Методика контроля состояния технической защиты информации. Меры технического контроля эффективности защиты информации

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

Технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

Организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

Технический контроль эффективности ТЗИ (который рассматриваем) – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

Комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

Целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

Выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

Инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

Инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

Расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

1) побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

3) наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

4) неравномерности потребления тока в сети электропитания ОТСС;

5) линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

2. ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

3. Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва

5. Приказ ФСТЭК России от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

Скрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.

Организационные задачи по скрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.

Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.

Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.

Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.

Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый "серый фон".

Класс 1.2. Дезинформация противника.

К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Роль дезинформации подчеркивал А.Ф.Вивиани, специалист в области контр шпионажа: На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...

Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, группировки и деятельности войск, намерений органов управления.

Решение этой задачи осуществляется в рамках известной оперативной радиомаскировки путем искажения технических демаскирующих признаков объекта защиты или имитации технических демаскирующих признаков ложного объекта.

Частными задачами технической дезинформации являются:

Искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;

Создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т.д.;

Передача, обработка, хранение в системах обработки ложной информации;

Имитация боевой деятельности средств, комплексов и систем обработки информации на ложных пунктах управления;

Участие сил и средств в демонстративных действиях на ложных направлениях;

Передача ложной информации (радио дезинформация), в расчете на ее перехват противником и др.

В общем, виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радио дезинформации, демонстративных действий.

Эффективность защиты информации - степень соответствия результатов защиты информации цели защиты информации.

Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации .

В соответствии с СТР-К методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации организации.

Под методом контроля понимают порядок и правила применения расчетных и измерительных операций при решении задач контроля эффективности защиты.

В зависимости от вида выполняемых операций методы технического контроля делятся на:

• инструментальные, когда контролируемые показатели определяются непосредственно по результатам измерения контрольно-измерительной аппаратурой;
• инструментально-расчетные, при которых контролируемые показатели определяются частично расчетным путем, частично измерением значений некоторых параметров физических полей аппаратными средствами;
• расчетные, при которых контролируемые показатели рассчитываются по методикам, содержащимся в руководящей литературе.

17.3. Система документов по контролю состояния ТЗКИ

Аттестационный технический контроль защиты информации от утечки по ТКУИ осуществляется в соответствии со специально разработанными программами и методиками контроля ФСТЭК. Существует "Сборник временных методик оценки защищенности конфиденциальной информации от утечки по техническим каналам", он носит гриф "Для Служебного Пользования". В его состав входят следующие документы:

1. Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
2. Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
3. Временная методика оценки защищенности помещений от утечки речевой конфиденциальной информации по акустическому и виброакустическому каналам. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.
4. Временная методика оценки помещений от утечки речевой конфиденциальной информации по каналам электроакустических преобразований во вспомогательных технических средствах и системах. Утверждена первым заместителем председателя Гостехкомиссии России 08.11.2001.

Следует отметить, что ни СТР-К, ни приказ ФСТЭК России №21 не устанавливают форму оценки эффективности, формы и содержание документов, разрабатываемых в результате оценки. Таким образом, решение по данному вопросу возлагается на руководителя организации и (или) по соглашению с лицом, привлекаемым для проведения оценки эффективности реализованных мер по обеспечению безопасности информации.

В информационном сообщении от 15 июля 2013 г. № 240/22/2637 ФСТЭК говорит о том, что оценка эффективности реализованных мер может быть проведена в рамках работ по аттестации информационной системы персональных данных в соответствии с национальным стандартом ГОСТ РО 0043-003-2012 " Защита информации . Аттестация объектов информатизации. Общие положения". Если же речь идет о ГИС, в которых обрабатываются персональные данные , оценка эффективности принимаемых мер по обеспечению безопасности персональных данных проводится в рамках обязательной аттестации государственной информационной системы по требованиям защиты информации в соответствии с Требованиями, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. № 17, национальными стандартами ГОСТ РО 0043-003-2012 и ГОСТ РО 0043-004-2013 "контроль эффективности защиты информации предусматривает:

• проверку состава и размещения основных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
• проверку состава и размещения вспомогательных технических средств и систем на объектах информатизации в соответствии с техническим паспортом на данный объект;
• правильность категорирования объектов информатизации, классификации автоматизированных систем;
• контроль деятельности и состояния работ по противодействию утечки информации по техническим каналам утечки;
• проверку работоспособности средств защиты информации на объекте информатизации; контроль того, что они эксплуатируются в соответствии с эксплуатационной документацией;
• наличие и качество организационно-распорядительных документов;
• проверку уровня знаний и соблюдения требований нормативно-методических и руководящих документов ФСТЭК России;
• проверку соблюдения инструкций, порядка ведения журналов учетов;
• оценку эффективности выполняемых мероприятий по защите информации по результатам проведения выборочного технического контроля.

