namai Klausimai Informacijos saugumo būklės stebėjimas. Informacijos apsaugos efektyvumo techninės kontrolės priemonės Kuro perdirbimo gamyklos būklės stebėsenos dokumentų sistema

Informacijos saugumo būklės stebėjimas. Informacijos apsaugos efektyvumo techninės kontrolės priemonės Kuro perdirbimo gamyklos būklės stebėsenos dokumentų sistema

TKI efektyvumo stebėsena susideda iš kokybinių ir kiekybinių TKI priemonių efektyvumo rodiklių atitikties TKI reikalavimams ar veiklos standartams tikrinimo.

TZI veiksmingumo stebėjimas apima:

Techninės informacijos efektyvumo techninė kontrolė – techninės informacijos efektyvumo kontrolė, atliekama naudojant technines kontrolės priemones.

TKI efektyvumo organizacinė kontrolė - TKI priemonių išsamumo ir pagrįstumo TKI srities gairių ir norminių bei metodinių dokumentų reikalavimams tikrinimas;

Techninės informacijos efektyvumo techninė kontrolė (kurią mes svarstome) – tai techninės informacijos efektyvumo kontrolė, atliekama naudojant technines kontrolės priemones.

Atsižvelgiant į kontrolės tikslus ir uždavinius, taip pat tikrinamų objektų charakteristikas, techninė techninės informacijos efektyvumo kontrolė gali būti:

Visapusiška, kai techninės informacijos organizavimas ir būklė patikrinama, ar nėra nutekėjimo visais įmanomais techniniais kanalais, būdingais kontroliuojamai techninei priemonei (informatizacijos objektui), ar nėra neteisėtos prieigos prie informacijos ar ypatingo poveikio jai;

Tikslinis, kai patikrinimas atliekamas vienu iš galimų techninių informacijos nutekėjimo kanalų, būdingų kontroliuojamai techninei priemonei, kuri turi saugomus parametrus arba kurioje cirkuliuoja saugoma informacija;

Atrankiniai, kai iš visos objekto techninių priemonių sudėties atrenkamos tos, kurios, remiantis preliminaraus vertinimo rezultatais, greičiausiai turi techninius kanalus apsaugotai informacijai nutekėti.

Atsižvelgiant į konkrečias techninės kontrolės sąlygas, efektyvumo kontrolė gali būti atliekama šiais būdais:

Instrumentinis metodas, kai kontrolės metu naudojamos techninės matavimo priemonės ir modeliuojamos realios žvalgybos techninės įrangos veikimo sąlygos;

Instrumentinis-skaičiavimo metodas, kai matavimai atliekami prie pat valdymo objekto, o po to matavimo rezultatai perskaičiuojami į numatomos žvalgybos techninių priemonių buvimo vietą (sąlygas);

Skaičiavimo metodas, kai techninės informacijos efektyvumas vertinamas skaičiavimu, remiantis faktinėmis žvalgybos techninių priemonių išdėstymo sąlygomis ir galimybėmis bei žinomomis valdymo objekto charakteristikomis.

Techninių kontrolės priemonių esmė – instrumentinių (instrumentinių ir skaičiavimo) efektyvumo patikrų įgyvendinimas informacijos apsauga nuo nuotėkio per techninius kanalus, atsirandančius dėl:

1) šoninė elektromagnetinė spinduliuotė (PEMR), kai veikia informacinio objekto pagrindinė techninė įranga ir sistemos (OTSS);

3) informacinio signalo trikdžiai VTSS jungiamose linijose, esančiose OTSS PEMI aprėpties zonoje;

4) netolygus srovės suvartojimas OTSS maitinimo tinkle;

5) linijinis aukšto dažnio primetimas ir elektroakustinės transformacijos kaip kalbos informacijos perėmimo būdai per VTSS, įrengtus tam skirtose patalpose.

Instrumentinė kontrolė vykdoma pagal standartines programas ir standartinius metodus, patvirtintus sertifikavimo ir sertifikavimo įstaigų. Visa matavimo įranga nustatyta tvarka sertifikuota metrologinių institucijų.

Pagrindiniai normatyviniai ir metodiniai dokumentai, reglamentuojantys nagrinėjamų objektų techninės kontrolės veiklą:

2. GOST 29339-92. Informacinės technologijos. Informacijos apsauga nuo nutekėjimo dėl šoninės elektromagnetinės spinduliuotės ir trukdžių ją apdorojant kompiuterinėmis technologijomis. Bendrieji techniniai reikalavimai;

3. Kompiuterinėmis technologijomis apdorojamos saugomos informacijos stebėjimo nuo nutekėjimo dėl elektromagnetinės spinduliuotės ir trukdžių (PEMIN) metodinių dokumentų rinkimas. Patvirtinta Rusijos valstybinės techninės komisijos 2002-11-19 įsakymu Nr.391.

4. 2013 m. vasario 11 d. Federalinės techninės ir eksporto kontrolės tarnybos (FSTEC) įsakymas N 17 Maskva

5. 2013 m. vasario 18 d. Rusijos FSTEC įsakymas. Nr. 21 „Dėl organizacinių ir techninių priemonių, užtikrinančių asmens duomenų saugumą juos tvarkant asmens duomenų informacinėse sistemose, sudėties ir turinio patvirtinimo“.

Techninės informacijos būklės patikrinimo ataskaitoje turi būti šie skyriai:

1. Bendra informacija apie valdymo objektą;

2. Bendrieji klausimai techninės informacijos organizavimas svetainėje;

3. Informatizacijos objektų apsaugos organizavimas ir būklė;

4. Rusijos FSTEC licencijų turėtojų informacinių objektų apsaugos ir sertifikavimo darbų išsamumas ir kokybė;

Slėpti informaciją apie priemones, kompleksus, objektus ir informacijos apdorojimo sistemas. Šios užduotys gali būti suskirstytos į technines ir organizacines.

Informacijos apie objektus slėpimo organizacinėmis užduotimis siekiama neleisti darbuotojams atskleisti šios informacijos ir jos nutekėti žvalgybos kanalais.

Techninėmis užduotimis siekiama pašalinti arba susilpninti saugomų objektų techninius demaskavimo ženklus ir techninius informacijos apie juos nutekinimo kanalus. Šiuo atveju slėpimas vykdomas sumažinant elektromagnetinį, laikinį, struktūrinį ir funkcijų prieinamumą, taip pat susilpninant priemonių, kompleksų, objektų, informacijos apdorojimo ir valdymo sistemų struktūros, topologijos ir veikimo pobūdžio adekvatumą.

Šios problemos sprendimas – tai organizacinių ir techninių priemonių bei priemonių komplekso įgyvendinimas, užtikrinantis pagrindinio reikalavimo priemonėms, kompleksams ir informacijos apdorojimo sistemoms – žvalgybos saugumo – įvykdymą ir skirtas vienam iš pagrindinių tikslų – pašalinti arba žymiai apsunkina techninę žvalgybinę paiešką, vietos nustatymą, radijo spinduliuotės šaltinių stebėjimą, objektų klasifikavimą ir identifikavimą pagal techninę žvalgybą, remiantis nustatytais demaskavimo požymiais.

Elektromagnetinio prieinamumo mažinimo problemos sprendimas apsunkina tiek energijos aptikimą, tiek zonos, kurioje yra radijo spinduliuotės šaltiniai, koordinačių nustatymą, taip pat padidina demaskuojančių ženklų identifikavimo laiką ir sumažina radijo spinduliuotės priemonių parametrų ir signalų matavimo tikslumą.

