seguridad ng impormasyon ay inilapat kapag bumisita ang mga dayuhang kinatawan sa mga organisasyon (mga negosyo). Pakikilahok ng mga espesyalista sa counterintelligence sa pagsusuri ng mga posibleng channel ng pagtagas ng impormasyon, sertipikasyon at mga espesyal na inspeksyon ng mga lugar bago at pagkatapos ng pagtanggap ng mga dayuhang espesyalista. Ang pagkakaroon ng mga programa sa pagpasok, koordinasyon sa mga awtoridad ng FSB. Pag-unlad at pagpapatupad (kung kinakailangan) ng mga karagdagang hakbang para sa teknikal na proteksyon ng impormasyon.
3.1 Sinusuri ang pagkakaroon ng mga istrukturang yunit, empleyado, kanilang antas ng pagsasanay, mga kwalipikasyon na nagbibigay ng mga solusyon sa mga isyu na may kaugnayan sa mga lihim ng estado. 3.2 Sinusuri ang pagkakaroon ng isang lisensya para sa karapatang magsagawa ng trabaho na may kaugnayan sa pagpapatupad ng Batas ng Russian Federation "Sa Mga Lihim ng Estado", kapwa sa mga regular na yunit ng istruktura at sa mga panlabas na organisasyon na gumaganap ng trabaho (pagbibigay ng mga serbisyo) sa teknikal na proteksyon ng impormasyon sa mga interes ng ministeryo (kagawaran) at mga subordinates nito sa kanila mga negosyo, organisasyon at institusyon. 3.3 Sinusuri ang pagkakaroon ng mga dokumento ng gabay at ang kanilang nilalaman sa isyu ng teknikal na proteksyon ng impormasyon (Batas ng RF "Sa Mga Lihim ng Estado", Listahan ng impormasyon na napapailalim sa proteksyon... atbp.). 3.4 Sinusuri ang estado ng rehimeng kumpidensyal sa mga kagawaran at ang antas ng pagsunod nito sa mga namamahala na dokumento sa pag-iingat ng rekord (kagamitan ng lugar, pagtatala at pag-iimbak ng mga kumpidensyal na dokumento, pag-access sa pag-iingat ng rekord at mga kumpidensyal na dokumento). 3.5 Sinusuri ang pagiging maagap at kawastuhan ng pakikipag-usap sa mga kinakailangan ng namamahala na mga dokumento sa proteksyon ng teknikal na impormasyon sa mga empleyado ng mga departamento, kaalaman sa kanila ng mga empleyado. 3.6 Sinusuri ang kawastuhan ng pagkakategorya ng impormasyon ayon sa antas ng pagiging kumpidensyal, ang pamamaraan para sa pagrekord at pag-iimbak nito kapag gumagamit ng mga teknikal na paraan (electronics, TSPI, kagamitan sa opisina, atbp.). 3.7 Sinusuri ang kawastuhan ng pag-print (pagpaparami) ng mga kumpidensyal na dokumento, ang kanilang pag-record at ang pamamaraan para sa pakikipag-usap sa mga ito sa mga gumaganap. 3.8 Pagsusuri sa pamamaraan para sa pagtanggap ng mga empleyado na magtrabaho gamit ang classified na impormasyon. 3.9 Sinusuri ang organisasyon ng trabaho upang bawasan ang antas ng pagiging kompidensiyal (declassification) ng mga dokumento at pagbibigay ng impormasyon sa mga gumaganap. 3.10 Sinusuri ang pagkakaroon ng "Mga Sertipiko ng Pagsang-ayon" para sa mga inilalaang lugar at mga teknikal na paraan na kasangkot sa pagproseso ng impormasyon na protektahan, at mga dokumento ng sertipikasyon para sa paraan ng teknikal na proteksyon ng impormasyon at pagsubaybay sa pagiging epektibo nito.

