Меры технического контроля эффективности защиты информации

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

- организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

- технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

- организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

- технический контроль эффективности ТЗИ(который рассматриваем) – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

- комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

- целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

- выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

- инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

- инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения технического средства разведки;

- расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

1) побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

2) паразитной генерации отдельных элементов ОТСС, а также модуляции информационным сигналом излучений различных генераторов, входящих в состав объекта вспомогательных технических средств и систем (ВТСС);

3) наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

4) неравномерности потребления тока в сети электропитания ОТСС;

5) линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

1. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Рекомендованы для временного применения. Решение Коллегии Гостехкомиссии России №7.2 от 2.03.2001 г.;

2. ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

3. Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

4. Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 11 февраля 2013 г. N 17 г. Москва

5. Приказ ФСТЭК России от 18.02.2013г. №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

5. Выводы рекомендации.

Содержание основных технических мероприятий инженерно-технической защиты информации основанных на использовании способов защиты объекта путем скрытия его демаскирующего признака или технической дезинформации путем искажения технических демаскирующих признаков.

Скрытие информации о средствах, комплексах, объектах и системах обработки информации. Эти задачи могут подразделяться на технические и организационные.

Организационные задачи по скрытию информации об объектах направлены на недопущение разглашения этих сведений сотрудниками и утечки их по агентурным каналам.

Технические задачи направлены на устранение или ослабление технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них. При этом скрытие осуществляется уменьшением электромагнитной, временной, структурной и признаковой доступности, а также ослаблением адекватности между структурой, топологией и характером функционирования средств, комплексов, объектов, систем обработки информации и управления.

Решение этой задачи представляет реализацию комплекса организационно-технических мероприятий и мер, обеспечивающих выполнение основного требования к средствам, комплексам и системам обработки информации - разведзащищенности и направлено на достижение одной из главных целей - исключение или существенное затруднение технической разведке поиска, определения местоположения, радионаблюдения источников радиоизлучения, классификации и идентификации объектов технической разведкой по выявленным демаскирующим признакам.

Решение задачи по снижению электромагнитной доступности затрудняет как энергетическое обнаружение, так и определение координат района расположения источников радиоизлучения, а также увеличивает время выявления демаскирующих признаков, уменьшает точность измерения параметров и сигналов средств радиоизлучения.

Снижение временной доступности радиоизлучающих средств предполагает сокращение времени их работы на излучение при передаче информации и увеличение длительности паузы между сеансами обработки информации. Для уменьшения структурной и признаковой доступности средств, комплексов и систем обработки информации реализуются организационно-технические мероприятия, ослабляющие демаскирующие признаки и создающие так называемый "серый фон".

Класс 1.2. Дезинформация противника.

К этому классу относятся задачи, заключающиеся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности, положении дел на предприятии и т.д.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Роль дезинформации подчеркивал А.Ф.Вивиани, специалист в области контр шпионажа: На нас обрушивается, валится, извергается огромное количество информации. Она бывает фальшивой, но выглядит правдоподобно; бывает правдивой, а на самом деле хитроумно перекроена, дабы производить впечатление фальшивой; бывает отчасти фальшивой и отчасти правдивой. Все зависит от выбранного способа так называемой дезинформации, цель которой - заставить вас верить, желать, думать, принимать решения в направлении, выгодном для тех, кому зачем-то нужно на нас воздействовать...

Техническая дезинформация на объекте защиты представляет комплекс организационных мероприятий и технических мер, направленных на введение в заблуждение технической разведки относительно истинных целей систем обработки информации, группировки и деятельности войск, намерений органов управления.

Решение этой задачи осуществляется в рамках известной оперативной радиомаскировки путем искажения технических демаскирующих признаков объекта защиты или имитации технических демаскирующих признаков ложного объекта.

Частными задачами технической дезинформации являются:

· искажение демаскирующих признаков реальных объектов и систем, соответствующих признакам ложных объектов;

· создание (имитация) ложной обстановки, объектов, систем, комплексов путем воспроизведения демаскирующих признаков реальных объектов, структур систем, ситуаций, действий, функций и т.д.;

· передача, обработка, хранение в системах обработки ложной информации;

· имитация боевой деятельности средств, комплексов и систем обработки информации на ложных пунктах управления;

· участие сил и средств в демонстративных действиях на ложных направлениях;

· передача ложной информации (радио дезинформация), в расчете на ее перехват противником и др.