1. Организация работ по технической защите информации:

1.1.Организация технической защиты информации, отнесенной к государственной и служебной тайне, от ИТР и от утечки по техническим каналам:

• наличие руководящих и нормативно-технических документов по вопросам технической защиты информации;
• наличие документов, регламентирующих деятельность структурных подразделений по технической защите информации (задачи, функциональные обязанности и т.д.);
• проведение анализа и оценки реальной опасности утечки информации по техническим каналам, полнота и правильность выявления возможных технических каналов утечки информации, подлежащей защите;
• полнота, качество и обоснованность разработки организационно-технических мероприятий по защите информации, порядок их реализации;
• порядок организации и проведения контроля состояния технической защиты информации, его эффективность;
• своевременность и полнота выполнения требований руководящих документов, решений Гостехкомиссии России, нормативно-технических и методических документов по технической защите информации.

1.2. Изучение и анализ деятельности структурных подразделений (ответственных должностных лиц), по обеспечению безопасности информации, подлежащей защите, решаемые ими задачи и функциональные обязанности.

1.3. Анализ материалов, характеризующих разведдоступность к информации, циркулирующей в структурных подразделениях. Выявление наличия в 1000-метровой зоне иностранных представительств, пользующихся правом экстерриториальности, мест пребывания иностранных специалистов.

1.4 Изучение и анализ перечня сведений, подлежащих защите:

• наличие перечня сведений, подлежащих защите от технических средств разведки и от утечки по техническим каналам:
• полнота и правильность определения демаскирующих признаков, раскрывающих эти сведения;

1.5 Наличие системы защиты информации:

• наличие задач по технической защите информации в организационно-распорядительных документах, регламентирующих деятельность организаций и ведомств, входящих в единую систему органов государственного управления в Российской Федерации;
• организация и осуществление работ по технической защите информации в центральном аппарате министерства (ведомства) и в подведомственных ему предприятиях, организациях и учреждениях;
• взаимодействие по вопросам технической защиты информации с другими министерствами (ведомствами) и другими сторонними организациями;
• обеспечение контроля эффективности защиты сведений, составляющих государственную и служебную тайну, во всех подчиненных и подведомственных министерству (ведомству) предприятиях, учреждениях и организациях, осуществляющих работу с ними.

1.6 Анализ возможных технических каналов утечки информации о сведениях, отнесенных к государственной тайне, в процессе деятельности министерства (ведомства) и подведомственных им предприятий, организаций и учреждений.

1.7 Анализ информационных потоков при функционировании структурных подразделений.

1.8 Анализ состава технических и программных средств, участвующих в обработке информации, их дислокации, технологии обработки информации и состояния ее защиты:

• состояние учета всех технических и программных средств отечественного и импортного производства, участвующих в обработке информации, подлежащей защите;
• размещение средств ЭВТ, ТСПИ (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории.

1.9 Проведение анализа доступности информации, обрабатываемой в АСУ, ЭВТ и другими техническими средствами.

1.10 Изучение организации и фактического состояния доступа обслуживающего и эксплуатирующего персонала к информационным ресурсам.

2. Контроль состояния защиты информации:

Организация защиты информации в системах и средствах информатизации и связи:

• проведение аттестования систем и средств автоматизации и связи, которые участвуют в обработке информации, отнесенной к государственной и служебной тайне;
• проведение спецпроверок по выявлению закладных устройств;
• деятельность структурных подразделений, отвечающих за проведение автоматизации процессов обработки информации, учет, хранение, доступ к ее магнитным носителям, обязанности лиц, ответственных за безопасность информации;
• своевременность и правильность внедрения системы защиты информации, оформления разрешения на обработку конфиденциальной информации;
• правильность размещения и использования технических средств, их отдельных элементов;
• применяемые меры защиты информации oт утечки за счет побочных электромагнитных излучений и наводок, электроакустических преобразований;
• применяемые меры по предотвращению несанкционированного доступа к информации, а также перехвата техническими средствами речевой информации из помещений и объектов защиты.

• проверку выполнения требований предписаний на эксплуатацию и порядка эксплуатации технических средств передачи, хранения и обработки информации ТСПИ (обход всех выделенных помещений);
• проверку своевременности и правильности категорирования выделенных помещений, порядка их аттестации при вводе в эксплуатацию и оформления разрешения на право проведения мероприятий конфиденциального характера и ведения конфиденциальных переговоров;
• проверку наличия, качества установки и порядка эксплуатации средств защиты речевой информации от утечки по техническим каналам;
• проверку выполнения требований по проведению спецпроверок технических средств (на отсутствие специальных излучающих устройств);

2.3.3 Провести инструментальный контроль защищенности речевой информации, циркулирующей в выделенных помещениях, обрабатываемой и передаваемой ТСПИ, с целью выявления возможных технических каналов утечки:

. Контроль за выполнением требовании закона Российской Федерации “О государственной тайне”

Порядок приема иностранных граждан и его соответствие требованиям нормативных документов. Оценка применяемых мер защиты информации при посещении организаций (предприятий) иностранными представителями. Участие специалистов по противодействию разведкам в анализе возможных каналов утечки информации, аттестации и специальных проверках помещений до и после приема иностранных специалистов. Наличие Программ приема, согласование с органами ФСБ. Разработка и осуществление (при необходимости) дополнительных мероприятий по технической защите информации.

3.1 Проверка наличия структурных подразделений, сотрудников, уровня их подготовки, квалификации, обеспечивающих решение вопросов, связанных с гостайной. 3.2 Проверка наличия лицензии на право проведения работ, связанных с выполнением закона РФ “О государственной тайне”, как в штатных структурных подразделениях, так и во внешних организациях, выполняющих работы (оказывающих услуги) по технической защите информации в интересах министерства (ведомства) и подведомственных им предприятиях, организациях и учреждениях. 3.3 Проверка наличия руководящих документов и их содержания по вопросу технической защиты информации (закона РФ “О государственной тайне”, Перечня сведений, подлежащих защите... и др.). 3.4 Проверка состояния режима конфиденциальности в подразделениях и степени его соответствия руководящим документам по ведению делопроизводства (оборудование помещений, учет и хранение конфиденциальных документов, допуск к ведению делопроизводства и конфиденциальным документам). 3.5 Проверка своевременности и правильности доведения требований руководящих документов по технической защите информации до сотрудников подразделений, знание их сотрудниками. 3.6 Проверка правильности категорирования информации по степени конфиденциальности, порядка ее учета и хранения при использовании технических средств (ЭВТ, ТСПИ, оргтехники и т.п.). 3.7 Проверка правильности распечатки (размножения) конфиденциальных документов, их учета и порядка доведения до исполнителей. 3.8 Проверка порядка допуска сотрудников к работам с грифованной информацией. 3.9 Проверка организации работ по снижению степени конфиденциальности (рассекречиванию) документов и доведения информации до исполнителей. 3.10 Проверка наличия “Аттестатов соответствия” на выделенные помещения и технические средства, участвующие в обработке информации, подлежащей защите, и сертификационных документов на средства технической защиты информации и контроля ее эффективности.

4. Вопросы, подлежащие рассмотрению при проверке лицензиатов

4.1 Проверяется:

• наличие лицензии (разрешения) на право проведения работ по технической защите информации, проверка действительности лицензии установленным срокам и соответствия практически выполняемым лицензиатом работ (1.5)*;
• наличие у лицензиата документов о государственной регистрации предпринимательской деятельности и устава предприятия (1.7)*;
• состояние производственной и испытательной базы, наличие нормативной и методической документации для проведения работ по заявленным видам деятельности (1.6)*;
• укомплектованность научным и инженерно-техническим персоналом для проведения работ по заявленным видам деятельности. Уровень подготовленности специалистов для проведения работ (1.6)*;
• профессиональная подготовка руководителя предприятия-лицензиата и (или) лиц, уполномоченных им для руководства лицензионной деятельностью (1.7)*;
• соблюдение договорных обязательств по обеспечению сохранности конфиденциальных и материальных ценностей физических и юридических лиц, воспользовавшихся услугами лицензиата (2.4)*;
• своевременность и полнота представления в государственный орган по лицензированию или в лицензионный центр сведений о выполненных работах по конкретным видам указанной в лицензии деятельности в соответствии с требованиями Гостехкомиссии России (2.4)*;
• качество оказанных лицензиатом услуг (оценка эффективности проведенных лицензиатами мероприятий по технической защите информации на 1-3 предприятиях-потребителях, воспользовавшихся услугами лицензиата (3.2)*.

4.2 Результаты проверки лицензиатов отражаются в виде отдельного раздела акта или справки, оформляемых по итогам плановой проверки министерств (ведомств) и подведомственных им предприятий, организаций и учреждений. На основании полученных результатов делается заключение о соответствии лицензиата установленным требованиям и возможности дальнейшего проведения им работ по заявленным направлениям.

Примечание: *) В скобках указаны разделы “Положения о государственном лицензировании деятельности в области защиты информации”.

В связи с тем, что меры контроля / анализа защищённости персональных данных входят в базовые наборы мер защиты начиная с УЗ4 – УЗ3, большинство операторов персональных данных обзавелось сканерами защищенности. Иногда сталкиваюсь со следующими вопросом: а нужно ли вообще запускать этот сканер, и если да, то с какой периодичностью и что именно проверять.

Давайте попробуем разобраться:
· сканеры используется для реализации группы мер по контролю (анализу) защищенности персональных данных (АНЗ) обязательных в соответствии с приказом ФСТЭК России №21 от 18 февраля 2013 г.
· посмотрим, имеется ли в нормативно-правовых актах РФ какие-то обязательные требования к порядку или периодичности проведения сканирования защищенности:

Приказ ФСТЭК России №21
“8.8. Меры по контролю (анализу) защищенности персональных данных должны обеспечивать контроль уровня защищенности персональных данных, обрабатываемых в информационной системе, путем проведения систематических мероприятий по анализу защищенности информационной системы и тестированию работоспособности системы защиты персональных данных.
АНЗ.1 Выявление, анализ уязвимостей информационной системы и оперативное устранение вновь выявленных уязвимостей
АНЗ.2 Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации
АНЗ.3 Контроль работоспособности, параметров настройки и правильности функционирования программного обеспечения и средств защиты информации
АНЗ.4 Контроль состава технических средств, программного обеспечения и средств защиты информации”

ГОСТ Р 51583-2014 порядок создания АС в защищенном исполнении

Больше НПА, содержащих требования к анализу защищенности найти не удалось

Значит в нормативно-правовых актах РФ не содержится требований к порядку и периодичности проведения сканирований защищенности, соответственно параметры настройки профилей сканирования, периодичности анализа уязвимостей определяется оператором самостоятельно
· как же ему определить этот порядок и периодичность?

· скорее всего нужно исходить из особенностей и критичности информационной системы, состава используемого программного обеспечения и внутренних правил обновления программного обеспечения;

· также необходимо понимать, что по результатам сканирования формирует отчет по уязвимостям, который ещё необходимо отработать – устранить уязвимости и установить недостающие обновления. Нет никакого смысла проводить сканирование чаще, чем ответственные лица успевают обработать отчет и устранить уязвимости. Периодичность сканирования > среднего времени на обработку отчета по уязвимостям

· при определении порядка и периодичности сканирования оператор информационной системы может руководствоваться собственной экспертизой в области информационной безопасности, опытом проведения мероприятий по анализу защищенности, рекомендациями внешних экспертов и лицензиатов ФСТЭК, а также документами, носящими статус “рекомендованных” или “лучших практик”

· при этом необходимо учитывать, что меры по анализу защищенности должен быть систематическими (пункт 8.8 приказ ФСТЭК №21) и должны быть достаточными для нейтрализации актуальных угроз (пункт 2 Постановление правительства №1119)

· посмотрим, что есть в лучших методических документах и лучших практиках:

ГОСТ Р ИСО/МЭК 27002-2012
“12.6 Менеджмент технических уязвимостей
Цель: Снизить риски, являющиеся результатом использования опубликованных технических уязвимостей.

Менеджмент технических уязвимостей следует осуществлять эффективным, систематическим и повторяемым способом, с проведением измерений с целью подтверждения его эффективности. Эти соображения должны касаться эксплуатируемых систем и любых других используемых прикладных программ.
12.6.1 Управление техническими уязвимостями

Мера и средство контроля и управления

Необходимо получать своевременную информацию о технических уязвимостях используемых информационных систем, оценивать незащищенность организации в отношении таких уязвимостей и принимать соответствующие меры для рассмотрения связанного с ними риска.

Постоянно обновляемая и полная опись активов (см. 7.1) является предпосылкой эффективного менеджмента технических уязвимостей. Специальная информация, необходимая для поддержки менеджмента технических уязвимостей, включает в себя информацию о поставщике программного обеспечения, номерах версий, текущем состоянии развертывания (например, какое программное обеспечение установлено на каких системах) и специалисте(ах), отвечающем(их) в организации за программное обеспечение.

Аналогично, своевременное действие должно предприниматься в ответ на выявление потенциальных технических уязвимостей. Для создания эффективного процесса менеджмента в отношении технических уязвимостей необходимо выполнять следующие рекомендации:
a) в организации необходимо определять и устанавливать роли и обязанности, связанные с менеджментом технических уязвимостей, включая мониторинг уязвимостей, оценку риска проявления уязвимостей, исправление программ (патчинг), слежение за активами и любые другие координирующие функции;
b) информационные ресурсы, которые будут использоваться для выявления значимых технических уязвимостей и обеспечения осведомленности о них, следует определять для программного обеспечения и другой технологии на основе списка инвентаризации активов (см. 7.1.1); эти информационные ресурсы должны обновляться вслед за изменениями, вносимыми в опись, или когда найдены другие новые или полезные ресурсы;
c) необходимо определить временные параметры реагирования на уведомления о потенциально значимых технических уязвимостях;
d) после выявления потенциальной технической уязвимости организация должна определить связанные с ней риски и действия, которые необходимо предпринять; такие действия могут включать внесение исправлений в уязвимые системы и (или) применение других мер и средств контроля и управления;
e) в зависимости от того, насколько срочно необходимо рассмотреть техническую уязвимость, предпринимаемое действие следует осуществлять в соответствии с мерами и средствами контроля и управления, связанными с менеджментом изменений (см. 12.5.1), или следуя процедурам реагирования на инциденты информационной безопасности (см. 13.2);
f) если имеется возможность установки патча, следует оценить риски, связанные с его установкой (риски, создаваемые уязвимостью, необходимо сравнить с риском установки патча);
g) перед установкой патчи следует тестировать и оценивать для обеспечения уверенности в том, что они являются эффективными и не приводят к побочным эффектам, которые нельзя допускать; если нет возможности установить патч, следует рассмотреть другие меры и средства контроля и управления, например:
1) отключение сервисов, связанных с уязвимостью;
2) адаптацию или добавление средств управления доступом, например, межсетевых экранов на сетевых границах (см. 11.4.5);
3) усиленный мониторинг для обнаружения или предотвращения реальных атак;
4) повышение осведомленности об уязвимостях;
h) в контрольный журнал следует вносить информацию о всех предпринятых процедурах;
i) следует регулярно проводить мониторинг и оценку процесса менеджмента технических уязвимостей в целях обеспечения уверенности в его эффективности и действенности;
j) в первую очередь следует обращать внимание на системы с высоким уровнем риска.

Дополнительная информация

Правильное функционирование процесса менеджмента технических уязвимостей играет важную роль для многих организаций, поэтому процесс должен подвергаться регулярному мониторингу. Для обеспечения уверенности в том, что потенциально значимые технические уязвимости выявлены, важна точная инвентаризация.

Менеджмент технических уязвимостей может рассматриваться как подфункция менеджмента изменений и в качестве таковой может воспользоваться процессами и процедурами менеджмента изменений (см. 10.1.2 и 12.5.1).

Поставщики часто испытывают на себе значительное давление, заключающееся в требовании выпускать патчи в кратчайшие сроки. Поэтому патч не может решить проблему адекватно и может иметь побочные эффекты. К тому же, в некоторых случаях, если патч был однажды применен, деинсталлировать его может быть нелегко.

Если адекватное тестирование патчей провести не удается, например по причине затрат или отсутствия ресурсов, можно рассмотреть задержку в осуществлении внесения изменений, чтобы оценить связанные с этим риски, основанные на опыте других пользователей.”

РС БР ИББС-2.6-2014
“10. Стадия эксплуатации
10.1. Основными задачами на стадии эксплуатации в части обеспечения ИБ являются:
- периодическая оценка защищенности АБС (проведение мероприятий по выявлению типичных уязвимостей программных компонентов АБС, тестирование на проникновение);
10.2. Периодичность проведения работ по оценке защищенности определяется решении
ем организации БС РФ. Для АБС, используемых для реализации банковского платежного тех-
нелогического процесса, рекомендуется проведение комплексной оценки защищенности не
реже одного раза в год”

методический документ ФСТЭК России “Меры защиты информации в государственных информационных системах” , который может применяться и для обеспечения безопасности персональных данных по решению оператора
“АНЗ.1 ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ ИНФОРМАЦИОННОЙ СИСТЕМЫ
Выявление (поиск), анализ и устранение уязвимостей должны проводиться на этапах создания и эксплуатации информационной системы. На этапе эксплуатации поиск и анализ уязвимостей проводится с периодичностью, установленной оператором. При этом в обязательном порядке для критических уязвимостей проводится поиск и анализ уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в информационной системе.
Требования к усилению АНЗ.1:
2) оператор должен уточнять перечень сканируемых в информационной системе уязвимостей с установленной им периодичностью, а также после появления информации о новых уязвимостях;”

· руководствуясь методическим документом ФСТЭК - анализ защищенности необходимо проводить в обязательном порядке после опубликования информации о критической уязвимости или обновлении;

· для ОС Windows такие уязвимости появляются в среднем ежемесячно ;

· по моему мнению для обеспечения нейтрализации актуальных угроз анализ защищенности с использованием сканеров необходимо проводить не реже чем ежеквартально

· в качестве старта при определении что и как проверять, можно использовать приложение 3 Рекомендации к проведению оценки защищенности к РС БР ИББС-2.6-2014 – раздел 2 “Выявление известных уязвимостей”

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

- технический контроль эффективности ТЗИ

- организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

- технический контроль эффективности ТЗИ(который рассматриваем) – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

- комплексным , когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

- целевым , когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

- выборочным , когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

- инструментальным методом , когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

- инструментально-расчетным методом , когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

- расчетным методом , когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

1) побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

3) наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

4) неравномерности потребления тока в сети электропитания ОТСС;

5) линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

2. ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

3. Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва

5. Приказ ФСТЭК России от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

Скрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.

Организационные задачи по скрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.

Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.

Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.

Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.

Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый "серый фон".

Класс 1.2. Дезинформация противника.

К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Роль дезинформации подчеркивал А.Ф.Вивиани, специалист в области контр шпионажа: На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...

Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, группировки и деятельности войск, намерений органов управления.

Решение этой задачи осуществляется в рамках известной оперативной радиомаскировки путем искажения технических демаскирующих признаков объекта защиты или имитации технических демаскирующих признаков ложного объекта.

Частными задачами технической дезинформации являются:

· искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;

· создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т.д.;

· передача, обработка, хранение в системах обработки ложной информации;

· имитация боевой деятельности средств, комплексов и систем обработки информации на ложных пунктах управления;

· участие сил и средств в демонстративных действиях на ложных направлениях;

· передача ложной информации (радио дезинформация), в расчете на ее перехват противником и др.

В общем, виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радио дезинформации, демонстративных действий.

Мероприятия по контролю эффективности защиты информации - совокупность действий, направленных на разработку и (или) практическое применение способов и средств контроля эффективности защиты информации

Понятие и основные объекты контроля

Контроль - целенаправленная деятельность руководства и должностных лиц предприятия по проверке состояния защиты конфиденциальной информации в ходе его повседневной деятельности при выполнении предприятием всех видов работ. Контроль по своей сути имеет характер ярко выраженной управленческой деятельности, так как, в первую очередь, служит источником важной информации для руководства предприятия (его филиала или представительства), касающейся основного вида деятельности предприятия - защиты информации с ограниченным доступом.

Контроль за состоянием защиты конфиденциальной информации на предприятии организуется и проводится в целях определения истинного состояния дел в области защиты информации, оценки эффективности принимаемых для исключения утечки информации мер, выявления возможных каналов утечки сведений, выработки предложений и рекомендаций руководству предприятия по совершенствованию комплексной системы защиты информации.

Указанный контроль осуществляется в порядке и в сроки, определенные соответствующими нормативно-методическими документами, утверждаемыми как вышестоящими органами государственной власти (министерством или ведомством), так и руководством предприятия. Контроль за состоянием защиты конфиденциальной информации организуется и проводится непосредственно на предприятии (в его структурных подразделениях), а также в филиалах и представительствах предприятия.

Организация контроля возлагается на руководителя предприятия или его заместителя, возглавляющего работу по защите информации. Непосредственная организация и осуществление контроля за состоянием защиты конфиденциальной информации возлагаются на службу безопасности предприятия или его режимно-секретное подразделение.

В число основных объектов контроля за состоянием защиты информации входят:

структурные подразделения предприятия, привлекаемые к выполнению работ конфиденциального характера;

сотрудники предприятия, допущенные в установленном порядке к конфиденциальной информации, и ее носителям, и выполняющие работы с их использованием;

служебные помещения, в которых проводятся работы с носителями конфиденциальной информации (документами, материалами, изделиями);

места непосредственного хранения носителей конфиденциальной информации (хранилища, сейфы, шкафы), размещенные как в служебных помещениях службы безопасности (режимно-секретного подразделения), так и в служебных кабинетах сотрудников предприятия (филиала, представительства);

непосредственно носители конфиденциальной информации (документы, материалы, изделия, магнитные носители).

Основные формы контроля за состоянием защиты информации на предприятии включают предварительный контроль, текущий контроль, заключительный контроль, повторный контроль. Перечисленные формы контроля увязаны по времени и срокам с подготовкой и проведением различных мероприятий в рамках повседневной деятельности предприятия.

Этими мероприятиями могут быть:

планирование производственной (договорной) деятельности на календарный год (иной период времени);

взаимодействие с партнерами в ходе совместных работ;

проведение конкретных научно-исследовательских и опытно-конструкторских работ;

испытание вооружений и военной техники;

мероприятия в области международного сотрудничества, в том числе связанные с приемом иностранных делегаций на предприятии;

организация и проведение совещаний, конференций, выставок и симпозиумов;

подведение итогов работы предприятия за календарный год (иной период работы предприятия);

посещение предприятия представителями СМИ.

Предварительный контроль проводится на этапе подготовки мероприятий и направлен на проверку соответствия спланированных мероприятий по защите информации требованиям нормативно-методических документов и специфике проведения конкретных работ.

