- •Содержание
- •Рабочая программа дисциплины «эксплуатация комплексной системы защиты информации» пояснительная записка
- •Тематический план учебной дисциплины
- •Содержание учебной дисциплины
- •Раздел 1 Основы комплексной защиты информации
- •Тема 1.1 Сущность и задачи комплексной системы защиты информации
- •Тема 1.2 Определение состава защищаемой информации
- •Тема 1.3 Источники, способы и результаты дестабилизирующего воздействия на информацию
- •Тема 1.4 Каналы и методы несанкционированного доступа к информации
- •Раздел 2 Организация комплексных систем защиты информации
- •Тема 2.1 Моделирование процессов комплексной системы защиты информации
- •Тема 2.2 Технологическое построение комплексной системы защиты информации
- •Тема 2.3 Кадровое обеспечение комплексной системы защиты информации
- •Тема 2.4 Материально-техническое и нормативно-методическое обеспечение ксзи
- •Тема 2.5 Управление комплексной системой защиты информации
- •Тема 2.6 Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •Перечень практических работ
- •Внеаудиторная самостоятельная работа студентов
- •Средства обучения
- •Список литературы
- •Раздел 1 основы комплексной защиты информации
- •Тема 1.1 Сущность и задачи комплексной системы защиты информации
- •Тема 1.2 Определение состава защищаемой информации
- •Тема 1.3 Источники, способы и результаты дестабилизирующего воздействия на информацию
- •Тема 1.4 Каналы и методы несанкционированного доступа к информации
- •Практическая работа № 4 «Построение модели угроз». Практическая работа № 5 . «Построение модели потенциального нарушителя».
- •Раздел 2 организация комплексных систем защиты информации
- •Тема 2.1 Моделирование процессов комплексной системы защиты информации
- •Тема 2.2 Технологическое построение комплексной системы защиты информации
- •Тема 2.3 Кадровое обеспечение комплексной системы защиты информации
- •Тема 2.4 Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации Состав и значение материально-технического обеспечения функционирования ксзи
- •Тема 2.5 Управление комплексной системой защиты информации
- •Тема 2.6 Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •Список литературы
- •Практические работы
- •Практическая работа № 1 Определение объектов защиты информации организации или структурного подразделения
- •Характеристики аппаратного обеспечения ис
- •Характеристики программного обеспечения ис
- •Политики безопасности на предприятии «зао «спецстрой»»
- •Практическая работа № 2 Классификация информации по конфиденциальности
- •Информация, обрабатываемая в ис
- •Должностная инструкция бухгалтера
- •1. Общие положения
- •2. Должностные обязанности бухгалтера
- •3. Права бухгалтера
- •4. Ответственность бухгалтера
- •Должностная инструкция начальника отдела кадров
- •1. Общие положения
- •2. Должностные обязанности начальника отдела кадров
- •3. Права проектировщика
- •3. Права системного администратора
- •3. Права сметчика
- •Практическая работа № 3 Анализ и оценка угроз безопасности информации в организации или структурном подразделении
- •Практическая работа № 4 Построение модели нарушителя
- •1. Общие положения
- •2. Определение нсд
- •3. Основные принципы защиты от нсд
- •4. Модель нарушителя в ас
- •5. Основные способы нсд
- •6. Основные направления обеспечения защиты от нсд
- •2. Требования по защите информации от нсд для ас
- •Практическая работа № 5 Разработка модели угроз информационной безопасности
- •Практическая работа № 6 Разработка проекта подсистемы защиты информации для автоматизированной системы (ас)
- •Практическая работа № 7 Разработка модели защиты
- •Типовая модель защиты
- •Практическая работа № 8 Выбор основных механизмов и средств обеспечения безопасности информации.
- •1. Заполните таблицу
- •Практическая работа № 9 Распределение функций по защите информации
- •Практическая работа № 10 Внутренние нормативные и методические документы по защите информации
- •Практическая работа № 11 Подготовка мероприятий по защите информации в условиях чрезвычайной ситуации
- •Примерная инструкция о порядке работы государственных архивов при чрезвычайных ситуациях
- •Рекомендации по выполнению внеаудиторной самостоятельной работы студентов
- •Аттестационно-педагогические измерительные материалы
- •1. Апим (тест) по дисциплине «Эксплуатация комплексной системы защиты информации» для специальности 090108 «Информационная безопасность»
- •1.1 Выписка из гос спо специальности 090108 «Информационная безопасность» по дисциплине «Эксплуатация комплексной системы защиты информации»
- •1.2 Дидактические единицы (де) дисциплины «Эксплуатация комплексной системы защиты информации»
- •2 Тестовые задания
- •Примерный перечень вопросов к экзамену
- •Глосарий
- •Перечень сокращений
- •Используемая литература
Тема 2.5 Управление комплексной системой защиты информации
Понятие и цели управления. Планирование деятельности
1 Цели и задачи, функции управления КСЗИ предприятия.
2 Принципы и методы планирования функционирования КСЗИ.
3 Этапы планирования функционирования КСЗИ.
4 Назначение, структура и содержание управления КСЗИ.
Социотехнические системы, представляя собой единение человека и техники, всегда характеризуются определенными целями, которые ставят перед собой люди, достигая их с помощью технических средств, с которыми общаются через интеллектуального посредника. Причем цели и допустимые стратегии социотехнической системы в реальных ситуациях принятия решений по их защите зачастую субъективны и не могут быть точно определены. Это происходит преимущественно по той причине, что, помимо объективных законов, в их функционировании существенную роль играют субъективные представления, суждения, поступки и даже эмоции людей. Действительно, при исследовании безопасности объекта информатизации, расположенного на некотором предприятии, значительное количество информации об этом объекте может быть получено от различных групп людей:
а) имеющих опыт управления предприятием и представляющих его цели и задачи, но не знающих досконально особенностей функционирования объекта информатизации;
б) знающих особенности функционирования объекта информатизации, но не имеющих полного представления о его целях;
в) знающих теорию и практику организации защиты, но не имеющих четких представлений о целях, задачах и особенностях функционирования объекта информатизации как системы в целом и т. п.
Поэтому получаемая от них информация, как правило, носит субъективный характер, а ее представление на естественном языке, не имея аналогов в языке традиционной математики, содержит большое число неопределенностей типа «много», «мало» — если речь идет о вложениях денежных средств в совершенствование системы защиты объекта или об изменении количества персонала, работающего в подразделениях его защиты; «не выполнены частично», «выполнены частично», «почти выполнены» и т. д. — если речь идет о выполнении требований руководящих документов по защите информации и т. д. Поэтому и описание подобной информации на языке традиционной математики обедняет математическую модель исследуемой реальной системы и делает ее слишком грубой.
