Portalda reklama

Axborot xavfsizligi holati ustidan nazoratni tashkil etish. Axborot xavfsizligi holatini monitoring qilish. Yoqilg'i qayta ishlash zavodining holatini monitoring qilish uchun hujjatlar tizimi

Texnik ma'lumotlarning samaradorligini nazorat qilish TKI bo'yicha chora-tadbirlar samaradorligining sifat va miqdoriy ko'rsatkichlarining TKI samaradorligining talablari yoki standartlariga muvofiqligini tekshirishdan iborat.

TZI samaradorligini monitoring qilish quyidagilarni o'z ichiga oladi:

- texnik jihozlarning samaradorligini texnik nazorat qilish

- texnik axborot samaradorligini tashkiliy nazorat qilish– TKI bo‘yicha chora-tadbirlarning to‘liqligi va asosliligini TKI sohasidagi yo‘riqnomalar va me’yoriy-uslubiy hujjatlar talablariga muvofiqligini tekshirish;

- texnik jihozlarning samaradorligini texnik nazorat qilish (biz ko'rib chiqamiz)- nazoratning texnik vositalaridan foydalangan holda amalga oshiriladigan texnik ma'lumotlarning samaradorligini monitoring qilish.

Tekshirishning maqsad va vazifalariga, shuningdek tekshirilayotgan ob'ektlarning xususiyatlariga qarab, texnik ma'lumotlarning samaradorligini texnik nazorati quyidagilar bo'lishi mumkin:

- keng qamrovli, texnik ma'lumotlarning tashkil etilishi va holati boshqariladigan texnik vositalarga (axborotlashtirish ob'ektiga) xos bo'lgan barcha mumkin bo'lgan texnik kanallar orqali sizib chiqishiga, axborotga ruxsatsiz kirish yoki unga maxsus ta'sir ko'rsatishga qarshi tekshirilganda;

- maqsad tekshirish himoyalangan parametrlarga ega bo'lgan yoki himoyalangan ma'lumotlar aylanib yuradigan boshqariladigan texnik qurilmaga xos bo'lgan ma'lumotlarning chiqib ketishining mumkin bo'lgan texnik kanallaridan biri orqali amalga oshirilganda;

- selektiv, ob'ektdagi texnik vositalarning butun tarkibidan dastlabki baholash natijalariga ko'ra, himoyalangan ma'lumotlarning sizib chiqishi uchun texnik kanallarga ega bo'lganlar tanlanadi.

Texnik nazoratning o'ziga xos shartlariga qarab, samaradorlikni nazorat qilish quyidagi usullar yordamida amalga oshirilishi mumkin:



- instrumental usul nazorat qilish vaqtida texnik o‘lchov vositalaridan foydalanilganda va razvedka texnik jihozlarining real ish sharoitlari simulyatsiya qilinganda;

- instrumental-hisoblash usuli o'lchovlar nazorat qilish ob'ektiga yaqin joyda amalga oshirilganda va keyin o'lchov natijalari razvedka texnik vositalarining mo'ljallangan joylashuvi (shartlari) bo'yicha qayta hisoblab chiqilganda;

- hisoblash usuli, texnik ma'lumotlarning samaradorligi, razvedka texnik jihozlarining haqiqiy joylashtirish shartlari va imkoniyatlari va boshqaruv ob'ektining ma'lum xususiyatlaridan kelib chiqib, hisoblash yo'li bilan baholanganda.

Texnik nazorat chora-tadbirlarining mohiyati quyidagi sabablarga ko'ra yuzaga keladigan texnik kanallar orqali axborotni oqib chiqishdan himoya qilish samaradorligini instrumental (instrumental va hisob-kitob) tekshirishdan iborat:

1) axborotlashtirish ob'ektining asosiy texnik jihozlari va tizimlarini (OTSS) ishlatish paytida yon elektromagnit nurlanish (PEMR);

3) OTSS PEMI qamrov zonasida joylashgan VTSS ulanish liniyalarida axborot signalining shovqini;

4) OTSS elektr ta'minoti tarmog'ida notekis oqim iste'moli;

5) maxsus binolarda o'rnatilgan VTSS orqali nutq ma'lumotlarini ushlab turish usullari sifatida chiziqli yuqori chastotali o'rnatish va elektroakustik transformatsiyalar.

