Применение мер и средств защиты информации на объектах информатизации (далее – ОИ) подразумевает проведение периодической оценки – контроля эффективности защиты (далее – контроль).
В соответствии с ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию» объект информатизации - это совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.
Разнообразие ОИ и, соответственно, нормативной базы подразумевает различные требования по периодичности проведения контроля. Далее речь пойдет об объектах, обрабатывающих информацию ограниченного доступа, не составляющую государственную тайну.
Согласно Приказу ФСТЭК России от 18 апреля 2021 г. № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» (далее – Приказ № 77), можно выделить следующие виды ОИ:
- государственные и муниципальные информационные системы (в том числе информационные системы персональных данных);
- информационные системы управления производством, используемые организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением (далее – ИСУП ОПК);
- помещения, предназначенные для ведения конфиденциальных переговоров (далее – ЗП);
- значимые объекты критической информационной инфраструктуры Российской Федерации (далее – ЗОКИИ);
- информационные системы персональных данных (далее – ИСПДн);
- автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды (далее – АСУ ТП КВО).
Помимо указанных выше существуют еще автоматизированные системы (далее – АС), классифицируемые в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.) (далее – РД АС).
В нормативно-методической документации (далее – НМД) ФСТЭК России можно встретить различные требования к периодичности проведения контроля.
ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» не содержит термина периодический контроль. Наиболее близкий термин – оценка соответствия требованиям по защите информации: Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.
В соответствии с Приказом ФСТЭК России от 11.02.2013 г. № 17 (в ред. Приказа ФСТЭК России от 15.02.2017 № 27) «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» (п.18.7):
«Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационной системе 1 класса защищенности, устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационной системы, но не реже 1 раза в год.
Периодичность проведения контроля за обеспечением уровня защищенности информации, содержащейся в информационных системах 2 и 3 классов защищенности, устанавливается оператором в организационно-распорядительных документах по защите информации с учетом особенностей функционирования информационных систем, но не реже 1 раза в два года.
В соответствии с Приказом ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (п.6):
«Оценка эффективности реализованных в рамках системы защиты персональных данных мер по обеспечению безопасности персональных данных проводится оператором самостоятельно или с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанная оценка проводится не реже одного раза в 3 года.
В соответствии с Приказом ФСТЭК России от 21.12.2017 г. № 235 «Об утверждении Требований к созданию систем безопасности значимых объектов критической информационной инфраструктуры Российской Федерации и обеспечению их функционирования» (с учетом изменений, внесенных приказами ФСТЭК России от 27.03.2019 № 64 и от 20.04.2023 № 69) (п.36):
«Контроль проводится не реже, чем раз в 3 года. Периодичность контроля определяется руководителем субъекта критической информационной инфраструктуры
В случае проведения по решению руководителя субъекта (ответственного лица) критической информационной инфраструктуры внешней оценки (внешнего аудита) состояния безопасности значимых объектов критической информационной инфраструктуры внутренний контроль может не проводиться.
Для аттестованных АС и ЗП согласно ГОСТ РО 0043-003-2012 (отменен с 1 сентября 2022 г.) был предписан ежегодный контроль соответствия системы защиты информации ОИ требованиям безопасности информации. При добровольной аттестации необходимость и периодичность ежегодного контроля устанавливалась заявителем.
Сроки проведения периодического контроля для ОИ приведены в таблице:
| ОИ | Обязательность аттестации | Срок проведения контроля из НМД | Чем регламентирован |
Государственные и муниципальные ИС | + | К1 - не реже 1 раза в год; | Приказ ФСТЭК России от 11.02.2013 г. № 17 |
ИСУП ОПК | + | - |
|
ЗП | + | - |
|
ЗОКИИ | - | не реже 1 раза в три года | Приказ ФСТЭК России от 21.12.2017 г. № 235 |
ИСПДн | - | не реже 1 раза в три года | Приказ ФСТЭК России от 18.02.2013 г. № 21 |
АСУ ТП КВО | - | - |
|
АС | - | - |
|
Следует учесть также, что согласно п. 32 Приказа №77 протоколы контроля защиты информации на аттестованном объекте информатизации не реже одного раза в два года представляются владельцем объекта информатизации в ФСТЭК России (территориальный орган ФСТЭК России). (Применение данного требования для аттестованных АС, классифицированных согласно РД АС, под вопросом, т.к. согласно информационному сообщению ФСТЭК России от 11 апреля 2022 г. № 240/24/1950, сведения об аттестации подобных объектов в ФСТЭК России (территориальный орган ФСТЭК России) не направляются.).
Таким образом, в случае если требования по обязательной аттестации предъявляются в НМД или владельцем принято самостоятельное решение по аттестации ОИ согласно Приказу №77, для таких объектов необходимо проводить периодический контроль как минимум 1 раз в два года (если НМД не требует более частого проведения).