По определению С. Л. Оптнера, система — это устройство, предназначенное для решения проблем. Конечно, это определение следует относить лишь к искусственным системам (организационным, техническим, научным), которые существенно отличаются от живых. Они не обладают (да и не должны обладать) той самостоятельностью и независимостью, которая характерна для биологических объектов. Искусственные системы зависимы от субъекта и создаются под заранее спланированные цели. Состав, структура и функции таких систем подчинены достижению этих целей. Цель же создания любой искусственной системы — удовлетворение конкретной осознанной потребности человека, коллектива или общества в целом.
Следует подчеркнуть, что общественная потребность является основой не только организационных, но и технических систем. По мнению Я. Дитриха, сущность технических систем заключается в удовлетворении человеческих потребностей в условиях общественной жизни. В процесс удовлетворения общественных потребностей входят выявление потребностей, проектирование, конструирование и эксплуатация технических средств.
В связи с развитием системного анализа как основного инструментария о решении сложных проблем вместо понятия «потребность» все чаще стали использовать понятие «проблема», или «задача» («проблема» — греческое слово и в переводе означает «задача»). Связь между понятиями «проблема» и «потребность» можно выразить, определив проблему как неудовлетворенную потребность. Решить проблему — значит удовлетворить потребность, ликвидировать несоответствие между желаемым и фактическим положением дел.
Проблемы могут быть простыми и сложными. Можно различать также объектные, процессные и научно-исследовательские проблемы. Объектные проблемы выражают неудовлетворенность субъекта (общества, коллектива, индивидуума) окружающими его объектами и требуют изменить эти объекты или создать новые. Процессные проблемы выражают неудовлетворенность субъекта происходящими вокруг него процессами и требуют изменить эти процессы желаемым образом. Научно-исследовательские проблемы выражают неудовлетворенность субъекта своими знаниями об окружающих его объектах и наблюдаемых процессах.
Проблемы различают также:
по признаку социальной осознанности: личные, коллективные, общественные;
до основному содержанию: экономические, социальные, политические, научные, технические;
— по возможности решения на основе целевых программ;
— программируемые и непрограммируемые.
На протяжении тысячелетий люди создавали ОС, пользуясь интуицией, здравым смыслом и опытом прошлого. С возникновением письменности практический опыт построения систем стал переноситься на бумагу в виде проектов и передаваться будущему поколению. Таким образом, для построения новых ОС конструктор получил возможность пользоваться готовыми проектами аналогичных систем, хорошо зарекомендовавших себя в прошлом. Такая практика широко используется и в настоящее время. Для создания системы, имеющей аналоги в прошлом, разработчик подыскивает подходящий аналогичный проект и принимает его за основу будущей системы. Если же такого аналога найти не удается, на помощь приходят здравый смысл и интуиция, частично дополняемые известными методами проектирования организационных структур управления, среди которых наибольшее распространение получили системный подход, нормативный метод, метод параметрического моделирования, метод функционального моделирования и программно-целевой метод.
Разработка сложной системы разбивается на два этапа: внешнее (или макро-) и внутреннее (или микро-) проектирование. Внешнее проектирование отвечает на вопрос: с какой целью создается система?
Внутреннее — на вопрос: какими средствами реализуется система? Другими словами: «При внешнем проектировании формируется цель и критерий эффективности будущей системы, создается и экспериментально проверяется, а затем корректируется ее модель. Локализуется сама система, определяются ее границы, фиксируются факторы внешней среды, влияющие на систему или находящиеся под ее влиянием; определяются входы, на которые система должна реагировать, и виды реакций, критерии эффективности ее функционирования. Внутреннее проектирование определяет содержание самой системы».
Этап внешнего проектирования складывается из подэтапов анализа и синтеза. На первом подэтапе формулируется цель разрабатываемой системы, проводится изучение существующей системы, составляется генеральная схема будущей системы. На втором — последовательно выполняется эскизное, техническое и рабочее проектирование системы.
КСЗИ создается с целью обеспечения надежной защиты информации на соответствующем объекте, поэтому функциями, подлежащими осуществлению в данной системе будут функции защиты, т. е. совокупность однородных отношений и мероприятий, регулярно осуществляемых на предприятии с целью создания и поддержания условий, необходимых для надежной ЗИ.
Максимально эффективной защита информации будет лишь в том случае, если созданы надежные механизмы защиты, а в процессе функционирования системы осуществляется непрерывное управление этими механизмами.
В КСЗИ должно быть предусмотрено два вида функций:
функции, основной целью которых является создание механизмов защиты;
функции, осуществляемые с целью непрерывного и оптимального управления механизмами защиты.
Технология— это совокупность методов обработки, изменения состояния, свойств, формы сырья, материала или полуфабриката, осуществляемых в процессе производства продукции.
Исходя из вышесказанного, технологию организационного управления можно определить как регламентированную совокупность методов и средств управления коллективами людей в процессе достижения целей их деятельности.
Организационное управление прежде всего — вид человеческой деятельности и как всякая деятельность можно рассматриваться в 2 основных аспектах:
организация содержания деятельности, т. е. что делается (каковы функции и цели системы управления);
организация самого процесса, т. е. как делается (какими методами достигается поставленная цель и осуществляется сам процесс управления).
Управление определяется как элемент, функция организованных систем различной природы, обеспечивающая сохранность их определенной структуры, поддержание режимов деятельности, реализацию их программ и целей.
Общая цель управления — обеспечение максимально возможной эффективности использования ресурсов.
Задачи управления:
Обеспечение заданного уровня достижения цели при минимальном уровне затрат;
Обеспечение максимального уровня достижения цели при заданном уровне затрат.
Технология управления должна быть построена так, чтобы обеспечивать эффективную обработку информации для всех функциональных подразделений при рациональном использовании ресурсов ВТ. При соблюдении всех правил управления и обращения с информацией это требование может быть конкретизировано следующим образом.
Технология управления должна быть разработана так, чтобы обеспечить:
комплексную автоматизацию всех процессов обработки данных и управления;
единство органов, средств и методов управления;
максимальную автоматизацию при решении всех задач, объективно возникающих в процессе функционирования органов управления, в том числе задач персонального информационного обеспечения, задач выработки управленческих решений и задач информационного сопряжения взаимодействующих систем.
Одним из активных звеньев технологии управления является человек, причем человек рассматривается как субъект управления и как объект управления.
В соответствии с этим сформулируем требования к технологии управления:
Обеспечение разделения труда, выражающееся в конкретизации функциональных обязанностей руководителей и специалистов органов управления;
Максимальная формализация всех трудовых процессов, осуществляемых в органах управления, заключается в введении количественных оценок в управленческие процессы, в использовании математических методов в управлении, а также в применении к управленческим системам таких понятий, как устойчивость, надежность и эффективность;
Регламентация взаимодействия работников органов управления между собой и средствами автоматизации, которая заключается в создании комплекса правил, предписаний, указаний и ограничений, закрепленных в соответствующих нормативно-методических документах и носящих обязательный характер;
Обеспечение психологических совместимостей руководителей и специалистов органов управления со средствами автоматизации;
5. Повышение исполнительской дисциплины работников органов управления.