Instrumental nazorat sertifikatlashtirish va sertifikatlashtirish organlari tomonidan tasdiqlangan standart dasturlar va standart usullarga muvofiq amalga oshiriladi. Barcha o'lchov uskunalari metrologiya organlari tomonidan belgilangan tartibda sertifikatlangan.

Ko'rib chiqilayotgan ob'ektlarning texnik nazorati faoliyatini tartibga soluvchi asosiy me'yoriy-uslubiy hujjatlar quyidagilardir:

2. GOST 29339-92. Axborot texnologiyalari. Axborotni yonma-yon elektromagnit nurlanish va uni kompyuter texnologiyalari bilan qayta ishlash jarayonida shovqin ta'siridan oqib chiqishdan himoya qilish. Umumiy texnik talablar;

3. Elektromagnit nurlanish va interferensiya (PEMIN) ta’sirida sizib chiqishdan kompyuter texnikasi yordamida qayta ishlangan himoyalangan axborotni monitoring qilish bo‘yicha uslubiy hujjatlar to‘plami. Tasdiqlangan Rossiya Davlat texnik komissiyasining 2002 yil 19 noyabrdagi 391-son buyrug'i bilan.

4. Texnik va eksport nazorati federal xizmatining (Rossiya FSTEC) 2013 yil 11 fevraldagi N 17 buyrug'i Moskva sh.

5. Rossiya FSTECning 2013 yil 18 fevraldagi buyrug'i. 21-son "Shaxsiy ma'lumotlarning axborot tizimlarida qayta ishlash jarayonida shaxsiy ma'lumotlar xavfsizligini ta'minlash bo'yicha tashkiliy-texnik chora-tadbirlarning tarkibi va mazmunini tasdiqlash to'g'risida".

Texnik ma'lumotlarning holatini tekshirish to'g'risidagi hisobot quyidagi bo'limlarni o'z ichiga olishi kerak:

1. Boshqarish ob'ekti haqida umumiy ma'lumot;

2. Ob'ektda texnik va texnik axborotni tashkil etishning umumiy masalalari;

3. Axborotlashtirish obyektlarini muhofaza qilishni tashkil etish va holati;

4. Axborotlashtirish ob'ektlarini muhofaza qilish va sertifikatlash bo'yicha Rossiyaning FSTEC litsenziatlari tomonidan amalga oshirilgan ishlarning to'liqligi va sifati;

Vositalar, komplekslar, ob'ektlar va axborotni qayta ishlash tizimlari to'g'risidagi ma'lumotlarni yashirish. Ushbu vazifalarni texnik va tashkiliy qismlarga bo'lish mumkin.

Ob'ektlar to'g'risidagi ma'lumotlarni yashirishning tashkiliy vazifalari ushbu ma'lumotlarning xodimlar tomonidan oshkor etilishini va razvedka kanallari orqali chiqib ketishining oldini olishga qaratilgan.

Texnik vazifalar himoyalangan ob'ektlar va ular to'g'risidagi ma'lumotlarning sizib chiqishi uchun texnik kanallarning texnik ochish belgilarini yo'q qilish yoki zaiflashtirishga qaratilgan. Bunday holda, yashirish elektromagnit, vaqtinchalik, strukturaviy va xususiyatlardan foydalanish imkoniyatini pasaytirish, shuningdek, vositalar, komplekslar, ob'ektlar, axborotni qayta ishlash va boshqarish tizimlarining tuzilishi, topologiyasi va ishlashi tabiati o'rtasidagi muvofiqlikni zaiflashtirish orqali amalga oshiriladi.

Ushbu muammoni hal qilish vositalari, komplekslari va axborotni qayta ishlash tizimlariga qo'yiladigan asosiy talab - razvedka xavfsizligini ta'minlashni ta'minlaydigan tashkiliy-texnik chora-tadbirlar va chora-tadbirlar majmuini amalga oshirishni anglatadi va asosiy maqsadlardan biriga - yo'q qilish yoki yo'q qilishga qaratilgan. texnik razvedka qidiruvini, joylashuvni aniqlashni, radio emissiya manbalarini radiokuzatuvini, aniqlangan niqobni ochish xususiyatlariga asoslangan texnik razvedka tomonidan ob'ektlarni tasniflash va identifikatsiyalashni sezilarli darajada murakkablashtiradi.