В общем, виде эти задачи могут быть сгруппированы в частные задачи радиоимитации, радио дезинформации, демонстративных действий.

Содержание и порядок использования мероприятий по контролю эффективности защиты информации.

Мероприятия по контролю эффективности защиты информации - совокупность действий, направленных на разработку и (или) практическое применение способов и средств контроля эффективности защиты информации

Понятие и основные объекты контроля

Контроль — целенаправленная деятельность руководства и должностных лиц предприятия по проверке состояния защиты конфиденциальной информации в ходе его повседневной деятельности при выполнении предприятием всех видов работ. Контроль по своей сути имеет характер ярко выраженной управленческой деятельности, так как, в первую очередь, служит источником важной информации для руководства предприятия (его филиала или представительства), касающейся основного вида деятельности предприятия — защиты информации с ограниченным доступом.

Контроль за состоянием защиты конфиденциальной информации на предприятии организуется и проводится в целях определения истинного состояния дел в области защиты информации, оценки эффективности принимаемых для исключения утечки информации мер, выявления возможных каналов утечки сведений, выработки предложений и рекомендаций руководству предприятия по совершенствованию комплексной системы защиты информации.

Указанный контроль осуществляется в порядке и в сроки, определенные соответствующими нормативно-методическими документами, утверждаемыми как вышестоящими органами государственной власти (министерством или ведомством), так и руководством предприятия. Контроль за состоянием защиты конфиденциальной информации организуется и проводится непосредственно на предприятии (в его структурных подразделениях), а также в филиалах и представительствах предприятия.

Организация контроля возлагается на руководителя предприятия или его заместителя, возглавляющего работу по защите информации. Непосредственная организация и осуществление контроля за состоянием защиты конфиденциальной информации возлагаются на службу безопасности предприятия или его режимно-секретное подразделение.

В число основных объектов контроля за состоянием защиты информации входят:

структурные подразделения предприятия, привлекаемые к выполнению работ конфиденциального характера;

сотрудники предприятия, допущенные в установленном порядке к конфиденциальной информации, и ее носителям, и выполняющие работы с их использованием;

служебные помещения, в которых проводятся работы с носителями конфиденциальной информации (документами, материалами, изделиями);

места непосредственного хранения носителей конфиденциальной информации (хранилища, сейфы, шкафы), размещенные как в служебных помещениях службы безопасности (режимно-секретного подразделения), так и в служебных кабинетах сотрудников предприятия (филиала, представительства);

непосредственно носители конфиденциальной информации (документы, материалы, изделия, магнитные носители).

Основные формы контроля за состоянием защиты информации на предприятии включают предварительный контроль, текущий контроль, заключительный контроль, повторный контроль. Перечисленные формы контроля увязаны по времени и срокам с подготовкой и проведением различных мероприятий в рамках повседневной деятельности предприятия.

Этими мероприятиями могут быть:

планирование производственной (договорной) деятельности на календарный год (иной период времени);

взаимодействие с партнерами в ходе совместных работ;

проведение конкретных научно-исследовательских и опытно-конструкторских работ;

испытание вооружений и военной техники;

мероприятия в области международного сотрудничества, в том числе связанные с приемом иностранных делегаций на предприятии;

организация и проведение совещаний, конференций, выставок и симпозиумов;

подведение итогов работы предприятия за календарный год (иной период работы предприятия);

посещение предприятия представителями СМИ.

Предварительный контроль проводится на этапе подготовки мероприятий и направлен на проверку соответствия спланированных мероприятий по защите информации требованиям нормативно-методических документов и специфике проведения конкретных работ.

Текущий контроль — оценка мер по защите информации, принимаемых в процессе выполнения предприятием (его структурными подразделениями) конкретных видов работ в рамках повседневной деятельности.

Заключительный контроль направлен на оценку состояния дел в сфере защиты информации в ходе проведения мероприятия и по его завершении и служит основой для формирования итоговых выводов об эффективности принимавшихся мер по исключению утечки конфиденциальной информации.

Повторный контроль проводится в целях проверки полноты устранения выявленных в ходе иных видов контроля недостатков (нарушений) и реализации предложений и рекомендаций по исключению их появления в дальнейшем.