Главным направлением построения технологии организационного управления, удовлетворяющим перечисленным выше требованиям, является разработка технологий на индустриальной основе в широким применением вычислительной техники и автоматизации технологических процессов управления.
Чтобы разработать эффективную технологию управления, необходимо решить следующие проблемы:
Разработать, утвердить и внедрить стандартные элементы технологии управления;
Разработать и внедрить стандартные и методы решения задач всех классов;
Максимальная формализация решения всех задач, объективно возникающих в процессе функционирования системы управления;
Разработать эффективные средства, методы и способы обеспечения безопасности информации, хранимой и обрабатываемой с использованием ВТ;
Разработать нормативно-методические документы, регламентирующие взаимодействие работников органов управления между собой и со средствами автоматизации;
Разработать и внедрить типовую методологию построения и проектирования технологии организационного управления и стандартных элементов.
Таким образом, первым шагом построения технологии управления, удовлетворяющей современным требованиям, является структуризация основных процессов управления, т. е. схематизация объектов, процессов или явлений до степени однозначного определения каждого элемента.
Элемент процесса или явления считается структурированным, если он удовлетворяет следующим условиям:
Однозначность определения функционального назначения объекта, процесса или явления;
Четкость и однозначность общей архитектуры объекта процесса или явления;
Простота внутренней организации объекта, процесса или явления в целом, его составных частей и взаимосвязи между ними;
Стандартность и унифицированность внутренней структуры элементов их составляющих частей и взаимосвязей между ними;
Простота изучения структур и содержания элементов любой их совокупности и взаимосвязей между элементами;
Модульность, т. е. автономная организация элементов, позволяющая стандартными способами объединять элементы в сложные структуры, а также заменять любые элементы или совокупность этих элементов;
Гибкость, т. е. возможность расширения и реорганизации элементов и их частей без изменения или несущественными изменениями других элементов;
Доступность для изучения элементов и их частей специалистами (инперсонификация).
Структуризация основных процессов технологии управления является не только этапом разработки технологии управления, но и сама по себе позволяет в значительной степени повысить эффективность управления за счет рационализации и единой организации управления труда независимо от степени использования в управлении средств автоматизации.
Поэтому под структурированной технологией управления будем понимать управляемую совокупность приемов, правил и методов осуществления всех процессов управления.
Основные критерии построения и рационализации технологии управления:
выполнение всех процедур управления в полном объеме, своевременно и в строгом соответствии с обоснованными решениями;
максимально эффективное информационное обеспечение всего процесса управления;
максимальная автоматизация рутинных, нетворческих процедур технологии управления и информационного обеспечения.
Поэтому рационализацию технологии управления в самом общем виде можно представить последовательностью следующих действий:
Определение совокупности процедур собственно управления, подлежащих осуществлению в соответствующем интервале времени;
Определение перечня и содержания информации, необходимой для осуществления процедур управления в данном интервале времени;
3. Организация подготовки необходимой информации;
4. Организация и обеспечение осуществления процедур управления.
Структуризация процессов позволяет сама по себе независимо от использования средств автоматизации значительно повысить эффективность управления за счет лучшей ее организации. Поэтому функционирование системы управления в самом общем виде можно представить как разработку планов функционирования управляемых объектов и их реализацию.
Требования, предъявляемые к системам управления, по которым можно судить о степени организованности систем:
— детерминированность элементов;
динамичность системы;
наличие в системе управляющего параметра;
наличие в системе контролирующего параметра;
— наличие в системе каналов (по крайней мере, одного) обратной связи.
Соблюдение этих требований должно обеспечивать условия эффективного уровня функционирования органов управления.
В системах управления детерминированность проявляется в организации взаимодействия подразделений органов управления, при которой деятельность одного элемента (управления, отдела) сказывается на других элементах системы. Если в организационной структуре управления, например, есть отдел, действия которого не влияют на другие подразделения, то такой отдел не реализует ни одну из целей функционирования организации и является лишним в системе управления.
Вторым требованием является динамичность, т. е. способность под воздействием внешних и внутренних возмущений оставаться некоторое время в определенном неизменном качественном состоянии.
Любые воздействия среды оказывают возмущающее действие на систему, стремясь нарушить ее. В самой системе также могут появиться возмущения, которые стремятся разрушить ее «изнутри». Например, в организации нет достаточного количества квалифицированных кадров, отсутствует по каким-то причинам ряд ответственных работников, плохие условия работы и т. д.
К внешним возмущениям следует отнести указы вышестоящих организаций, изменения ситуаций на рынке, экономические и политические факторы.
Под воздействием таких внешних и внутренних возмущений орган управления любого уровня вынужден перестраиваться, приспосабливаться к изменившимся условиям.
С целью обеспечения быстрого перестроения системы в условиях изменения среды в системе управления должен быть элемент, фиксирующий факт появления возмущения; система должна обладать минимально допустимой инерционностью, чтобы своевременно принимать управленческие решения, в системе управления должен быть элемент, фиксирующий факт упорядочения состояния системы в соответствии с изменившимися условиями. В соответствии с этими требованиями в структуре управления предприятием должен быть отдел совершенствования структуры управления.
Под управляющим параметром в системе управления следует понимать такой ее параметр (элемент), посредством которого можно управлять деятельностью всей системы и ее отдельными элементами. Таким параметром (элементом) в социально управляемой системе является руководитель подразделения данного уровня. Он отвечает за деятельность подчиненного ему подразделения, воспринимает управляющие сигналы руководства организации, организует их выполнение, несет ответственность за выполнение всех управленческих решений.
При этом руководитель должен обладать необходимой компетенцией, а условия работы — позволять выполнить данное поручение. Следовательно, условие наличия управляющего параметра можно считать выполненным, если внешнюю информацию воспринимает руководитель организации, который организует работы по выполнению поручения, распределяет задания в соответствии с должностными инструкциями при наличии условий, необходимых для выполнения поручений.
Несоблюдение данного требования, т. е. наличия управляющего параметра, приводит к принятию субъективных управленческих решений и так называемому волевому стилю руководства. Это требует четкой организационной структуры и распределения обязанностей между руководителями подразделений, наличия должностных инструкций и прочих документов, регламентирующих их деятельность.
Следующим, четвертым требованием, предъявленным к системам управления, следует назвать наличие в ней контролирующего параметра, т. е. такого элемента, который постоянно контролировал бы состояние субъекта управления, не оказывая при этом на него (или на любой элемент системы) управляющего воздействия.
Контроль субъекта управления предполагает курирование обработки любого управляющего сигнала, поданного на вход данной системы. Функцию контролирующего параметра в системе управления, как правило, реализует один из сотрудников аппарата управления. Например, подготовку плана важнейших работ курирует главный специалист по экономике. Любые управленческие решения в системе управления должны проходить только через элемент, выполняющий функции контролирующего параметра.
