ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4245
Скачиваний: 25
Гл а в а 17
Сущность и содержание контроля
функционирования
1 7 .1 .
Виды контроля функционирования
КСЗИ
Контроль в общем виде является одной из основных функций
управления, вызванной необходимостью обратной связи между
субъектом и объектами управления для достижения поставленной
цели.
В целом процесс контроля можно разбить на последователь
ные этапы: формулирование цели -» формирование стандартов
-» разработка критериев оценки -» разработка систем показате
лей -> проведение процедуры сравнительного анализа —> обобще
ние полученной информации и корректировка деятельности.
•
Основные требования к контролю
: комплексность; свое
временность; стандартизация; простота; доступность; гибкость;
объективность; экономичность.
•
Общие цели контроля
: уменьшение отклонений от заданных
норм; уменьшение неопределенной деятельности; предотвраще
ние кризисных ситуаций.
•
Современные виды контроля
: мониторинг — непрерывное
поступление информации; контроллинг — оценка экономично
сти; бенчмаркинг (управленческое воздействие, заключающееся
во внедрении в практику деятельности организации технологий,
стандартов и методов деятельности более успешных организаций —
аналогов).
Контроль функционирования КСЗИ можно разделить на два
основных вида —
внешний
и
внутренний.
Внешний контроль функ
ционирования КСЗИ осуществляется различного рода государ
ственными органами, а также может осуществляться аудиторски
ми организациями.
Внутренний контроль осуществляется службой безопасности
предприятия и подразделением защиты информации предприятия.
Внешний контроль отслеживает обеспечение защиты (1) госу
дарственной тайны и (2) персональных данных:
Контроль за обеспечением защиты государственной тайны
подразделяется на межведомственный и ведомственный. Он осу
ществляется в органах государственной власти, на предприятиях,
в учреждениях и организациях федеральным органом исполни
тельной власти, уполномоченным в области обеспечения без
опасности; федеральным органом исполнительной власти, упол
номоченным в области обороны; федеральным органом исполни
тельной власти, уполномоченным в области внешней разведки;
федеральным органом исполнительной власти, уполномоченным
в области противодействия техническим разведкам и технической
защиты информации, и их территориальными органами, на кото
рые эта функция возложена законодательством Российской Фе
дерации.
Органы государственной власти, наделенные полномочиями по
распоряжению сведениями, составляющими государственную тай
ну, обязаны контролировать эффективность защиты этих сведе
ний во всех подчиненных и подведомственных им органах госу
дарственной власти, на предприятиях, в учреждениях и организа
циях, осуществляющих работу с ними [20].
Контроль за обеспечением защиты персональных данных
осу
ществляется федеральным органом исполнительной власти, упол
номоченным в области обеспечения безопасности, и федераль
ным органом исполнительной власти, уполномоченным в облас
ти противодействия техническим разведкам и технической защи
ты информации, в пределах их полномочий и без права ознаком
ления с персональными данными, обрабатываемыми в информа
ционных системах персональных данных.
Контроль и надзор за соответствием обработки персональных
данных требованиям федерального закона [47] осуществляет фе
деральный орган исполнительной власти, осуществляющий функ
ции по контролю и надзору в сфере информационных технологий
и связи.
Внутренний контроль
осуществляется в отношении защиты
всех видов информации с ограниченным доступом. Проводится
руководством предприятия, внутренними проверочными комис
сиями, службой безопасности и подразделением защиты инфор
мации. Подразделяется на текущий (постоянный), периодичес
кий (плановый) и внезапный.
17.2. Цель проведения контрольных
мероприятий в КСЗИ
Целью контроля является установление степени соответствия
принимаемых мер по защите информации требованиям законо
дательных и иных нормативных правовых актов, стандартов, норм,
правил и инструкций, выявление возможных каналов утечки и
несанкционированного (неправомерного, противоправного) до
ступа к информации, выработка рекомендаций по закрытию этих
каналов.
•
Основные задачи контроля
:
— оценка деятельности органов управления по методическому
руководству и координации работ в области зашиты информации
в подчиненных подразделениях;
— выявление каналов утечки информации об объектах зашиты
и несанкционированного доступа к информации (воздействия на
информацию), анализ и оценка возможностей злоумышленников
по ее получению;
— выявление работ с защищаемой информацией, выполняе
мых с нарушением установленных норм и требований по защите
информации, и пресечение выявленных нарушений;
— анализ причин нарушений и недостатков в организации и
обеспечении защиты информации, выработка рекомендаций по
их устранению;
— анализ состояния защиты информации в подразделениях
предприятия, информирование руководства предприятия, подго
товка предложений по совершенствованию защиты информации;
— предупреждение нарушений по защите информации при
проведении работ с защищаемой информацией и ее носителями.
•
Направлениями контроля состояния защиты информации
являются:
— контроль деятельности и состояния работ по противодей
ствию ИТР и технической защите;
— контроль с применением технических средств эффективно
сти мер защиты объектов, информационных систем, средств и
систем связи и управления на всех стадиях их жизненного цикла;
— контроль эффективности защиты автоматизированных си
стем обработки информации от несанкционированного доступа,
от специальных воздействий на информацию и средства ее обра
ботки с целью разрушения, уничтожения, искажения и блокиро
вания информации;
— контроль эффективности мероприятий по защите информа
ции в системах связи автоматизированного управления;
— контроль за соблюдением установленного порядка передачи
служебных сообщений должностными лицами предприятия, вы
полняющими работы, связанные со сведениями, составляющими
государственную или служебную тайну, при использовании от
крытых каналов радио- и радиорелейных, тропосферных и спут
никовых линий связи, доступных для радиоразведки.
•
Система контроля состояния защиты информации бази
руется на следующих основных принципах:
—
наделение органов контроля необходимыми полномочиями,
позволяющими им должным образом влиять на контролируемые
объекты и обеспечивающими эффективность и действенность
контроля;
— независимость органов контроля от должностных лиц конт
ролируемых объектов при осуществлении полномочий;
— соблюдение законности в работе органов контроля и их дол
жностных лиц;
— системность и регулярность в проведении контроля;
— профессионализм сотрудников органов контроля, примене
ние ими методов и средств проведения проверок в соответствии с
действующими нормативно-методическими документами, единая
информационная база органов контроля по нормам, методикам и
средствам контроля;
— объективность анализа обстоятельств и причин нарушений в
состоянии защиты информации;
— наличие обратной связи с контролируемыми объектами,
обеспечивающей объективность сведений о состоянии защиты
информации и о ходе устранения вскрываемых нарушений и не
достатков;
— экономическая целесообразность функционирования конт
рольных органов — оптимальное сочетание результативности де
ятельности органов с затратами на их содержание.
•
В функции органа контроля входят следующие обязанно
сти
:
— организация и осуществление контроля силами подразделе
ний ЗИ и специализированных организаций;
— сбор, анализ и обобщение материалов о состоянии защиты
информации по результатам проверок;
— информирование руководства предприятия об эффективно
сти мер и состоянии работ по защите информации.
Проведение текущего (постоянного) контроля возлагается на
объектовые органы
в целях обеспечения установленного порядка
функционирования средств защиты, соблюдения установленных
режимов работы технических средств, в которых циркулирует за
щищаемая информация, выполнения установленных мер защи
ты, контроля за правильностью реализации правил разграниче
ния доступа к информации в автоматизированных системах ее
обработки, выявления и пресечения нарушений в области техни
ческой защиты информации.
В зависимости от объема работ по технической защите инфор
мации и контролю, функции объектового органа контроля по ре
шению руководителя организации могут выполняться подразде
лением защиты информации либо специально созданными объек
товыми органами контроля.
Основные методы контроля
: проверка; изучение; испытания;
наблюдения; зачеты, экзамены, тестирование; провокации; ата
ки; отзыв и изучение документов и др.
17.3. Анализ и использование результатов
проведения контрольных мероприятий
Периодичность проведения проверок организаций определя
ется исходя из высшего грифа секретности обрабатываемой (цир
кулирующей) в ней информации или установленной категории
по требованиям обеспечения защиты образцов вооружения и во
енной техники. Такая периодичность может указываться в руко
водстве по технической защите информации или в инструкциях
по технической защите информации, касающейся изделия (об
разца).
Периодичность проведения проверок состояния технической
защиты информации устанавливается:
• для организаций, работающих со сведениями «особой важно
сти» (образцы 1-й категории) — не реже одного раза в два года;
• для организаций, работающих со сведениями, имеющими гриф
«совершенно секретно» (образцы 2-й категории) — не реже одно
го раза в три года;
• для организаций, работающих со сведениями, имеющими гриф
«секретно» (образцы 3-й категории) — не реже одного раза в пять
лет.
Нарушения в области технической защиты информации
представляют собой несоответствие мер технической защиты ин
формации установленным требованиям или нормам.
По степени опасности нарушения делятся на три категории:
первая категория
— невыполнение требований или норм по
технической защите информации, составляющей государственную
тайну, подтвержденное протоколом технического контроля, в ре
зультате которого имелась или имеется реальная возможность утеч
ки информации по техническим каналам, несанкционированный
доступ к информации или воздействие на информацию;
вторая категория —
невыполнение требований по техниче
ской защите информации, в результате чего создаются предпо
сылки к утечке информации по техническим каналам или несан
кционированному доступу к ней;
третья категория —
недостатки в оформлении документов
по организации технической защиты информации, которые не
ведут непосредственно к возникновению предпосылок к утечке
информации по техническим каналам или к несанкционирован
ному доступу к ней.
При обнаружении нарушений второй и третьей категорий ру
ководитель проверяемой организации обязан принять необходи
мые меры по их устранению в сроки, согласованные с проверяю
щим органом. Контроль за устранением этих нарушений осуще
ствляется подразделением контроля проверенной организации.