Постановление администрации Воронежской области от 06.09.1999 № 886

состоянием  работ  по  технической  защите информации в федеральных 

органах   исполнительной   власти,  органах  исполнительной  власти  

субъектов Российской Федерации, органах местного самоуправления, на 

предприятиях,  в  учреждениях  и  организациях;       

    -    организует   проведение   радиоконтроля   за   соблюдением   

установленного  порядка  передачи  служебных сообщений должностными 

лицами  предприятий, учреждений и организаций, выполняющими работы, 

связанные   со   сведениями,   составляющими   государственную  или  

служебную   тайну,  при  использовании  открытых  каналов  радио  и  

радиорелейных,  тропосферных  и  спутниковых линий связи, доступных 

для радиоразведки.

    Контроль   в   администрации   области   силами  Инспекционного  

управления  Гостехкомиссии  России осуществляется по согласованию с 

главой администрации.

    Территориальный   орган  Гостехкомиссии  России  (Волгоградский  

специальный   центр)  в  пределах  своей  компетенции  осуществляет  

контроль  в  органах  власти  области,  а  также  на  предприятиях,  

расположенных  в  зоне  его  ответственности.       

    -  Федеральное  агентство  правительственной связи и информации 

при Президенте Российской Федерации:

    -    контролирует   организацию   и   состояние   эксплуатации,   

безопасности, развития и совершенствования правительственной связи, 

иных  видов  специальной  связи и систем специальной информации для 

государственных органов;

    -   контролирует   эффективность   мер   защиты   информации  с  

использованием  шифровальной  техники  и криптографических методов, 

безопасности    специальных    видов    связи   (правительственной,   

шифрованной,  засекреченной), шифровальной и дешифровальной работы. 

  5. Нарушения в области защиты информационных ресурсов области.

    Несоответствие мер защиты информационных ресурсов установленным 

требованиям  или  нормам  по защите информации является нарушением. 

    Нарушения   мер   защиты  информационных  ресурсов  по  степени  

опасности  делятся  на  две  категории:         

    -   первая   -  невыполнение  требований  или  норм  по  защите  

информационных  ресурсов,  в  результате  чего  имелась или имеется 

реальная   возможность  утечки  информации  ограниченного  доступа,  

произошло  разрушение,  уничтожение, искажение, блокирование важной 

информации, сбои в работе средств ее обработки или имеется реальная 

возможность возникновения этих последствий;

    -   вторая   -  невыполнение  требований  или  норм  по  защите  

информационных  ресурсов, в результате чего создаются предпосылки к 

утечке информации, разрушению, уничтожению, искажению, блокированию 

важной  информации  или  к  сбоям  в  работе  средств ее обработки. 

    Руководитель   контрольного   органа   (проверочной  комиссии),  

выявившего  нарушение  первой  категории,  обязан:      

    -  принять меры к немедленному пресечению выявленного нарушения 

путем  остановки процесса обработки информации или функционирования 

объекта;

    -  составить протокол контроля, который довести до руководителя 

проверяемой организации (объекта);

    -   сообщить   руководству   органа   власти  по  подчиненности  

предприятия   (объекта)   и   владельцу  защищаемых  информационных  

ресурсов  о  вскрытых нарушениях и принятых мерах по их пресечению. 

    При   обнаружении   нарушений   первой  категории  руководители  

проверяемых организаций (объектов) обязаны:

    -  немедленно прекратить работы на участке (рабочем месте), где 

обнаружены  нарушения,  и  принять  меры  по  их  устранению;  

    -  организовать  в установленном порядке расследование причин и 

условий  появления  нарушений с целью недопущения их в дальнейшем и 

привлечения  к  ответственности  виновных  лиц.       

    Возобновление  работ  разрешается  после устранения нарушений и 

проверки   достаточности   и  эффективности  принятых  мер  органом  

контроля, выявившим нарушение.

    При   обнаружении   нарушений   второй  категорий  руководители  

проверяемых  организаций  обязаны  принять  необходимые  меры по их 

устранению  в сроки, согласованные с органом, проводившим проверку. 

Контроль    за    устранением    этих    нарушений   осуществляется   

подразделениями  по  контролю (уполномоченными должностными лицами) 

проверяемой организации.

 6. Организация контроля состояния защиты информационных ресурсов.