Elektromagnit foydalanish imkoniyatini pasaytirish muammosini hal qilish energiyani aniqlash va radio emissiya manbalari joylashgan hududning koordinatalarini aniqlashni murakkablashtiradi, shuningdek, niqobni ochish belgilarini aniqlash vaqtini oshiradi va radio emissiya vositalarining parametrlari va signallarini o'lchash aniqligini pasaytiradi.

Radioemissiya vositalarining vaqtinchalik mavjudligini qisqartirish axborotni uzatishda ularning nurlanish uchun ishlash vaqtini qisqartirishni va axborotni qayta ishlash seanslari orasidagi pauza davomiyligini oshirishni nazarda tutadi. Axborotni qayta ishlash vositalari, komplekslari va tizimlarining tarkibiy va xarakterli foydalanish imkoniyatini kamaytirish uchun ochiladigan belgilarni zaiflashtiradigan va "kulrang fon" deb ataladigan tashkiliy-texnik chora-tadbirlar amalga oshiriladi.

1.2-sinf. Dushmanning noto'g'ri ma'lumotlari.

Bu sinfga ba'zi ob'ektlar va mahsulotlarning asl maqsadi, davlat faoliyatining ayrim sohalarining haqiqiy holati, korxonadagi ishlarning holati va boshqalar to'g'risida ataylab yolg'on ma'lumotlarni tarqatishni o'z ichiga olgan vazifalar kiradi.

Dezinformatsiya odatda turli kanallar orqali yolg‘on ma’lumotlarni tarqatish, himoya obyektlarining alohida elementlarining belgilari va xususiyatlarini taqlid qilish yoki buzib ko‘rsatish, tashqi ko‘rinishi yoki ko‘rinishi bo‘yicha raqibni qiziqtirgan ob’ektlarga o‘xshash soxta ob’ektlar yaratish va hokazolar orqali amalga oshiriladi.

Dezinformatsiyaning rolini aksil-josuslik sohasidagi mutaxassis A.F.Viviani ta'kidladi: Bizga katta hajmdagi ma'lumotlar tushmoqda, yiqilib, tarqalmoqda. Bu soxta bo'lishi mumkin, lekin u ishonarli ko'rinadi; rost bo'lishi mumkin, lekin aslida u yolg'ondek taassurot qoldirish uchun mohirlik bilan qayta ishlangan; qisman yolg'on va qisman to'g'ri. Bularning barchasi dezinformatsiya deb ataladigan tanlangan usulga bog'liq bo'lib, uning maqsadi sizni qandaydir sabablarga ko'ra bizga ta'sir qilishi kerak bo'lganlar uchun foydali yo'nalishda ishonish, xohlash, o'ylash, qaror qabul qilishdir...

Mudofaa ob'ektidagi texnik dezinformatsiya - bu axborotni qayta ishlash tizimlarining haqiqiy maqsadlari, qo'shinlarning guruhlanishi va faoliyati, qo'mondonlik va nazorat organlarining niyatlari to'g'risida texnik razvedka ma'lumotlarini chalg'itishga qaratilgan tashkiliy chora-tadbirlar va texnik chora-tadbirlar majmuini anglatadi.

Ushbu muammoni hal qilish taniqli operativ radio kamuflyaj doirasida himoyalangan ob'ektning texnik niqobini ochish xususiyatlarini buzish yoki soxta ob'ektning texnik xususiyatlarini taqlid qilish orqali amalga oshiriladi.

Texnik dezinformatsiyaning alohida maqsadlari quyidagilardan iborat:

· haqiqiy ob'ektlar va tizimlarning soxta narsalarning belgilariga mos keladigan niqobni ochish belgilarini buzish;

· real ob'ektlar, tizim tuzilmalari, vaziyatlar, harakatlar, funktsiyalar va boshqalarning niqobsiz belgilarini takrorlash orqali noto'g'ri vaziyatni, ob'ektlarni, tizimlarni, komplekslarni yaratish (taqlid qilish);

· qayta ishlash tizimlarida noto'g'ri ma'lumotlarni uzatish, qayta ishlash, saqlash;

· soxta boshqaruv punktlarida vositalar, komplekslar va axborotni qayta ishlash tizimlarining jangovar faoliyatini taqlid qilish;

· kuch va vositalarning yolg‘on yo‘nalishdagi ko‘rgazmali harakatlarda ishtirok etishi;

· yolg'on ma'lumotni uzatish (radio dezinformatsiya), uni dushman tomonidan ushlab qolishini kutish va hokazo.