Laikino radijo spinduliavimo priemonių prieinamumo sumažinimas reiškia, kad sutrumpėja jų veikimo laikas, kai perduodama informacija, ir pailgėja pauzės tarp informacijos apdorojimo seansų trukmė. Siekiant sumažinti struktūrinį ir būdingą informacijos apdorojimo priemonių, kompleksų ir sistemų prieinamumą, diegiamos organizacinės ir techninės priemonės, kurios susilpnina demaskuojančius ženklus ir sukuria vadinamąjį „pilkąjį foną“.

1.2 klasė. Priešo dezinformacija.

Ši klasė apima užduotis, susijusias su sąmoningai klaidingos informacijos apie tikrąją kai kurių objektų ir gaminių paskirtį, tikrosios tam tikros srities būklę skleidimu. valdžios veikla, įmonės padėtis ir kt.

Dezinformacija dažniausiai vykdoma skleidžiant melagingą informaciją įvairiais kanalais, imituojant ar iškreipiant atskirų apsaugos objektų elementų požymius ir savybes, sukuriant netikrus objektus, savo išvaizda ar apraiškomis panašius į oponentą dominančius objektus ir pan.

Dezinformacijos vaidmenį pabrėžė kontršnipinėjimo srities specialistas A.F.Viviani: Ant mūsų krenta didžiulis kiekis informacijos, krenta, išspjauna. Tai gali būti netikra, bet atrodo patikima; gali būti tiesa, bet iš tikrųjų ji sumaniai pertvarkyta, kad susidarytų klaidingo įspūdis; yra iš dalies klaidinga ir iš dalies tiesa. Viskas priklauso nuo pasirinkto vadinamosios dezinformacijos metodo, kurio tikslas – priversti jus tikėti, trokšti, susimąstyti, priimti sprendimus ta linkme, kuri naudinga tiems, kuriems kažkodėl reikia mus paveikti...

Techninė dezinformacija gynybos objekte – tai organizacinių ir techninių priemonių kompleksas, kuriuo siekiama suklaidinti techninę žvalgybą dėl tikrųjų informacijos apdorojimo sistemų tikslų, kariuomenės grupavimo ir veiklos, vadovavimo ir kontrolės įstaigų ketinimų.

Šios problemos sprendimas vykdomas gerai žinomo operatyvinio radijo maskavimo rėmuose, iškreipiant saugomo objekto techninius demaskavimo požymius arba imituojant netikro objekto techninius demaskavimo požymius.

Konkretūs techninės dezinformacijos tikslai yra šie:

Tikrų objektų ir sistemų demaskuojančių ženklų iškraipymas, atitinkantis netikrų objektų požymius;

Klaidingos aplinkos, objektų, sistemų, kompleksų kūrimas (imitacija), atkuriant realių objektų, sistemų struktūrų, situacijų, veiksmų, funkcijų ir kt. demaskuojančius ženklus;

Klaidingos informacijos perdavimas, apdorojimas, saugojimas apdorojimo sistemose;

Priemonių, kompleksų ir informacijos apdorojimo sistemų kovinės veiklos imitavimas netikruose valdymo taškuose;

Jėgų ir priemonių dalyvavimas parodomuosiuose veiksmuose klaidingomis kryptimis;

Klaidingos informacijos (radijo dezinformacijos) perdavimas, tikintis, kad ją perims priešas ir pan.

Apskritai šias užduotis galima suskirstyti į konkrečias radijo imitavimo, radijo dezinformacijos ir demonstracinių veiksmų užduotis.

Techninės informacijos efektyvumo stebėjimas Tai yra TKI priemonių efektyvumo kokybinių ir kiekybinių rodiklių atitikties TKI efektyvumo reikalavimams ar standartams tikrinimas.

TZI veiksmingumo stebėjimas apima:

- techninės įrangos efektyvumo techninė kontrolė

- techninės informacijos efektyvumo organizacinė kontrolė– TKI priemonių išsamumo ir pagrįstumo tikrinimas TKI srities gairių ir norminių bei metodinių dokumentų reikalavimams;

- techninė techninės įrangos efektyvumo kontrolė (kurią mes svarstome)– techninės informacijos veiksmingumo stebėjimas naudojant technines kontrolės priemones.

Atsižvelgiant į kontrolės tikslus ir uždavinius, taip pat tikrinamų objektų charakteristikas, techninė techninės informacijos efektyvumo kontrolė gali būti:

- visapusiškas kai techninės informacijos organizavimas ir būklė patikrinama, ar nėra nutekėjimo visais įmanomais techniniais kanalais, būdingais kontroliuojamai techninei priemonei (informatizacijos objektui), ar nėra neteisėtos prieigos prie informacijos ar ypatingo poveikio jai;

- tikslingas kai patikrinimas atliekamas vienu iš galimų techninių informacijos nutekėjimo kanalų, būdingų kontroliuojamai techninei priemonei, kuri turi saugomus parametrus arba kurioje cirkuliuoja saugoma informacija;

- atrankinis, kai iš visos objekto techninių priemonių sudėties atrenkamos tos, kurios, remiantis preliminaraus vertinimo rezultatais, greičiausiai turi techninius kanalus apsaugotai informacijai nutekėti.

Atsižvelgiant į konkrečias techninės kontrolės sąlygas, efektyvumo kontrolė gali būti atliekama šiais būdais:

- instrumentinis metodas kai kontrolės metu naudojamos techninės matavimo priemonės ir imituojamos realios žvalgybos techninės įrangos veikimo sąlygos;

- instrumentinis skaičiavimo metodas kai matavimai atliekami prie pat valdymo objekto, o po to matavimo rezultatai perskaičiuojami į žvalgybos techninių priemonių numatytos vietos vietą (sąlygas);

- skaičiavimo metodas, kai techninės informacijos efektyvumas vertinamas skaičiavimo būdu, remiantis faktinėmis žvalgybos techninės įrangos išdėstymo sąlygomis ir galimybėmis bei žinomomis valdymo objekto charakteristikomis.

Techninės kontrolės priemonių esmė – atlikti instrumentinius (instrumentinius ir skaičiavimo) informacijos apsaugos nuo nutekėjimo techniniais kanalais efektyvumo patikras, atsirandančias dėl:

1) šoninė elektromagnetinė spinduliuotė (PEMR), kai veikia informacinio objekto pagrindinė techninė įranga ir sistemos (OTSS);

3) informacinio signalo trikdžiai VTSS jungiamose linijose, esančiose OTSS PEMI aprėpties zonoje;

4) netolygus srovės suvartojimas OTSS maitinimo tinkle;

5) linijinis aukšto dažnio primetimas ir elektroakustinės transformacijos kaip kalbos informacijos perėmimo būdai per VTSS, įrengtus tam skirtose patalpose.

Pagrindiniai normatyviniai ir metodiniai dokumentai, reglamentuojantys nagrinėjamų objektų techninės kontrolės veiklą:

4. 2013 m. vasario 11 d. Federalinės techninės ir eksporto kontrolės tarnybos (FSTEC) įsakymas N 17 Maskva

Techninės informacijos būklės patikrinimo ataskaitoje turi būti šie skyriai:

1. Bendra informacija apie valdymo objektą;

2. Bendrieji techninės ir techninės informacijos organizavimo objekte klausimai;

3. Informatizacijos objektų apsaugos organizavimas ir būklė;

4. Rusijos FSTEC licencijų turėtojų informacinių objektų apsaugos ir sertifikavimo darbų išsamumas ir kokybė;

Slėpti informaciją apie priemones, kompleksus, objektus ir informacijos apdorojimo sistemas. Šios užduotys gali būti suskirstytos į technines ir organizacines.