    Организация   контроля   за  состоянием  защиты  информационных  

ресурсов  на  различных  видах  объектов  контроля  включает:   

    - планирование контроля состояния защиты информации;

    -  доведение  решения  о  проведении  проверки  до руководителя 

проверяемой  организации  (в  случае  проведения гласной проверки); 

    -  проведение  контроля  состояния защиты информации; доведение 

результатов  контроля,  выводов  и  рекомендаций до соответствующих 

органов и должностных лиц.

    Для   проведения   работ  по  контролю  могут  привлекаться  на  

договорной основе предприятия, имеющие лицензии на право проведения 

работ в области контроля.

    Контроль состояния защиты информации осуществляется посредством 

проведения  плановых или внезапных, гласных или негласных проверок, 

проверок  по  заявкам  проверяемых  организаций,  а  также  в  ходе  

повседневного   наблюдения   за  состоянием  защиты  информации  на  

контролируемых объектах.

    Порядок  планирования  контроля, доведения решений о проведении 

контроля   до   проверяемых  организаций,  а  также  виды  проверок  

определяют  руководители  уполномоченных  органов  контроля.   

    С   целью  исключения  дублирования  проверок  и  рационального  

распределения  сил  и  средств всех контрольных органов, исключения 

случаев   выпадения   предприятий   из  сферы  контроля,  владельцы  

информационных  ресурсов  согласуют  планы  проведения  контроля  с  

отделом    информатизации    и    отделом    безопасности,   защиты   

государственной  тайны  и  информации  администрации  области.   

    Допуск  представителей Инспекционного управления Гостехкомиссии 

России,  ее  территориальных  органов  на  объекты  для  проведения  

контроля,  доступ  их  к  работам  и  документам,  необходимым  для  

проведения  контроля, осуществляется в по предъявлении специального 

удостоверения  представителя Гостехкомиссии России и предписания на 

право  проведения  проверки  данного  объекта.       

    Предписания  на  право  проверки  состояния  защиты  информации  

выдаются:

    -  для  объектов  органов  государственной  власти  и  местного  

самоуправления,   предприятий  и  организаций  на  всей  территории  

области  -  начальником  Инспекционного  управления  Гостехкомиссии  

России,  заместителем  главы  администрации области - председателем 

Совета  по  вопросам  защиты  информации  при  главе  администрации  

области;  для  предприятий  и  органов  местного  самоуправления  -  

начальником    территориального   органа   Гостехкомиссии   России,   

руководителями (заместителями руководителей) исполнительных органов 

местного самоуправления;

    -    для    подведомственных   предприятий   -   руководителями   

(заместителями руководителей) управлений (аппаратов, департаментов) 

органов   государственной  власти  и  местного  самоуправления  или  

руководителями    их   контрольных   органов   в   соответствии   с   

компетенцией.

    Организация   работ   по  текущему  контролю  состояния  защиты  

информации   на   предприятиях   (организациях)  осуществляется  их  

руководителями.   В   зависимости   от  объема  работ  по  контролю  

руководителем  предприятия  создается  структурное подразделение по 

контролю,  либо назначаются штатные (нештатные) специалисты по этим 

вопросам.

    Подразделения по контролю (штатные специалисты) на предприятиях 

пользователях  информационных  ресурсов осуществляют мероприятия по 

предварительному  и текущему контролю состояния защиты информации в 

ходе  выполнения  работ  с  защищаемыми  информационными  ресурсами  

определяют  совместно  владельцем  информационных ресурсов основные 

направления   комплексного   контроля,   участвуют  в  согласовании  

технических   заданий   на  проведение  работ,  дают  заключение  о  

необходимости  и  возможности  проведения  работ  по  контролю.  

    Указанные   подразделения   (штатные  специалисты)  подчиняются  

непосредственно   руководителю  предприятия  или  его  заместителю.  

Работники  этих  подразделений (штатные специалисты) приравниваются 

по  оплате  труда  к соответствующим категориям работников основных 

структурных подразделений.

 7. Порядок проведения ведомственного и вневедомственного контроля

                   на различных видах объектов.

              7.1. Общий порядок проведения проверки.

    Для   проведения  проверки  руководителем  контрольного  органа  

назначается проверочная комиссия во главе с руководителем проверки, 

который   получает   предписание   на   право  проведения  проверки  

организации  работ  и  выполнения требований по защите информации в 

организации (на объекте).