Umuman olganda, bu vazifalarni radio taqlid, radio dezinformatsiya va ko'rgazmali harakatlar kabi alohida vazifalarga guruhlash mumkin.

Axborotni himoya qilish samaradorligini monitoring qilish bo'yicha tadbirlar - axborotni himoya qilish samaradorligini monitoring qilish usullari va vositalarini ishlab chiqish va (yoki) amaliy qo'llashga qaratilgan harakatlar majmui.

Boshqarishning kontseptsiyasi va asosiy ob'ektlari

Nazorat - korxona rahbariyati va mansabdor shaxslarining korxona barcha turdagi ishlarni bajarayotganda uning kundalik faoliyati jarayonida maxfiy ma'lumotlarning himoyalanish holatini tekshirish bo'yicha maqsadli faoliyati. Nazorat o'z mohiyatiga ko'ra aniq boshqaruv faoliyati xarakteriga ega, chunki u, birinchi navbatda, korxona (uning filiali yoki vakolatxonasi) rahbariyati uchun korxona faoliyatining asosiy turiga oid muhim ma'lumotlar manbai bo'lib xizmat qiladi. cheklangan kirish imkoniyatiga ega bo'lgan ma'lumotlarni himoya qilish.

Korxonada maxfiy axborotni muhofaza qilish holatini monitoring qilish axborotni muhofaza qilish sohasidagi ishlarning haqiqiy holatini aniqlash, axborotning chiqib ketishining oldini olish bo‘yicha ko‘rilayotgan chora-tadbirlar samaradorligini baholash, axborot chiqib ketishining mumkin bo‘lgan kanallarini aniqlash maqsadida tashkil etiladi va amalga oshiriladi. axborotni muhofaza qilishning kompleks tizimini takomillashtirish yuzasidan korxona rahbariyatiga taklif va tavsiyalar ishlab chiqish.

Ko'rsatilgan nazorat ham yuqori turuvchi davlat organlari (vazirliklar yoki idoralar), ham korxona rahbariyati tomonidan tasdiqlangan tegishli me'yoriy-uslubiy hujjatlarda belgilangan tartibda va muddatlarda amalga oshiriladi. Maxfiy axborotni muhofaza qilish holatini monitoring qilish bevosita korxonada (uning tarkibiy bo'linmalarida), shuningdek korxonaning filiallari va vakolatxonalarida tashkil etiladi va amalga oshiriladi.

Nazoratni tashkil etish korxona rahbariga yoki axborotni muhofaza qilish ishlarini boshqaradigan uning o'rinbosariga yuklanadi. Maxfiy axborotni muhofaza qilish holati ustidan nazoratni bevosita tashkil etish va amalga oshirish korxonaning xavfsizlik xizmati yoki uning nozik bo'linmasi zimmasiga yuklanadi.

Axborot xavfsizligi holatini nazorat qilishning asosiy ob'ektlariga quyidagilar kiradi:

maxfiy xarakterdagi ishlarni bajarishga jalb qilingan korxonaning tarkibiy bo'linmalari;

maxfiy ma'lumotlarga va uning ommaviy axborot vositalaridan foydalanishga belgilangan tartibda ruxsat berilgan va ulardan foydalangan holda ish olib boruvchi korxona xodimlari;

maxfiy axborot vositalari (hujjatlar, materiallar, mahsulotlar) bilan ish olib boriladigan ofis binolari;

xavfsizlik xizmatining (qat'iy qo'riqlash bo'linmasining) ofis binolarida ham, korxona (filial, vakolatxona) xodimlarining ofislarida joylashgan maxfiy axborot vositalarini bevosita saqlash joylari (saqlash joylari, seyflar, shkaflar);

to'g'ridan-to'g'ri maxfiy axborot vositalari (hujjatlar, materiallar, mahsulotlar, magnit tashuvchilar).