Основные задачи и методы контроля

Основные задачи контроля за состоянием защиты информации следующие:

· сбор, обобщение и анализ информации о состоянии системы защиты конфиденциальной информации предприятия;

анализ состояния дел в области защиты информации в структурных подразделениях, а также в филиалах и представительствах предприятия;

проверка наличия носителей конфиденциальной информации;

проверка соблюдения всеми сотрудниками предприятия норм и правил, устанавливающих порядок обращения с носителями конфиденциальной информации;

· выявление угроз защите конфиденциальной информации и выработка мер по их нейтрализации;

анализ полноты и качества выполнения спланированных мероприятий по защите информации в ходе повседневной деятельности предприятия;

оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;

· применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями конфиденциальной информации;

проверка эффективности мер по защите конфиденциальной информации, принимаемых должностными лицами и руководителями структурных подразделений предприятия.

Выбор методов контроля зависит от конкретных целей, задач и объектов контроля, а также от совокупности сил и средств, которые предполагается использовать при его проведении.

Основные методы контроля за состоянием защиты информации включают проверку, анализ, наблюдение, сравнение и учет.

Основным и наиболее эффективным методом контроля за состоянием защиты информации на предприятии, а также в его филиалах и представительствах является проверка.

Проверки по объему проведения подразделяются на комплексные и частные, а по характеру (способу проведения) — на плановые и внезапные.

Комплексные проверки организуются и проводятся по всем направлениям защиты конфиденциальной информации. К их проведению привлекаются структурные подразделения, отвечающие за вопросы защиты информации на предприятии. Комплексные проверки охватывают все сферы повседневной деятельности предприятия (его структурного подразделения, филиала или представительства) и направлены на всестороннюю оценку состояния дел в области защиты конфиденциальной информации.

Результаты проверки оформляются в виде акта или справки-доклада и доводятся до сведения руководителя проверенного структурного подразделения (филиала, представительства). В итоговом документе перечисляются выявленные недостатки, а также формулируются предложения по их устранению, повышению эффективности работы должностных лиц (сотрудников) в области защиты информации. Проверяющие лица устанавливают конкретные сроки устранения выявленных недостатков и реализации предложений (рекомендаций).

Частные проверки организуются и проводятся по одному или нескольким направлениям (вопросам) защиты конфиденциальной информации в целях их глубокого изучения, анализа и оценки эффективности работы должностных лиц (сотрудников) предприятия (филиала, представительства) по этим направлениям.

По результатам частной проверки, как правило, готовится отдельный документ — справка.

Плановые проверки организуются заблаговременно, включаются в соответствующие планы мероприятий предприятия на календарный год и месяц. Как правило, такие проверки являются комплексными, и в состав комиссий по их проведению включаются представители подразделений, ответственных за деятельность по различным направлениям защиты конфиденциальной информации, способные оценить состояние и эффективность работы по конкретным вопросам.

Внезапные проверки организуются и проводятся при необходимости по указанию руководителя предприятия или его заместителя. Они могут проводиться как в масштабах предприятия, так и в его структурных подразделениях, филиалах или представительствах. Цель их проведения — проверка защиты конфиденциальной информации по всем или нескольким направлениям деятельности предприятия. Особенность организации таких проверок состоит в том, что они отсутствуют в планах на календарный год и проводятся внезапно. Организация работы комиссии и оформление результатов внезапных проверок в основном такие же, как при плановых проверках.

Особый вид проверок — контрольные проверки состояния защиты конфиденциальной информации. В ходе их проведения проверяется и оценивается полнота устранения недостатков, выявленных предыдущей проверкой, и реализация выработанных по ее результатам предложений (рекомендаций).

Алгоритм подготовки и проведения проверки:

· принятие решения о проведении проверки;

· подготовка перечня проверяемых вопросов;

· определение состава комиссии;

· определение сроков работы комиссии;

· подготовка и утверждение плана проверки;

· непосредственное проведение проверки;

· оформление результатов работы;

· выработка предложений и рекомендаций;

· доклад результатов проверки на месте;

· анализ недостатков с проверяемыми;

· доклад результатов лицу, назначившему проверку.

Одним из методов контроля защиты конфиденциальной информации также является анализ. В ходе анализа изучаются и обобщаются результаты выполнения конкретных мероприятий по защите конфиденциальной информации. Осуществляется их сопоставление с положениями нормативно-методических документов по защите информации, соответствующими стандартами предприятия, формулируется вывод о полноте, качестве и эффективности их проведения. Наряду с проверкой и анализом могут использоваться и такие методы контроля, как наблюдение, сравнение, учет.