    Предписание  доводится  руководителем  проверки до руководителя 

проверяемой организации (объекта) или лица его замещающего, который 

обязан   создать   проверочной  комиссии  необходимые  условия  для  

исполнения    ей   своих   функций,   определенных   положением   о   

соответствующем органе контроля.

    Руководитель  проверки  доводит до указанного должностного лица 

перечень   проверяемых   вопросов,  а  также  перечень  необходимых  

документов,  изделий,  технических  средств  и помещений, к которым 

должен   быть  обеспечен  доступ  членов  проверочной  комиссии,  в  

соответствии  с  их  правами, определенными настоящим Руководством. 

    Общими   задачами   контроля  состояния  защиты  информационных  

ресурсов,  решаемыми  в  ходе  проверки,  являются:     

    - проверка соответствия организации работ по защите информации, 

наличия  и  содержания  внутренних  организационно-распорядительных  

документов  требованиям  руководящих  документов  в  области защиты 

информации;

    -   проверка   соответствия   качественных   и   количественных   

показателей   эффективности   мероприятий   по   защите  информации  

требованиям  или  нормам  защиты  информации.       

    По   результатам   проверки   составляется  Акт.  Акт  проверки  

высылается  в  проверяемую  организацию  (на  объект),  руководству  

органа  власти  по  подчиненности  организации (объекта) и в орган, 

проводивший проверку.

    При  наличии  в  Акте  нарушений  или  недостатков, проверенной 

организацией   в   месячный   срок   составляется  план  устранения  

недостатков,   который   согласовывается   с  контрольным  органом,  

проводившим проверку.

    О  выполнении  всех  мероприятий  плана  устранения недостатков 

проверенная  организация  извещает  орган  контроля,  который может 

направить  в организацию своих сотрудников для оценки эффективности 

выполненных мероприятий.

    Проверка  считается законченной после отметки о выполнении всех 

мероприятий плана устранения недостатков.

   7.2. Вопросы, подлежащие проверке на объектах информатизации:

    - наличие аттестата на объект информатизации;

    -  характер  сведений,  циркулирующих  между подразделениями, в 

соответствии   с   принятой  в  организации  технологией  обработки  

информации;

    -   правильность  классификации  обрабатываемой  информации  по  

категории доступа, порядка ее обработки, хранения и размножения при 

использовании  технических средств (СВТ, ТСПИ, оргтехника и т. д.); 

    -   деятельность   структурных  подразделений  и  ответственных  

должностных  лиц по обеспечению безопасности информации, подлежащей 

защите;

    -  организация и фактическое состояние доступа обслуживающего и 

эксплуатирующего  персонала  к  защищаемым информационным ресурсам, 

наличие  и  качество  организационно-распорядительных документов по 

допуску  персонала  к  защищаемым  ресурсам;       

    -  состояние  учета  всех  технических  и  программных  средств  

отечественного и иностранного производства, участвующих в обработке 

информации,  подлежащей  защите,  наличие и правильность оформления 

документов  по  специальным  исследованиям  и проверкам технических 

средств ЭВТ;

    -  правильность  размещения  средств  ЭВТ,  ТСПИ (с привязкой к 

помещениям,   в   которых   они   установлены),   трасс   прокладки   

информационных  и  неинформационных  цепей,  выходящих  за  пределы  

контролируемой  территории  в  соответствии  с  предписаниями на их 

эксплуатацию;

    -  выполнение  организационных  и  технических  мер  по  защите  

информации,   циркулирующей  в  средствах  ЭВТ,  наличия,  качества  

установки  и  порядка  эксплуатации  программно-аппаратных  средств  

защиты от НСД;

    -  выполнение  требований  по защите информации при подключении 

автоматизированных   систем   обработки   информации  к  внешним  и  

международным информационным системам;

    -   оценка   эффективности  защиты  информации  по  результатам  

технического контроля.