Текущий контроль - оценка мер по защите информации, принимаемых в процессе выполнения предприятием (его структурными подразделениями) конкретных видов работ в рамках повседневной деятельности.

Заключительный контроль направлен на оценку состояния дел в сфере защиты информации в ходе проведения мероприятия и по его завершении и служит основой для формирования итоговых выводов об эффективности принимавшихся мер по исключению утечки конфиденциальной информации.

Повторный контроль проводится в целях проверки полноты устранения выявленных в ходе иных видов контроля недостатков (нарушений) и реализации предложений и рекомендаций по исключению их появления в дальнейшем.

Основные задачи и методы контроля

Основные задачи контроля за состоянием защиты информации следующие:

· сбор, обобщение и анализ информации о состоянии системы защиты конфиденциальной информации предприятия;

анализ состояния дел в области защиты информации в структурных подразделениях, а также в филиалах и представительствах предприятия;

проверка наличия носителей конфиденциальной информации;

проверка соблюдения всеми сотрудниками предприятия норм и правил, устанавливающих порядок обращения с носителями конфиденциальной информации;

· выявление угроз защите конфиденциальной информации и выработка мер по их нейтрализации;

анализ полноты и качества выполнения спланированных мероприятий по защите информации в ходе повседневной деятельности предприятия;

оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;

· применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями конфиденциальной информации;

проверка эффективности мер по защите конфиденциальной информации, принимаемых должностными лицами и руководителями структурных подразделений предприятия.

Выбор методов контроля зависит от конкретных целей, задач и объектов контроля, а также от совокупности сил и средств, которые предполагается использовать при его проведении.

Основные методы контроля за состоянием защиты информации включают проверку, анализ, наблюдение, сравнение и учет.

Основным и наиболее эффективным методом контроля за состоянием защиты информации на предприятии, а также в его филиалах и представительствах является проверка.

Проверки по объему проведения подразделяются на комплексные и частные, а по характеру (способу проведения) - на плановые и внезапные.

Комплексные проверки организуются и проводятся по всем направлениям защиты конфиденциальной информации. К их проведению привлекаются структурные подразделения, отвечающие за вопросы защиты информации на предприятии. Комплексные проверки охватывают все сферы повседневной деятельности предприятия (его структурного подразделения, филиала или представительства) и направлены на всестороннюю оценку состояния дел в области защиты конфиденциальной информации.

Результаты проверки оформляются в виде акта или справки-доклада и доводятся до сведения руководителя проверенного структурного подразделения (филиала, представительства). В итоговом документе перечисляются выявленные недостатки, а также формулируются предложения по их устранению, повышению эффективности работы должностных лиц (сотрудников) в области защиты информации. Проверяющие лица устанавливают конкретные сроки устранения выявленных недостатков и реализации предложений (рекомендаций).

Частные проверки организуются и проводятся по одному или нескольким направлениям (вопросам) защиты конфиденциальной информации в целях их глубокого изучения, анализа и оценки эффективности работы должностных лиц (сотрудников) предприятия (филиала, представительства) по этим направлениям.

По результатам частной проверки, как правило, готовится отдельный документ - справка.

Плановые проверки организуются заблаговременно, включаются в соответствующие планы мероприятий предприятия на календарный год и месяц. Как правило, такие проверки являются комплексными, и в состав комиссий по их проведению включаются представители подразделений, ответственных за деятельность по различным направлениям защиты конфиденциальной информации, способные оценить состояние и эффективность работы по конкретным вопросам.

Внезапные проверки организуются и проводятся при необходимости по указанию руководителя предприятия или его заместителя. Они могут проводиться как в масштабах предприятия, так и в его структурных подразделениях, филиалах или представительствах. Цель их проведения - проверка защиты конфиденциальной информации по всем или нескольким направлениям деятельности предприятия. Особенность организации таких проверок состоит в том, что они отсутствуют в планах на календарный год и проводятся внезапно. Организация работы комиссии и оформление результатов внезапных проверок в основном такие же, как при плановых проверках.

Особый вид проверок - контрольные проверки состояния защиты конфиденциальной информации. В ходе их проведения проверяется и оценивается полнота устранения недостатков, выявленных предыдущей проверкой, и реализация выработанных по ее результатам предложений (рекомендаций).

Алгоритм подготовки и проведения проверки:

· принятие решения о проведении проверки;

· подготовка перечня проверяемых вопросов;

· определение состава комиссии;

· определение сроков работы комиссии;

· подготовка и утверждение плана проверки;

· непосредственное проведение проверки;

· оформление результатов работы;

· доклад результатов проверки на месте;

· анализ недостатков с проверяемыми;

· доклад результатов лицу, назначившему проверку.

