Elettracompany.com

Компьютерный справочник
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контроль технической защиты информации

Контроль состояния ТКЗИ

17.1. Основные задачи контроля состояния ТКЗИ

В «Планирование работ по ТКЗИ» был рассмотрен цикл эффективного управления процессом — PDCA, одним из составляющих которого является контроль (C — англ. Check ). Контроль является механизмом, позволяющим собрать информацию, которая в дальнейшем может быть использована для улучшения процесса, в том числе процесса обеспечения информационной безопасности.

Эффективность защиты информации — степень соответствия результатов защиты информации цели защиты информации.

Контроль состояния защиты информации — проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации [127].

В соответствии с СТР-К методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации организации.

Контроль состояния защиты информации должен осуществляться не реже одного раза в год с целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения НСД и предотвращения специальных программно-технических воздействий, вызывающих нарушение целостности информации или работоспособность технических средств в учреждении (на предприятии).

Контроль осуществляется службой безопасности организации, а также отраслевыми и федеральными органами контроля (для информации, режим защиты которой определяет государство) и заключается в оценке:

  • соблюдения нормативных и методических документов ФСТЭК России;
  • работоспособности применяемых средств защиты информации в соответствии с их эксплуатационной документацией;
  • знаний и выполнения персоналом своих функциональных обязанностей в части защиты информации.

Для контроля может быть привлечена внешняя организация, имеющая лицензию ФСТЭК на осуществление деятельности по технической защите конфиденциальной информации.

Для объектов информатизации, требующих обязательной аттестации, контроль является частью аттестационных испытаний.

17.2. Классификация видов контроля состояния ТКЗИ. Организационный и технический контроль состояния ТЗКИ

Контроль состояния ТЗИ включает:

  • контроль организации ТЗИ;
  • контроль эффективности ТЗИ.

Контроль организации защиты информации — проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.

Контроль эффективности защиты информации — проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.

В ГОСТ Р Р 50922-96 определены следующие виды контроля эффективности защиты информации:

Организационный контроль эффективности защиты информации — проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

Технический контроль эффективности защиты информации — контроль эффективности защиты информации, проводимой с использованием средств контроля.

Средство контроля эффективности защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации[127].

Под методом контроля понимают порядок и правила применения расчетных и измерительных операций при решении задач контроля эффективности защиты.

В зависимости от вида выполняемых операций методы технического контроля делятся на:

  • инструментальные, когда контролируемые показатели определяются непосредственно по результатам измерения контрольно-измерительной аппаратурой;
  • инструментально-расчетные, при которых контролируемые показатели определяются частично расчетным путем, частично измерением значений некоторых параметров физических полей аппаратными средствами;
  • расчетные, при которых контролируемые показатели рассчитываются по методикам, содержащимся в руководящей литературе.

17.3. Система документов по контролю состояния ТЗКИ

Аттестационный технический контроль защиты информации от утечки по ТКУИ осуществляется в соответствии со специально разработанными программами и методиками контроля ФСТЭК. Существует «Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам», он носит гриф «Для Служебного Пользования». В его состав входят следующие документы:

  1. Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  2. Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  3. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
  4. Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.

Следует отметить, что ни СТР-К, ни приказ ФСТЭК России №21 не устанавливают форму оценки эффективности, формы и содержание документов, разрабатываемых в результате оценки. Таким образом, решение по данному вопросу возлагается на руководителя организации и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности информации.

В информационном сообщении от 15 июля 2013 г. № 240/22/2637 ФСТЭК говорит о том, что оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 » Защита информации . Аттестация объектов информатизации. Общие положения». Если же речь идет о ГИС, в которых обрабатываются персональные данные , оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 » Защита информации . Аттестация объектов информатизации. Программа и методики аттестационных испытаний».

ГОСТ РО 0043-003-2012 » Аттестация объектов информатизации. Общие положения» и ГОСТ РО 0043-004-2013 » Защита информации . Аттестация объектов информатизации. Программа и методики аттестационных испытаний» носят гриф «Для Служебного Пользования». Получить их можно, например, в ФГУП «Стандартинформ» или ФГУП «Рособоронстандарт». При этом необходимо иметь нотариально заверенную копию лицензии ФСТЭК на ТКЗИ.

17.4. Вопросы, подлежащие проверке при контроле состояния ТКЗИ в организации

Периодический контроль эффективности защиты информации предусматривает:

Виды и методы контроля состояния ТЗИ

Нормативно-методическое обеспечение контроля

Контроль состояния ТЗИ включает:

— контроль организации ТЗИ;

— контроль эффективности ТЗИ.

