Целью контроля является установление степени соответствия Принимаемых мер по защите информации требованиям законодательных и иных нормативных правовых актов, стандартов, норм, Правил и инструкций, выявление возможных каналов утечки и несанкционированного (неправомерного, противоправного) д0_ ступа к информации, выработка рекомендаций по закрытию этих каналов.
• Основные задачи контроля:
— оценка деятельности органов управления по методическому руководству и координации работ в области защиты информации в подчиненных подразделениях;
— выявление каналов утечки информации об объектах защиты и несанкционированного доступа к информации (воздействия на информацию), анализ и оценка возможностей злоумышленников по ее получению;
— выявление работ с защищаемой информацией, выполняемых с нарушением установленных норм и требований по защите информации, и пресечение выявленных нарушений;
— анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
— анализ состояния защиты информации в подразделениях предприятия, информирование руководства предприятия, подготовка предложений по совершенствованию защиты информации;
— предупреждение нарушений по защите информации при проведении работ с защищаемой информацией и ее носителями.
• Направлениями контроля состояния защиты информации являются:
— контроль деятельности и состояния работ по противодействию ИТР и технической защите;
— контроль с применением технических средств эффективности мер защиты объектов, информационных систем, средств и систем связи и управления на всех стадиях их жизненного цикла;
— контроль эффективности защиты автоматизированных систем обработки информации от несанкционированного доступа, от специальных воздействий на информацию и средства ее обработки с целью разрушения, уничтожения, искажения и блокирования информации;
— контроль эффективности мероприятий по защите информации в системах связи автоматизированного управления;
— контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятия, выполняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании открытых каналов радио- и радиорелейных, тропосферных и спутниковых линий связи, доступных для радиоразведки.
• Система контроля состояния защиты информации базируется на следующих основных принципах:
— наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые объекты и обеспечивающими эффективность и действенность контроля;
- независимость органов контроля от должностных лиц контролируемых объектов при осуществлении полномочий;
- соблюдение законности в работе органов контроля и их должностных лиц;
- системность и регулярность в проведении контроля;
- профессионализм сотрудников органов контроля, применение ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;
- объективность анализа обстоятельств и причин нарушений в состоянии защиты информации;
- наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и недостатков;
- экономическая целесообразность функционирования контрольных органов — оптимальное сочетание результативности деятельности органов с затратами на их содержание.
• В функции органа контроля входят следующие обязанности:
- организация и осуществление контроля силами подразделений ЗИ и специализированных организаций;
- сбор, анализ и обобщение материалов о состоянии защиты информации по результатам проверок;
- информирование руководства предприятия об эффективности мер и состоянии работ по защите информации.
Проведение текущего (постоянного) контроля возлагается на объектовые органы в целях обеспечения установленного порядка функционирования средств защиты, соблюдения установленных режимов работы технических средств, в которых циркулирует защищаемая информация, выполнения установленных мер защиты, контроля за правильностью реализации правил разграничения доступа к информации в автоматизированных системах ее обработки, выявления и пресечения нарушений в области технической защиты информации.
В зависимости от объема работ по технической защите информации и контролю, функции объектового органа контроля по решению руководителя организации могут выполняться подразделением защиты информации либо специально созданными объектовыми органами контроля.
Основные методы контроля: проверка; изучение; испытания; наблюдения; зачеты, экзамены, тестирование; провокации; атаки; отзыв и изучение документов и др.