Наличие прямых и обратных связей (пятое требование) в системе обеспечивается четкой регламентацией деятельности аппарата управления по приему и передаче информации при подготовке управленческих решений.
В целом структура процесса управления представлена на рисунке 11.
Рисунок 11 – Структура процесса управления
Планирование деятельности
Вся сложная совокупность управленческих действий — на любом уровне и в любой системе — может быть сведена к перечню функций, составляющих замкнутый цикл управления:
принятие управленческого решения;
реализация решения;
контроль.
Из рисунка 12 видно, что планирование является первым шагом в цикле управления.
Рисунок 12 – Схема связи и взаимодействия функций управления
Планирование как функция управления имеет сложную структуру и реализуется через свои подфункции: прогнозирование, моделирование и программирование.
Прогнозирование — это метод научно обоснованного предвидения возможных направлений будущего развития организации, рассматриваемой в тесном взаимодействии с окружающей ее средой. Прогнозы носят вероятностный характер, но, если прогнозирование выполняется качественно, результатом станет прогноз будущего, который вполне можно использовать как основу для планирования.
Таким образом, прогнозирование составляет первую ступень планирования. Оно должно обеспечить решение следующих задач:
— научное предвидение будущего на основе выявления тенденций и закономерностей развития;
— определение динамики экономических явлений;
— определение в перспективе конечного состояния системы ее переходных состояний, а также ее поведения в различных ситуациях на пути к заданному оптимальному режиму функционирования.
Важнейшее условие прогнозирования — моделирование различных ситуаций и состояний системы в течение планируемого периода.
Задача программирования — третья функция планирования, — исходя из реальных условий функционирования системы, запрограммировать ее переход в новое заданное состояние. Сюда входит разработка алгоритма функционирования системы, определение требующихся ресурсов, выбор средств и методов управления.
Таким образом, назначение планирования как функции управления состоит в стремлении заблаговременно учесть по возможности все внутренние и внешние факторы, обеспечивающие благоприятные условия для нормального функционирования и развития предприятия. Оно предусматривает разработку комплекса мероприятий, определяющих последовательность достижения конкретных целей с учетом возможностей наиболее эффективного использования ресурсов каждым подразделением. Поэтому планирование также должно обеспечить взаимоувязку между отдельными структурными подразделениями предприятия, включающими всю технологическую цепочку.
Обобщенные цели планирования регламентируют общий целевой подход в процессе разработки плана, а именно, выделяются две постановки целей:
а) если достижение некоторого результата является обязательным условием планируемой деятельности, то план должен разрабатываться таким образом, чтобы этот результат достигался при минимальных затратах ресурсов, т. е. нам задан результат, который должен быть достигнут при минимальном расходе ресурсов;
б) если для планируемых действий выделяются ограниченные ресурсы, то план должен быть разработан таким образом, чтобы при расходовании выделенных ресурсов достигался наибольший конечный результат, т. е. нам заданы ресурсы и при заданных ресурсах необходимо достичь максимального результата.
Планирование охватывает как текущий, так и перспективный период.
Если перспективное планирование должно определять общие стратегические цели и направления развития предприятия, необходимые для этого ресурсы и этапы решения поставленных задач, то разрабатываемые на его основе текущие планы ориентированы на фактическое достижение намеченных целей, исходя из конкретных условий. Поэтому текущие планы дополняют, развивают и корректируют перспективы направления развития с учетом конкретной обстановки.
Формы планирования в зависимости от длительности планового периода:
а) перспективное планирование (на 5 и более лет). Приданном виде планирования нет ограничений по ресурсам;
б) среднесрочное планирование (от 1 до 5 лет). Приданном виде планирования есть резерв ресурсов, который может быть использован;
в) текущее (рабочее) планирование (от 1 мес. до 1 года).Используют только имеющиеся ресурсы.
Отличительные особенности перспективного планирования:
основными целями планирования является совершенствование концепции управления защиты информации, формирование планов развития средств обеспечения защиты, разработка программ оптимальных систем управления защиты проектируемых систем;
при необходимости может предусматриваться изменение структурного построения функционирующих систем защиты, режимов их функционирования и технологических схем;
при необходимости могут и должны обосновываться требования к совершенствованию концепции построения и использования системы защиты в соответствии с требованиями управления этими системами;
— при разработке планов учитывают возможные условия изменения внешней среды.
Отличительные особенности среднесрочного планирования:
основные цели— рациональное использование в планируемый период имеющихся средств и методов защиты информации, а также обоснование предложений по развитию этих средств и методов;
структура системы, как правило, изменению не подлежит, но могут быть изменены режимы функционирования и технология управления защиты информации;
при необходимости могут и должны разрабатываться предложения по совершенствованию структуры системы защиты, исходя из требования повышения эффективности защиты и управления системы защиты информации.
При текущем планировании:
основной целью является рациональное использование имеющихся средств обеспечения защиты в соответствии с планами управления комплексной системы защиты информации;
структура и режимы функционирования системы защиты изменению не подлежат. Могут производиться лишь незначительные изменения технологии управления системы защиты информации;
— при необходимости могут и должны разрабатываться предложения по включению в состав системы управления защитой новых средств и по совершенствованию структуры этой системы.
То есть перспективное планирование предусматривает разработку общих принципов ориентации системы защиты информации на перспективу; определяет стратегическое направление и программы развития, содержание и последовательность осуществления важнейших мероприятий, обеспечивающих достижение поставленных целей.
Поскольку оценка перспектив неопределенна, перспективное планирование не может быть ориентировано на достижение количественных показателей и поэтому обычно ограничивается разработкой лишь важнейших качественных характеристик, конкретизируемых в программах или прогнозах.
На основе программы разрабатываются среднесрочные планы, которые уже содержат не только качественные характеристики, но и количественные показатели, детализированные и конкретизированные с точки зрения выбора средств для реализации целей, намеченных в рамках перспективного планирования.
Основными звеньями текущего плана являются календарные планы (месячные, квартальные, полугодовые), которые представляют собой детальную конкретизацию целей и задач, поставленных перспективными и среднесрочными планами.
Планирование как функция управления системой сохранения секретов реализуется через систему принципов, связанных с общими принципами управления, которые и должны быть положены в основу планирования:
1) директивность, т. е. обязательный характер планов;
преемственность — сочетание и взаимосвязь перспективного и текущего планирования: использование положительного опыта работы, учет допущенных недостатков и просчетов;
конкретность — постановка четких целей и задач, определение наиболее рациональных путей, методов и способов их достижения, установление ответственности конкретных лиц за организацию и выполнение плановых мероприятий, определение оптимальных и реальных сроков их реализации;
гибкость — наличие возможностей маневра имеющимися силами и средствами в ходе выполнения плана, а также корректировка плана в случае изменения обстановки;
проблемность — нацеленность мероприятий на решение значимых вопросов, сосредоточение усилий работников на основных направлениях их деятельности, недопущение распыленности в использовании сил и средств;
комплексность — обеспечение использования всей системы мер по защите тайны на различных направлениях, в подразделениях, учет интересов всех, кто ведет работу на смежных участках, согласование и увязка на различных уровнях всех задач и способов их достижения;
экономичность — максимальные результаты должны достигаться при наименьших затратах сил и средств.
