26. Целью контроля состояния защиты информации в Службе является своевременное выявление и предотвращение утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-математических воздействий на информацию, оценка эффективности ее защиты.
27. Организация и проведение контроля возлагаются на входящий в состав МТОИЗИ отдел организации и контроля за защитой информации в автоматизированных системах управления.
Осуществляемый указанным отделом контроль распространяется на подразделения центрального аппарата и территориальные органы Службы, на подведомственные организации и предусматривает определение степени соответствия проводимых на местах мероприятий по защите информации положениям федеральных законов, актов Президента Российской Федерации и Правительства Российской Федерации, иных действующих в области защиты информации нормативных правовых актов, а также соответствующих организационно-распорядительных и руководящих документов Службы.
28. Контроль осуществляется посредством комплексных и целевых проверок.
Комплексная проверка предусматривает проверку деятельности территориального органа (подведомственной организации) по всем или большей части вопросов защиты информации, находящихся в компетенции Службы. Данная проверка проводится, как правило, комиссией, включающей специалистов по защите информации и информационных систем. К ее проведению могут привлекаться (по согласованию) представители специализированных предприятий, имеющих лицензии на право проведения работ в области защиты информации.
Целевая проверка предусматривает детальную проверку одного или нескольких вопросов защиты информации. Данная проверка может проводиться как комиссией, так и специалистами по защите информации.
При проведении проверок в обязательном порядке проверяется устранение недостатков, выявленных в ходе предыдущих проверок.
Проверки могут быть плановыми и внеплановыми. О плановых проверках территориальные органы (подведомственные организации) уведомляются заранее (не позднее, чем за 15 дней до ее начала), о внеплановых - непосредственно перед их началом. Внеплановые проверки могут проводиться в связи с невыполнением требований или норм по защите информации, в результате чего в территориальном органе (подведомственной организации) имелась или имеется реальная возможность ее утечки по техническим каналам (нарушение первой категории*) и в других случаях по решению руководителя Службы, технической комиссии при руководителе Службы или руководителя МТОИЗИ.
________________
* Постановление Совета Министров - Правительства Российской Федерации 1993 года N 912-51.
Продолжительность проверки (независимо от ее вида), как правило, не должна превышать 5 календарных дней.
29. Результаты проверки оформляются актом.
Кроме того, при выявлении в процессе проверки нарушений установленных требований и норм по защите информации (нарушения первой и второй категорий) должно оформляться предписание об устранении этих нарушений (приложение N 8* к настоящему Положению).
________________
* Вероятно, ошибка оригинала. Следует читать "приложение N 7". - Примечание "КОДЕКС".
Акт и предписание должны быть подписаны руководителем и членами комиссии (специалистами) и выданы под роспись руководителю проверяемого территориального органа (подведомственной организации) или отправлены по почте не позднее 15 дней после окончания проверки.
30. При обнаружении нарушений первой категории руководитель проверяемого территориального органа (подведомственной организации) обязан:
немедленно прекратить работы на участке (рабочем месте), где обнаружены нарушения, и принять меры по их устранению;
организовать в установленном порядке расследование причин и условий появления нарушения с целью недопущения их в дальнейшем и привлечении к ответственности виновных лиц;
сообщить в Службу (через МТОИЗИ) о вскрытых нарушениях и принятых мерах.
Возобновление работ разрешается после устранения нарушений и проверки достаточности принятых мер, проводимой специалистами МТОИЗИ или соответствующим территориальным Управлением Федеральной службы по техническому и экспортному контролю Российской Федерации.
При обнаружении нарушений второй и третьей категорий руководители проверяемых территориальных органов (подведомственных организаций) обязаны принять необходимые меры по их устранению в сроки, согласованные с комиссией (специалистами), проводившей проверку.
31. Территориальные органы и подведомственные организации проверяются МТОИЗИ не менее одного раза в 5 лет, подразделения центрального аппарата - по мере необходимости.
В случае несоответствия в территориальных органах принимаемых мер по защите информации установленным требованиям или нормам и наличии нарушений первой и второй категорий руководитель МТОИЗИ немедленно докладывает руководителю Службы и вносит соответствующие предложения.
32. При проверках территориальных органов и подведомственных организаций Федеральной службой безопасности Российской Федерации или Федеральной службой по техническому и экспортному контролю Российской Федерации один экземпляр акта проверки представляется их руководителями в МТОИЗИ.
33. Обобщенные данные о результатах проведенных проверок и состоянии защиты информации по итогам года территориальные органы и подведомственные организации представляют в МТОИЗИ к 15 января года, следующего за отчетным. Отчет представляется по формам, разрабатываемым МТОИЗИ.
34. Доклад о состоянии защиты информации в центральном аппарате Службы, ее территориальных органах и подведомственных организациях, эффективности принятых мер по ее совершенствованию по итогам года руководитель МТОИЗИ представляет руководителю Службы к 1 февраля года, следующего за отчетным.
В докладе отражается: