Студопедия


Авиадвигателестроения Административное право Административное право Беларусии Алгебра Архитектура Безопасность жизнедеятельности Введение в профессию «психолог» Введение в экономику культуры Высшая математика Геология Геоморфология Гидрология и гидрометрии Гидросистемы и гидромашины История Украины Культурология Культурология Логика Маркетинг Машиностроение Медицинская психология Менеджмент Металлы и сварка Методы и средства измерений электрических величин Мировая экономика Начертательная геометрия Основы экономической теории Охрана труда Пожарная тактика Процессы и структуры мышления Профессиональная психология Психология Психология менеджмента Современные фундаментальные и прикладные исследования в приборостроении Социальная психология Социально-философская проблематика Социология Статистика Теоретические основы информатики Теория автоматического регулирования Теория вероятности Транспортное право Туроператор Уголовное право Уголовный процесс Управление современным производством Физика Физические явления Философия Холодильные установки Экология Экономика История экономики Основы экономики Экономика предприятия Экономическая история Экономическая теория Экономический анализ Развитие экономики ЕС Чрезвычайные ситуации ВКонтакте Одноклассники Мой Мир Фейсбук LiveJournal Instagram

Анализ и использование результатов проведения контрольных мероприятий




Цель проведения контрольных мероприятий в КСЗИ

Целью контроля является установление степени соответствия принимаемых мер по защите информации требованиям законо­дательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и

несанкционированного (неправомерного, противоправного) до­ступа к информации, выработка рекомендаций по закрытию этих каналов.

Основные задачи контроля:

— оценка деятельности органов управления по методическому руководству и координации работ в области зашиты информации в подчиненных подразделениях;

— выявление каналов утечки информации об объектах зашиты и несанкционированного доступа к информации (воздействия на информацию), анализ и оценка возможностей злоумышленников по ее получению;

— выявление работ с защищаемой информацией, выполняе­мых с нарушением установленных норм и требований по защите информации, и пресечение выявленных нарушений;

— анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;

— анализ состояния защиты информации в подразделениях предприятия, информирование руководства предприятия, подго­товка предложений по совершенствованию защиты информации;

— предупреждение нарушений по защите информации при проведении работ с защищаемой информацией и ее носителями.

Направлениями контроля состояния защиты информации являются:

— контроль деятельности и состояния работ по противодей­ствию ИТР и технической защите;

— контроль с применением технических средств эффективно­сти мер защиты объектов, информационных систем, средств и систем связи и управления на всех стадиях их жизненного цикла;

— контроль эффективности защиты автоматизированных си­стем обработки информации от несанкционированного доступа, от специальных воздействий на информацию и средства ее обра­ботки с целью разрушения, уничтожения, искажения и блокиро­вания информации;

— контроль эффективности мероприятий по защите информа­ции в системах связи автоматизированного управления;

— контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятия, вы­полняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании от­крытых каналов радио- и радиорелейных, тропосферных и спут­никовых линий связи, доступных для радиоразведки.

Система контроля состояния защиты информации бази­руется на следующих основных принципах:

— наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые объекты и обеспечивающими эффективность и действенность контроля;




— независимость органов контроля от должностных лиц конт­ролируемых объектов при осуществлении полномочий;

— соблюдение законности в работе органов контроля и их дол­жностных лиц;

— системность и регулярность в проведении контроля;

— профессионализм сотрудников органов контроля, примене­ние ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;

— объективность анализа обстоятельств и причин нарушений в состоянии зашиты информации;

— наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и не­достатков;

— экономическая целесообразность функционирования конт­рольных органов — оптимальное сочетание результативности де­ятельности органов с затратами на их содержание.

В функции органа контроля входят следующие обязанно­сти:

— организация и осуществление контроля силами подразделе­ний ЗЙ и специализированных организаций;

— сбор, анализ и обобщение материалов о состоянии защиты информации по результатам проверок;

— информирование руководства предприятия об эффективно­сти мер и состоянии работ по защите информации.

Проведение текущего (постоянного) контроля возлагается на объектовые органы в целях обеспечения установленного порядка функционирования средств защиты, соблюдения установленных режимов работы технических средств, в которых циркулирует за­щищаемая информация, выполнения установленных мер защи­ты, контроля за правильностью реализации правил разграниче­ния доступа к информации в автоматизированных системах ее обработки, выявления и пресечения нарушений в области техни­ческой зашиты информации.



В зависимости от объема работ по технической защите инфор­мации и контролю, функции объектового органа контроля по ре­шению руководителя организации могут выполняться подразде­лением зашиты информации либо специально созданными объек­товыми органами контроля.

Основные методы контроля: проверка; изучение; испытания; наблюдения; зачеты, экзамены, тестирование; провокации; ата­ки; отзыв и изучение документов и др.