Контроль организации ТЗИ заключается в проверке наличия подразделений ТЗИ, включения задач ТЗИ в положения о подразделениях и функциональные обязанности должностных лиц, наличия и содержания внутренних организационно-распорядительных документов (приказов, руководств, положений, инструкций) на соответствие требованиям нормативных правовых и нормативно-методических документов в области ТЗИ, порядка и своевременности их доведения до исполнителей и подведомственных организаций, наличия и полноты планов работ по ТЗИ и контролю эффективности мер защиты, а также состояния их выполнения.

Читать еще:  Защита от атмосферного электричества

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

— организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

паразитной генерации отдельных элементов ОТСС, а также модуляции информационным сигналом излучений различных генераторов, входящих в состав объекта вспомогательных технических средств и систем (ВТСС);

наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

неравномерности потребления тока в сети электропитания ОТСС;

линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Рекомендованы для временного применения. Решение Коллегии Гостехкомиссии России №7.2 от 2.03.2001 г.;

ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

Нормы эффективности защиты автоматизированных систем управления и электронно-вычислительной техники от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г.№13;

Нормы эффективности защиты средств передачи речевой информации от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г. №13;

Нормы эффективности защиты технических средств передачи телеграфной и телекодовой информации от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г. №13;

Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок. Гостехкомиссия России, 1998 г.;

Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

Техническая защита информации, данных, информационных систем

Компания «Интегрус» оказывает услуги по настройке систем технической защиты информации предприятий, помогая предотвратить утечку данных и (или) несанкционированный доступ к сведениям компании.

Техническая защита информации представляет собой целый комплекс работ: от оборудования помещений средствами ограничения доступа, шифрования данных, информирования коллектива и обнаружения предполагаемых каналов утечки до постоянного обновления средств и способов поддержания безопасности.

Техническая защита направлена на повышение сохранности технологических данных, ноу-хау, информации из патентов, собственных наработок или приобретенных методик, лицензий. Также методами и средствами технической защиты обеспечивается информационная безопасность сведений о финансовых операциях организации, кредитах, контрагентах, персональных данных (ПНд) сотрудников, руководства, клиентов и поставщиков.

Для построения эффективной технической защиты информации в информационных системах, базах данных, интернете, на предприятиях в целом все хранимые и обрабатываемые данные следует предварительно рассортировать по уровню ценности и их специфике. Объектами системы технической защиты информации являются:

  • базы данных (БД) с информацией о партнерах, клиентах (заказчиках), поставщиках (услуг, товаров, ресурсов);
  • документация в электронном виде (в том числе в системах электронного документооборота, ЭДО) и на бумажных носителях;
  • любые сведения, составляющие коммерческую тайну (обычно это финансовые данные: активы и пассивы предприятия, кредиты и дебиторская задолженность, размеры заработной платы ключевых сотрудников и т.д.);
  • технологическая, техническая и производственная информация – специфика производственных процессов, ноу-хау, состав оборудования и топология технологических цепочек.

Опасность для объектов технической защиты информации представляют:

  • внешние источники – конкуренты, злоумышленники;
  • собственные сотрудники (вплоть до руководства).

Сотрудники имеют доступ к объектам коммерческой информации и могут передать его посторонним (третьим) лицам. Руководители – не обращают должного внимания на обеспечение безопасности сведений, полагая угрозы ложными (мнимыми) или несущественными. Построение системы защиты данных начинается с разработки норм технического контроля защиты информации.

Читать еще:  Защита от несанкционированного использования информации

Как правило, организация контроля над действиями персонала является относительно простой задачей. Контроль за действиями руководства осуществить гораздо сложнее.

Защита информации по техническим каналам

Техническое обеспечение безопасности защиты конфиденциальной и коммерческой информации является совокупностью мероприятий, направленных на решение трех задач:

  1. Закрытость для посторонних лиц строений и помещений, где хранятся носители важных сведений.
  2. Исключение порчи или уничтожения информационных носителей как в результате действий злоумышленников, так и в случае стихийных бедствий.
  3. Безопасность хищения конфиденциальных сведений по техническим каналам.

Требования к оборудованию и средствам обеспечения защиты данных:

  1. Готовность 24/7 к атаке хакеров.
  2. Разноуровневые зоны контроля (степень охраны зависит от ценности данных).
  3. Использование нескольких видов обеспечения защиты единовременно.
  4. Своевременное обновление технических средств и каналов связи.

Каналами, по которым «сливается» информация, часто являются неэкранированные проводка, контуры, приборы, подверженные воздействию электромагнитных полей. Доступ к техническому каналу передачи информации означает ее беззащитность перед искажением, наведением помех, блокировкой либо несанкционированным использованием. С целью получения информации злоумышленники могут использовать импульсопередающие устройства, выводящие из строя инженерно-техническую защиту.

Методы защиты технических каналов утечки информации основываются на решениях службы безопасности и проектных организаций, лицензированных ФСТЭК. Выделяют три этапа работ:

  1. Подготовительный, оценивающий угрозы для помещений, определяющий категории защищаемых данных и бюджет на инженерно-технические разработки.
  2. Проектировочный, устанавливающий программное обеспечение и технические средства.
  3. Финальный, вводящий в эксплуатацию и определяющий дальнейшее сопровождение с обновлением систем безопасности.

Основными мероприятиями на пути к полноценной охране информации являются:

  • создание службы (отдела) безопасности;
  • использование специальных технических устройств;
  • мониторинг «слабого звена» для получения неконтролируемого доступа к информационным сигналам.

Разработка системы и методов по технической защите информации начинается с оценки рисков – наиболее проблемными зонами обычно являются:

  • возможности для несанкционированного доступа к охраняемой информации;
  • «дыры» для действия по копированию, изменению, уничтожению и иные преступным действиям с данными;
  • каналы утечки финансовой, коммерческой и технологической информации.

Разработка системы и выбор средств технической защиты информации на этапе оценки рисков включает в себя изучение действий персонала, категоризацию запросов на «свои» и «чужие», распределение доступов между доверенными лицами и рядовыми пользователями. Для выявления подозрительных (ненадежных) сотрудников помогает так называемый поведенческий анализ.

Технические средства защиты информации (СЗИ)

Существуют разные виды обеспечения безопасности технических средств и систем информационной защиты. Методы и средства выбираются исходя из оценки прогнозируемых рисков – вероятностей и степени опасности:

  • аппаратных сбоев в работе средств обработки, хранения, передачи, шифрования информации;
  • несанкционированного доступа со стороны персонала предприятия или «внешних» злоумышленников;
  • искажения, хищения, целенаправленного изменения информации посредством технических средств (посредством электромагнитного излучения, физического подключения к линиям связи, визуального или акустического наблюдения) или программного обеспечения

Программные средства защиты данных

Программные средства позволяют защитить техническую информацию, секретные данные, технологии. Для этой цели используются:

  • антивирусы;
  • программы, обеспечивающие безопасность на уровне каналов связи и предотвращающие несанкционированный доступ к ним;
  • программы-блокираторы доступа во всемирную сеть.

Использование специального программного обеспечения (ПО) эффективно контролирует способы обмена информацией, нуждающейся в защите, и ограничивает доступность к секретным данным. Категорически запрещается использовать на предприятиях программные продукты, не имеющие лицензии либо специальные сертификаты безопасности. Нелицензионное ПО чревато распространением вирусов, способных собирать и передавать информацию третьим лицам.

Аппаратные средства защиты информации

Аппаратные средства защиты данных представляют собой различные по принципу работы устройства, решающие задачи по пресечению разглашения, утечки информации, несанкционированному использованию конфиденциальных данных. К аппаратно-техническим средствам относят шумогенераторы, фильтры сети, сканирующие радиоприемники и другие устройства, способные:

  • проводить исследования на наличие вероятных каналов «слива» информации;
  • выявлять и перекрывать каналы утечки на объектах и в помещениях;
  • локализовывать места «пробоя»;
  • обнаруживать шпионские программы/приборы;
  • противодействовать стороннему доступу к конфиденциальным сведениям.

Аппаратные средства надежны, не зависят от субъективных обстоятельств, устойчивы к модификации. Их минусы – малая гибкость, объем и масса, большая стоимость. По функционалу различаются средства обнаружения, поиска, детализации измерений, активной / пассивной защиты.

Организационно-техническая защита информации

Организационно-техническая защита информации оперирует доступом к информации, подразумевая ограничение на работу с ней, разграничение полномочий лиц и контроль. Совокупность мер означает:

  • подбор, проверку, инструктаж персонала;
  • обеспечение программно-технических работ;
  • назначение лиц, отвечающих за конкретные участки (оборудование);
  • осуществление режимности (в т.ч. секретной);
  • физическую охрану объектов;
  • оборудование помещения металлическими решетками, дверями, замками.