4. Mga isyu na dapat isaalang-alang kapag sinusuri ang mga may lisensya

4.1 Sinuri:
  • pagkakaroon ng isang lisensya (permit) para sa karapatang magsagawa ng trabaho sa teknikal na proteksyon ng impormasyon, pagsuri sa bisa ng lisensya para sa itinatag na mga deadline at pagsunod sa gawaing praktikal na isinagawa ng may lisensya (1.5)*;
  • pagkakaroon ng mga dokumento mula sa may lisensya pagpaparehistro ng estado aktibidad ng entrepreneurial at ang charter ng enterprise (1.7)*;
  • ang estado ng produksyon at pagsubok na base, ang pagkakaroon ng regulasyon at metodolohikal na dokumentasyon para sa pagsasagawa ng trabaho sa mga ipinahayag na uri ng mga aktibidad (1.6)*;
  • staffing na may siyentipiko, inhinyero at teknikal na mga tauhan upang magsagawa ng trabaho sa mga ipinahayag na uri ng mga aktibidad. Antas ng kahandaan ng mga espesyalista na magsagawa ng trabaho (1.6)*;
  • propesyonal na pagsasanay ang pinuno ng kumpanya ng lisensyado at (o) mga taong pinahintulutan niya na pamahalaan ang mga lisensyadong aktibidad (1.7)*;
  • pagsunod sa mga obligasyong kontraktwal upang matiyak ang kaligtasan ng kumpidensyal at materyal na ari-arian pisikal at mga legal na entity na gumamit ng mga serbisyo ng isang may lisensya (2.4)*;
  • pagiging maagap at pagkakumpleto ng pagsusumite sa ahensya ng gobyerno para sa paglilisensya o sa sentro ng paglilisensya para sa impormasyon sa trabahong isinagawa sa mga partikular na uri ng aktibidad na tinukoy sa lisensya alinsunod sa mga kinakailangan ng State Technical Commission of Russia (2.4)*;
  • ang kalidad ng mga serbisyong ibinigay ng may lisensya (pagtatasa ng pagiging epektibo ng mga hakbang na ginawa ng mga lisensyado para sa teknikal na proteksyon ng impormasyon sa 1-3 mga negosyo ng consumer na gumamit ng mga serbisyo ng may lisensya (3.2)*.

4.2 Ang mga resulta ng inspeksyon ng mga lisensyado ay makikita sa anyo ng isang hiwalay na seksyon ng batas o sertipiko na inisyu batay sa mga resulta nakatakdang inspeksyon mga ministri (kagawaran) at mga negosyo, organisasyon at institusyong nasasakupan nila. Batay sa mga resultang nakuha, ang isang konklusyon ay ginawa tungkol sa pagsunod ng may lisensya sa mga itinatag na kinakailangan at ang posibilidad ng karagdagang pagsasagawa ng trabaho sa mga nakasaad na lugar.

Tandaan: *) Ang mga seksyong "Mga regulasyon sa paglilisensya ng estado ng mga aktibidad sa larangan ng seguridad ng impormasyon" ay ipinahiwatig sa mga bracket.

Dahil sa katotohanan na ang mga hakbang sa kontrol / pagsusuri para sa seguridad ng personal na data ay kasama sa mga pangunahing hanay ng mga hakbang sa proteksyon simula sa UZ4 - UZ3, karamihan sa mga operator ng personal na data ay nakakuha ng mga scanner ng seguridad. Minsan ay nahaharap ako sa mga sumusunod na katanungan: kinakailangan bang patakbuhin ang scanner na ito, at kung gayon, gaano kadalas at kung ano ang eksaktong susuriin.