Informacijos apie objektus slėpimo organizacinėmis užduotimis siekiama neleisti darbuotojams atskleisti šios informacijos ir jos nutekėti žvalgybos kanalais.

1.2 klasė. Priešo dezinformacija.

Į šią klasę įeina užduotys, kurių metu skleidžiama sąmoningai klaidinga informacija apie tikrąją kai kurių objektų ir gaminių paskirtį, tikrąją tam tikros valdžios veiklos srities būklę, įmonės reikalų būklę ir kt.

Konkretūs techninės dezinformacijos tikslai yra šie:

· realių objektų ir sistemų demaskuojančių ženklų iškraipymas, atitinkantis netikrų objektų požymius;

· netikros aplinkos, objektų, sistemų, kompleksų kūrimas (imitacija), atkuriant realių objektų demaskuojančius požymius, sistemos struktūras, situacijas, veiksmus, funkcijas ir kt.;

· klaidingos informacijos perdavimas, apdorojimas, saugojimas apdorojimo sistemose;

· priemonių, kompleksų ir informacijos apdorojimo sistemų kovinės veiklos imitavimas netikruose valdymo taškuose;

· jėgų ir priemonių dalyvavimas parodomuosiuose veiksmuose klaidingomis kryptimis;

· klaidingos informacijos (radijo dezinformacijos) perdavimas, tikintis, kad ją perims priešas ir pan.

Apskritai šias užduotis galima suskirstyti į konkrečias radijo imitavimo, radijo dezinformacijos ir demonstracinių veiksmų užduotis.

Informacijos apsaugos efektyvumo stebėsenos veikla – veiksmų visuma, kuria siekiama sukurti ir (ar) praktiškai pritaikyti informacijos apsaugos efektyvumo stebėjimo metodus ir priemones.

Sąvoka ir pagrindiniai valdymo objektai

Kontrolė – tai kryptinga įmonės vadovybės ir pareigūnų veikla, siekiant patikrinti konfidencialios informacijos apsaugos būklę vykdant kasdienę veiklą, kai įmonė atlieka visų rūšių darbus. Kontrolė iš esmės turi ryškų valdymo veiklos pobūdį, nes pirmiausia ji yra svarbios informacijos šaltinis įmonės (jos filialo ar atstovybės) valdymui apie pagrindinę įmonės veiklos rūšį - ribotos prieigos informacijos apsauga.

Konfidencialios informacijos apsaugos būklės stebėjimas įmonėje organizuojamas ir vykdomas siekiant nustatyti tikrąją informacijos apsaugos srities padėtį, įvertinti informacijos nutekėjimo prevencijos priemonių efektyvumą, nustatyti galimus informacijos nutekėjimo kanalus, rengti pasiūlymus ir rekomendacijas įmonės vadovybei tobulinti visapusišką informacijos apsaugos sistemą.

Nurodyta kontrolė atliekama tiek aukštesnių valdžios institucijų (ministerijų ar departamentų), tiek įmonės vadovybės patvirtintų atitinkamų norminių ir metodinių dokumentų nustatyta tvarka ir terminais. Konfidencialios informacijos apsaugos būklės stebėjimas organizuojamas ir vykdomas tiesiogiai įmonėje (jos struktūriniai padaliniai), taip pat įmonės filialuose ir atstovybėse.

Kontrolės organizavimas pavedamas įmonės vadovui arba jo pavaduotojui, kuris vadovauja informacijos apsaugos darbui. Tiesioginis konfidencialios informacijos apsaugos būklės kontrolės organizavimas ir įgyvendinimas yra patikėtas įmonės saugos tarnybai arba jos jautriam padaliniui.

Pagrindiniai informacijos saugumo būklės kontrolės objektai yra šie:

įmonės struktūriniai padaliniai, atliekantys konfidencialaus pobūdžio darbus;

įmonės darbuotojai, kuriems nustatyta tvarka yra leista susipažinti su konfidencialia informacija ir jos laikmenomis ir kurie jomis naudojasi darbus;

biuro patalpos, kuriose dirbama su konfidencialios informacijos laikmenomis (dokumentais, medžiagomis, gaminiais);

vietos tiesioginiam konfidencialios informacijos laikmenų saugojimui (sandėliams, seifams, spintoms), esančioms tiek biuro patalpos saugos tarnybos (slaptasis skyrius), ir įmonės darbuotojų biuruose (filialas, atstovybė);

tiesioginės konfidencialios informacijos laikmenos (dokumentai, medžiagos, gaminiai, magnetinės laikmenos).

Pagrindinės informacijos saugos būklės įmonėje kontrolės formos apima preliminarią kontrolę, einamąją kontrolę, galutinę kontrolę ir pakartotinę kontrolę. Išvardintos kontrolės formos laiko ir laiko atžvilgiu yra susietos su įvairių veiklų rengimu ir įgyvendinimu kasdienėje įmonės veikloje.

Ši veikla gali būti:

gamybinės (sutartinės) veiklos planavimas kalendoriniams metams (kitam laikotarpiui);

bendravimas su partneriais bendro darbo metu;

specifinių tyrimų ir plėtros darbų atlikimas;

ginklų ir karinės įrangos bandymai;

veiklą rajone tarptautinis bendradarbiavimas, įskaitant susijusius su užsienio delegacijų priėmimu įmonėje;

Susitikimų, konferencijų, parodų ir simpoziumų organizavimas ir vedimas;

kalendorinių metų (kito įmonės veiklos laikotarpio) įmonės darbo rezultatų sumavimas;

žiniasklaidos atstovų apsilankymas įmonėje.

Išankstinė kontrolė atliekama veiklos rengimo stadijoje ir yra skirta patikrinti planuojamos informacijos apsaugos veiklos atitiktį norminių ir metodinių dokumentų reikalavimams bei konkretaus darbo specifikai.

Einamoji kontrolė – tai informacijos apsaugos priemonių, kurių imamasi įmonės (jos struktūrinių padalinių) atliekant tam tikrus darbus kaip kasdienės veiklos dalį, įvertinimas.

Galutinė kontrolė skirta įvertinti informacijos saugos būklę renginio metu ir jį užbaigus ir yra pagrindas formuoti galutines išvadas apie priemonių, kurių buvo imtasi siekiant užkirsti kelią konfidencialios informacijos nutekėjimui, efektyvumą.

Pakartotinė kontrolė atliekama siekiant patikrinti, ar visiškai pašalinami kitų rūšių kontrolės metu nustatyti trūkumai (pažeidimai) ir įgyvendinami pasiūlymai bei rekomendacijos, kaip užkirsti kelią jų atsiradimui ateityje.

Pagrindinės užduotys ir kontrolės metodai

Pagrindinės informacijos saugumo būklės stebėjimo užduotys yra šios:

· informacijos apie įmonės konfidencialios informacijos apsaugos sistemos būklę rinkimas, sintezė ir analizė;

padėties informacijos saugumo srityje analizė struktūriniuose padaliniuose, taip pat įmonės filialuose ir atstovybėse;

konfidencialios informacijos laikmenų prieinamumo tikrinimas;

tikrinti, kaip visi įmonės darbuotojai laikosi taisyklių ir nuostatų, nustatančių konfidencialios informacijos laikmenų tvarkymo tvarką;

· grėsmių konfidencialios informacijos apsaugai nustatymas ir priemonių joms neutralizuoti kūrimas;

numatytų informacijos apsaugos kasdieninėje įmonės veikloje priemonių įgyvendinimo išsamumo ir kokybės analizė;

praktinės pagalbos teikimas pareigūnams šalinant norminių ir metodinių dokumentų reikalavimų pažeidimus;

· administracinių ir drausminių priemonių taikymas asmenims, pažeidžiantiems konfidencialios informacijos vežėjų tvarkymo tvarkos reikalavimus;

tikrinti įmonės pareigūnų ir struktūrinių padalinių vadovų konfidencialios informacijos apsaugos priemonių veiksmingumą.