Korxonada axborot xavfsizligi holatini nazorat qilishning asosiy shakllariga dastlabki nazorat, joriy nazorat, yakuniy nazorat va takroriy nazorat kiradi. Nazoratning sanab o'tilgan shakllari korxonaning kundalik faoliyati doirasida turli tadbirlarni tayyorlash va amalga oshirish bilan vaqt va vaqt bilan bog'liq.

Bu harakatlar bo'lishi mumkin:

kalendar yili (boshqa davr) uchun ishlab chiqarish (shartnoma) faoliyatini rejalashtirish;

qo'shma ish paytida hamkorlar bilan o'zaro munosabatlar;

maxsus tadqiqot va tajriba-konstruktorlik ishlarini olib borish;

qurol va harbiy texnikani sinovdan o'tkazish;

xalqaro hamkorlik sohasidagi tadbirlar, shu jumladan korxonada xorijiy delegatsiyalarni qabul qilish bilan bog‘liq tadbirlar;

yig'ilishlar, konferentsiyalar, ko'rgazmalar va simpoziumlarni tashkil etish va o'tkazish;

korxonaning kalendar yilidagi ish natijalarini (korxona faoliyatining boshqa davri) yakunlash;

ommaviy axborot vositalari vakillarining korxonaga tashrifi.

Dastlabki nazorat tadbirlarni tayyorlash bosqichida amalga oshiriladi va rejalashtirilgan axborotni muhofaza qilish tadbirlarining me'yoriy-uslubiy hujjatlar talablariga va aniq ishlarning o'ziga xos xususiyatlariga muvofiqligini tekshirishga qaratilgan.

Joriy nazorat - bu korxona (uning tarkibiy bo'linmalari) tomonidan kundalik faoliyatning bir qismi sifatida muayyan turdagi ishlarni bajarish jarayonida qabul qilingan ma'lumotlarni himoya qilish choralarini baholash.

Yakuniy nazorat tadbir davomida va yakunlanganidan keyin axborot xavfsizligi sohasidagi ishlarning holatini baholashga qaratilgan bo‘lib, maxfiy ma’lumotlarning chiqib ketishining oldini olish bo‘yicha ko‘rilayotgan chora-tadbirlarning samaradorligi to‘g‘risida yakuniy xulosalarni shakllantirish uchun asos bo‘lib xizmat qiladi.

Takroriy nazorat boshqa turdagi nazorat turlarida aniqlangan kamchiliklar (buzilishlar)ning to‘liq bartaraf etilganligini hamda kelgusida ularning yuzaga kelishiga yo‘l qo‘ymaslik bo‘yicha taklif va tavsiyalarning bajarilishini tekshirish maqsadida amalga oshiriladi.

Asosiy vazifalar va nazorat usullari

Axborot xavfsizligi holatini monitoring qilishning asosiy vazifalari quyidagilardan iborat:

· korxonaning maxfiy axborotni himoya qilish tizimining holati to'g'risidagi ma'lumotlarni yig'ish, sintez qilish va tahlil qilish;

korxonaning tarkibiy bo‘linmalarida, shuningdek, filial va vakolatxonalarida axborot xavfsizligini ta’minlash sohasidagi ishlarning holatini tahlil qilish;

maxfiy axborot tashuvchilarning mavjudligini tekshirish;

korxonaning barcha xodimlari tomonidan maxfiy axborot vositalari bilan ishlash tartibini belgilovchi qoidalar va qoidalarga rioya etilishini tekshirish;

· maxfiy axborotni himoya qilishga tahdidlarni aniqlash va ularni zararsizlantirish choralarini ishlab chiqish;

korxonaning kundalik faoliyati davomida axborotni muhofaza qilish bo'yicha rejalashtirilgan chora-tadbirlarni amalga oshirishning to'liqligi va sifatini tahlil qilish;

normativ-uslubiy hujjatlar talablari buzilishini bartaraf etishda mansabdor shaxslarga amaliy yordam ko‘rsatish;

· maxfiy axborotni tashuvchilar bilan ishlash tartibiga qoʻyiladigan talablarni buzgan shaxslarga nisbatan maʼmuriy va intizomiy jazo choralarini qoʻllash;

mansabdor shaxslar va korxonaning tarkibiy bo'linmalari rahbarlari tomonidan ko'rilgan maxfiy ma'lumotlarni himoya qilish bo'yicha chora-tadbirlar samaradorligini tekshirish.