Subukan nating alamin ito:
· Ang mga scanner ay ginagamit upang ipatupad ang isang pangkat ng mga hakbang upang kontrolin (pag-aralan) ang seguridad ng personal na data (APD) na ipinag-uutos alinsunod sa utos ng FSTEC ng Russia No. 21 ng Pebrero 18, 2013.
Tingnan natin kung ang mga regulasyong ligal na aksyon ng Russian Federation ay may anumang ipinag-uutos na kinakailangan para sa pamamaraan o dalas ng pag-scan sa seguridad:

Order ng FSTEC ng Russia No. 21
“8.8. Ang mga hakbang upang kontrolin (pag-aralan) ang seguridad ng personal na data ay dapat tiyakin ang kontrol sa antas ng seguridad ng personal na data na naproseso sa sistema ng impormasyon, sa pamamagitan ng pagsasagawa ng mga sistematikong aktibidad upang pag-aralan ang seguridad ng sistema ng impormasyon at subukan ang pagganap ng sistema ng proteksyon ng personal na data.
ANZ.1 Pagkilala, pagsusuri ng mga kahinaan sa sistema ng impormasyon at agarang pag-aalis ng mga bagong natukoy na kahinaan
ANZ.2 Pagsubaybay sa pag-install ng mga update sa software, kabilang ang pag-update ng software ng seguridad ng impormasyon
ANZ.3 Pagsubaybay sa pagganap, mga setting at tamang paggana ng software at mga tool sa seguridad ng impormasyon
ANZ.4 Pagkontrol sa komposisyon ng hardware, software at paraan ng seguridad ng impormasyon”

GOST R 51583-2014 pamamaraan para sa paglikha ng mga protektadong speaker

Hindi posible na makahanap ng higit pang mga regulasyon na naglalaman ng mga kinakailangan para sa pagsusuri sa seguridad

Nangangahulugan ito na sa mga ligal na kilos ng Russian Federation ay hindi naglalaman ng mga kinakailangan para sa order at dalas pagsasagawa ng mga pag-scan ng seguridad, ayon sa pagkakabanggit, mga setting para sa pag-scan ng mga profile, dalas ng pagsusuri sa kahinaan independiyenteng tinutukoy ng operator
Paano niya matutukoy ang pagkakasunud-sunod at dalas na ito?

· malamang na kinakailangan na magpatuloy mula sa mga tampok at pagiging kritikal ng sistema ng impormasyon, ang komposisyon ng software na ginamit at ang mga panloob na panuntunan para sa pag-update ng software;

· Kailangan mo ring maunawaan na batay sa mga resulta ng pag-scan, bumubuo ito ng ulat sa mga kahinaan, na kailangan pa ring ayusin - upang maalis ang mga kahinaan at mag-install ng mga nawawalang update. Walang saysay na magsagawa ng mga pag-scan nang mas madalas kaysa may oras ang mga responsableng tao upang iproseso ang ulat at ayusin ang mga kahinaan. Dalas ng pag-scan > average na oras para magproseso ng ulat ng kahinaan

· kapag tinutukoy ang pagkakasunud-sunod at dalas ng pag-scan, ang operator ng sistema ng impormasyon ay maaaring magabayan ng kanyang sariling kadalubhasaan sa larangan seguridad ng impormasyon, karanasan sa pagsasagawa ng mga aktibidad sa pagsusuri sa seguridad, mga rekomendasyon mula sa mga panlabas na eksperto at mga lisensyado ng FSTEC, pati na rin ang mga dokumentong may katayuang "inirerekomenda" o "pinakamahusay na kasanayan"

· dapat isaalang-alang na ang mga hakbang sa pagsusuri sa seguridad ay dapat sistematiko(clause 8.8 ng FSTEC order No. 21) at dapat sapat upang neutralisahin ang mga kasalukuyang banta (sugnay 2 ng Dekreto ng Pamahalaan Blg. 1119)

Tingnan natin kung ano ang nasa pinakamahuhusay na metodolohikal na dokumento at pinakamahuhusay na kagawian:

GOST R ISO/IEC 27002-2012
“12.6 Pamamahala sa Teknikal na Kahinaan
Layunin: Bawasan ang mga panganib na dulot ng pagsasamantala sa mga na-publish na teknikal na kahinaan.