Valdymo metodų pasirinkimas priklauso nuo konkrečių kontrolės tikslų, uždavinių ir objektų, taip pat nuo jėgų ir priemonių visumos, kurios turėtų būti naudojamos jį vykdant.

Pagrindiniai kontrolės metodai informacijos saugumo būklė apima patikrinimą, analizę, stebėjimą, palyginimą ir apskaitą.

Pagrindinis ir labiausiai efektyvus metodas informacijos saugumo būklės įmonėje, taip pat jos filialuose ir atstovybėse kontrolė yra patikrinimas.

Patikrinimai pagal apimtį skirstomi į išsamius ir privačius, o pagal jų pobūdį (įgyvendinimo būdą) – į planinius ir neskelbtus.

Organizuojami ir atliekami išsamūs auditai visose konfidencialios informacijos apsaugos srityse. Į jų įgyvendinimą įtraukiami struktūriniai padaliniai, atsakingi už informacijos saugumo klausimus įmonėje. Kompleksiniai auditai apima visas įmonės (jos struktūrinio padalinio, filialo ar atstovybės) kasdienės veiklos sritis ir yra skirti visapusiškai įvertinti situaciją konfidencialios informacijos apsaugos srityje.

Patikrinimo rezultatai surašomi aktu arba pažyma-ataskaita ir supažindinami su tikrinamo struktūrinio padalinio (filialo, atstovybės) vadovu. Baigiamajame dokumente išvardijami nustatyti trūkumai, taip pat suformuluoti siūlymai juos pašalinti bei pareigūnų (darbuotojų) darbo efektyvumą informacijos saugumo srityje didinti. Inspektoriai nustato konkrečius nustatytų trūkumų pašalinimo ir pasiūlymų (rekomendacijų) įgyvendinimo terminus.

Privatūs patikrinimai organizuojami ir atliekami vienoje ar keliose konfidencialios informacijos apsaugos srityse (klausimais), siekiant nuodugniai ištirti, analizuoti ir įvertinti įmonės (filialo, atstovybės) pareigūnų (darbuotojų) darbo efektyvumą. šiose srityse.

Remiantis privataus audito rezultatais, kaip taisyklė, parengiamas atskiras dokumentas – pažyma.

Planiniai patikrinimai organizuojami iš anksto ir įtraukiami į atitinkamus kalendorinių metų ir mėnesio įmonės veiklos planus. Paprastai tokie patikrinimai yra visapusiški, juos atliekančiose komisijose yra padalinių, atsakingų už veiklą, susijusią su įvairiomis kryptimis konfidencialios informacijos apsauga, galinti įvertinti darbo konkrečiais klausimais būklę ir efektyvumą.

Įmonės vadovo ar jo pavaduotojo nurodymu organizuojami ir prireikus atliekami iš anksto neįspėję patikrinimai. Jie gali būti atliekami tiek visoje įmonėje, tiek jos struktūriniuose padaliniuose, filialuose ar atstovybėse. Jų įgyvendinimo tikslas – patikrinti konfidencialios informacijos apsaugą visose ar keliose įmonės veiklos srityse. Tokių patikrinimų organizavimo ypatumas tas, kad jie neįtraukiami į kalendorinių metų planus ir atliekami staiga. Komisijos darbo organizavimas ir neskelbtų patikrinimų rezultatų registravimas iš esmės yra toks pat kaip ir planinių patikrinimų metu.

Ypatinga patikrų rūšis yra konfidencialios informacijos apsaugos būklės kontroliniai patikrinimai. Juos vykdant tikrinamas ir vertinamas ankstesnio patikrinimo metu nustatytų trūkumų šalinimo baigtumas ir patikrinimo metu parengtų pasiūlymų (rekomendacijų) įgyvendinimas.

Patikrinimo paruošimo ir atlikimo algoritmas:

· sprendimo atlikti patikrinimą priėmimas;

· tikrintinų klausimų sąrašo parengimas;

· komisijos sudėties nustatymas;

· komisijos darbo terminų nustatymas;

· patikrinimo plano parengimas ir tvirtinimas;

· tiesioginis patikrinimas;

· darbo rezultatų registravimas;

· ataskaita apie patikrinimo vietoje rezultatus;

· trūkumų analizė su audituojamais subjektais;

· pranešti apie rezultatus patikrinimą užsakiusiam asmeniui.

Vienas iš konfidencialios informacijos apsaugos kontrolės metodų taip pat yra analizė. Analizės metu išstudijuojami ir apibendrinami konkrečių konfidencialios informacijos apsaugos priemonių įgyvendinimo rezultatai. Jie lyginami su informacijos apsaugos norminių ir metodinių dokumentų nuostatomis, atitinkamais įmonės standartais ir formuluojama išvada apie jų įgyvendinimo išsamumą, kokybę ir efektyvumą. Kartu su patikrinimu ir analize taip pat gali būti naudojami kontrolės metodai, tokie kaip stebėjimas, palyginimas ir apskaita.

Stebėjimas stebėjimo ir palyginimo metodais atliekamas, jei reikia greitai įvertinti informacijos saugos priemones, kurių buvo imtasi atliekant bet kokius tam tikrą laiką trunkančius darbus (vykdant konkrečią veiklą), ir išanalizuoti šių priemonių atitiktį nustatytoms. įmonėje galiojančias normas ir standartus. Pagrindinis šių metodų skirtumas vienas nuo kito yra tas, kad stebėjimo proceso metu fiksuojamos konkrečios informacijos apsaugos priemonės, o palyginimo metu papildomai šios priemonės lyginamos su nustatytų standartų ir patvirtintus įmonėje galiojančius konfidencialios informacijos apsaugos standartus.

Atsižvelgiant į priemones, kurių buvo imtasi informacijai apsaugoti, reikia fiksuoti ir analizuoti faktiškai įmonės pareigūnų ir darbuotojų taikomas priemones, kuriomis siekiama užkirsti kelią informacijos nutekėjimui kasdienėje įmonės veikloje. Remiantis apskaitos medžiaga, įmonės vadovybei rengiami siūlymai stiprinti tam tikros įmonės veiklos saugumo reikalavimus, didinti konkrečių pareigūnų darbo efektyvumą.

Tam tikri informacijos saugumo būklės stebėjimo aspektai. Kontrolės rezultatų panaudojimas

Stebint informacijos saugumo būklę, ypatingas dėmesys skiriamas konfidencialios informacijos laikmenų tvarkymo ir saugojimo įmonės struktūriniuose padaliniuose, įskaitant esančius geografiškai izoliuotuose objektuose, esančiuose per atstumą, klausimams. Tikrinama konfidencialios informacijos laikmenų įrašymo, saugojimo, atkūrimo (kopijavimo) ir naikinimo tvarka; patalpų, kuriose laikomos nurodytos laikmenos, įranga arba su jomis dirbama; laikmenų perdavimo iš vieno atlikėjo kitam tvarka, įskaitant asmenų išvykimą į komandiruotę (atostogauti, gydytis); ir tt

Taip pat nuolat kontroliuojami visų kategorijų pareigūnų priėmimo ir prieigos prie konfidencialios informacijos, įskaitant tiesiogiai informacijos laikmenas, klausimai, prieigos ir vidaus režimų įmonėje organizavimo ir įgyvendinimo, įmonės ir jos patalpų saugumo organizavimo klausimai.