Nazorat usullarini tanlash nazoratning aniq maqsadlari, vazifalari va ob'ektlariga, shuningdek uni amalga oshirishda qo'llanilishi kerak bo'lgan kuchlar va vositalarning yig'indisiga bog'liq.

Asosiy nazorat usullari axborot xavfsizligi holati tekshirish, tahlil qilish, kuzatish, taqqoslash va hisobga olishni o'z ichiga oladi.

Korxonada, shuningdek, uning filiallari va vakolatxonalarida axborot xavfsizligi holatini monitoring qilishning asosiy va samarali usuli bu tekshirish hisoblanadi.

Tekshiruvlar ko‘lamiga ko‘ra kompleks va xususiy, xususiyatiga ko‘ra (o‘tkazish usuli) rejali va e’lon qilinmaganlarga bo‘linadi.

Maxfiy axborotni muhofaza qilishning barcha sohalarida kompleks auditlar tashkil etiladi va amalga oshiriladi. Ularni amalga oshirishda korxonada axborot xavfsizligi masalalari uchun mas'ul bo'lgan tarkibiy bo'linmalar jalb qilingan. Kompleks audit korxona (uning tarkibiy bo'linmasi, filiali yoki vakolatxonasi) kundalik faoliyatining barcha sohalarini qamrab oladi va maxfiy ma'lumotlarni himoya qilish sohasidagi ishlarning holatini har tomonlama baholashga qaratilgan.

Tekshirish natijalari dalolatnoma yoki dalolatnoma shaklida tuziladi va tekshirilayotgan tarkibiy bo‘linma (filial, vakolatxona) rahbarining e’tiboriga yetkaziladi. Yakuniy hujjatda aniqlangan kamchiliklar sanab o‘tilgan, shuningdek, ularni bartaraf etish va mansabdor shaxslar (xodimlar)ning axborot xavfsizligini ta’minlash sohasidagi faoliyati samaradorligini oshirish bo‘yicha takliflar shakllantirilgan. Inspektorlar aniqlangan kamchiliklarni bartaraf etish va takliflarni (tavsiyalarni) amalga oshirish uchun aniq muddatlarni belgilaydilar.

Xususiy tekshirishlar korxona (filial, vakolatxona) mansabdor shaxslari (xodimlari) faoliyatining samaradorligini chuqur o'rganish, tahlil qilish va baholash maqsadida maxfiy ma'lumotlarni himoya qilishning bir yoki bir nechta yo'nalishlari (masalalari) bo'yicha tashkil etiladi va o'tkaziladi. bu hududlarda.

Xususiy audit natijalariga ko'ra, qoida tariqasida, alohida hujjat - sertifikat tayyorlanadi.

Rejali tekshirishlar oldindan tashkil etiladi va korxonaning kalendar yil va oy uchun tegishli chora-tadbirlar rejalariga kiritiladi. Qoida tariqasida, bunday tekshiruvlar keng qamrovli bo'lib, ularni o'tkazish bo'yicha komissiyalar tarkibiga maxfiy ma'lumotlarni himoya qilishning turli sohalaridagi faoliyat uchun mas'ul bo'lgan, muayyan masalalar bo'yicha ish holati va samaradorligini baholashga qodir bo'lgan bo'limlarning vakillari kiradi.

Kutilmagan tekshirishlar zarur hollarda korxona rahbari yoki uning o‘rinbosarining ko‘rsatmasi bilan tashkil etiladi va o‘tkaziladi. Ular butun korxonada ham, uning tarkibiy bo'linmalarida, filiallarida yoki vakolatxonalarida ham amalga oshirilishi mumkin. Ularni amalga oshirishning maqsadi korxona faoliyatining barcha yoki bir nechta sohalarida maxfiy ma'lumotlarning himoyalanganligini tekshirishdan iborat. Bunday tekshiruvlarni tashkil etishning o'ziga xos xususiyati shundaki, ular kalendar yili uchun rejalarga kiritilmagan va birdaniga amalga oshiriladi. Komissiya ishini tashkil etish va kutilmagan tekshirishlar natijalarini rasmiylashtirish asosan rejali tekshirishlar paytidagi bilan bir xil.

