Система контроля деятельности организаций по вопросам ЗИ
Лицензионный контроль проводится лицензирующим органом.
Цели:
проверка полноты и достоверности сведений о соискателе лицензии, содержащихся в представленных соискателем лицензии заявлении и документах;
проверка возможности выполнения лицензиатом требований и условий при осуществлении лицензируемого вида деятельности;
проверка сведений о лицензиате и соблюдения им лицензионных требований и условий при осуществлении лицензируемого вида деятельности.
Проверка лицензирующим органом указанных сведений проводится путем сопоставления таких сведений со сведениями из единого государственного реестра юридических лиц или единого государственного реестра индивидуальных предпринимателей.
ФЗ О лицензировании отдельных видов деятельности от 8 августа 2001 г. № 128-ФЗ
Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации осуществляется:
ФСТЭК
ФСБ
отраслевыми органами контроля в пределах их компетенции.
В ходе плановых проверок состояния защиты информации на предприятиях-потребителях, воспользовавшихся услугами лицензиатов;
При контроле государственными органами по лицензированию, лицензионными центрами качества выполненных лицензиатами работ по рекламациям предприятий-потребителей.
РД Положение о государственном лицензировании деятельности в области ЗИ
от 27 апреля 1994 г. № 10
Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы,
проводившие сертификацию этих средств ЗИ.
При возникновении спорных вопросов в деятельности участников сертификации заинтересованная сторона может подать апелляцию:
в орган по сертификации средств защиты информации,
в центральный орган системы сертификации,
в федеральный орган по сертификации.
Указанные организации в месячный срок рассматривают апелляцию с привлечением заинтересованных сторон и извещают подателя апелляции о принятом решении.
Положение о сертификации средств защиты информации
Утверждено постановлением Правительства РФ от 26 июня 1995 г. № 608
Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК как в процессе, так и по завершении аттестации, а за эксплуатацией аттестованных объектов информатизации - периодически в соответствии с планом работы по контролю и надзору.
ФСТЭК может передавать некоторые из своих функций государственного контроля и надзора по аттестации и за эксплуатацией аттестованных объектов информатизации аккредитованным органам по аттестации.
Объем, содержание и порядок государственного контроля и надзора устанавливаются в нормативной и методической документации по аттестации объектов информатизации.
Положение по аттестации объектов информатизации по требованиям безопасности информации
Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.
Государственный контроль и надзор за соблюдением правил аттестации включает
проверку правильности и полноты проводимых мероприятий по аттестации объектов информатизации,
оформления и рассмотрения органами по аттестации отчетных документов и протоколов испытаний,
своевременное внесение изменений в нормативную и методическую документацию по безопасности информации,
инспекционный контроль за эксплуатацией аттестованных объектов информатизации.
Положение по аттестации объектов информатизации по требованиям безопасности информации
Утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.
В случае грубых нарушений органом по аттестации требований стандартов или иных НМД по безопасности информации, выявленных при контроле и надзоре, орган по аттестации может быть лишен лицензии на право проведения аттестации объектов информатизации по ходатайству вышестоящего органа, проводящего контроль и надзор, перед федеральным органом по сертификации и аттестации.
По результатам контроля и надзора за эксплуатацией аттестованных объектов в случае нарушения их владельцами условий функционирования объектов информатизации, технологии обработки защищаемой информации и требований по безопасности информации органом, проводившим контроль и надзор, может быть
приостановлено или аннулировано действие «Аттестата соответствия», оформив это решение в «Аттестате соответствия» и проинформировав орган, ведущий сводную информационную базу аттестованных объектов информатизации, и ФСТЭК. 
Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в результате оперативного принятия организационно - технических мер не может быть восстановлен требуемый уровень безопасности информации.
В случае грубых нарушений органом по аттестации
требований стандартов или нормативных документов по безопасности информации, утвержденных ФСТЭК в пределах его компетенции, выявленных при контроле и надзоре и пришедших к повторной аттестации, расходы по осуществлению контроля и надзора могут быть по решению Госарбитража взысканы с органа по аттестации. Кроме того, и повторная аттестация может быть осуществлена за счет этого органа по аттестации.
Расходы по осуществлению надзора за обязательной аттестацией и эксплуатацией объектов, прошедших обязательную аттестацию, оплачиваются органом надзора из средств госбюджета, выделенных ему в этих целях.
Сцелью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа и предотвращения специальных программно-технических воздействий, проводится периодический (не реже одного раза в год) контроль состояния защиты информации.
Контроль осуществляется службой безопасности учреждения (предприятия), а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:
соблюдения нормативных и методических документов ФСТЭК России;
работоспособности применяемых средств защиты информации в соответствии с их эксплутационной документацией;
знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.
СТР-К
ПЕРИОДИЧНОСТЬ ПРОВЕДЕНИЯ РАБОТ |
||
НА ОИ В ШТАТНОМ РЕЖИМЕ: |
||
аттестация и переаттестация |
каждые три года |
|
ОИ |
||
|
||
инструментальный контроль |
ежегодно |
|
эффективности защиты ОИ |
||
|
||
|
Пример: |
2007 год |
аттестация ОИ |
2008 год |
инструментальный контроль |
|
эффективности защиты ОИ |
||
|
2009 год |
инструментальный контроль |
|
эффективности защиты ОИ |
||
|
||
2010 год |
переаттестация ОИ |
Типовые нарушения по организации 
защиты информации
отсутствие штатных подразделений (специалистов) по защите информации;
отсутствие или некачественная разработка Руководства и Положения о порядке организации о проведения работ по защите конфиденциальной информации;
неправильное категорирование ОВТ;
неправильная классификация АС;
обработка секретной информации на не сертифицированных средствах вычислительной техники и не аттестованных по требованиям безопасности информации объектах информатизации;
в выделенных (защищаемых) помещениях установлены ВТСС зарубежного производства, не прошедшие специальной проверки;
выделенные (защищаемые) помещения не аттестованы по требованиям безопасности информации;
невыполнение требований по защите конфиденциальной информации, циркулирующей в автоматизированных системах (автономных ПЭВМ и ЛВС).