Ang pamamahala sa teknikal na kahinaan ay dapat isagawa sa isang epektibo, sistematiko at paulit-ulit na paraan, na may mga pagsukat na isinasagawa upang kumpirmahin ang pagiging epektibo nito. Ang mga pagsasaalang-alang na ito ay dapat na nalalapat sa mga system na pinapatakbo at anumang iba pang mga application program na ginagamit.
12.6.1 Pamamahala ng mga teknikal na kahinaan

Sukat at paraan ng kontrol at pamamahala

Ito ay kinakailangan upang makakuha ng napapanahong impormasyon tungkol sa mga teknikal na kahinaan ng mga sistema ng impormasyon na ginagamit, masuri ang pagkakalantad ng organisasyon sa mga naturang kahinaan at gumawa ng naaangkop na mga hakbang upang matugunan ang panganib na nauugnay sa kanila.

Ang patuloy na na-update at kumpletong imbentaryo ng asset (tingnan ang 7.1) ay isang kinakailangan para sa epektibong pamamahala sa teknikal na kahinaan. Ang partikular na impormasyong kailangan upang suportahan ang teknikal na pamamahala ng kahinaan ay kinabibilangan ng impormasyon tungkol sa vendor ng software, mga numero ng bersyon, kasalukuyang estado deployment (halimbawa, kung aling software ang naka-install sa kung aling mga system) at ang (mga) taong responsable para sa software sa organisasyon.

Gayundin, ang napapanahong aksyon ay dapat gawin bilang tugon sa pagkakakilanlan ng mga potensyal na teknikal na kahinaan. Upang lumikha ng isang epektibong proseso ng pamamahala para sa mga teknikal na kahinaan, ang mga sumusunod na rekomendasyon ay dapat sundin:
a) dapat tukuyin at itatag ng organisasyon ang mga tungkulin at responsibilidad na nauugnay sa pamamahala ng teknikal na kahinaan, kabilang ang pagsubaybay sa kahinaan, pagtatasa ng panganib sa kahinaan, pag-patch ng software, pagsubaybay sa asset, at anumang iba pang mga function ng koordinasyon;
b) mapagkukunan ng impormasyon na gagamitin upang tukuyin at magbigay ng kamalayan sa mga makabuluhang teknikal na kahinaan ay dapat matukoy para sa software at iba pang teknolohiya batay sa listahan ng imbentaryo ng asset (tingnan ang 7.1.1); ang mga mapagkukunan ng impormasyon na ito ay dapat na ma-update habang ang mga pagbabago ay ginawa sa imbentaryo o kapag ang iba ay bago o kapaki-pakinabang na mapagkukunan;
c) kinakailangan upang matukoy ang oras ng pagtugon sa mga abiso ng mga potensyal na makabuluhang teknikal na kahinaan;
d) Kapag natukoy na ang potensyal na teknikal na kahinaan, dapat matukoy ng organisasyon ang mga panganib na nauugnay dito at ang mga aksyon na kailangang gawin; maaaring kabilang sa mga naturang aksyon ang pag-patch ng mga apektadong system at/o pagpapatupad ng iba pang mga kontrol at kontrol;
e) Depende sa kung gaano kabilis kailangang tugunan ang teknikal na kahinaan, ang aksyong ginawa ay dapat isagawa alinsunod sa mga kontrol na nauugnay sa pamamahala ng pagbabago (tingnan ang 12.5.1) o pagsunod sa mga pamamaraan ng pagtugon sa insidente ng seguridad ng impormasyon (tingnan ang .13.2);
f) kung posible na mag-install ng isang patch, ang mga panganib na nauugnay sa pag-install nito ay dapat masuri (ang mga panganib na dulot ng kahinaan ay dapat ihambing sa panganib ng pag-install ng patch);
g) bago i-install, ang mga patch ay dapat na subukan at suriin upang matiyak na ang mga ito ay epektibo at hindi humantong sa mga side effect na hindi dapat tiisin; Kung hindi posibleng mag-install ng patch, dapat isaalang-alang ang iba pang mga kontrol at kontrol, halimbawa:
1) hindi pagpapagana ng mga serbisyong nauugnay sa kahinaan;
2) pag-aangkop o pagdaragdag ng mga kontrol sa pag-access, tulad ng mga firewall sa mga hangganan ng network (tingnan ang 11.4.5);
3) pinahusay na pagsubaybay upang matukoy o maiwasan ang mga aktwal na pag-atake;
4) pagtaas ng kamalayan sa mga kahinaan;
h) dapat itala ng audit trail ang lahat ng mga pamamaraang isinagawa;
i) ang proseso ng pamamahala sa teknikal na kahinaan ay dapat na regular na subaybayan at suriin upang magbigay ng kumpiyansa sa pagiging epektibo at kahusayan nito;
j) una sa lahat, dapat bigyan ng pansin ang mga system na may mataas na lebel panganib.