Инженерно-технические средства защиты

Инженерно-технические СЗИ помимо физических, аппаратных и программных подразумевает наличие криптографических средств шифрования данных, позволяя сохранить тайну телефонных переговоров, телеметрических/компьютерных данных, сообщений. Математический метод преобразования передаваемой информации делает их нераспознаваемыми для сторонних лиц. Криптографическая защита бывает с открытым либо симметричным ключом.

Обычно на предприятиях устанавливается комбинированная система защиты, реализуемая в виде аппаратных, программных, физических и криптографических методов противодействия проникновению и похищению информации. Деление на группы условно. На практике методы образуют комплексы программно-аппаратных модулей с разными алгоритмами шифрования информации.

Требования по технической защите информации

Всевозможные вариации требований по технической защите и криптографической защите информации сформулированы в ГОСТах: 50922-2007, 51275-2007, 51624-2000, 52863-2007.

Разработка СЗИ осуществляется только организациями, имеющими лицензию ФСТЭК, во взаимодействии с отделом безопасности заказчика. Совместно вырабатываются конкретные требования, аналитику, определяют необходимый уровень СЗИ, согласовывают выбор аппаратуры и ПО, организуя работы с целью предупреждения и выявления целостности контуров защиты, а также аттестуя объекты информатизации.

Рекомендации по технической защите информации

Рекомендации по технической защите информации конкретизированы в СТР-К («Специальных требованиях и рекомендациях по технической защите конфиденциальной информации», приказ № 282 ГТК при Президенте РФ от 30.08.2002,) и зависят от категорийности защиты, уровня секретности, режима обработки данных. Дифференцированный подход считается достаточным для разработки и применения мер противодействия незаконному доступу к информации.

Лицензирование в области технической защиты информации

Особенностью технического обеспечения является обязательная сертификация средств защиты. Получение лицензии ФСТЭК для работы с информацией, представляющей коммерческую тайну, обязательно.

Вид лицензии (СЗКИ, ТЗКИ, ТЗИ ГТ, СЗИ ГТ, ПД ИТР) зависит от сферы деятельности компании (предприятия) и уровня задач, которые ставятся по обеспечению безопасности.

Читать еще:  Лучший комплексный антивирус 2020

Для получения лицензии необходимо:

  • выполнить работы по соответствию требований закона;
  • обеспечить защиту, тестирование компьютерных систем и помещений;
  • разработать нормативные документы и ПО;
  • заказать экспертизу.

Получить лицензию можно за 45 дней с момента подачи документов.

Технический контроль эффективности защиты информации

30 Технический контроль эффективности защиты информации — контроль эффективности защиты информации, проводимой с использованием средств контроля.

4. Алфавитный указатель терминов:

защита информации от агентурной разведки

защита информации от иностранной разведки

защита информации от иностранных технических разведок

защита информации от непреднамеренного воздействия

защита информации от несанкционированного воздействия

защита информации от несанкционированного доступа

защита информации от НСВ

защита информации от НСД

защита информации от разведки

защита информации от разглашения

защита информации от технической разведки

защита информации от утечки

категорирование защищаемой информации

категорирование объекта защиты

контроль организации защиты информации

контроль состояния защиты информации

контроль эффективности защиты информации

контроль эффективности защиты информации

контроль эффективности защиты информации

мероприятие по защите информации

мероприятие по контролю эффективности защиты информации

метод контроля эффективности защиты информации

нормы эффективности защиты информации

организация защиты информации

показатель эффективности защиты информации

система защиты информации

способ контроля эффективности защиты информации

способ защиты информации

средство защиты информации

средство контроля эффективности защиты информации

техника защиты информации

цель защиты информации

эффективность защиты информации

Словарь-справочник терминов нормативно-технической документации . academic.ru . 2015 .