Atsižvelgiant į įmonės veiklos sąlygas ir specifiką bei vykdomos veiklos rūšis, planuojant ir vykdant įmonės sutartinius darbus, taip pat vykdant tarptautinį bendradarbiavimą, didesnis dėmesys turėtų būti skiriamas informacijos saugumo klausimams.

Įmonės ir jos struktūrinių padalinių kasdienėje veikloje ypatingą vietą užima pareigūnų (atitinkamų struktūrinių padalinių) periodinė konfidencialios informacijos laikmenų prieinamumo stebėsena. Jos įgyvendinimo tvarką ir laiką nustato norminiai teisės aktai ir metodiniai dokumentai, reglamentuojantys įvairaus pobūdžio konfidencialumo informacijos tvarkymo tvarką.

Su konfidencialios informacijos apsaugos būklės stebėsenos rezultatais supažindinami įmonės pareigūnai ir darbuotojai, jie išstudijuojami atitinkamų mokymų metu, trūkumai ir pažeidimai yra operatyviai šalinami. Kontrolės rezultatai yra pagrindas atlikti analitinius darbus ir rengti pasiūlymus įmonės vadovybei, kuriais siekiama sukurti konkrečias priemones, kurios pagerintų konfidencialios informacijos apsaugos sistemą ir padidintų darbo efektyvumą organizuojant ir užtikrinant slaptumą. (konfidencialumo) režimas.

Įmonės saugos tarnyba (slaptasis skyrius) organizuoja ir tvarko kontrolės rezultatų ir visų rūšių atliktų patikrinimų apskaitą. Su apibendrinta kontrolės medžiaga periodiškai pristatoma įmonės vadovybė, ją analizuoja ir nagrinėja įmonės struktūrinių padalinių vadovai, kad nesumažėtų priemonių, kurių imamasi siekiant apsaugoti konfidencialią informaciją įmonėje, efektyvumą. ir ypač šiuose struktūriniuose padaliniuose.

Konfidencialios informacijos apsaugos būklės įmonėje stebėjimo rezultatai yra vienas iš pagrindinių informacijos šaltinių tiriant, sintezuoti ir analizuoti. Kontrolės efektyvumo vertinimas atliekamas remiantis informacijos, kurioje yra konfidencialios informacijos, saugumo laipsnio (jos apsaugos nuo nutekėjimo) ir konfidencialios informacijos laikmenų saugumo (užkertant kelią laikmenos praradimo atvejams ir pašalinant prielaidas jiems). Tuo tikslu atliekamas įmonėje registruotų pašalinių asmenų (užpuolikų) bandymų užvaldyti konfidencialią informaciją ar jos nešėjus fiksavimas, apibendrinimas ir analizė bei statistinis įmonės ir jos veiklos rezultatų tvarkymas. atskiri padaliniai, kuriais siekiama užkirsti kelią (slopinti) šiems bandymams.

Įmonės vadovybė, remdamasi kontrolės efektyvumo vertinimo rezultatais, remdamasi saugos tarnybos (slapto skyriaus) siūlymais, nustato konfidencialios informacijos apsaugos kontrolės sistemos tobulinimo būdus ir priemones, išaiškina užduotis, įmonės struktūrinių padalinių funkcijas.

Informacijos saugumo būklės stebėjimas (toliau – kontrolė) vykdomas siekiant laiku aptikti ir užkirsti kelią informacijos nutekėjimui techniniais kanalais, neteisėtai prieigai prie jos, tyčiniam programinės ir techninės įrangos poveikiui informacijai.

Kontrolė – tai teisės aktų įgyvendinimo tikrinimas Rusijos Federacija informacijos apsaugos klausimais, Rusijos FSTEC sprendimus, taip pat vertinant apsaugos priemonių, kurių buvo imtasi siekiant užtikrinti atitiktį patvirtintiems informacijos apsaugos reikalavimams ir standartams, pagrįstumą ir efektyvumą.

Kontrolė organizuojama Federalinė tarnyba techninei ir eksporto kontrolei – Rusijos Federacijos federalinė saugumo tarnyba, Rusijos Federacijos vidaus reikalų ministerija, Rusijos Federacijos gynybos ministerija, Rusijos Federacijos užsienio žvalgybos tarnyba ir Rusijos federalinė saugumo tarnyba Į valstybės informacijos apsaugos sistemą įtrauktų valdžios įstaigų federacija, struktūriniai ir tarpsektoriniai padaliniai, įmonės pagal kompetenciją.

Įmonių patikrinimų aktus jų vadovai siunčia patikrinimą atlikusiai institucijai ir valdžios institucijai pagal įmonės pavaldumą.

Rusijos FSTEC kontrolę organizuoja per centrinį Rusijos FSTEC biurą ir departamentus federaliniuose rajonuose. Šiems tikslams ji gali apimti valdžios institucijų informacijos apsaugos padalinius.

Rusijos FSTEC centrinis aparatas pagal savo kompetenciją vykdo kontrolę vyriausybinėse įstaigose ir įmonėse, teikia metodines kontrolės darbo gaires (išskyrus objektus ir technines priemones, kurių apsauga priklauso Rusijos FSB kompetencijai). , Rusijos vidaus reikalų ministerija, Rusijos gynybos ministerija, Rusijos užsienio žvalgybos tarnyba, FSO Rusija).

Rusijos FSTEC departamentai federaliniuose rajonuose pagal savo kompetenciją vykdo kontrolę vyriausybės įstaigose ir įmonėse, esančiose šių centrų atsakomybės srityse.

Valstybės institucijos organizuoja ir vykdo kontrolę joms pavaldžiose įmonėse per savo informacijos apsaugos padalinius. Kasdienį informacijos saugos būklės įmonėse stebėjimą atlieka jų informacijos saugos skyriai.

Kontrolę nevalstybinio sektoriaus įmonėse atliekant darbus naudojant valstybės ar tarnybos paslapčiai priskirtą informaciją pagal kompetenciją vykdo valdžios institucijos, Rusijos FSTEC, Rusijos FSB ir darbų užsakovas.

Informacijos apsauga laikoma veiksminga, jei taikomos priemonės atitinka nustatytus reikalavimus ar standartus.

Numatytų informacijos apsaugos reikalavimų ar standartų nesilaikymas yra pažeidimas. Pažeidimai skirstomi į tris kategorijas pagal sunkumą:

pirmasis – informacijos apsaugos reikalavimų ar standartų nesilaikymas, dėl ko buvo arba yra reali galimybė jo nutekėjimas techniniais kanalais;

antrasis – informacijos apsaugos reikalavimų nesilaikymas, dėl ko susidaro prielaidos jos nutekėjimui techniniais kanalais;

trečia – kitų informacijos apsaugos reikalavimų nesilaikymas.

Jei nustatomi pirmosios kategorijos pažeidimai, valdžios institucijų ir įmonių vadovai privalo:

nedelsiant nutraukti darbus toje vietoje (darbo vietoje), kurioje nustatyti pažeidimai, ir imtis priemonių jiems pašalinti;

nustatyta tvarka organizuoja pažeidimų priežasčių ir sąlygų tyrimą, kad būtų užkirstas kelias jiems ateityje ir kaltininkai būtų patraukti atsakomybėn;

informuoti Rusijos FSTEC, Rusijos FSB, vyriausybinės institucijos vadovybę ir užsakovą apie nustatytus pažeidimus ir priemones, kurių buvo imtasi.

Atnaujinti darbus leidžiama, kai pažeidimai pašalinami ir taikytų priemonių pakankamumą ir efektyvumą patikrina Rusijos FSTEC arba jos nurodymu vyriausybinių įstaigų informacijos apsaugos padaliniai.

