X.2. Контроль состояния обеспечения безопасности информации

Контроль состояния обеспечения безопасности информации в ходе эксплуатации объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России проводится с определенной в Политике ИБ периодичностью, с целью подтверждения состояния обеспечения ИБ и проверки выполнения пользователями ИС ФНС России и ответственными лицами структурных подразделений ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России исполнения положений Политики ИБ ФНС России и установленного режима защиты ИР ФНС России. Контроль проводится также в случаях нарушения ИБ с целью определения причин произошедших нарушений.

Контроль состояния обеспечения безопасности информации в ходе эксплуатации объектов информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России проводится специалистами подразделений информационной безопасности ЦА ФНС России, налоговых органов, подведомственных организаций ФНС России в плановом порядке (в соответствии с политикой планирования мероприятий по обеспечению защиты информации) или вне плана, в случаях нарушения безопасности информации с целью определения причин произошедших нарушений.

Для проведения контроля могут привлекаться организации, имеющие лицензию ФСТЭК России на осуществление такой деятельности.

Основными задачами контроля являются:

- проверка соответствия организации работ по обеспечению ИБ в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России требованиям установленного режима защиты ИР ФНС России;

- проверка соответствия ИТ-инфраструктуры ФНС России установленному уровню защищенности;

- оценка обоснованности мер ИБ, применяемых в ЦА ФНС России, налоговых органах и подведомственных организациях ФНС России и соответствия их установленным требованиям;

- проверка своевременности и полноты выполнения сотрудниками ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России требований нормативных документов по обеспечению безопасности информации, в том числе положений настоящей Концепции.

В ходе контроля состояния обеспечения безопасности информации могут применяться специальные программные средства тестирования технических средств обработки информации. Тестовые испытания состояния безопасности информации проводятся в рабочих эксплуатационных режимах ИС ФНС России. При проведении контроля необходимо учитывать, что использование тестирующих средств недостаточно для объективного контроля защищенности ИС ФНС России. Перечень выявленных при тестировании уязвимостей не является исчерпывающим и не исключает присутствия иных, кроме обнаруженных уязвимостей. Результаты испытаний с помощью тестирующих средств подлежат обязательному дополнению результатами других исследований. Тестированию подвергаются:

- встроенные механизмы защиты общесистемного программного обеспечения ИС ФНС России и телекоммуникационного оборудования;

- программные и программно-аппаратные средства защиты, применяемые в ИС ФНС России;

- технические СЗИ, установленные на объектах информатизации налоговых органов, подведомственных организациях ФНС России;

- основные технические средства обработки информации ИС ФНС России и телекоммуникационной инфраструктуры ФНС России;

- вспомогательные технические средства обработки информации, установленные на объектах информатизации ЦА ФНС России, налоговых органов и подведомственных организаций ФНС России.

По результатам контроля дается оценка эффективности, принимаемых мер обеспечения безопасности информации. Защита считается эффективной, если принимаемые меры обеспечивают реализацию заданных целей и требований, а также соответствуют установленным нормам и требованиям настоящей Концепции.

Результаты контроля, установленные причины нарушений, рекомендации по их устранению отражаются в заключениях, актах, справках или отчетах, и докладываются Руководителю Федеральной налоговой службы.