karagdagang impormasyon

Ang wastong paggana ng proseso ng pamamahala sa teknikal na kahinaan ay mahalaga sa maraming organisasyon at ang proseso ay dapat na regular na subaybayan. Mahalaga ang tumpak na imbentaryo upang matiyak na matutukoy ang mga potensyal na makabuluhang teknikal na kahinaan.

Ang pamamahala sa teknikal na kahinaan ay maaaring ituring na isang sub-function ng pamamahala sa pagbabago at, dahil dito, maaaring makinabang mula sa mga proseso at pamamaraan ng pamamahala ng pagbabago (tingnan ang 10.1.2 at 12.5.1).

Ang mga vendor ay madalas na nakakaranas ng malaking pressure na ilabas ang mga patch sa lalong madaling panahon. Samakatuwid, maaaring hindi malutas ng patch ang problema nang sapat at maaaring magkaroon ng mga side effect. Bukod pa rito, sa ilang mga kaso, kapag nailapat na ang isang patch, maaaring hindi ito madaling i-uninstall.

Kung hindi maisagawa ang sapat na pagsubok ng mga patch, halimbawa dahil sa gastos o kakulangan ng mga mapagkukunan, maaaring isaalang-alang ang pagkaantala sa pagpapatupad ng mga pagbabago upang masuri ang mga nauugnay na panganib batay sa karanasan ng iba pang mga user.”

RS BR IBBS-2.6-2014
"10. Yugto ng operasyon
10.1. Ang mga pangunahing gawain sa yugto ng pagpapatakbo sa mga tuntunin ng pagbibigay ng seguridad ng impormasyon ay:
- panaka-nakang pagtatasa ng seguridad ng ABS (nagsasagawa ng mga hakbang upang matukoy ang mga tipikal na kahinaan ng mga bahagi ng software ng ABS, pagsubok sa pagtagos);
10.2. Ang dalas ng trabaho sa pagtatasa ng seguridad ay tinutukoy ng desisyon
Mga organisasyong RF BS. Para sa mga pangunahing sistema ng pagbabangko na ginagamit upang ipatupad ang teknolohiya sa pagbabayad ng pagbabangko
hindi lohikal na proseso, inirerekumenda na isagawa komprehensibong pagsusuri walang seguridad
wala pang isang beses sa isang taon"

metodolohikal na dokumento ng FSTEC ng Russia "Mga Panukala para sa pagprotekta ng impormasyon sa mga sistema ng impormasyon ng estado", na magagamit din upang matiyak ang seguridad ng personal na data sa pagpapasya ng operator
“ANZ.1 PAGKILALA, PAGSUSURI AT PAG-ALIS NG MGA KAHANAAN NG SISTEMA NG IMPORMASYON
Ang pagkilala (paghahanap), pagsusuri at pag-aalis ng mga kahinaan ay dapat isagawa sa mga yugto ng paglikha at pagpapatakbo ng isang sistema ng impormasyon. Sa yugto ng pagpapatakbo, ang paghahanap at pagsusuri ng mga kahinaan ay isinasagawa sa mga pagitan na itinatag ng operator. Kasabay nito, ito ay sapilitan para sa mga kritikal na kahinaan isinasagawa ang paghahanap at pagsusuri ng mga kahinaan sa kaso ng paglalathala sa mga mapagkukunang magagamit sa publiko impormasyon tungkol sa mga bagong kahinaan sa mga tool sa seguridad ng impormasyon, mga teknikal na paraan at software ginagamit sa sistema ng impormasyon.
Mga kinakailangan para sa pagpapalakas ng ANZ.1:
2) dapat i-update ng operator ang listahan ng mga kahinaan na na-scan sa sistema ng impormasyon sa dalas na itinatag niya, pati na rin pagkatapos ng paglitaw ng impormasyon tungkol sa mga bagong kahinaan;