Nustačius antros ir trečios kategorijų pažeidimus, tikrinamų valdžios institucijų ir įmonių vadovai privalo imtis reikiamų priemonių jiems pašalinti per su patikrinimą atlikusia institucija arba užsakovu (kliento atstovu) sutartą terminą. . Šių pažeidimų pašalinimo kontrolę vykdo šių valdžios institucijų ir įmonių informacijos apsaugos padaliniai.

Kontrolė – tai mechanizmas, leidžiantis rinkti informaciją, kuri vėliau gali būti panaudota procesui tobulinti, įskaitant informacijos saugumo užtikrinimo procesą.

Informacijos apsaugos efektyvumas- informacijos apsaugos rezultatų atitikties informacijos apsaugos tikslui laipsnis.

Informacijos saugumo būklės stebėjimas- organizacijos atitikties ir informacijos apsaugos efektyvumo nustatytiems reikalavimams ir/ar standartams informacijos apsaugos srityje tikrinimas.

Pagal STR-K metodinis vadovavimas ir teikiamų informacijos apsaugos priemonių efektyvumo kontrolė yra pavedama organizacijos informacijos apsaugos skyrių vadovams.

Pagal kontrolės metodas suprasti skaičiavimo ir matavimo operacijų naudojimo tvarką ir taisykles sprendžiant apsaugos efektyvumo stebėjimo problemas.

Atsižvelgiant į atliekamų operacijų tipą, techninės kontrolės metodai skirstomi į:

instrumentinis, kai valdomi rodikliai nustatomi tiesiogiai iš valdymo ir matavimo įrangos matavimo rezultatų;
instrumentinis skaičiavimas, kai kontroliuojami rodikliai nustatomi iš dalies skaičiavimu, iš dalies matuojant kai kurių fizinių laukų parametrų reikšmes aparatine įranga;
skaičiuojami, kuriuose kontroliuojami rodikliai apskaičiuojami vadovaujantis rekomendacinėje literatūroje pateiktais metodais.

17.3. TZKI būklės stebėjimo dokumentų sistema

Informacijos apsaugos nuo nutekėjimo sertifikavimo techninė kontrolė pagal TKUI vykdoma pagal specialiai sukurtas FSTEC programas ir kontrolės metodus. Yra „Laikinų metodų, leidžiančių įvertinti konfidencialios informacijos nutekėjimą techniniais kanalais, rinkinys“, pažymėtas „Tarnybiniam naudojimui“. Tai apima šiuos dokumentus:

Laikinoji pagrindinių techninių priemonių ir sistemų, skirtų apdoroti, saugoti ir (ar) perduoti konfidencialia informacija ryšio linijomis, saugumo vertinimo metodika. 2001 m. lapkričio 8 d. patvirtino Rusijos valstybinės techninės komisijos pirmininko pirmasis pavaduotojas.
Laikina pagrindinėmis techninėmis priemonėmis ir sistemomis apdorojamos konfidencialios informacijos saugumo įvertinimo nuo nutekėjimo dėl trukdžių į pagalbines metodika. techninėmis priemonėmis ir sistemos bei jų komunikacijos. 2001 m. lapkričio 8 d. patvirtino Rusijos valstybinės techninės komisijos pirmininko pirmasis pavaduotojas.
Laikinoji patalpų saugumo nuo konfidencialios kalbos informacijos nutekėjimo akustiniais ir vibroakustiniais kanalais vertinimo metodika. 2001 m. lapkričio 8 d. patvirtino Rusijos valstybinės techninės komisijos pirmininko pirmasis pavaduotojas.
Laikinoji patalpų įvertinimo metodika nuo konfidencialios kalbos informacijos nutekėjimo elektroakustinių transformacijų pagalbinėse techninėse priemonėse ir sistemose kanalais. 2001 m. lapkričio 8 d. patvirtino Rusijos valstybinės techninės komisijos pirmininko pirmasis pavaduotojas.

Pažymėtina, kad nei STR-K, nei Rusijos FSTEC įsakymas Nr. 21 nenustato veiklos vertinimo formos, vertinimo metu parengtų dokumentų formų ir turinio. Taigi sprendimas dėl Ši problema pavedama organizacijos vadovui ir (ar) susitarus su dalyvaujančiu asmeniu įvertinti įgyvendinamų priemonių efektyvumą informacijos saugumui užtikrinti.

2013 m. liepos 15 d. informaciniame pranešime Nr. 240/22/2637 FSTEC teigia, kad vertinant įgyvendintų priemonių efektyvumą galima atlikti kaip sertifikavimo darbo dalis informacinė sistema asmens duomenys pagal nacionalinį standartą GOST RO 0043-003-2012 “ Duomenų apsauga. Informatizacijos objektų sertifikavimas. Bendrosios nuostatos“. Jei kalbame apie GIS, kurioje Asmeninė informacija, priemonių, kurių buvo imtasi asmens duomenų saugumui užtikrinti, efektyvumo vertinimas atliekamas vykdant privalomą valstybės informacinės sistemos informacijos apsaugos reikalavimų sertifikavimą pagal Federalinės techninės ir eksporto tarnybos įsakymu patvirtintus reikalavimus. 2013 m. vasario 11 d. Rusijos kontrolė Nr. 17, nacionaliniai standartai GOST RO 0043-003-2012 ir GOST RO 0043-004-2013 „Informacijos apsaugos efektyvumo stebėjimas numato:

pagrindinių techninių priemonių ir sistemų sudėties ir išdėstymo tikrinimas informacinėse patalpose pagal šio objekto techninį pasą;
pagalbinių techninių priemonių ir sistemų sudėties ir išdėstymo tikrinimas informacinėse patalpose pagal šio objekto techninį pasą;
teisingas informatizacijos objektų kategorizavimas, automatizuotų sistemų klasifikavimas;
kovos su informacijos nutekėjimu techniniais nutekėjimo kanalais veiklos ir darbo būklės stebėjimas;
informacijos saugos priemonių funkcionalumo tikrinimas informatizacijos įstaigoje; kontroliuoti, kad jie būtų eksploatuojami pagal eksploatacinę dokumentaciją;
organizacinių ir administracinių dokumentų prieinamumas ir kokybė;
tikrinti žinių lygį ir atitiktį Rusijos FSTEC norminių, metodinių ir gairių dokumentų reikalavimams;
instrukcijų ir apskaitos žurnalų tvarkymo tvarkos laikymosi tikrinimas;
informacijos apsaugos priemonių veiksmingumo įvertinimas remiantis atrankinės techninės kontrolės rezultatais.

1. Techninės informacijos apsaugos darbo organizavimas:

1.1.Valstybės ir tarnybos paslaptims priskirtos informacijos techninės apsaugos nuo inžinierių ir nuo nutekėjimo techniniais kanalais organizavimas:

gairių ir norminių bei techninių dokumentų techninės informacijos saugumo klausimais prieinamumas;

techninės informacijos apsaugos struktūrinių padalinių veiklą reglamentuojančių dokumentų prieinamumas (užduotys, funkcines pareigas ir kt.);

atliekant analizę ir vertinimą realus pavojus informacijos nutekėjimas techniniais kanalais, galimų saugotinų techninių kanalų išsamumas ir teisingumas;

informacijos apsaugos organizacinių ir techninių priemonių parengimo išsamumas, kokybė ir pagrįstumas, jų įgyvendinimo tvarka;

techninės informacijos saugumo būklės organizavimo ir stebėjimo tvarka, jos efektyvumas;

reglamentuojančių dokumentų, Rusijos valstybinės techninės komisijos sprendimų, norminių, techninių ir metodinių dokumentų dėl techninės informacijos apsaugos savalaikiškumas ir išsamumas.