Качественное планирование позволяет организовать работу по решению первостепенных, наиболее важных вопросов в конкретный период времени, добиться наилучших результатов в работе при затрате наименьших сил и средств, повысит ответственность исполнителей за порученный участок работы, улучшит контроль, за выполнением мероприятий в установленные сроки. В процессе составления плана руководитель готовит организационную основу для объединения усилий работников в единую систему в интересах достижения поставленной цели.
Планирование может быть организовано разными способами.
1. Анализ. При таком способе планирования на самом высшем уровне разрабатываются основные компоненты плана: цели, задачи, возможные условия, выделенные ресурсы и др. Определяются основные задачи подразделений. Также на уровне подразделений — анализируют цели, задачи, ресурсы, сроки на уровне подразделений. Аналогично происходит на низшем уровне.
Синтез. В этом случае сначала составляют планы на низшем уровне, которые затем, последовательно обобщенные, синтезируют в соответствии и иерархической структурой.
Итерация. При таком способе определяют отправные установки планирования и на их основе вырабатывается первое приближение плана. На основе наилучшего варианта уточняются и корректируются исходные установки и разрабатывается следующее приближение плана и так до тех пор, пока не будет получен приемлемый вариант плана, который должен удовлетворять требованиям, как отдельных структур, так и всей системы в целом.
Чем выше влияние неопределенности на характер планируемой деятельности, тем более целесообразным является итерационный способ планирования. Данный способ планирования наиболее приемлем для КСЗИ.
При определении тех или иных мероприятий плана необходимо получить ответы на следующие вопросы:
Способствует ли данное мероприятие достижению поставленных задач, замыслу?
Является ли оно правомерным, не противоречит ли законам, нормативным актам?
Будет ли оно оптимальным, не дублирует ли другие мероприятия?
На определение сроков осуществления намеченных мероприятий влияют: прошлый опыт их реализации, трудоемкость, условия, в которых они будут выполняться, подготовленность исполнителей.
Содержание мероприятия должно включать: желаемый результат, краткую программу действий, планируемые к использованию, силы и средства, срок исполнения.
Основные положения вновь разработанного плана базируется на результатах проделанной работы по выполнению планов за предыдущий период и согласовываются с планами на смежных направлениях деятельности.
В начальной стадии планирования руководитель всесторонние изучает обстановку по защите информации на предприятии, ту совокупность условий, событий, обстоятельств проведения закрытых работ, которые оказывают существенное влияние на надежность и эффективность защиты. Моделируются вероятные тенденции ее изменения, появление принципиально новых факторов (условий, событий).
Мероприятия в плане следует систематизировать по следующим четырем разделам:
организационно-методическая работа;
контрольно-проверочная работа;
профилактическая работа;
работа с кадрами.
В вводной части делается анализ и оценка обстановки на предприятии с точки зрения решения вопросов по защите сведений, акцентируется внимание на ее главных особенностях. Оценка и прогноз развития обстановки служат исходной базой для определения содержания основных разделов плана.
Организационно-методическая деятельность может включать в себя:
разработку инструкций, методик по различным направлениям режима охраны информации;
внесение изменений и дополнений в действующие инструкции, методики с учетом изменившихся условий;
разработку и внедрение новых организационных методов защиты информации;
обеспечение мероприятий в связи с приемом делегаций, командированных, участием в работе конференций ит. д.;
подготовку и проведение крупных совещаний, заседаний, экспертных комиссий, выставок и т. п.;
совершенствование системы делопроизводства, технологии обработки документов;
сокращение закрытой переписки;
разработку и внедрение информационно-поисковых систем для классифицированных документов;
заслушивание руководителей различных уровней о ходе выполнения утвержденных директором мероприятий;
обоснование и внедрение новых технических средств охраны;
совершенствование структуры подразделения экономической безопасности, создание и оборудование новых рабочих мест;
меры по координации и взаимодействию различных подразделений предприятия и т. п.
Контрольно-проверочная работа может рассматриваться и как проверка исполнения, и как изучение состояния дел, что приближает ее к аналитической работе. Она включает в себя:
контроль за выполнением работниками предприятия требований соответствующих приказов, инструкций;
проверку выполнения мероприятий, разработанных по результатам предыдущих анализов, проверок;
контроль за порядком хранения и обращения с носителями тайны на рабочих местах;
— проверку подразделений предприятия;
— проверку режима при приеме командированных лиц, делегаций, проведении совещаний;
— проверку охраны, пропускного режима и т. п.
В разделе профилактических мероприятий планируются действия, направленные на формирование у исполнителей мотивов поведения, побуждающих к неукоснительному соблюдению в полном объеме требований режима, правил проведения закрытых работ и т. п.
В разделе работы с кадрами целесообразно включение мероприятий по обучению исполнителей и работников новым приемам, методам защиты тайны и т. п. Одним из направлений обучения и практической работы должен быть курс социально-психологических проблем взаимоотношений в коллективах лиц, допущенных к классифицированной информации.
Разработка плана невозможна без анализа предыдущей деятельности. Оцениваются имевшиеся случаи нарушения режима, причины и условия им сопутствующие. С учетом возможностей определяется надежность принимаемых мер по защите сведений. Рассматривается целесообразность привлечения необходимых средств и сил.
В процессе планирования должны быть выделены следующие стадии.
1. Обоснование целей и критериев, которое заключается в:
— формулировании целей, которые представляют собой совокупность желаемых результатов и имеют иерархическую структуру. Плановые цели должны обеспечивать основу для единообразного планирования на всех уровнях управления, предпосылки для последующего более детального планирования, основу для руководства выполнения планов, для мотивации поведения людей, т. е. понимании ими значения выполняемых работ; основу для четкого распределения ответственности и децентрализации планирования на всех уровнях управления, для координации различной деятельности функциональных подразделений аппарата управления КСЗИ;
— выборе критериев, который определяется целями планируемой деятельности.
2. Анализ условий. На этой стадии анализируются условия, в которых будет осуществляться планируемая деятельность. Анализу подлежат как внешние условия, так и внутренние (организационная структура, характеристик и персонала, имеющиеся технологические схемы и т. д.).
Кроме того, в ходе функционирования КСЗИ могут возникнуть различные непредвиденные ситуации а также система будет испытывать на себе воздействие дестабилизирующих факторов.
Все эти условия должны быть проанализированы на данной стадии.
3. Формирование задач.
Осуществляется постановка задачи и формируется комплекс задач, решение которых приведет к достижению конкретных плановых целей, а также определяются метода и разрабатываются процедуры решения каждой задачи.
4. Анализ ресурсов, которые могут быть использованы для решения задач.