Периодичность проведения проверок организаций определя­ется исходя из высшего грифа секретности обрабатываемой (цир­кулирующей) в ней информации или установленной категории по требованиям обеспечения защиты образцов вооружения и во­енной техники. Такая периодичность может указываться в руко­водстве по технической защите информации или в инструкциях по технической защите информации, касающейся изделия (об­разца).

Периодичность проведения проверок состояния технической зашиты информации устанавливается:

• для организаций, работающих со сведениями «особой важно­сти» (образцы 1-й категории) — не реже одного раза в два года;

• для организаций, работающих со сведениями, имеющими гриф «совершенно секретно» (образцы 2-й категории) — не реже одно­го раза в три года;

• для организаций, работающих со сведениями, имеющими гриф «секретно» (образцы 3-й категории) — не реже одного раза в пять лет.

Нарушения в области технической защиты информации представляют собой несоответствие мер технической защиты ин­формации установленным требованиям или нормам.

По степени опасности нарушения делятся на три категории:

первая категория — невыполнение требований или норм по технической защите информации, составляющей государственную тайну, подтвержденное протоколом технического контроля, в ре­зультате которого имелась или имеется реальная возможность утеч­ки информации по техническим каналам, несанкционированный доступ к информации или воздействие на информацию;

вторая категория — невыполнение требований по техниче­ской защите информации, в результате чего создаются предпо­сылки к утечке информации по техническим каналам или несан­кционированному доступу к ней;

третья категория — недостатки в оформлении документов по организации технической защиты информации, которые не ведут непосредственно к возникновению предпосылок к утечке информации по техническим каналам или к несанкционирован­ному доступу к ней.

При обнаружении нарушений второй и третьей категорий ру­ководитель проверяемой организации обязан принять необходи­мые меры по их устранению в сроки, согласованные с проверяю­щим органом. Контроль за устранением этих нарушений осуще­ствляется подразделением контроля проверенной организации.

Содержание контроля состояния технической защиты ин­формации составляет оценка деятельности (состояния работ) по противодействию ИТР и технической защите информации, а так­же эффективности мер (мероприятий) по защите государствен­ных и промышленных объектов, образцов вооружения и военной техники, информационных систем, средств и систем связи и уп­равления (далее — контроль эффективности зашиты).

'Контроль деятельности по технической защите информа­ции заключается в проверке организации работ по защите инфор­мации) наличия органов (подразделений) технической защиты ин­формации, включения задач защиты информации в положения о подразделениях и функциональных обязанностях должностных лиц, наличия и содержания внутренних организационно-распо­рядительных документов (приказов, руководств, положений, ин­струкций) на соответствие требованиям правовых и нормативных документов в области зашиты информации, порядка и своевре­менности их доведения до исполнителей и подведомственных орга­низаций, наличия и полноты планов работ по технической защи­те информации и контролю ее эффективности, а также состояния их выполнения.

Контроль эффективности защиты — это проверка соответ^ ствия качественных и количественных показателей эффективно­сти мер (мероприятий) по противодействию ИТР и технической защите государственных и промышленных объектов, образцов во­оружения и военной техники, информационных систем, средств и систем связи и управления требованиям или нормам эффектив­ности зашиты информации.

Состав видов технической разведки и их возможности, угрозы безопасности информации и каналы ее утечки, подлежащие кон­тролю, определяются Гостехкомиссией России в соответствующих моделях технических разведок и концепциях защиты.

В зависимости от вида контроль эффективности защиты может быть организационным и техническим.

Организационный контроль — проверка соответствия полно­ты и обоснованности мероприятий по защите требованиям руко­водящих документов в области технической защиты информации.

Технический контроль — это контроль эффективности защи­ты, проводимый с использованием соответствующих средств. Це­лью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контро­ля. При проведении технического контроля оценивается соответ­ствие объективных показателей состояния защиты объекта пре­дельно допустимым значениям (нормам). Для проведения техни­ческого контроля эффективности защиты информации могут ис­пользоваться космические, воздушные, наземные, морские, а также встроенные средства технического контроля.

Проведение объема технического контроля эффективности технической защиты информации может быть разным.

Комплексный контроль проводится по всем каналам возмож­ной утечки информации (несанкционированного доступа к ин­формации или воздействия на нее), характерным для контроли­руемого технического средства (образца, объекта информатиза­ции), причем оценка эффективности технической защиты инфор­мации осуществляется во взаимной увязке результатов обследова­ния по всем указанным каналам.

Целевой контроль — это проверка по одному из каналов воз­можной утечки информации, характерных для контролируемого технического средства, в котором циркулирует защищаемая ин­формация.

Для выборочного контроля из всего состава технических средств на объекте для проверки выбирают те из них, которые по резуль­татам предварительной оценки с наибольшей вероятностью име­ют технические каналы утечки защищаемой информации.