1.2. Struktūrinių padalinių (atsakingų pareigūnų) veiklos, užtikrinančios saugotinos informacijos saugumą, sprendžiamų uždavinių ir funkcinių pareigų tyrimas ir analizė.

1.3. Medžiagų, apibūdinančių žvalgybos prieigą prie struktūriniuose padaliniuose cirkuliuojančios informacijos, analizė. Užsienio atstovybių, turinčių eksteritorialumo teisę, buvimo ir užsienio specialistų gyvenamųjų vietų 1000 metrų zonoje nustatymas.

1.4 Saugomos informacijos sąrašo tyrimas ir analizė:

informacijos, kuri turi būti apsaugota nuo techninės žvalgybos priemonių ir nuo nutekėjimo techniniais kanalais, sąrašas:

demaskuojančių ženklų, atskleidžiančių šią informaciją, apibrėžimo išsamumas ir teisingumas;

1.5 Informacijos apsaugos sistemos prieinamumas:

techninės informacijos apsaugos užduočių buvimas organizaciniuose ir administraciniuose dokumentuose, reglamentuojančiuose organizacijų ir padalinių, įtrauktų į vieninga sistema organai valdo vyriausybė Rusijos Federacijoje;

informacijos techninės apsaugos darbų organizavimas ir vykdymas ministerijos (departamento) centriniame biure ir jai pavaldžiose įmonėse, organizacijose ir įstaigose;

sąveika techniniais informacijos saugumo klausimais su kitomis ministerijomis (departamentais) ir kitomis trečiųjų šalių organizacijomis;

valstybės ir tarnybos paslaptis sudarančios informacijos apsaugos efektyvumo kontrolės užtikrinimas visose su jomis dirbančiose ministerijai (departamentams) pavaldžiose ir pavaldžiose įmonėse, įstaigose ir organizacijose.

1.6 Ministerijos (departamento) ir jai pavaldžių įmonių, organizacijų ir įstaigų veiklos metu galimų techninių informacijos apie valstybės paslaptimis pripažintą informaciją nutekinimo kanalų analizė.

1.7 Informacijos srautų struktūrinių padalinių funkcionavimo metu analizė.

1.8 Aparatinės ir programinės įrangos, susijusios su informacijos apdorojimu, sudėties, jų buvimo vietos, informacijos apdorojimo technologijos ir jos apsaugos būklės analizė:

visos vietinės ir importuotos gamybos techninės ir programinės įrangos, susijusios su saugomos informacijos apdorojimu, apskaitos būklė;

elektroninės įrangos išdėstymas, TSPI (nurodant patalpas, kuriose jie įrengti), informacijos ir neinformacinių grandinių klojimo maršrutai, besitęsiantys už kontroliuojamos teritorijos ribų.

1.9 Informacijos, apdorojamos automatizuotomis valdymo sistemomis, kompiuteriais ir kitomis techninėmis priemonėmis, prieinamumo analizės atlikimas.

1.10 Techninės priežiūros ir eksploatacinio personalo prieigos prie informacijos išteklių organizavimo ir faktinės būklės tyrimas.

2. Informacijos saugumo būklės stebėjimas:

Informacijos saugumo organizavimas sistemose ir informacijos bei ryšių priemonėse:

vykdo automatikos ir ryšių sistemų ir priemonių, kurios dalyvauja tvarkant informaciją, priskiriamą valstybės ir tarnybos paslaptims, sertifikavimą;

Specialių patikrinimų atlikimas siekiant nustatyti įterptuosius įrenginius;

struktūrinių padalinių, atsakingų už informacijos apdorojimo procesų automatizavimą, apskaitą, saugojimą, prieigą prie magnetinių laikmenų, veikla, už informacijos saugumą atsakingų asmenų pareigos;

informacijos saugumo sistemos savalaikiškumas ir teisingas įdiegimas, leidimo tvarkyti konfidencialią informaciją gavimas;

teisingas techninių priemonių ir atskirų jų elementų išdėstymas ir naudojimas;

taikė priemones informacijai apsaugoti nuo nutekėjimo dėl šoninės elektromagnetinės spinduliuotės ir trukdžių, elektroakustinių transformacijų;

priemones, kurių buvo imtasi siekiant užkirsti kelią neteisėtai prieigai prie informacijos, taip pat balso informacijos perėmimui iš patalpų ir saugomų objektų techninėmis priemonėmis.

2.1 Nuo neteisėtos prieigos (NAD)

Tikrinant programinės įrangos ir informacijos išteklių apsaugos nuo neteisėtos prieigos būklę, patartina atlikti šias priemones:
2.1.1 Nustatykite automatizuotos sistemos klasę, naudojamą operacinę sistemą, apsaugos nuo neteisėtos prieigos sistemą ir kitą matematinę programinę įrangą. 2.1.2 Patikrinti, kaip įgyvendinamos AS ar SVT cirkuliuojančios informacijos techninės apsaugos organizacinės ir techninės priemonės. 2.1.3 Patikrinkite programinės ir techninės įrangos apsaugos priemonių prieinamumą, diegimo kokybę ir veikimo procedūras. 2.1.4 Parengti ir atlikti AS ir SVT apdorojamų informacijos saugos priemonių kontrolinį testavimą, generuoti mašinų bandymų ataskaitas ir jas analizuoti. 2.1.5 Išanalizuoti bandymų rezultatus ir nustatyti faktines apsaugos priemonių charakteristikas bei atitiktį saugumo rodikliams automatizuota sistema. 2.1.6 Atlikite vieno ar kelių kompiuterių (atskirų arba vietinių kompiuterių tinklų dalies) programinės įrangos ir informacinio palaikymo tyrimą, ar nėra specialios programinės įrangos įtakos:
informacijos apie netiesioginius ir tiesioginius kompiuterių programinės įrangos užsikrėtimo kompiuterių „virusais“ požymius ir informacijos analizė;

grandinės-techninių, programinės-aparatinės įrangos, organizacinių ir kitų sprendimų, skirtų organizuoti informacijos apsaugą nuo specialių programinės įrangos įtakų, analizė, programinės įrangos gavimo būdai ir jo naudojimo tvarka, siekiant nustatyti „virusų“ įsiskverbimo kanalus arba užpuolikų įdiegimas specialių programų į AS arba SVT;

programinės įrangos ir informacijos palaikymo, visos sistemos ir taikomosios programinės įrangos vientisumo stebėjimas ir paslėptų programinės įrangos mechanizmų paieška informacijai iškraipyti (sunaikinti).

2.2 Prieš informacijos nutekėjimą dėl šoninės elektromagnetinės spinduliuotės ir trukdžių (PEMIN)

2.2.1 Išanalizuoti esamų testavimo programų pritaikomumą arba sukurti naujas tam tikrai techninei priemonei.
2.2.2 Remiantis pradine informacija, parinkti technines informacijos perdavimo, saugojimo ir apdorojimo priemones instrumentiniam valdymui.
2.2.3 Atlikti PEMIN apsaugotos techninės įrangos apsaugos nuo nutekėjimo efektyvumo instrumentinį stebėjimą.

