Виды контроля функционирования КСЗИ

Контроль в общем виде является одной из основных функций управления, вызванной необходимостью обратной связи между субъектом и объектами управления для достижения поставленной цели.

В целом процесс контроля можно разбить на последователь­ные этапы: формулирование цели → формирование стандартов → разработка критериев оценки → разработка систем показате­лей → проведение процедуры сравнительного анализа → обобще­ние полученной информации и корректировка деятельности.

• Основные требования к контролю: комплексность; свое­временность; стандартизация; простота; доступность; гибкость; объективность; экономичность.

• Общие цели контроля: уменьшение отклонений от заданных норм; уменьшение неопределенной деятельности; предотвраще­ние кризисных ситуаций.

• Современные виды контроля: мониторинг — непрерывное поступление информации; контроллинг — оценка экономично­сти; бенчмаркинг (управленческое воздействие, заключающееся во внедрении в практику деятельности организации технологий, стандартов и методов деятельности более успешных организаций — аналогов).

Контроль функционирования КСЗИ можно разделить на два основных вида — внешний и внутренний. Внешний контроль функ­ционирования КСЗИ осуществляется различного рода государ­ственными органами, а также может осуществляться аудиторски­ми организациями.

Внутренний контроль осуществляется службой безопасности предприятия и подразделением защиты информации предприятия.

Внешний контроль отслеживает обеспечение защиты (1) госу­дарственной тайны и (2) персональных данных:

Контроль за обеспечением защиты государственной тайны подразделяется на межведомственный и ведомственный. Он осу­ществляется в органах государственной власти, на предприятиях, в учреждениях и организациях федеральным органом исполни­тельной власти, уполномоченным в области обеспечения без­опасности; федеральным органом исполнительной власти, упол­номоченным в области обороны; федеральным органом исполни­тельной власти, уполномоченным в области внешней разведки; федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической зашиты информации, и их территориальными органами, на кото­рые эта функция возложена законодательством Российской Фе­дерации.

Органы государственной власти, наделенные полномочиями по распоряжению сведениями, составляющими государственную тай­ну, обязаны контролировать эффективность защиты этих сведе­ний во всех подчиненных и подведомственных им органах госу­дарственной власти, на предприятиях, в учреждениях и организа­циях, осуществляющих работу с ними [20].

Контроль за обеспечением защиты персональных данных осу­ществляется федеральным органом исполнительной власти, упол­номоченным в области обеспечения безопасности, и федераль­ным органом исполнительной власти, уполномоченным в облас­ти противодействия техническим разведкам и технической защи­ты информации, в пределах их полномочий и без права ознаком­ления с персональными данными, обрабатываемыми в информа­ционных системах персональных данных.

Контроль и надзор за соответствием обработки персональных данных требованиям федерального закона [47] осуществляет фе­деральный орган исполнительной власти, осуществляющий функ­ции по контролю и надзору в сфере информационных технологий и связи.

Внутренний контроль осуществляется в отношении защиты всех видов информации с ограниченным доступом. Проводится руководством предприятия, внутренними проверочными комис­сиями, службой безопасности и подразделением защиты инфор­мации. Подразделяется на текущий (постоянный), периодичес­кий (плановый) и внезапный.