Tekshiruvlarning alohida turi - bu maxfiy ma'lumotlarning himoyalanish holatini nazorat qilish tekshiruvlari. Ularni amalga oshirish jarayonida oldingi tekshirishda aniqlangan kamchiliklarni bartaraf etishning to‘liqligi va uning natijalari bo‘yicha ishlab chiqilgan takliflar (tavsiyalar) ijrosi tekshiriladi va baholanadi.

Tekshiruvni tayyorlash va o'tkazish algoritmi:

· tekshirish o'tkazish to'g'risida qaror qabul qilish;

· tekshiriladigan savollar ro'yxatini tayyorlash;

· komissiya tarkibini aniqlash;

· komissiyaning ishlash muddatlarini belgilash;

· tekshirish rejasini tayyorlash va tasdiqlash;

· bevosita tekshirish;

· mehnat natijalarini rasmiylashtirish;

· joyida tekshirish natijalari bo'yicha hisobot;

· tekshirilayotgan shaxslar bilan kamchiliklarni tahlil qilish;

· tekshirishni buyurgan shaxsga natijalar haqida xabar berish.

Maxfiy axborotni himoya qilish monitoringi usullaridan biri ham tahlil hisoblanadi. Tahlil davomida maxfiy ma'lumotlarni himoya qilish bo'yicha aniq chora-tadbirlarni amalga oshirish natijalari o'rganiladi va umumlashtiriladi. Ular axborotni muhofaza qilish bo'yicha me'yoriy-uslubiy hujjatlar qoidalari, tegishli korxona standartlari bilan taqqoslanadi va ularni amalga oshirishning to'liqligi, sifati va samaradorligi to'g'risida xulosa tuziladi. Tekshirish va tahlil qilish bilan bir qatorda kuzatish, taqqoslash va hisobga olish kabi nazorat usullaridan ham foydalanish mumkin.

Kuzatish va taqqoslash usullari bilan monitoring, agar ma'lum vaqt davom etadigan har qanday ishni (aniq faoliyatni amalga oshirish) amalga oshirish jarayonida qabul qilingan axborot xavfsizligi choralarini tezkor baholash va ushbu chora-tadbirlarning belgilangan talablarga muvofiqligini tahlil qilish zarur bo'lganda amalga oshiriladi. korxonada amaldagi normalar va standartlar. Ushbu usullarning bir-biridan asosiy farqi shundaki, kuzatish jarayonida ma'lumotlarni himoya qilish bo'yicha aniq choralar qayd etiladi va taqqoslash paytida, qo'shimcha ravishda, ushbu choralar konfidensial ma'lumotlarni himoya qilishning belgilangan normalari va tasdiqlangan standartlari bilan taqqoslanadi. korxona.

Axborotni himoya qilish bo'yicha ko'rilgan chora-tadbirlarni hisobga olish korxonaning kundalik faoliyati davomida ma'lumotlarning chiqib ketishining oldini olishga qaratilgan korxona mansabdor shaxslari va xodimlari tomonidan amalda ko'rilgan chora-tadbirlarni qayd etish va tahlil qilishni nazarda tutadi. Buxgalteriya materiallari asosida korxona rahbariyatiga korxonaning muayyan faoliyati doirasida xavfsizlik talablarini kuchaytirish, aniq mansabdor shaxslarning ish samaradorligini oshirish bo'yicha takliflar tayyorlanadi.

Axborot xavfsizligi holatini monitoring qilishning ayrim jihatlari. Nazorat natijalaridan foydalanish

Axborot xavfsizligi holatini monitoring qilishda maxfiy axborot vositalari bilan ishlash va ularni korxonaning tarkibiy bo'linmalarida, shu jumladan uzoqda joylashgan geografik jihatdan ajratilgan ob'ektlarda saqlash masalalariga alohida e'tibor beriladi. Maxfiy axborot tashuvchilarni qayd etish, saqlash, ko‘paytirish (nusxalash) va yo‘q qilish tartibi tekshiriladi; ko'rsatilgan ommaviy axborot vositalari saqlanadigan binolarni jihozlash yoki ular bilan ishlash; ommaviy axborot vositalarini bir ijrochidan boshqasiga o'tkazish tartibi, shu jumladan shaxslar xizmat safariga (ta'tilga, davolanishga) ketganda; va hokazo.