В зависимости от имеющихся условий проведения технический контроль эффективности технической защиты информации мо­жет осуществляться тремя методами.

В ходе инструментального контроля используется техниче­ское измерительное средство и моделируются реальные условия работы технического средства разведки.

При инструментально-расчетном контроле измерения прово­дятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются относительно предполагае­мого места (условий) нахождения технического средства разведки.

Для проведения расчетного контроля эффективность защиты оценивается математически, исходя из реальных условий разме­щения и возможностей технического средства разведки и извест­ных характеристик объекта контроля.

Технический контроль осуществляется в соответствии с методиками контроля состояния технической защиты инфор­мации, утвержденными или согласованными с ФСТЭК России. Не допускается физическое подключение технических средств кон­троля, а также формирование тестовых режимов, запуск тестовых программ на образцах, средствах и информационных системах в процессе выполнения ими обработки информации или техноло­гического процесса.

Технический контроль состояния защиты информации в си­стемах управления производствами, транспортом, связью, энер­гетикой и передачи финансовой и другой информации осуществ­ляется в соответствии со специально разрабатываемыми програм­мами и методиками контроля, согласованными Гостехкомиссией России, владельцем объекта и ведомством по подчиненности объек­та контроля.

Во всех органах исполнительной власти и организациях про­веряется:

• наличие должностных лиц, структурных подразделений или отдельных сотрудников по защите информации, уровень их под­готовки (квалификации);

• наличие и полнота отработки Руководства по технической защите информации в соответствии с требованиями руководящих документов ФСТЭК России, правильность оценки опасности тех­нических средств разведки применительно к данному объекту;

• наличие и достаточность руководящих и внутренних органи­зационно-распорядительных документов по защите информации;

• наличие физической защиты территории и здания, где разме­щаются устройства и носители информации, с помощью техни­ческих средств охраны и специального персонала, обеспечение пропускного режима и специального оборудования помещений, где размещаются устройства и носители информации;

• своевременность и правильность категорирования выделен­ных помещений, соблюдение порядка их аттестации при вводе в эксплуатацию, оформление разрешения на проведение закрытых мероприятий и ведение переговоров по секретной тематике;

• эффективность мероприятий по защите информации, осуще­ствляемых на объектах при посещении их иностранными пред­ставителями;

• организация и фактическое состояние доступа персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску пер­сонала к защищаемым ресурсам;

• выполнение организационных и технических мер по техни­ческой защите информации при ее обработке средствами вычис­лительной и оргтехники;

• соответствие принятых мер по технической защите информа­ции установленным нормам и требованиям.

В органах исполнительной власти и органах производствен­ного управления (холдингах, аппаратах научно-производственных и производственных объединений, вышестоящих акционерных об­ществах по отношению к дочерним и зависимым организациям) проверяется:

• наличие в системе соответствующего органа исполнительной власти или производственного управления (далее — органа уп­равления) необходимых руководящих документов по защите ин­формации;

• своевременность доведения требований руководящих доку­ментов по технической защите информации до сотрудников ап­парата и подведомственных организаций;

• состояние информационной безопасности в ведомственных (корпоративных) сетях связи и информатизации;

• деятельность аппарата органа управления по методическо­му руководству и координации работ по технической защите информации в отраслевых (дочерних, зависимых) организа­циях.

В научно-исследовательских и проектных организациях, на промышленных предприятиях и в испытательных организациях оборонного промышленного комплекса проверяется также:

• перечень проводимых работ и создаваемых образцов воору­жения и военной техники, подлежащих защите от технических разведок, в соответствии с годовым планом (перечнем) работ по оборонной тематике;

• наличие в технических заданиях на разработку (создание) из­делий (систем, средств, объектов) разделов по защите охраняемых сведений (характеристик) и конкретных требований по защите информации;

• качество проработки и обоснованность в эскизных и техни­ческих проектах мероприятий по защите информации, перечней охраняемых сведений и демаскирующих признаков, правильность определения технических каналов утечки информации и их опас­ности;

• наличие и полнота отработки «Инструкции по технической защите информации (противодействию техническим средствам разведки)» для различных этапов жизненного цикла объектов за­щиты (изделий);

• наличие и правильность ведения документов на рабочие мес­та, где проводятся работы по закрытой тематике, а также журна­лов учета времени работы изделий;

• правильность оценки разведдоступности защищаемых работ (изделий) на объекте и основные результаты проведенного ранее на объекте технического контроля (аттестации);

• наличие и деятельность экспертных комиссий на предприя­тиях, осуществляющих поставки образцов вооружения и военной техники на экспорт, а также степень привлечения к их работе специалистов по технической защите информации и представи­телей заказчика;

• эффективность мер по защите охраняемых характеристик об­разцов вооружения и военной техники, их элементов — носите­лей защищаемой информации, охраняемых характеристик пред­приятия (как объекта защиты) по результатам технического конт­роля.