Смотреть что такое «Технический контроль эффективности защиты информации» в других словарях:

технический контроль эффективности защиты информации — Контроль эффективности защиты информации с использованием технических средств (инструментальный контроль). [Домарев В.В. Безопасность информационных технологий. Системный подход.] Тематики защита информации … Справочник технического переводчика

Технический контроль эффективности защиты информации — контроль эффективности защиты информации, проводимый с использованием технических средств контроля. EdwART. Словарь терминов МЧС, 2010 … Словарь черезвычайных ситуаций

ТЕХНИЧЕСКИЙ КОНТРОЛЬ ЭФФЕКТИВНОСТИ ЗАЩИТЫ ИНФОРМАЦИИ — согласно ГОСТ Р 50922–96 «Защита информации. Основные термины и определения», – контроль эффективности защиты информации, проводимый с использованием средств контроля … Делопроизводство и архивное дело в терминах и определениях

Технический контроль — 81. Технический контроль* Контроль Е. Inspection F. Controle technique Проверка соответствия объекта установленным техническим требованиям Источник … Словарь-справочник терминов нормативно-технической документации

Комплексный технический контроль — Комплексный технический контроль контроль за состоянием функционирования своих радиоэлектронных средств и их защиты от технических средств разведки противника. Осуществляется в интересах радиоэлектронной защиты. Включает радио ,… … Википедия

контроль — 2.7 контроль (control): Примечание В контексте безопасности информационно телекоммуникационных технологий термин «контроль» может считаться синонимом «защитной меры» (см. 2.24). Источник … Словарь-справочник терминов нормативно-технической документации

ГОСТ Р 50922-96: Защита информации. Основные термины и определения — Терминология ГОСТ Р 50922 96: Защита информации. Основные термины и определения оригинал документа: 2 Защита информации деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую… … Словарь-справочник терминов нормативно-технической документации

Защита информации — Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности. Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение … Википедия

РД ЭО 1.1.2.09.0772-2008: Методика оценки технического состояния и ресурсных характеристик систем и средств противопожарной защиты энергоблоков атомных станций — Терминология РД ЭО 1.1.2.09.0772 2008: Методика оценки технического состояния и ресурсных характеристик систем и средств противопожарной защиты энергоблоков атомных станций: 3.1 автоматический пожарный извещатель: Пожарный извещатель, реагирующий … Словарь-справочник терминов нормативно-технической документации

Контроль функционирования КСЗИ на предприятии

Контроль в общем виде является одной из основных функций управления, вызванной необходимостью обратной связи между субъектом и объектами управления, для достижения поставленной цели.

Процесс контроля можно разбить на этапы:

  1. формулирование цели
  2. формирование стандартов
  3. разработка критериев оценки
  4. разработка систем показателей
  5. проведение процедуры сравнительного анализа
  6. обобщение полученной информации и корректировка деятельности.

Основные требования к контролю:

• стандартизация; • простота; • базирование на реальных целях и объективной информации;

• доступность; • гибкость; • комплексность; • своевременность; • экономичность.

Цели, виды, задачи контроля

Общие цели контроля:

  • уменьшение отклонений от норм и стандартов;
  • уменьшение неопределенной деятельности &bbll; предотвращение кризиса.

    Современные виды контроля:

  • мониторинг – непрерывное поступление информации;
  • контроллинг – оценка экономичности;
  • бенчмаркинг (управленческая процедура, в практику работы организации внедрять технологии, стандарты и методы деятельности лучших организаций – аналогов).

    Контроль функционирования КСЗИ можно разделить на 2 вида – внешний и внутренний.

    Внешний контроль функц. КСЗИ осуществляется гос. органами, или аудиторскими организациями.

    Внутренний контроль осуществляется СБ предприятия и подразделением ЗИ предприятия.

    Целью контроля является установление степени соответствия принимаемых мер по ЗИ требованиям законодательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и НСД, рекомендаций по закрытию этих каналов.

    Основные задачи контроля:

  • оценка деятельности органов управления по методическому руководству и координации работ в области ЗИ в подчиненных подразделениях;
  • выявление каналов утечки информации об объектах защиты и НСД , анализ и оценка возможностей злоумышленников по ее получению;
  • выявление работ с ЗИ, выполняемых с нарушением установленных норм и требований по ЗИ, и пресечение выявленных нарушений;
  • анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
  • анализ состояния ЗИ в подразделениях, информирование руководства, предложения по совершенствованию ЗИ;
  • предупреждение нарушений по ЗИ и ее носителями.

    Направлениями контроля состояния ЗИ являются:

  • контроль деятельности и состояния работ по противодействию ИТР и технической защите;
  • контроль с применением технических средств эффективности мер защиты объектов, информационных &bbll; систем, средств и систем связи и управления на всех стадиях их жизненного цикла;
  • контроль эффективности защиты АС обработки информации от НСД, от специальных воздействий на средства ее обработки с целью разрушения, уничтожения, искажения и блокирования инфы;
  • контроль эффективности мероприятий по ЗИ в системах связи, автоматизированного управления;
  • контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами

  • Ссылка на основную публикацию
    Adblock
    detector