Основные операции по учету и контролю выполнения требований должны быть автоматизированы.
Обязанности по контролю распределяются между исполнительными органами системы информационной безопасности следующим образом:
- Управление информационной безопасности ФНС России проводит проверки организации и состояния информационной безопасности в управлениях ЦА ФНС, контролирует ее состояние специальными средствами;
- администраторы безопасности подразделения ФНС России контролируют текущее состояние информационной безопасности в подразделениях;
- администраторы систем, СУБД, сетей контролируют текущее состояние информационной безопасности в системах, СУБД, сетях;
- сотрудники подразделения контролируют текущее состояние информационной безопасности на своих рабочих местах.
Мероприятия для организации системы комплексного мониторинга и контроля состояния информационной безопасности
Должна быть организована система непрерывного контроля за состояние системы информационной безопасности следующим образом:
- определение перечня подразделений, рабочих мест, систем, процессов, по которым должен проводиться контроль выполнения требований.
- определение списка требований, для каждой структурной единицы.
- организация сбора отчетности о выполнении требований по ИБ.
- обработка и анализ собранных форм отчетности выводами о выполнении требований;
- периодический пересмотр системы требований
- контроль полноты и непротиворечивости системы требований.
Решение всех перечисленных задач должно быть автоматизировано путем использования необходимых программных средств контроля выполнения требований.
Помимо ежедневного контроля Управлением информационной безопасности ФНС России должны выполняться периодические проверки организации и состояния информационной безопасности, в том числе:
Проверки организации и состояния информационной безопасности проводятся Управлением информационной безопасности ФНС России в подразделениях и в ИТКС ФНС России и могут быть:
- плановыми;
- внезапными;
- по фактам нарушения информационной безопасности.
Плановые проверки проводятся в соответствии с годовым Планом проверок, который составляется Управлением информационной безопасности на очередной год в декабре текущего года, утверждается заместителем Службы и рассылается во все подразделения. Плановыми проверками должны быть охвачены все управления ЦА, ЦОД и не менее 30% территориальных управлений в год, каждое территориальное управление должно подвергаться плановой проверке не реже, чем один раз в три года. Каждый ЦОД должен проверяться ежегодно. В ходе плановых проверок должна полностью проверяться вся организация системы информационной безопасности подразделения.
Внезапные проверки проводятся Управлением информационной безопасности ФНС России в соответствии с внутренними планами работы. Каждое территориальное управление должно подвергаться внезапным проверкам не менее чем один раз в два года. Внезапные проверки проводятся по отдельным вопросам организации информационной безопасности.
Проверки по фактам нарушения информационной безопасности проводятся Управлением информационной безопасности после того, как нарушение устранено. Проверка проводится с целью выявление причин и предпосылок нарушения и выработка мер по предупреждению подобных нарушений в дальнейшем. Проверка проводится в обязательном порядке по каждому факту нарушения независимо от его последствий.
Результаты всех проверок оформляются двусторонними актами с необходимыми в каждом конкретном случае приложениями. При возникновении разногласий с проверяемым управлением может оформляться односторонний акт Управления информационной безопасности.
Контроль Управлением информационной безопасности состояния информационной безопасности с применением специальных средств - это текущий контроль, обеспечивающий независимую от работы информационной системы и сотрудников ФНС России оценку состояния ее безопасности. Такой контроль применяется в первую очередь в ИТКС ФНС России с использованием специальных автоматизированных рабочих мест (АРМ безопасности). Также для текущего контроля могут применяться различные технические средства пассивного и активного характера для перехвата информации, позволяющие оценить эффективность применяемых методов и средств обеспечения ее безопасности.
Администраторы безопасности подразделений и администраторы систем, СУБД и сетей контролируют состояние информационной безопасности на подведомственных участках. С этой целью они:
- контролируют правильность выполнения сотрудниками действий по доступу к объектам информационной системы;
- анализируют состояние информационной системы с целью выявлений попыток несанкционированного доступа и использования информационных средств и информации;
- контролируют правильность использования имеющихся коллективных и индивидуальных средств информационной защиты.
В случае выявления каких-либо отклонений или нарушений в системе информационной безопасности администраторы безопасности принимают меры к их устранению самостоятельно, через руководителя соответствующего управления или с привлечением Управления информационной безопасности ЦА ФНС России. Ответственность за принятие этих мер и сообщение о происшедшем руководителю подразделения или в Управление информационной безопасности несет администратор.
Сотрудники подразделения анализируют состояние своих рабочих мест с целью выявления попыток несанкционированного доступа и использования информационных средств и информации. В случае выявления таких попыток сотрудник сообщает об этом администратору безопасности подразделения и руководителю структурного подразделения.
Для эффективного контроля состояния информационной безопасности необходимо провести обучение сотрудников подразделений ФНС России с целью повышения уровня их осведомленности в вопросах информационной безопасности.
Для организации контроля и комплексного мониторинга системы информационной безопасности необходимо разработать и внедрить следующие организационно-распорядительные и нормативно-технические документы:
- Политика контроля и комплексного мониторинга состояния системы информационной безопасности в ФНС России;
- Регламент проведения плановых проверок информационной безопасности;
- Регламент расследования инцидентов информационной безопасности;
- Должностные инструкции администраторов безопасности подразделений ФНС России, администраторов систем, СУБД, сетей (в том числе разделы, касающиеся организации контроля и мониторинга информационной безопасности);
- Памятка сотрудника ФНС России по информационной безопасности;
5. Мероприятия по решению задач обеспечения информационной безопасности ФНС России
5.1. Организационно-режимные мероприятия
Выполнение организационно-режимных мероприятий при обеспечении информационной безопасности предполагает:
- категорирование объектов информатизации ФНС России в соответствии с руководящими нормативно-методическими документами по защите информации РФ;
- разграничение допуска к информационным ресурсам ограниченного распространения;
- разграничения допуска к программно-аппаратным ресурсам ИТКС ФНС России (на уровне подразделений ФНС и ФНС России в целом)
- ведение учета ознакомления сотрудников с информацией ограниченного распространения;
- включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранении сведений ограниченного распространения;
- организация уничтожения информационных отходов (бумажных, магнитных и т.д.);
- ведение учета отчуждаемых носителей информации;
- организация и осуществление периодического контроля за обеспечением информационной безопасности;
- организация учета СКЗИ, ключей шифрования и подписи, их хранения, эксплуатации и уничтожения.