7.3. Вопросы, подлежащие проверке в органах государственной власти

                    и местного самоуправления:

    -  наличие  структурных  подразделений, сотрудников, уровень их 

подготовки,    квалификации,   обеспечивающих   решение   вопросов,   

связанных  с  защитой  конфиденциальной  информации;     

    - наличие в системе органа управления руководящих документов по 

защите конфиденциальной информации;

    - наличие аттестатов на объекты информатизации; своевременность 

и  правильность  доведения  требований  руководящих  документов  по  

защите   информации  до  сотрудников  аппарата  и  подведомственных  

организаций,  знание  их  сотрудниками  аппарата;      

    -   правильность  классификации  обрабатываемой  информации  по  

категории   доступа,   порядка   ее   обработки   и   хранения  при  

использовании  технических  средств (СВТ, ТСПИ, оргтехника и т.д.), 

проверка   правильности   распечатки   документов   с  грифом  "Для  

служебного пользования", их учета;

    -  наличие  необходимых  документов  на  технические  средства,  

участвующие  в  обработке  подлежащей  защите  информации;   

    -   состояние   безопасности   информации   в   сетях  связи  и  

информатизации;

    -  оценка  деятельности аппарата по методическому руководству и 

координации   работ   по   защите  информации  на  подведомственных  

предприятиях.

  7.4. Вопросы, подлежащие проверке в научно-исследовательских и

   проектных организациях, а также на промышленных предприятиях:

    -  наличие и полнота отработки Руководства по защите информации 

в    соответствии    с    требованиями    руководящих    документов    

Гостехкомиссии,  Положения о системе защиты информационных ресурсов 

области,   правильность  оценки  угроз  безопасности  информации  и  

налаженность  взаимодействия  с  местными  органами  Гостехкомиссии  

России и ФАПСИ;

    -  наличие  в  Технических  заданиях  на  разработку (создание) 

изделий  (систем, средств, объектов) разделов по защите информации; 

    - качество проработки и обоснованность в эскизных и технических 

проектах мероприятий по защите информации, правильность определения 

технических каналов утечки информации;

    -  наличие и полнота разработки Инструкции по защите информации 

для  различных  этапов  жизненного  цикла  объектов  защиты;   

    -  наличие  и  правильность  ведения  журналов  учета  рабочего  

времени  средств  обработки  защищаемой  информации;     

    -  оценка  безопасности  информации  на  защищаемых  объектах с 

учетом результатов технического контроля;

    - наличие аттестатов на объекты информатизации.

    7.5. Вопросы, подлежащие проверке в системах и сетях связи,

                   управления и передачи данных:

    -  выполнение требований по защите информации при присоединении 

ведомственной   (внутренней)   сети   связи  к  сети  связи  общего  

пользования;

    - наличие и правильность установки аппаратуры защиты информации 

в каналах связи;

    -   обоснованность   и   полнота   мероприятия  по  обеспечению  

надежности   функционирования   и   защищенности   от   посторонних   

воздействий  систем  автоматизированного управления, а также систем 

передачи оперативно-диспетчерской информации;

    - наличие аттестатов на объекты информатизации;

    -  эффективность  мероприятий  по  проверке  и защите оконечных 

устройств  и коммутационного оборудования, размещенных в выделенных 

помещениях   или   передающих   подлежащую   защите  или  критичную  

информацию.

      7.6. Вопросы, подлежащие проверке в финансово-кредитных

                           организациях:

    -  наличие  выписки из требований по защите информации клиентов 

организации,    органов    государственной    власти   и   местного   

самоуправления;

    -  наличие специального участка (комплекса технических средств) 

для  обработки  подлежащей  защите  информации;       

    - наличие аттестатов на объекты информатизации;

    -  алгоритм  специального  технологического  процесса выделения 

подлежащей   защите   информации   из   общего  массива  финансовой  

информации,    обеспечивающего   безопасность   подлежащей   защите   

информации.

    8. Финансирование мероприятий по контролю состояния защиты

                  информационных ресурсов области

    Финансирование   мероприятий   по   контролю  состояния  защиты  

информационных  ресурсов  области, а также подразделений контроля в 

органах    власти    области    и    на    бюджетных   предприятиях   

предусматривается  в  сметах  расходов  на  их  содержание.   

    Финансирование  деятельности  подразделений  контроля остальных 

предприятий   и   организаций   осуществляется   за  счет  средств,  

получаемых  от  их основной деятельности, в основном при выполнении 

работ,   связанных   с   использованием  защищаемых  информационных  

ресурсов.

    Создание  средств  контроля эффективности защиты информации, не 

требующее  капитальных вложений, осуществляется в пределах средств, 

выделяемых     заказчиком     на     научно-исследовательские     и     

опытно-конструкторские работы, связанные с созданием информационных 

ресурсов.  Расходы  по  разработке  указанных  средств включаются в 

стоимость создаваемых информационных ресурсов.