В информационных и автоматизированных системах обра­ботки информации проверяется:

• наличие сведений, составляющих государственную или слу­жебную тайну, циркулирующих в средствах обработки информа­ции и помещениях в соответствии с принятой на объекте техно­логией обработки информации;

• правильность категорирования объектов информатизации, а также классификации автоматизированных систем в зависимости от степени секретности обрабатываемой информации;

• наличие и правильность оформления аттестатов соответствия на объекты информатизации, а также сертификатов на средства защиты информации, наличие материалов по специальным ис­следованиям и специальным проверкам технических средств (в необходимых случаях);

• организация и фактическое состояние доступа обслуживаю­щего и эксплуатирующего персонала к защищаемым информаци­онным ресурсам, наличие и качество организационно-распоря­дительных документов по допуску персонала к защищаемым ре­сурсам, организация учета, хранения и обращения с конфиденци­альными машинными носителями информации;

• состояние учета всех технических и программных средств оте­чественного и иностранного производства, участвующих в обра­ботке информации, подлежащей защите, наличие и правильность оформления документов по специальным исследованиям и про­веркам технических средств информатизации, в том числе на на­личие недекларированных возможностей программного обеспе­чения;

• правильность размещения технических средств информати­зации (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории, в соответ­ствии с предписаниями на эксплуатацию;

• обоснованность и полнота выполнения организационных и технических мер по защите информации, циркулирующей в сред­ствах электронной вычислительной техники;

• наличие, правильность установки и порядка эксплуатации средств защиты от несанкционированного доступа и специаль­ных программно-математических воздействий к информации;

• выполнение требований по технической защите информации при присоединении автоматизированных систем ее обработки к внешним и международным информационным системам общего пользования;

• оценка эффективности мер защиты по результатам проведе­ния выборочного технического контроля.

В системах и сетях связи, автоматизированных системах управления и передачи данных проверяется:

• выполнение требований по технической защите информации при присоединении ведомственной (внутренней) сети связи к сети связи общего пользования, взаимоувязанной сети связи Россий­ской Федерации;

• полнота и правильность оценки разведдоступности каналов и линий связи, анализ характера передаваемой по ним информации;

• наличие и правильность установки аппаратуры технической зашиты информации в каналах связи, а также ее исправность и работоспособность;

• обоснованность и полнота выполнения мероприятий по обес­печению защищенности от воздействий систем автоматизирован­ного управления, а также систем передачи оперативно-диспет­черской информации;

• состояние технической защиты информации в ходе деятель­ности предприятий связи по обеспечению живучести и устойчи­вости магистральных сетей связи;

• обеспечение защищенности от программно-математических воздействий и несанкционированного доступа систем управления цифровым коммутационным оборудованием;

• эффективность мероприятий по защите оконечных устройств и коммутационного оборудования, размещенных в выделенных помещениях или передающих подлежащую защите информацию, наличие материалов по специальным исследованиям и специаль­ным проверкам технических средств (в необходимых случаях).

В финансово-кредитных организациях, обслуживающих орга­ны исполнительной власти и предприятия оборонного промыш­ленного комплекса, проверяется:

• наличие требований по технической защите информации кли­ентов финансово-кредитной организации — органов исполнитель­ной власти и предприятий оборонного промышленного комплек­са;

• наличие специального участка (комплекса технических средств) для обработки информации, подлежащей защите;

• эффективность специального технологического процесса вы­деления подлежащей защите информации из общего массива фи­нансовой информации.

В организациях, осуществляющих топографо-геодезическую и картографическую деятельность или использующих топог­рафо-геодезическую информацию, проверяется:

• наличие лицензий и разрешений на выполнение топографо-геодезических и картографических работ;

• технические мероприятия по защите информации при осу­ществлении цифровой обработки фотоматериалов и обоснован­ность грифа секретности производных материалов;

• технические мероприятия по защите информации при разра­ботке и изготовлении тематических и специальных карт и планов на основе секретных топографических материалов;

• соответствие установленному порядку производства, реали­зации или эксплуатации аппаратуры для определения координат, работающей по сигналам космических аппаратов;

• порядок внедрения и использования геоинформационных систем для целей обработки подлежащей защите информации.





Дата добавления: 2014-02-03; просмотров: 1574; Опубликованный материал нарушает авторские права? | Защита персональных данных | ЗАКАЗАТЬ РАБОТУ


Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Как то на паре, один преподаватель сказал, когда лекция заканчивалась - это был конец пары: "Что-то тут концом пахнет". 8338 - | 7958 - или читать все...

Читайте также:

 

18.204.227.250 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.


Генерация страницы за: 0.009 сек.