9.2. Контроль состояния обеспечения безопасности информации

Контроль состояния обеспечения безопасности информации в ходе эксплуатации объектов информатизации налоговых органов проводится с определенной периодичностью, с целью подтверждения состояния обеспечения ИБ и проверки выполнения пользователями ИС налоговых органов и ответственными лицами структурных подразделений ФНС России исполнения положений Политики ИБ ФНС России и установленного режима защиты ИР ФНС России. Контроль проводится также в случаях нарушения ИБ с целью определения причин произошедших нарушений.

Контроль состояния обеспечения безопасности информации в ходе эксплуатации объектов информатизации налоговых органов проводится специалистами подразделений информационной безопасности центрального аппарата ФНС России и территориальных налоговых органов, в плановом порядке или вне плана, в случаях нарушения безопасности информации с целью определения причин произошедших нарушений.

Для проведения контроля могут привлекаться организации, имеющие лицензию ФСТЭК России на осуществление такой деятельности.

Контроль состояния обеспечения безопасности информации, содержащей сведения, составляющие государственную тайну, или в КСИИ осуществляют представители ФСТЭК России, а если при этом применяются средства криптографической защиты информации, органы ФСБ России. Проверки носят плановый характер и согласовываются центральным аппаратом ФНС России с контролирующими органами.

Основными задачами контроля являются:

проверка соответствия организации работ по обеспечению ИБ в налоговых органах требованиям установленного режима защиты ИР ФНС России;

проверка соответствия ИС налоговых органов установленному уровню защищенности;

оценка обоснованности мер ИБ, применяемых в налоговых органах, и соответствия их установленным требованиям;

проверка своевременности и полноты выполнения сотрудниками ФНС России требований нормативных документов по обеспечению безопасности информации, в том числе положений настоящей Концепции.

В ходе контроля состояния обеспечения безопасности информации могут применяться специальные программные средства тестирования технических средств обработки информации. Тестовые испытания состояния безопасности информации проводятся в рабочих эксплуатационных режимах ИС налоговых органов. При проведении контроля необходимо учитывать, что использование тестирующих средств не достаточно для объективного контроля защищенности ИС налоговых органов. Перечень выявленных при тестировании уязвимостей не является исчерпывающим и не исключают присутствия иных, кроме обнаруженных уязвимостей. Результаты испытаний с помощью тестирующих средств подлежат обязательному дополнению результатами других исследований. Тестированию подвергаются:

встроенные механизмы защиты общесистемного программного обеспечения ИС налоговых органов и телекоммуникационного оборудования;

программные и программно-аппаратные средства защиты, применяемые в ИС налоговых органов;

технические СЗИ, установленные на объектах информатизации налоговых органов;

основные технические средства обработки информации ИС налоговых органов и телекоммуникационной инфраструктуры ФНС России;

вспомогательные технические средства обработки информации, установленные на объектах информатизации налоговых органов.

По результатам контроля дается оценка эффективности, принимаемых мер обеспечения безопасности информации. Защита считается эффективной, если принимаемые меры обеспечивают реализацию заданных целей и требований, а также соответствуют установленным нормам и требованиям настоящей Концепции.

Результаты контроля, установленные причины нарушений, рекомендации по их устранению отражаются в заключениях, актах, справках или отчетах, и докладываются Руководителю Федеральной налоговой службы.