2. Процессы регулирования при управлении информационной безопасностью

Общая схема взаимодействия процессов регулирования при управлении ИБ представлена на рис. 1.

Представленная на рис. 1 схема соответствует модели PDCA международного стандарта ИСО/МЭК 27001-2013 г.

Процессы регулирования при управлении ИБ включают в себя:

- разработку политик и требований к ИБ;

- разработку и внедрение СУИБ ФНС России;

- обеспечение функционирования (эксплуатацию) СУИБ;

- контроль состояния ИБ.

СУИБ разрабатывается в ФНС России с учетом требований и политик в области ИБ. Взаимоувязанные процессы управления ИБ в ФНС России должны обеспечить централизованно управляемую систему информационной безопасности.

Внедрение средств и систем СУИБ организуется ФНС России.

Внедрение СУИБ осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы и в том числе включает:

- установку и настройку средств СУИБ;

- разработку документов, определяющих правила и процедуры, реализуемые эксплуатирующими подразделениями для обеспечения СУИБ;

- внедрение организационных мер защиты информации;

- предварительные испытания СУИБ;

- опытную эксплуатацию СУИБ;

- анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;

- приемочные испытания СУИБ.

Проверка работоспособности СУИБ проводится на этапах внутренних испытаний и опытной эксплуатации комиссиями в составе представителей подрядчиков и заказчика.

Обеспечение функционирования и эксплуатация готовых средств и систем СУИБ должна производиться Центром управления безопасностью информации и назначенными сотрудниками налоговых органов. Оперативная поддержка задач эксплуатации осуществляется АЦ, входящим в состав ЦУБИ. Технологические процессы эксплуатации должны быть обеспечены соответствующей документальной поддержкой.

Обеспечение функционирования (эксплуатации) СУИБ на региональном уровне производится сотрудниками на основании должностных регламентов или приказов.

Эксплуатация технико-программных средств ЦУБИ осуществляется сотрудниками аналитического центра ЦУБИ.

Контроль управления безопасностью информации ФНС России осуществляется постоянно руководством соответствующего уровня. Высшим звеном контроля, в соответствии с требованиями Положения о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" (утв. Постановлением Совета Министров - Правительства РФ от 15.09.1993 N 912-51), является руководитель ФНС России.

Основные функции контроля исполняются в рамках функционирования СУИБ. Работы по контролю управления безопасностью информации ФНС России организуются ЦУБИ ФНС России. При организации мероприятий контроля используются данные, полученные в АЦ ЦУБИ.

Контроль функционирования системы управления ИБ в ФНС России является составной частью общей системы контроля ИБ в ФНС России. Контроль ИБ в ФНС России подразделяется на внешний и внутренний.

Внешний контроль проводится государственными регуляторами в области ИБ (ФСБ России, ФСТЭК России и Роскомнадзор) по собственным планам, согласованным с ФНС России на основании собственных нормативных документов.

Внутренний контроль (в том числе дистанционный контроль) проводится:

- ЦУБИ по отдельному плану, согласованному с проверяемыми подразделениями, на основании введенной приказом ФНС России методики, а также в рамках функционирования СУИБ;

- МИ ФНС России по ФО по отдельным планам проверки основных видов деятельности ФНС России или тематических планов по виду деятельности, согласованными с проверяемыми подразделениями, на основании регламента, введенного приказом ФНС России;

- УФНС России внутри и в подчиненных ИФНС России и ТОРМ ФНС России по отдельным планам;

- МИ ФНС России по КН внутри по отдельным планам.

Взаимоувязанные процессы регулирования управления ИБ в ФНС России позволяют на основании сформулированных требований в области управления иметь адекватную централизованную управляемую информационную безопасность ФНС России.

Рисунок 1