· ginagabayan ng dokumentong pamamaraan ng FSTEC - ang pagsusuri sa seguridad ay dapat na isagawa nang walang pagkabigo pagkatapos ng paglalathala ng impormasyon tungkol sa isang kritikal na kahinaan o pag-update;

· para sa Windows OS ang mga ganitong kahinaan ay lumalabas sa karaniwan buwanan;

· sa aking opinyon, upang matiyak ang neutralisasyon ng kasalukuyang mga banta, ang pagsusuri sa seguridad gamit ang mga scanner ay dapat na isagawa kahit man lang quarterly

· bilang panimulang punto kapag tinutukoy kung ano at kung paano suriin, maaari mong gamitin ang Appendix 3 Mga Rekomendasyon para sa pagsasagawa ng mga pagtatasa ng seguridad sa RS BR IBBS-2.6-2014 - seksyon 2 "Pagkilala sa mga kilalang kahinaan"

Ang pagsuri sa seguridad ng impormasyon mula sa walang diskriminasyong impormasyon ay kinabibilangan ng pagsuri kung ang pagiging epektibo ng mga hakbang sa proteksyon ng impormasyon ay nakakatugon sa mga itinatag na kinakailangan o pamantayan para sa seguridad ng impormasyon. Ang lahat ng mga grupo ng paraan ng proteksyon laban sa NSD na aming tinalakay sa mga nakaraang lektura ay nasubok.

Sinusuri ang pagsunod mga paglalarawan teknolohikal na proseso pagproseso at pag-iimbak ng protektadong impormasyon sa tunay na proseso.

Sinusuri ang posibilidad paglilipat ng impormasyon ng mas mataas na antas ng pagiging kumpidensyal sa isang tagapagdala ng impormasyon na mas mababang antas.

Kasalukuyang isinasagawa ang pagsusuri pinahihintulutan at ipinagbabawal na mga koneksyon sa pagitan ng mga paksa at mga bagay ng pag-access na may sanggunian sa partikular na OTSS at tauhan ng kawani.

Nasusuri ang pagsunod pinapayagan at ipinagbabawal ang mga koneksyon sa sistema ng pagpapahintulot para sa pag-access ng mga tauhan sa mga protektadong mapagkukunan sa lahat ng yugto ng pagproseso.

Ang pag-verify, bilang panuntunan, ay isinasagawa gamit ang software at hardware-software security control tool. Bilang halimbawa, isaalang-alang ang mga produkto ng isang kumpanya, Information Security Center LLC.

Ang tool sa pagkontrol sa seguridad mula sa NSD "Inspector 2 XP" ay idinisenyo upang kontrolin ang mga pahintulot sa pag-access sa mga mapagkukunan ng impormasyon.

  • pagpapakita ng lahat ng impormasyong nakapaloob sa PRD (pagtingin lamang ang posible);
  • paghahambing ng istraktura ng mga mapagkukunan ng AWS na inilarawan sa PDP sa aktwal na istraktura ng mga mapagkukunan;
  • paglikha ng isang ulat batay sa mga resulta ng paghahambing;
  • pagbuo ng plano sa pagsubok para sa mga automated na bagay sa lugar ng trabaho;
  • pagsuri ng mga tunay na karapatan sa pag-access ng gumagamit upang ma-access ang mga bagay;
  • paglikha ng isang ulat sa mga resulta ng pagsubok.

