Контроль ЗИ - Форум по вопросам информационной безопасности

Доброго времени суток! Работы по этому направлению начал проводить совсем не давно, поэтому вопросов куча.
В соответствии с 77 приказом ФСТЭК необходимо проводить контроль защиты информации и протоколы отправлять в ФСТЭК раз в 2 года.
Кто как проводит контроль?
Для примера мера защиты ИАФ.1: идентификация и аутентификация пользователей.
Метод контроля: проверяю невозможность доступа всех видов пользователей без однозначной идентификации и аутентификации.
Если более подробно то: при входе ввел не верный логин и верный пароль - результат отрицательный, при входе ввел верный логин и не верный пароль - результат отрицательный, при входе ввел верный логин и верный пароль - результат: пользователь успешно вошел в систему.
В правильном ли направлении провожу план контроля?
Есть ли у кого нибудь какие нибудь собственные наработки? По многим мерам защиты не могу написать метод проверки (например ЗИС.11, ЗИС.20 и т.д.)
Если кто может посодействовать в данном направлении просьба написать на мейл: kopysov_as@ric.udmr.ru

to Антон К.

Да. в целом верно. Еще добавьте проверку организационно-распорядительной документации, в которой описаны ПиПы для данной меры, как того требуют меры защиты информации в ГИС.

Читайте меры защиты в ГИС и 'придумывайте' проверки, исходя из требований и здравого смысла. Нигде не написано, какие должны проверки проводится для той или иной меры. Читаем нормативку и пытаемся что-то придумать.

План контроля это фактически аттестационные испытаний, но без выдачи аттестата. Суть одна. => да, направление верное.

Наработки есть у всех лицензиатов, но мало кто Вам их даст. Точнее никто. За просто так уж точно. Ибо это труд, боль, гнев.
Я лично несколько дней потратил на перелопачивания всех мер, потом еще столько же для второго класса.

*в сторону*
Контроль предусматривает подтверждение/отрицание факта, что меры защиты не изменились и не должны были измениться в ходе эксплуатации (например, при отсутствии новых неустраненных уязвимостей, новых актуальных УБИ и т.д.). Смысл не в том, чтобы проконтролировать выполнение каждой меры путем проведения каких-либо попыток ее обхода, а в том, чтобы удостоверится, что меры вообще реализованы, не отличаются и не должны отличаться (измениться в свете эксплуатационных расходов) от тех, что были оценены в рамках аттестационных испытаний...
Короче, берем в руки перечень реализованных на ОИ мер защиты, накладываем на них "свежак" в виде повторной актуализации УБИ (Модель-то тоже надо пересматривать), проверяем (хотя бы по Банкам данных) отсутствие уязвимостей, проверяем неизменность техпроцесса/состава и т.д. (см. пункты про случаи повторной/доп. аттестации), а также отсутствие необходимости в реформировании реализованных мер защиты. И оформляем аналогично Протоколам, выданным по результатам аттестации - Протоколы-то на руках у Заказчика имеются...
В минималке (если совсем не хочется париться) можно пройтись исключительно по тем пунктам, что орган по аттестации расписал в своих Протоколах/Заключении. Только риск упустить реальные проблемы, связанные с временем эксплуатации ОИ, резко увеличивается, ага...

to Антон К.

План это не "процедурный" документ. В нем только набор планируемых Вами мероприятий и сроков их проведения. Здесь нет процедуры контроля (проверки). Иначе говоря у Вашей информационной системы стадия эксплуатации, а не ввода в действие. Например, если у Вас ГИС, то для основных задач контроля должен использоваться пункт 18.7 "Требований...", утвержденных приказом ФСТЭК от 11.02.2013 № 17 (задачи планирования в пункте 18.1).

Для описания порядка проведения, условий и объема проверок рекомендую оформлять документ вида "Программа и методика испытаний". По содержанию модно ориентироваться на пункт 5.13 ГОСТ Р 59795-2021 или пункт 2.14 РД 50-34.698-90. В Вашем случае этот документ может иметь наименование: Программа и методика контроля эффективности мер защиты информации, Программа и методика проверки мер защиты информации и т.п.
В чистом виде Программы и методики предварительных / приемочных / аттестационных испытаний вряд ли подойдут. Отдельные "куски" может быть, но полностью дублировать данные документы при ежегодных контролях не корректно. Цель, условия и объем и них разные, поэтому содержание не должно совпадать. Хотя на практике каждый выполняет сию задачу уникально.

В основном методы проверок (испытаний) разделяются на экспертно-документальный и инструментальный. В зависимости от проверки количественных характеристик (например, фиксация контрольных сумм / поиск уязвимостей) или качественных показателей (программное сравнение контрольных сумм / выявление отсутствия критических видов угроз) можно уточнять вид применяемого метода. Например, пункт 17.2 указанных выше Требований относит к (!) методам проверок (испытаний) "анализ уязвимостей информационной системы" и "испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации".

Добрый день!

Подскажите, по поводу уничтожения конфиденциальной информации.

Может ли хранитель информации передавать носители информации на уничтожение без обязательного присутствия ответственного сотрудника (или фиксации процесса уничтожения на видео) при условии наличия у утилизатора носителей информации лицензии ФСТЭК? Допустима ли такая схема законом (другими правовыми актами)?
Существуют ли такие утилизаторы (с лицензией ФСТЭК)? Целесообразно ли получать лицензию ФСТЭК исключительно для целей утилизации носителей информации?

"Хранитель" чей информации?
Если своей информации (какой-нибудь конфиденциальной), то сам же и регулирует. Нужные требования прописывает в своих локальных нормативных актах и исполняет. Как правило, это "вотчина" отделов безопасности, отвечающих за вопросы обеспечения и контроля за оными процедурами.
Если чужой информации (например, государственной тайны), то необходимо обратиться к собственнику этой информации за уточнением порядка и правил утилизации носителей, содержащих данную информацию. Как вариант - передать ему эти носители и пусть он сам решает, что с ними делать. Чужая информация сама по себе законным путем не появляется, только на основании договора/контракта. Соответственно и регулироваться должна им же. Как правило в разделах, посвященных в конфиденциальности, или технических заданиях на выполнение работ (оказание услуг), являющихся неотъемлемой частью договора/контракта.

Присутствие или непосредственное участие сотрудника в процедуре утилизации носителей информации никак не связаны с наличием у "утилизатора" средств утилизации.