2014-10-30
1884
Содержание контроля состояния защиты информации составляют контроль деятельности (состояния работ) по защите информации и контроль эффективности мер (мероприятий) защиты объектов. Выделяют:
Контроль деятельности по защите информации - заключается в проверке организации работ по защите информации, наличия органов (подразделений) по защите информации, включения задач защиты информации в положения о подразделениях и функциональные обязанности должностных лиц, наличия и содержания внутренних организационно-распорядительных документов (приказов, руководств, положений, инструкций) на соответствие требованиям правовых и нормативных документов в области защиты информации, порядка и своевременности их доведения до исполнителей и подведомственных организаций, наличия и полноты планов работ по защите информации и контролю ее эффективности, а также состояния их выполнения.
Контроль эффективности защиты - это проверка соответствия качественных и количественных показателей эффективности мер (мероприятий) по защите объектов, информационных систем, средств и систем связи и управления требованиям или нормам эффективности защиты информации.
|
|
|
Виды контроля эффективности защиты:
Организационный контроль - проверка соответствия полноты и обоснованности мероприятий по защите требованиям руководящих документов в области технической защиты информации;
Технический контроль - контроль эффективности защиты, проводимый с использованием средств контроля. Целью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контроля. При проведении технического контроля оценивается соответствие объективных показателей состояния защиты объекта предельно допустимым значениям (нормам).
Для проведения технического контроля эффективности защиты информации могут использоваться космические, воздушные, наземные, морские, а также встроенные средства технического контроля.
По объему проведения технический контроль эффективности технической защиты информации может быть:
комплексным, когда проверка проводится по всем каналам возможной утечки информации (несанкционированного доступа к информации или воздействия на нее), характерным для контролируемого технического средства (образца, объекта информатизации), причем оценка эффективности технической защиты информации осуществляется во взаимной увязке результатов обследования по всем указанным каналам;
целевым, когда проверка проводиться по одному из каналов возможной утечки информации, характерных для контролируемого технического средства, в котором циркулирует защищаемая информация;
|
|
|
выборочным, когда из всего состава технических средств на объекте для проверки выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.
В зависимости от имеющихся условий его проведения технический контроль эффективности технической защиты информации может осуществляться тремя методами:
инструментальным, когда в ходе технического контроля используется техническое измерительное средство и моделируются реальные условия работы технического средства разведки;
инструментально-расчетным, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;
расчетным, когда эффективность защиты оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.
