Контроль уровня защиты информации
Масштабная информатизация отраслей, входящих в критическую инфраструктуру, и постоянно увеличивающееся количество угроз информационной безопасности повышает важность объективного и достоверного анализа защищенности информационных систем. Контроль уровня защиты информации позволяет минимизировать риск инцидентов ИБ, а также обеспечить бесперебойное функционирование системы.
Аттестованная по требованиям безопасности информационная система согласно положениям Приказа ФСТЭК России № 77 от 29.04.2021 не требует повторной аттестации до конца срока эксплуатации. Во ФСТЭК России ведётся реестр аттестованных объектов информатизации, в который внесены сведения обо всех аттестованных объектах с указанием действующего статуса.
Но, согласно тексту Приказа, в период действия аттестата владелец системы должен не только реализовать все необходимые требования по защите информации, но и обеспечить проведение периодического контроля уровня защиты информации на аттестованном объекте информатизации.
Проводить контрольные мероприятия может как сам владелец информационной системы, так и организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации (в соответствии с постановлением Правительства Российской Федерации от 3 февраля 2012 г. № 79).
В ходе проведения периодического контроля производятся оценка соответствия системы аттестационной документации, включающая в том числе:
- оценка выполнения требований нормативных и методических документов по защите информации;
- оценка работоспособности и эффективности применяемых средств защиты информации;
- оценка актуальности организационно-распорядительных документов по защите информации.
Требования к разработке программы и методик проведения контроля уровня защиты информации на аттестованном объекте информатизации Приказ ФСТЭК России № 77 не предъявляет.
Результаты обследования оформляются протоколами и заносятся в технический паспорт на объект информатизации. Требования к форме протоколов Приказом №77 не предъявляются, однако, на практике чаще всего используются формы, приближенные к протоколам аттестационных испытаний. Данные о проведенных контрольных мероприятиях обязательно должны быть направлены в ФСТЭК России.
Пункт 32 Приказа ФСТЭК России № 77 определяет периодичность проведения такого обследования: протоколы контроля защиты информации на аттестованном объекте информатизации представляются владельцем объекта в ФСТЭК России не реже одного раза в два года. В случае государственной информационной системы 1 класса защищенности контроль должен проводиться не реже одного раза в год. Частота проведения контроля уровня защиты информации устанавливается оператором в организационно-распорядительных документах с учетом особенностей функционирования информационной системы. Аналогичная формулировка используется в отношении государственных информационных систем второго и третьего классов защищенности. Для них установлена периодичность проведения контрольных мероприятий 1 раз в два года.
Процедуру периодического контроля уровня защиты информации Приказ ФСТЭК России № 77 нам не разъясняет, однако, непредставление протоколов контроля защиты информации является основанием для приостановления действия аттестата соответствия.