Анализируют материальные (информационные, технические, программные, математические, лингвистические) и людские ресурсы. Разрабатываются прогнозы изменения этих ресурсов в процессе реализации планов. Определение факторов, влияющих на удовлетворение потребностей в ресурсах, зависит от вида планирования, т. е. от длительности планируемого периода.
5. Согласование целей, задач, условий, ресурсов.
На этой стадии происходит выделение комплексов задач в соответствии с целями и условиями распределения ресурсов по задачам и закрепление за каждой задачей конкретных исполнителей.
6. Определение последовательности выполнения задач.
Происходит путем установления взаимосвязи результатов решений задач. Определяет время, необходимое для выполнения каждой задачи, сроки выполнения, определяются ответственные за выполнение задач.
7. Определение методов контроля выполнения планов:
зависит от целей планирования, выбранных критериев, а также подхода и методов планирования;
включает в себя определение параметров плана и разработку соответствующих процедур контроля.
Методы контроля будут эффективны только тогда, когда они выявляют характер и причины отклонения от плана.
8. Определение порядка корректировки планов.
Порядок должен быть регламентирован. Корректировка должна проводиться в той мере, в какой это необходимо для достижения поставленных целей.
На этой стадии определяются параметры планов, подлежащих корректировке, условия корректировки планов, способы корректировки и разрабатываются процедуры корректировки планов.
Таким образом, можно сделать следующие основные выводы:
планирование является неотъемлемой частью деятельности КСЗИ, как и деятельности любых других систем;
от рационального планирования зависит эффективность деятельности КСЗИ, а также принятие решений в экстремальных ситуациях.
Обеспечение надежности КСЗИ.
Контроль обслуживания и диагностика элементов КСЗИ
1 Виды контроля функционирования КСЗИ
2 Цели и задачи проведения контрольных мероприятий в КСЗИ
3 Анализ и использование результатов проведения контрольных мероприятий
Контроль в общем виде является одной из основных функций управления, вызванной необходимостью обратной связи между субъектом и объектами управления для достижения поставленной цели.
В целом процесс контроля можно разбить на последовательные этапы: формулирование цели -> формирование стандартов -> разработка критериев оценки -> разработка систем показателей -> проведение процедуры сравнительного анализа -> обобщение полученной информации и корректировка деятельности.
Основные требования к контролю: комплексность; своевременность; стандартизация; простота; доступность; гибкость; объективность; экономичность.
Общие цели контроля: уменьшение отклонений от заданных норм; уменьшение неопределенной деятельности; предотвращение кризисных ситуаций.
Современные виды контроля: мониторинг — непрерывное поступление информации; контроллинг — оценка экономичности; бенчмаркинг (управленческое воздействие, заключающееся во внедрении в практику деятельности организации технологий, стандартов и методов деятельности более успешных организаций — аналогов).
Контроль функционирования КСЗИ можно разделить на два основных вида — внешний и внутренний. Внешний контроль функционирования КСЗИ осуществляется различного рода государственными органами, а также может осуществляться аудиторскими организациями.
Внутренний контроль осуществляется службой безопасности предприятия и подразделением защиты информации предприятия.
Внешний контроль отслеживает обеспечение защиты (1) государственной тайны и (2) персональных данных:
Контроль за обеспечением защиты государственной тайны подразделяется на межведомственный и ведомственный. Он осуществляется в органах государственной власти, на предприятиях, в учреждениях и организациях федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности; федеральным органом исполнительной власти, уполномоченным в области обороны; федеральным органом исполнительной власти, уполномоченным в области внешней разведки; федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической зашиты информации, и их территориальными органами, на которые эта функция возложена законодательством Российской Федерации.
Органы государственной власти, наделенные полномочиями по распоряжению сведениями, составляющими государственную тайну, обязаны контролировать эффективность защиты этих сведений во всех подчиненных и подведомственных им органах государственной власти, на предприятиях, в учреждениях и организациях, осуществляющих работу с ними.
Контроль за обеспечением защиты персональных данных осуществляется федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с персональными данными, обрабатываемыми в информационных системах персональных данных.
Контроль и надзор за соответствием обработки персональных данных требованиям федерального закона осуществляет федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.
Внутренний контроль осуществляется в отношении защиты всех видов информации с ограниченным доступом. Проводится руководством предприятия, внутренними проверочными комиссиями, службой безопасности и подразделением защиты информации. Подразделяется на текущий (постоянный), периодический (плановый) и внезапный.
Цель проведения контрольных мероприятий в КСЗИ
Целью контроля является установление степени соответствия принимаемых мер по защите информации требованиям законодательных и иных нормативных правовых актов, стандартов, норм, правил и инструкций, выявление возможных каналов утечки и несанкционированного (неправомерного, противоправного) доступа к информации, выработка рекомендаций по закрытию этих каналов.
• Основные задачи контроля:
оценка деятельности органов управления по методическому руководству и координации работ в области защиты информации в подчиненных подразделениях;
выявление каналов утечки информации об объектах защиты и несанкционированного доступа к информации (воздействия на информацию), анализ и оценка возможностей злоумышленников по ее получению;
выявление работ с защищаемой информацией, выполняемых с нарушением установленных норм и требований по защите информации, и пресечение выявленных нарушений;
анализ причин нарушений и недостатков в организации и обеспечении защиты информации, выработка рекомендаций по их устранению;
анализ состояния защиты информации в подразделениях предприятия, информирование руководства предприятия, подготовка предложений по совершенствованию защиты информации;
предупреждение нарушений по защите информации при проведении работ с защищаемой информацией и ее носителями.
• Направлениями контроля состояния защиты информации являются:
контроль деятельности и состояния работ по противодействию ИТР и технической защите;
контроль с применением технических средств эффективности мер защиты объектов, информационных систем, средств и систем связи и управления на всех стадиях их жизненного цикла;
контроль эффективности защиты автоматизированных систем обработки информации от несанкционированного доступа, от специальных воздействий на информацию и средства ее обработки с целью разрушения, уничтожения, искажения и блокирования информации;
контроль эффективности мероприятий по защите информации в системах связи автоматизированного управления;
контроль за соблюдением установленного порядка передачи служебных сообщений должностными лицами предприятия, выполняющими работы, связанные со сведениями, составляющими государственную или служебную тайну, при использовании открытых каналов радио- и радиорелейных, тропосферных и спутниковых линий связи, доступных для радиоразведки.
• Система контроля состояния защиты информации базируется на следующих основных принципах.
— наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые объекты и обеспечивающими эффективность и действенность контроля;
независимость органов контроля от должностных лиц контролируемых объектов при осуществлении полномочий;
соблюдение законности в работе органов контроля и их должностных лиц;
системность и регулярность в проведении контроля;
профессионализм сотрудников органов контроля, применение ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;
объективность анализа обстоятельств и причин нарушений в состоянии защиты информации;
наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и недостатков;
экономическая целесообразность функционирования контрольных органов — оптимальное сочетание результативности деятельности органов с затратами на их содержание.
