Практична робота №25
Порядок та форми здійснення державного контролю за станом технічного захисту інформації
Положення про державний контроль за станом технічного захисту інформації
Це Положення визначає порядок організації та здійснення державного контролю за станом технічного захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Державний контроль за станом технічного захисту інформації (далі - ТЗІ) здійснюється Державною службою спеціального зв'язку та захисту інформації України (далі - Держспецзв'язку).
Об'єкти протидії (ОПД) - озброєння, військова та спеціальна техніка, об'єкти оборонно-промислового комплексу, військові об'єкти та об'єкти, використання яких передбачено в ході проведення заходів з мобілізації, інші об'єкти, призначені для застосування в інтересах оборони і безпеки держави.
Контрольно-інспекторська робота з питань ТЗІ - діяльність, спрямована на визначення та вдосконалення стану ТЗІ в органах, щодо яких здійснюється ТЗІ.
Об'єкт "особливої норми" - місце постійного або тимчасового перебування посадової особи, щодо якої здійснюється державна охорона, призначене для здійснення нею діяльності, пов'язаної з інформацією, необхідність захисту якої визначено законодавством.
Державний контроль за станом ТЗІ полягає в перевірці виконання вимог нормативно-правових актів і нормативних документів з ТЗІ та здійснюється з метою визначення стану ТЗІ в органах, щодо яких здійснюється ТЗІ, виявлення порушень з ТЗІ та запобігання їм.
Державний контроль за станом ТЗІ здійснюється Держспецзв'язку шляхом організації та проведення контрольно-інспекторської роботи з питань ТЗІ стосовно органів, щодо яких здійснюється ТЗІ.
Контрольно-інспекторська робота з питань ТЗІ включає планування, проведення інспекційних перевірок стану ТЗІ в органах, щодо яких здійснюється ТЗІ (далі - перевірка), аналіз їх результатів та надання рекомендацій щодо вдосконалення стану ТЗІ в зазначених органах.
За результатами контрольно-інспекторської роботи здійснюються аналіз та узагальнення стану ТЗІ в державі.
Перевірки стану ТЗІ поділяються на комплексні, цільові (тематичні) та контрольні. Зазначені перевірки можуть бути плановими та позаплановими.
При комплексній перевірці визначається відповідність комплексу ТЗІ (комплексної системи захисту інформації) та заходів протидії технічним розвідкам вимогам нормативно-правових актів та нормативних документів системи ТЗІ.
При цільовій (тематичній) перевірці перевіряються окремі складові комплексу ТЗІ (комплексної системи захисту інформації) та заходів протидії технічним розвідкам на відповідність упроваджених заходів вимогам нормативно-правових актів та нормативних документів системи ТЗІ.
При контрольній перевірці перевіряється повнота та достатність проведених заходів щодо усунення недоліків, які були виявлені в ході проведення попередньої комплексної або цільової перевірки.
Планові перевірки здійснюються згідно з річним планом контрольно-інспекторської роботи з питань ТЗІ, затвердженим Головою Держспецзв'язку.
Позапланові перевірки здійснюються у разі наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ або з метою визначення повноти та достатності заходів з ТЗІ, вжитих органами, щодо яких здійснюється ТЗІ. Зазначені перевірки можуть проводитися з попередженням або без попередження.
Порядок проведення перевірок стану ТЗІ
1. Для проведення перевірки стану ТЗІ посадові особи Держспецзв'язку повинні пред'явити керівнику або вповноваженому представнику органу, щодо якого здійснюється ТЗІ, припис на право проведення перевірки та службові посвідчення.
2. При проведенні перевірки стану ТЗІ контролю підлягають повнота та достатність упроваджених на об'єктах інформаційної діяльності та об'єктах протидії заходів з ТЗІ, їх відповідність вимогам нормативно-правових актів, виконання рекомендацій щодо усунення порушень з ТЗІ.
3. За результатами перевірок посадовими особами Держспецзв'язку, які їх здійснювали, складаються акти перевірок стану ТЗІ.
4. Акт комплексної перевірки стану ТЗІ складається за встановленою формою. Акти контрольних та цільових (тематичних) перевірок складаються у довільній формі.
5. Акт перевірки стану ТЗІ готується в двох примірниках. Перший примірник акта перевірки надсилається до суб'єкта системи ТЗІ, що перевірявся, другий - до структурного підрозділу Адміністрації Держспецзв'язку з питань державного контролю за станом криптографічного та технічного захисту інформації.
6. Усі примірники акта підписуються посадовими особами Держспецзв'язку, якими проводилася перевірка, та затверджуються керівником Адміністрації Держспецзв'язку або начальником регіонального органу Держспецзв'язку, який підписав припис на проведення перевірки. Ознайомлення керівника органу, щодо якого здійснюється ТЗІ, з актом здійснюється за його підписом.
7. У разі відмови керівника органу, щодо якого здійснюється ТЗІ, засвідчити факт ознайомлення з актом перевірки своїм підписом, посадовими особами Держспецзв'язку, що здійснювали перевірку, робиться в акті відповідний запис.
Порушення вимог з ТЗІ поділяються на три категорії, які визначають можливість реалізації загроз безпеці інформації:
перша категорія - невиконання вимог нормативно-правових актів та нормативних документів з ТЗІ, унаслідок чого створюється реальна загроза порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами та (або) цілісності й доступності інформації;
друга категорія - невиконання вимог нормативно-правових актів та нормативних документів з ТЗІ, унаслідок чого створюються передумови до порушення конфіденційності, зокрема за рахунок витоку (просочення) технічними каналами та (або) цілісності й доступності інформації;
третя категорія - невиконання інших вимог з ТЗІ.
Висновок перевірки є результатом адміністративно-правової оцінки стану ТЗІ, повноти та достатності заходів щодо впровадження комплексу технічного захисту інформації (комплексної системи захисту інформації) та заходів протидії технічним розвідкам, їх відповідності вимогам нормативно-правових актів з ТЗІ.
Основним критерієм відповідності стану ТЗІ вимогам нормативних документів та нормативно-правових актів є відсутність порушень з ТЗІ.
Державний інструментальний контроль захищеності інформації, яка циркулює на об'єктах "особливої норми", здійснюється з використанням інструментально-розрахункових методів з метою оцінки повноти та достатності впроваджених на об'єктах організаційних, організаційно-технічних та технічних заходів із захисту інформації від поширення (просочення) технічними каналами.