Контроль уровня защиты информации
Масштабная информатизация всех отраслей экономики и постоянно увеличивающееся количество угроз информационной безопасности повышает важность объективного и достоверного анализа защищенности информационных систем. Контроль уровня защиты информации позволяет минимизировать риск инцидентов ИБ, а также обеспечить бесперебойное функционирование системы.
Аттестованная по требованиям безопасности информационная система согласно положениям Приказа ФСТЭК России № 77 от 29.04.2021 не требует повторной аттестации до конца срока эксплуатации. Во ФСТЭК России ведётся реестр аттестованных объектов информатизации, в который внесены сведения обо всех аттестованных объектах с указанием действующего статуса.
Но, согласно тексту Приказа, в период действия аттестата владелец системы должен не только реализовать все необходимые требования по защите информации, но и обеспечить проведение периодического контроля уровня защиты информации на аттестованном объекте информатизации.
Проводить контрольные мероприятия может как сам владелец информационной системы, так и организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации (в соответствии с постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79).
В ходе проведения периодического контроля производятся:
· оценка выполнения требований нормативных и методических документов по защите информации;
· оценка работоспособности и эффективности применяемых средств защиты информации;
· оценка актуальности организационно-распорядительных документов по защите информации.
Требования к разработке программы и методик проведения контроля уровня защиты информации на аттестованном объекте информатизации Приказ ФСТЭК России № 77 не предъявляет.
Результаты обследования оформляются протоколами и заносятся в технический паспорт на объект информатизации. Требования к форме протоколов Приказом №77 не предъявляются, однако, на практике чаще всего используются формы, приближенные к протоколам аттестационных испытаний. Данные о проведенных контрольных мероприятиях обязательно должны быть направлены во ФСТЭК России.
Комментирует Евгений Шувалов, руководитель Департамента Системных Решений:
«Процедуру периодического контроля уровня защиты информации Приказ ФСТЭК России № 77 не разъясняет, однако, непредставление протоколов контроля защиты информации является основанием для приостановления действия аттестата соответствия.
Также регулятор (ФСТЭК России) может приостанавливать и даже прекращать действие аттестатов на основании экспертной проверки предоставленных документов, если будет установлено, что имелась или имеется возможность возникновения угроз безопасности информации. Аналогичные меры могут применяться к владельцам информационных систем, которые не устранили обнаруженные недостатки системы защиты информации.
Приостанавливается действие аттестата соответствия и при изменениях в архитектуре системы защиты информации данной информационной системы или по обращению владельца объекта информатизации.
Для снижения рисков возникновения ситуации приостановления или прекращения действия аттестата мы рекомендуем владельцам информационных систем соблюдать правила эксплуатации и своевременно проводить мероприятия по контролю уровня защиты информации»
Периодичность проведения обследования уровня защиты информации определяет пункт 32 Приказа ФСТЭК России № 77: протоколы контроля защиты информации на аттестованном объекте информатизации представляются владельцем объекта во ФСТЭК России не реже одного раза в два года.
Приказ ФСТЭК России № 17 в отношении государственных информационных систем 1 класса защищенности устанавливает требование проводить контроль уровня защищенности не реже одного раза в год. Частота проведения контроля уровня защищенности информации устанавливается оператором в организационно-распорядительных документах с учетом особенностей функционирования государственной информационной системы. Аналогичная формулировка используется в отношении государственных информационных систем второго и третьего классов защищенности. Для них установлена периодичность проведения контрольных мероприятий 1 раз в два года.