Контроль методами наблюдения и сравнения проводится в случае необходимости оперативной оценки мер защиты информации, принимаемых в процессе проведения каких-либо работ (выполнения конкретных мероприятий), продолжающихся в течение определенного времени, и анализа соответствия этих мер установленным нормам и стандартам, действующим на предприятии. Основное отличие названных методов друг от друга заключается в том, что в процессе наблюдения фиксируются конкретные меры по защите информации, а в ходе сравнения, кроме того, осуществляется сопоставление этих мер с установленными нормами и утвержденными стандартами по защите конфиденциальной информации, действующими на предприятии.

Учет принимаемых мер по защите информации подразумевает фиксацию и анализ реально принятых должностными лицами и сотрудниками предприятия мер, направленных на предотвращение утечки информации в ходе повседневной деятельности предприятия. На основе материалов учета готовятся предложения руководству предприятия об усилении режимных требований в рамках той или иной деятельности предприятия, повышении эффективности работы конкретных должностных лиц.

Отдельные аспекты контроля за состоянием защиты информации. Использование результатов контроля

При осуществлении контроля за состоянием защиты информации особое внимание уделяется вопросам обращения с носителями конфиденциальной информации и их хранения в структурных подразделениях предприятия, в том числе расположенных на территориально обособленных объектах, находящихся на удалении. Проверяются порядок учета, хранения, размножения (копирования) и уничтожения носителей конфиденциальной информации; оборудование помещений, в которых хранятся указанные носители или осуществляется работа с ними; порядок передачи носителей одними исполнителями другим, в том числе и при убытии лиц в командировку (отпуск, на лечение); и т.д.

Постоянному контролю подлежат также вопросы допуска и доступа всех категорий должностных лиц к конфиденциальной информации, в том числе и непосредственно к носителям информации, вопросы организации и осуществления пропускного и внутриобъектового режимов на предприятии, организации охраны предприятия и его объектов.

С учетом условий и специфики деятельности предприятия, осуществляемых видов деятельности повышенное внимание должно уделяться вопросам защиты информации при планировании и проведении предприятием договорных работ, а также при осуществлении международного сотрудничества.

В повседневной деятельности предприятия и его структурных подразделений особое место занимает периодический контроль должностными лицами (соответствующими структурными подразделениями) наличия носителей конфиденциальной информации. Порядок и сроки его осуществления определяются нормативными правовыми актами и методическими документами, регулирующими порядок обращения с информацией различных видов конфиденциальности.

Результаты контроля за состоянием защиты конфиденциальной информации доводятся до сведения должностных лиц и сотрудников предприятия, изучаются в ходе проведения соответствующих занятий, недостатки и нарушения оперативно устраняются. Результаты контроля служат основой для проведения аналитической работы и подготовки предложений руководству предприятия, направленных на выработку конкретных мероприятий по совершенствованию системы защиты конфиденциальной информации и повышению эффективности работы в области организации и обеспечения режима секретности (конфиденциальности).

В службе безопасности предприятия (режимно-секретном подразделении) организуется и ведется учет результатов контроля, всех видов проводимых проверок. Обобщенные материалы контроля периодически доводятся до сведения руководящего состава предприятия, анализируются и изучаются руководителями структурных подразделений предприятия в целях недопущения снижения эффективности проводимых мероприятий по защите конфиденциальной информации на предприятии в целом и в этих структурных подразделениях в частности.

Результаты контроля за состоянием защиты конфиденциальной информации на предприятии являются одним из основных источников информации для изучения, обобщения и анализа. Оценка эффективности контроля проводится на основе анализа степени защищенности сведений, содержащих конфиденциальную информацию (их защиты от утечки), и сохранности носителей конфиденциальной информации (предотвращения случаев утрат носителей и устранения предпосылок к ним). С этой целью проводится учет, обобщение и анализ зарегистрированных на пред приятии попыток посторонних лиц (злоумышленников) завладеть конфиденциальной информацией или ее носителями, а также статистическая обработка результатов деятельности предприятия и его отдельных подразделений, направленной на предотвращение (пресечение) этих попыток.

По результатам оценки эффективности контроля руководство предприятия на основе предложений службы безопасности (режимно-секретного подразделения) определяет пути и способы совершенствования системы контроля защиты конфиденциальной информации, уточняет задачи и функции структурных подразделений предприятия.