Виды и методы контроля состояния ТЗИ

Нормативно-методическое обеспечение контроля

 Контроль состояния ТЗИ включает:

- контроль организации ТЗИ;

- контроль эффективности ТЗИ.

Контроль организации ТЗИ заключается в проверке наличия подразделений ТЗИ, включения задач ТЗИ в положения о подразделениях и функциональные обязанности должностных лиц, наличия и содержания внутренних организационно-распорядительных документов (приказов, руководств, положений, инструкций) на соответствие требованиям нормативных правовых и нормативно-методических документов в области ТЗИ, порядка и своевременности их доведения до исполнителей и подведомственных организаций, наличия и полноты планов работ по ТЗИ и контролю эффективности мер защиты, а также состояния их выполнения.

Контроль эффективности ТЗИ заключается в проверке соответствия качественных и количественных показателей эффективности мероприятий по ТЗИ требованиям или нормам эффективности ТЗИ.

Контроль эффективности ТЗИ включает:

- организационный контроль эффективности ТЗИ – проверка соответствия полноты и обоснованности мероприятий по ТЗИ требованиям руководящих и нормативно-методических документов в области ТЗИ;

технический контроль эффективности ТЗИ – контроль эффективности ТЗИ, проводимый с использованием технических средств контроля.

 В зависимости от целей и задач контроля, а также особенностей проверяемых объектов технический контроль эффективности ТЗИ может быть:

комплексным, когда проводится проверка организации и состояния ТЗИ от утечки по всем возможным техническим каналам, характерным для контролируемого технического средства (объекта информатизации), от несанкционированного доступа к информации или специальных воздействий на нее;

целевым, когда проверка проводится по одному из возможных технических каналов утечки информации, характерному для контролируемого технического средства, которое имеет защищаемые параметры или в котором циркулирует защищаемая информация;

выборочным, когда из всего состава технических средств на объекте выбираются те из них, которые по результатам предварительной оценки с наибольшей вероятностью имеют технические каналы утечки защищаемой информации.

 В зависимости от конкретных условий проведения технического контроля контроль эффективности может осуществляться следующими методами:

инструментальным методом, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы технического средства разведки;

инструментально-расчетным методом, когда измерения проводятся в непосредственной близости от объекта контроля, а затем  результаты измерений пересчитываются к месту (условиям) предполагаемого места нахождения  технического средства разведки;

расчетным методом, когда эффективность ТЗИ оценивается путем расчета, исходя из реальных условий размещения и возможностей технического средства разведки и известных характеристик объекта контроля.

Существо мероприятий технического контроля состоит в осуществлении инструментальных (инструментально-расчетных) проверок эффективности защиты информации от утечки по техническим каналам, возникающим за счет:

побочных электромагнитных излучений (ПЭМИ) при работе основных технических средств и систем (ОТСС) объекта информатизации;

паразитной генерации отдельных элементов ОТСС, а также модуляции информационным сигналом излучений различных генераторов, входящих в состав объекта вспомогательных технических средств и систем (ВТСС);

наводок информационного сигнала на соединительных линиях ВТСС, расположенных в зоне действия ПЭМИ ОТСС;

неравномерности потребления тока в сети электропитания ОТСС;

линейного высокочастотного навязывания и электроакустических преобразований как способов перехвата речевой информации через ВТСС, установленные в выделенных помещениях.

Инструментальный контроль осуществляется по типовым программам и типовым методикам, утвержденным органами по аттестации и сертификации. Вся измерительная аппаратура аттестуется метрологическими органами в установленном порядке.

Основными нормативно-методическими документами, регламентирующими деятельность по техническому контролю рассматриваемых объектов, являются:

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Рекомендованы для временного применения. Решение Коллегии Гостехкомиссии России №7.2 от 2.03.2001 г.;

ГОСТ 29339-92. Информационная технология. Защита информации от утечки за счет побочных электромагнитных излучений и наводок при ее обработке средствами вычислительной техники. Общие технические требования;

Нормы эффективности защиты автоматизированных систем управления и электронно-вычислительной техники от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г.№13;

Нормы эффективности защиты средств передачи речевой информации от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г. №13;

Нормы эффективности защиты технических средств передачи телеграфной и телекодовой информации от утечки за счет побочных электромагнитных излучений и наводок. Решение Гостехкомиссии СССР от 26.09.77 г. №13;

Сборник норм защиты информации от утечки за счет побочных электромагнитных излучений и наводок. Гостехкомиссия России, 1998 г.;

Сборник методических документов по контролю защищаемой информации, обрабатываемой средствами вычислительной техники, от утечки за счет электромагнитных излучений и наводок (ПЭМИН). Утв. приказом Гостехкомиссии России от 19.11.02 г. №391.

         Акт проверки состояния ТЗИ должен содержать следующие разделы:

1. Общие сведения об объекте контроля;

2. Общие вопросы организации ТЗИ на объекте;

3. Организация и состояние защиты объектов информатизации;

4. Полнота и качество проведения лицензиатами ФСТЭК России работ по защите и аттестации объектов информатизации;

5. Выводы рекомендации.

Комментарии к статье "Виды и методы контроля состояния ТЗИ"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?