• В функции органа контроля входят следующие обязанности:
- организация и осуществление контроля силами подразделений ЗИ и специализированных организаций;
сбор, анализ и обобщение материалов о состоянии защиты информации по результатам проверок;
информирование руководства предприятия об эффективности мер и состоянии работ по защите информации.
Проведение текущего (постоянного) контроля возлагается на объектовые органы в целях обеспечения установленного порядка функционирования средств защиты, соблюдения установленных режимов работы технических средств, в которых циркулирует защищаемая информация, выполнения установленных мер защиты, контроля за правильностью реализации правил разграничения доступа к информации в автоматизированных системах ее обработки, выявления и пресечения нарушений в области технической защиты информации.
В зависимости от объема работ по технической защите информации и контролю, функции объектового органа контроля по решению руководителя организации могут выполняться подразделением защиты информации либо специально созданными объектовыми органами контроля.
Основные методы контроля: проверка; изучение; испытания; наблюдения; зачеты, экзамены, тестирование; провокации; атаки; отзыв и изучение документов и др.
Анализ и использование результатов проведения контрольных мероприятий
Периодичность проведения проверок организаций определяется исходя из высшего грифа секретности обрабатываемой (циркулирующей) в ней информации или установленной категории по требованиям обеспечения защиты образцов вооружения и военной техники. Такая периодичность может указываться в руководстве по технической защите информации или в инструкциях по технической защите информации, касающейся изделия (образца).
Периодичность проведения проверок состояния технической защиты информации устанавливается:
для организаций, работающих со сведениями «особой важности» (образцы 1-й категории) — не реже одного раза в два года;
для организаций, работающих со сведениями, имеющими гриф «совершенно секретно» (образцы 2-й категории) — не реже одного раза в три года;
для организаций, работающих со сведениями, имеющими гриф «секретно» (образцы 3-й категории) — не реже одного раза в пять лет.
Нарушения в области технической защиты информации представляют собой несоответствие мер технической защиты информации установленным требованиям или нормам.
По степени опасности нарушения делятся на три категории:
первая категория — невыполнение требований или норм по технической защите информации, составляющей государственную тайну, подтвержденное протоколом технического контроля, в результате которого имелась или имеется реальная возможность утечки информации по техническим каналам, несанкционированный доступ к информации или воздействие на информацию;
вторая категория — невыполнение требований по технической защите информации, в результате чего создаются предпосылки к утечке информации по техническим каналам или несанкционированному доступу к ней;
третья категория — недостатки в оформлении документов по организации технической защиты информации, которые не ведут непосредственно к возникновению предпосылок к утечке информации по техническим каналам или к несанкционированному доступу к ней.
При обнаружении нарушений второй и третьей категорий руководитель проверяемой организации обязан принять необходимые меры по их устранению в сроки, согласованные с проверяющим органом. Контроль за устранением этих нарушений осуществляется подразделением контроля проверенной организации.
Содержание контроля состояния технической защиты информации составляет оценка деятельности (состояния работ) по противодействию ИТР и технической защите информации, а также эффективности мер (мероприятий) по защите государственных и промышленных объектов, образцов вооружения и военной техники, информационных систем, средств и систем связи и управления (далее — контроль эффективности защиты).
Контроль деятельности по технической защите информации заключается в проверке организации работ по защите информации, наличия органов (подразделений) технической защиты информации, включения задач защиты информации в положения о подразделениях и функциональных обязанностях должностных лиц, наличия и содержания внутренних организационно-распорядительных документов (приказов, руководств, положений, инструкций) на соответствие требованиям правовых и нормативных документов в области защиты информации, порядка и своевременности их доведения до исполнителей и подведомственных организаций, наличия и полноты планов работ по технической защите информации и контролю ее эффективности, а также состояния их выполнения.
Контроль эффективности защиты — это проверка соответствия качественных и количественных показателей эффективности мер (мероприятий) по противодействию ИТР и технической защите государственных и промышленных объектов, образцов вооружения и военной техники, информационных систем, средств и систем связи и управления требованиям или нормам эффективности защиты информации.
Состав видов технической разведки и их возможности, угрозы безопасности информации и каналы ее утечки, подлежащие контролю, определяются Гостехкомиссией России в соответствующих моделях технических разведок и концепциях защиты.
В зависимости от вида контроль эффективности защиты может быть организационным и техническим.
Организационный контроль — проверка соответствия полноты и обоснованности мероприятий по защите требованиям руководящих документов в области технической защиты информации.
Технический контроль — это контроль эффективности защиты, проводимый с использованием соответствующих средств. Целью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контроля. При проведении технического контроля оценивается соответствие объективных показателей состояния защиты объекта предельно допустимым значениям (нормам). Для проведения технического контроля эффективности защиты информации могут использоваться космические, воздушные, наземные, морские, а также встроенные средства технического контроля.
Проведение объема технического контроля эффективности технической защиты информации может быть разным.
Комплексный контроль проводится по всем каналам возможной утечки информации (несанкционированного доступа к информации или воздействия на нее), характерным для контролируемого технического средства (образца, объекта информатизации), причем оценка эффективности технической защиты информации осуществляется во взаимной увязке результатов обследования по всем указанным каналам.
Целевой контроль — это проверка по одному из каналов возможной утечки информации, характерных для контролируемого технического средства, в котором циркулирует защищаемая информация.
Для выборочного контроля из всего состава технических средств на объекте для проверки выбирают те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.
В зависимости от имеющихся условий проведения технический контроль эффективности технической защиты информации может осуществляться тремя методами.
В ходе инструментального контроля используется техническое измерительное средство и моделируются реальные условия работы технического средства разведки.
При инструментально-расчетном контроле измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются относительно предполагаемого места (условий) нахождения технического средства разведки.
Для проведения расчетного контроля эффективность защиты оценивается математически, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.
Технический контроль осуществляется в соответствии с методиками контроля состояния технической защиты информации, утвержденными или согласованными с ФСТЭК России. Не допускается физическое подключение технических средств контроля, а также формирование тестовых режимов, запуск тестовых программ на образцах, средствах и информационных системах в процессе выполнения ими обработки информации или технологического процесса.
Технический контроль состояния защиты информации в системах управления производствами, транспортом, связью, энергетикой и передачи финансовой и другой информации осуществляется в соответствии со специально разрабатываемыми программами и методиками контроля, согласованными Гостехкомиссией России, владельцем объекта и ведомством по подчиненности объекта контроля.