2.3 Dėl kalbos informacijos nutekėjimo, cirkuliuojančios tam skirtose patalpose dėl trukdžių ir akustinio lauko

Tikrinant kalbos informacijos, cirkuliuojančios tam skirtose patalpose, apsaugos būklę, patartina:

2.3.1 Išanalizuoti kalbinės informacijos, cirkuliuojančios vadovaujančių darbuotojų biuro patalpose, prieinamumą, taip pat patalpose, kuriose vyksta konfidencialios derybos ar įrengtos techninės priemonės konfidencialiam informacijos apdorojimui.

išnagrinėti paskirtų patalpų ir jose įrengtų pagrindinių (OTSS) ir pagalbinių techninių sistemų ir įrenginių (VTSS) išdėstymo sąlygas, jų išdėstymo schemas ir jungiamųjų linijų tiesimo maršrutus;

nustatyti linijas, kurios išeina už kontroliuojamos zonos (GKZ) ribos;

išsiaiškinti žvalgybos situaciją, nustatyti pavojingas žvalgybos kryptis ir galimas akustinės žvalgybos įrangos vietas;

patikrinti kalbinės informacijos apsaugos darbo dokumentų prieinamumą ir kokybę;

2.3.2 Patikrinkite, kaip įgyvendinamos organizacinės ir techninės priemonės, skirtos apsaugoti kalbos informaciją, cirkuliuojančią tam skirtose patalpose. Tokiu atveju patartina imtis šių priemonių:

tikrinti, kaip laikomasi TSPI informacijos perdavimo, saugojimo ir apdorojimo techninių priemonių naudojimo instrukcijos reikalavimų ir eksploatavimo tvarkos (aplenkiant visas tam skirtas patalpas);

tikrina paskirtų patalpų suskirstymo į kategorijas laiku ir teisingumą, jų sertifikavimo tvarką paleidžiant eksploatuoti ir leidimo teisę rengti konfidencialius renginius ir vesti konfidencialias derybas išdavimo;

Kalbos informacijos apsaugos nuo nutekėjimo techniniais kanalais priemonių prieinamumo, įrengimo kokybės ir veikimo tvarkos tikrinimas;

tikrinti, kaip laikomasi techninės įrangos specialiųjų apžiūrų atlikimo reikalavimų (ar nėra specialių skleidžiančių įtaisų);

2.3.3 Atlikti specialiose patalpose cirkuliuojančios, TSPI apdorojamos ir perduodamos balso informacijos saugumo instrumentinį stebėjimą, siekiant nustatyti galimus techninius nutekėjimo kanalus:
. Stebėti, kaip laikomasi Rusijos Federacijos įstatymo „Dėl valstybės paslapčių“ reikalavimų

Užsienio piliečių priėmimo tvarka ir jos atitiktis norminių dokumentų reikalavimams. Informacijos saugumo priemonių, taikomų užsienio atstovams lankantis organizacijose (įmonėse), įvertinimas. Kontržvalgybos specialistų dalyvavimas analizuojant galimus informacijos nutekėjimo kanalus, sertifikuojant ir atliekant specialius patalpų patikrinimus prieš ir po užsienio specialistų priėmimo. Priėmimo programų prieinamumas, derinimas su FSB institucijomis. Papildomų techninės informacijos apsaugos priemonių kūrimas ir įgyvendinimas (jei reikia).

3.1 Struktūrinių padalinių, darbuotojų prieinamumo, jų pasirengimo lygio, kvalifikacijos, teikiančios su valstybės paslaptimis susijusių klausimų sprendimus, patikrinimas. 3.2 Patikrinti, ar yra licencija gauti teisę atlikti darbus, susijusius su Rusijos Federacijos įstatymo „Dėl valstybės paslapčių“ įgyvendinimu, tiek įprastuose struktūriniuose padaliniuose, tiek išorės organizacijose, atliekančiose (teikiančiose) techninės apsaugos darbus. informaciją, atitinkančią ministerijos (departamento) ir jai pavaldžių įmonių, organizacijų ir įstaigų interesus. 3.3 Rekomendacinių dokumentų prieinamumo ir jų turinio techninės informacijos apsaugos klausimais tikrinimas (RF įstatymas „Dėl valstybės paslapčių“, Saugotinos informacijos sąrašas... ir kt.). 3.4 Konfidencialumo režimo būklės padaliniuose ir jo atitikties apskaitos tvarkymą reglamentuojantiems dokumentams (patalpų įrengimas, konfidencialių dokumentų registravimas ir saugojimas, galimybė naudotis apskaitos ir konfidencialiais dokumentais) tikrinimas. 3.5 Tikrinimas, ar techninės informacijos apsaugos reglamentuojančių dokumentų reikalavimai perduodami padalinių darbuotojams, ar darbuotojai juos žino. 3.6 Informacijos suskirstymo į kategorijas teisingumo tikrinimas pagal konfidencialumo laipsnį, jos įrašymo ir saugojimo tvarką naudojant technines priemones (elektronika, TSPI, biuro technika ir kt.). 3.7 Konfidencialių dokumentų spausdinimo (atgaminimo) teisingumo, jų fiksavimo ir perdavimo atlikėjams tvarkos tikrinimas. 3.8 Darbuotojų priėmimo dirbti su įslaptinta informacija tvarkos tikrinimas. 3.9 Darbo organizavimo tikrinimas siekiant sumažinti dokumentų konfidencialumo (išslaptinimo) laipsnį ir informacijos pateikimą atlikėjams. 3.10 Paskirtų patalpų ir techninių priemonių, susijusių su saugotinos informacijos apdorojimu, prieinamumo „Atitikties sertifikatai“ ir informacijos techninės apsaugos priemonių sertifikavimo ir jos efektyvumo stebėjimo dokumentų tikrinimas.

4. Klausimai, į kuriuos reikia atsižvelgti tikrinant licencijos turėtojus

4.1 Patikrinta:

licencijos (leidimo) teisei atlikti informacijos techninės apsaugos darbus, tikrinant licencijos galiojimą nustatytais terminais ir atitiktį licencijos turėtojo praktiškai atliekamiems darbams, turėjimas (1.5)*;

galimybė gauti dokumentus iš licencijos turėtojo valstybinė registracija verslumo veikla ir įmonės įstatai (1.7)*;

gamybinės ir bandymų bazės būklę, norminės ir metodinės dokumentacijos prieinamumą deklaruotų veiklos rūšių darbams atlikti (1.6)*;

įdarbinti mokslinį, inžinerinį ir techninį personalą, kad jis atliktų deklaruotų veiklos rūšių darbus. Specialistų pasirengimo atlikti darbus lygis (1,6)*;

licenciją turinčios įmonės vadovo ir (ar) asmenų, jo įgaliotų vadovauti licencijuojamai veiklai, profesinis mokymas (1.7)*;

sutartinių įsipareigojimų laikymasis siekiant užtikrinti konfidencialumo ir materialinės vertybės fizinės ir juridiniai asmenys kurie naudojosi licencijos turėtojo paslaugomis (2.4)*;

Valstybinei licencijas išduodančiai institucijai arba licencijavimo centrui informacijos apie atliktus darbus konkrečioms veiklos rūšims, nurodytoms licencijoje, pateikimo laiku ir išsamumas pagal Rusijos valstybinės techninės komisijos reikalavimus (2.4)*;

licencijos turėtojo teikiamų paslaugų kokybę (licenciatų taikomų priemonių techninei informacijos apsaugai 1-3 vartotojų įmonėse, kurios naudojosi licencijos turėtojo paslaugomis, efektyvumo įvertinimas (3.2)*.

4.2 Licencijos turėtojų patikrinimo rezultatai atsispindi atskirame akto skirsnyje arba pažymoje, surašant pagal planinio ministerijų (departamentų) ir jiems pavaldžių įmonių, organizacijų ir įstaigų patikrinimo rezultatus. Remiantis gautais rezultatais, daroma išvada apie licencijos turėtojo atitiktį nustatytiems reikalavimams ir galimybę toliau vykdyti darbus nurodytose srityse.

Pastaba: *) Skliausteliuose nurodomi skyriai „Valstybinio licencijavimo veiklos informacijos saugos srityje nuostatai“.