Одним из методов контроля защиты конфиденциальной информации также является анализ. В ходе анализа изучаются и обобщаются результаты выполнения конкретных мероприятий по защите конфиденциальной информации. Осуществляется их сопоставление с положениями нормативно-методических документов по защите информации, соответствующими стандартами предприятия, формулируется вывод о полноте, качестве и эффективности их проведения. Наряду с проверкой и анализом могут использоваться и такие методы контроля, как наблюдение, сравнение, учет.

Контроль методами наблюдения и сравнения проводится в случае необходимости оперативной оценки мер защиты информации, принимаемых в процессе проведения каких-либо работ (выполнения конкретных мероприятий), продолжающихся в течение определенного времени, и анализа соответствия этих мер установленным нормам и стандартам, действующим на предприятии. Основное отличие названных методов друг от друга заключается в том, что в процессе наблюдения фиксируются конкретные меры по защите информации, а в ходе сравнения, кроме того, осуществляется сопоставление этих мер с установленными нормами и утвержденными стандартами по защите конфиденциальной информации, действующими на предприятии.

Учет принимаемых мер по защите информации подразумевает фиксацию и анализ реально принятых должностными лицами и сотрудниками предприятия мер, направленных на предотвращение утечки информации в ходе повседневной деятельности предприятия. На основе материалов учета готовятся предложения руководству предприятия об усилении режимных требований в рамках той или иной деятельности предприятия, повышении эффективности работы конкретных должностных лиц.

Отдельные аспекты контроля за состоянием защиты информации. Использование результатов контроля

При осуществлении контроля за состоянием защиты информации особое внимание уделяется вопросам обращения с носителями конфиденциальной информации и их хранения в структурных подразделениях предприятия, в том числе расположенных на территориально обособленных объектах, находящихся на удалении. Проверяются порядок учета, хранения, размножения (копирования) и уничтожения носителей конфиденциальной информации; оборудование помещений, в которых хранятся указанные носители или осуществляется работа с ними; порядок передачи носителей одними исполнителями другим, в том числе и при убытии лиц в командировку (отпуск, на лечение); и т.д.

Постоянному контролю подлежат также вопросы допуска и доступа всех категорий должностных лиц к конфиденциальной информации, в том числе и непосредственно к носителям информации, вопросы организации и осуществления пропускного и внутриобъектового режимов на предприятии, организации охраны предприятия и его объектов.

С учетом условий и специфики деятельности предприятия, осуществляемых видов деятельности повышенное внимание должно уделяться вопросам защиты информации при планировании и проведении предприятием договорных работ, а также при осуществлении международного сотрудничества.

В повседневной деятельности предприятия и его структурных подразделений особое место занимает периодический контроль должностными лицами (соответствующими структурными подразделениями) наличия носителей конфиденциальной информации. Порядок и сроки его осуществления определяются нормативными правовыми актами и методическими документами, регулирующими порядок обращения с информацией различных видов конфиденциальности.

Результаты контроля за состоянием защиты конфиденциальной информации доводятся до сведения должностных лиц и сотрудников предприятия, изучаются в ходе проведения соответствующих занятий, недостатки и нарушения оперативно устраняются. Результаты контроля служат основой для проведения аналитической работы и подготовки предложений руководству предприятия, направленных на выработку конкретных мероприятий по совершенствованию системы защиты конфиденциальной информации и повышению эффективности работы в области организации и обеспечения режима секретности (конфиденциальности).

В службе безопасности предприятия (режимно-секретном подразделении) организуется и ведется учет результатов контроля, всех видов проводимых проверок. Обобщенные материалы контроля периодически доводятся до сведения руководящего состава предприятия, анализируются и изучаются руководителями структурных подразделений предприятия в целях недопущения снижения эффективности проводимых мероприятий по защите конфиденциальной информации на предприятии в целом и в этих структурных подразделениях в частности.

Результаты контроля за состоянием защиты конфиденциальной информации на предприятии являются одним из основных источников информации для изучения, обобщения и анализа. Оценка эффективности контроля проводится на основе анализа степени защищенности сведений, содержащих конфиденциальную информацию (их защиты от утечки), и сохранности носителей конфиденциальной информации (предотвращения случаев утрат носителей и устранения предпосылок к ним). С этой целью проводится учет, обобщение и анализ зарегистрированных на пред приятии попыток посторонних лиц (злоумышленников) завладеть конфиденциальной информацией или ее носителями, а также статистическая обработка результатов деятельности предприятия и его отдельных подразделений, направленной на предотвращение (пресечение) этих попыток.

По результатам оценки эффективности контроля руководство предприятия на основе предложений службы безопасности (режимно-секретного подразделения) определяет пути и способы совершенствования системы контроля защиты конфиденциальной информации, уточняет задачи и функции структурных подразделений предприятия.