Во всех органах исполнительной власти и организациях проверяется:
наличие должностных лиц, структурных подразделений или отдельных сотрудников по защите информации, уровень их подготовки (квалификации);
наличие и полнота отработки Руководства по технической защите информации в соответствии с требованиями руководящих документов ФСТЭК России, правильность оценки опасности технических средств разведки применительно к данному объекту;
наличие и достаточность руководящих и внутренних организационно-распорядительных документов по защите информации;
наличие физической защиты территории и здания, где размещаются устройства и носители информации, с помощью технических средств охраны и специального персонала, обеспечение пропускного режима и специального оборудования помещений, где размещаются устройства и носители информации;
своевременность и правильность категорирования выделенных помещений, соблюдение порядка их аттестации при вводе в эксплуатацию, оформление разрешения на проведение закрытых мероприятий и ведение переговоров по секретной тематике;
эффективность мероприятий по защите информации, осуществляемых на объектах при посещении их иностранными представителями;
организация и фактическое состояние доступа персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску персонала к защищаемым ресурсам;
выполнение организационных и технических мер по технической защите информации при ее обработке средствами вычислительной и оргтехники;
соответствие принятых мер по технической защите информации установленным нормам и требованиям.
В органах исполнительной власти и органах производственного управления (холдингах, аппаратах научно-производственных и производственных объединений, вышестоящих акционерных обществах по отношению к дочерним и зависимым организациям) проверяется:
наличие в системе соответствующего органа исполнительной власти или производственного управления (далее — органа управления) необходимых руководящих документов по защите информации;
своевременность доведения требований руководящих документов по технической защите информации до сотрудников аппарата и подведомственных организаций;
состояние информационной безопасности в ведомственных (корпоративных) сетях связи и информатизации;
деятельность аппарата органа управления по методическому руководству и координации работ по технической защите информации в отраслевых (дочерних, зависимых) организациях.
В научно-исследовательских и проектных организациях, на промышленных предприятиях и в испытательных организациях оборонного промышленного комплекса проверяется также:
перечень проводимых работ и создаваемых образцов вооружения и военной техники, подлежащих защите от технических разведок, в соответствии с годовым планом (перечнем) работ по оборонной тематике;
наличие в технических заданиях на разработку (создание) изделий (систем, средств, объектов) разделов по защите охраняемых сведений (характеристик) и конкретных требований по защите информации;
качество проработки и обоснованность в эскизных и технических проектах мероприятий по защите информации, перечней охраняемых сведений и демаскирующих признаков, правильность определения технических каналов утечки информации и их опасности;
наличие и полнота отработки «Инструкции по технической защите информации (противодействию техническим средствам разведки)» для различных этапов жизненного цикла объектов защиты (изделий);
наличие и правильность ведения документов на рабочие места, где проводятся работы по закрытой тематике, а также журналов учета времени работы изделий;
правильность оценки разведдоступности защищаемых работ (изделий) на объекте и основные результаты проведенного ранее на объекте технического контроля (аттестации);
наличие и деятельность экспертных комиссий на предприятиях, осуществляющих поставки образцов вооружения и военной техники на экспорт, а также степень привлечения к их работе специалистов по технической защите информации и представителей заказчика;
эффективность мер по защите охраняемых характеристик образцов вооружения и военной техники, их элементов — носителей защищаемой информации, охраняемых характеристик предприятия (как объекта защиты) по результатам технического контроля.
В информационных и автоматизированных системах обработки информации проверяется:
• наличие сведений, составляющих государственную или служебную тайну, циркулирующих в средствах обработки информации и помещениях в соответствии с принятой на объекте технологией обработки информации;
правильность категорирования объектов информатизации, а также классификации автоматизированных систем в зависимости от степени секретности обрабатываемой информации;
наличие и правильность оформления аттестатов соответствия на объекты информатизации, а также сертификатов на средства защиты информации, наличие материалов по специальным исследованиям и специальным проверкам технических средств (в необходимых случаях);
организация и фактическое состояние доступа обслуживающего и эксплуатирующего персонала к защищаемым информационным ресурсам, наличие и качество организационно-распорядительных документов по допуску персонала к защищаемым ресурсам, организация учета, хранения и обращения с конфиденциальными машинными носителями информации;
состояние учета всех технических и программных средств отечественного и иностранного производства, участвующих в обработке информации, подлежащей защите, наличие и правильность оформления документов по специальным исследованиям и проверкам технических средств информатизации, в том числе на наличие недекларированных возможностей программного обеспечения;
правильность размещения технических средств информатизации (с привязкой к помещениям, в которых они установлены), трасс прокладки информационных и неинформационных цепей, выходящих за пределы контролируемой территории, в соответствии с предписаниями на эксплуатацию;
. обоснованность и полнота выполнения организационных и технических мер по защите информации, циркулирующей в средствах электронной вычислительной техники;
наличие, правильность установки и порядка эксплуатации средств защиты от несанкционированного доступа и специальных программно-математических воздействий к информации;
выполнение требований по технической защите информации при присоединении автоматизированных систем ее обработки к внешним и международным информационным системам общего пользования;
. оценка эффективности мер защиты по результатам проведения выборочного технического контроля.
В системах и сетях связи, автоматизированных системах управления и передачи данных проверяется:
выполнение требований по технической защите информации при присоединении ведомственной (внутренней) сети связи к сети связи общего пользования, взаимоувязанной сети связи Российской Федерации;
полнота и правильность оценки разведдоступности каналов и линий связи, анализ характера передаваемой по ним информации;
наличие и правильность установки аппаратуры технической защиты информации в каналах связи, а также ее исправность и работоспособность;
обоснованность и полнота выполнения мероприятий по обеспечению защищенности от воздействий систем автоматизированного управления, а также систем передачи оперативно-диспетчерской информации;
состояние технической защиты информации в ходе деятельности предприятий связи по обеспечению живучести и устойчивости магистральных сетей связи;
обеспечение защищенности от программно-математических воздействий и несанкционированного доступа систем управления цифровым коммутационным оборудованием;
эффективность мероприятий по защите оконечных устройств и коммутационного оборудования, размещенных в выделенных помещениях или передающих подлежащую защите информацию, наличие материалов по специальным исследованиям и специальным проверкам технических средств (в необходимых случаях).
В финансово-кредитных организациях, обслуживающих органы исполнительной власти и предприятия оборонного промышленного комплекса, проверяется:
наличие требований по технической защите информации клиентов финансово-кредитной организации — органов исполнительной власти и предприятий оборонного промышленного комплекса;
наличие специального участка (комплекса технических средств) для обработки информации, подлежащей защите;
эффективность специального технологического процесса выделения подлежащей защите информации из общего массива финансовой информации.
В организациях, осуществляющих топографо-геодезическую и картографическую деятельность или использующих топографо-геодезическую информацию, проверяется:
наличие лицензий и разрешений на выполнение топографо-геодезических и картографических работ;
технические мероприятия по защите информации при осуществлении цифровой обработки фотоматериалов и обоснованность грифа секретности производных материалов;
технические мероприятия по защите информации при разработке и изготовлении тематических и специальных карт и планов на основе секретных топографических материалов;
соответствие установленному порядку производства, реализации или эксплуатации аппаратуры для определения координат, работающей по сигналам космических аппаратов;
порядок внедрения и использования геоинформационных систем для целей обработки подлежащей защите информации.