Ang network scanner na "Network Inspector" na bersyon 3.0 ay idinisenyo upang makita ang mga kahinaan sa naka-install na software ng network at hardware na gumagamit ng mga protocol ng TCP/IP stack. Ang sistema ay may sapat na pagkakataon, isa na rito ang paghahanap ng mga kahinaan na nasa database ng FSTEC ng mga banta at kahinaan na tinalakay natin kanina. Bilang karagdagan, ang programa ay naghahanap ng mga kahinaan na nilalaman sa cve.mitre. org, ovaldb.altx-soft.ru, microsoft. com at ilang iba pang mapagkukunan.

Paraan para sa pag-aayos at pagsubaybay sa paunang estado software package Ang "FIX" ay nilayon na kontrolin ang integridad na subsystem. Mga pangunahing tampok ng programa:

  • pag-aayos ng paunang estado ng software package;
  • pagsubaybay sa paunang estado ng software package;
  • pag-aayos at kontrol ng mga direktoryo;
  • kontrol ng mga pagkakaiba sa mga tinukoy na file (mga direktoryo);
  • kakayahang magtrabaho kasama ang mahabang mga pangalan ng file at mga pangalan na naglalaman ng mga character na Cyrillic.

Ang programa para sa paghahanap at garantisadong pagkasira ng impormasyon sa mga disk na "TERRIER" ay nagpapahintulot sa iyo na kontrolin ang pagkasira ng impormasyon. Upang suriin, kailangan mong lumikha ng isang file na may kontrol na kumbinasyon ng mga character sa isang kumpidensyal na lohikal na disk, hanapin ang mga sektor gamit ang "TERRIER", tanggalin ang file gamit ang mga karaniwang tool at kontrolin ang pagtanggal nito gamit ang TERRIER.

18.4. Dokumentasyon ng mga resulta ng kontrol. Mga kinakailangan para sa mga kontrol sa seguridad ng impormasyon

Dapat pansinin na sa halip mahigpit na mga kinakailangan ay ipinapataw sa mga paraan ng pagsubaybay sa pagiging epektibo ng mga hakbang sa seguridad ng impormasyon, pati na rin sa mga tagagawa ng naturang paraan. Alinsunod sa "Mga Regulasyon sa mga aktibidad sa paglilisensya para sa pagbuo at paggawa ng mga paraan ng pagprotekta ng kumpidensyal na impormasyon", na inaprubahan ng Dekreto ng Pamahalaan Blg. 171 noong Marso 3, 2012, ang pagbuo at paggawa ng mga teknikal na paraan ng pagsubaybay sa pagiging epektibo ng mga hakbang sa proteksyon ng impormasyon ay napapailalim sa paglilisensya. At ang binuo at ginawang paraan ng pagsubaybay sa pagiging epektibo ng mga proteksiyon na hakbang ay dapat mayroon mismo sertipiko ng pagsang-ayon FSTEC ayon sa mga kinakailangan ng Decree of the Government of the Russian Federation ng Hunyo 26, 1995 N 608 "Sa sertipikasyon ng mga paraan ng seguridad ng impormasyon".

Ang pagsubaybay sa pagiging epektibo ng proteksyon ay nagtatapos sa pagpapalabas ng Konklusyon sa maikling pagtatasa pagsunod sa object ng impormasyon tungkol sa seguridad ng impormasyon, mga tukoy na rekomendasyon para sa pag-aalis ng mga paglabag, pagdadala ng sistema ng proteksyon ng object ng impormasyon sa pagsunod sa itinatag na mga kinakailangan, pagpapabuti ng system na ito, mga rekomendasyon para sa pagsubaybay sa paggana ng object ng impormasyon. Ang mga ulat ng pagsubok ay nakalakip sa Konklusyon, na nagpapatunay sa mga resulta na nakuha sa panahon ng mga pagsusulit at nagbibigay-katwiran sa konklusyon na ibinigay sa konklusyon.