Barcha toifadagi mansabdor shaxslarning maxfiy ma’lumotlarga, shu jumladan bevosita axborot tashuvchilarga ruxsati va foydalanishi masalalari, korxonada kirish va ichki rejimlarni tashkil etish va amalga oshirish, korxona va uning ob’ektlarini qo‘riqlashni tashkil etish masalalari ham doimiy nazoratga olinadi.

Korxona faoliyatining shartlari va o'ziga xos xususiyatlarini va amalga oshirilayotgan faoliyat turlarini hisobga olgan holda, korxona tomonidan shartnoma ishlarini rejalashtirish va amalga oshirishda, shuningdek, xalqaro hamkorlikni amalga oshirishda axborot xavfsizligi masalalariga e'tiborni kuchaytirish kerak.

Korxona va uning tarkibiy bo'linmalarining kundalik faoliyatida mansabdor shaxslar (tegishli tarkibiy bo'linmalar) tomonidan maxfiy ma'lumotlar tashuvchilarning mavjudligini davriy nazorat qilish alohida o'rin tutadi. Uni amalga oshirish tartibi va muddatlari har xil turdagi maxfiy ma'lumotlar bilan ishlash tartibini tartibga soluvchi normativ-huquqiy hujjatlar va uslubiy hujjatlar bilan belgilanadi.

Konfidensial axborotni muhofaza qilish holatini monitoring qilish natijalari tegishli o‘quv mashg‘ulotlarida o‘rganilib, korxonaning mansabdor shaxslari va xodimlari e’tiboriga yetkaziladi, yo‘l qo‘yilgan kamchilik va qoidabuzarliklar zudlik bilan bartaraf etiladi. Nazorat natijalari maxfiy ma'lumotlarni himoya qilish tizimini takomillashtirish va maxfiylikni tashkil etish va ta'minlash sohasidagi ish samaradorligini oshirish bo'yicha aniq chora-tadbirlarni ishlab chiqishga qaratilgan tahliliy ishlarni olib borish va korxona rahbariyatiga takliflar tayyorlash uchun asos bo'lib xizmat qiladi. (maxfiylik) rejimi.

Korxonaning xavfsizlik xizmati (maxfiy bo'linma) nazorat natijalari va o'tkazilgan barcha turdagi tekshirishlarning hisobini tashkil qiladi va yuritadi. Umumlashtirilgan nazorat materiallari vaqti-vaqti bilan korxona rahbariyatiga etkaziladi, korxonada maxfiy ma'lumotlarni himoya qilish bo'yicha ko'rilayotgan chora-tadbirlar samaradorligining pasayishiga yo'l qo'ymaslik uchun korxonaning tarkibiy bo'linmalari rahbarlari tomonidan tahlil qilinadi va o'rganiladi. butun va ayniqsa, ushbu tarkibiy bo'linmalarda.

Korxonada maxfiy axborotni muhofaza qilish holatini monitoring qilish natijalari o'rganish, sintez qilish va tahlil qilish uchun asosiy axborot manbalaridan biri hisoblanadi. Nazorat samaradorligini baholash maxfiy ma'lumotlarni o'z ichiga olgan ma'lumotlarning xavfsizlik darajasini (ularni sizib chiqishidan himoya qilish) va maxfiy ma'lumotlar tashuvchilarining xavfsizligini (ommaviy axborot vositalarining yo'qolishi holatlarining oldini olish va ularni bartaraf etish) tahlili asosida amalga oshiriladi. ular uchun old shartlar). Shu maqsadda korxonada ro‘yxatga olingan ruxsatsiz shaxslarning (hujumchilarning) maxfiy ma’lumotlarni yoki uning tashuvchilarini egallab olishga urinishlarini hisobga olish, umumlashtirish va tahlil qilish, shuningdek korxona faoliyati va uning natijalarini statistik qayta ishlash amalga oshiriladi. ushbu urinishlarning oldini olishga (bostirishga) qaratilgan alohida bo'linmalar.

Nazorat samaradorligini baholash natijalariga ko'ra, korxona rahbariyati xavfsizlik xizmati (maxfiy bo'linma) takliflari asosida maxfiy ma'lumotlarni himoya qilishni nazorat qilish tizimini takomillashtirish yo'llari va vositalarini belgilaydi, vazifalarni aniqlaydi va aniqlaydi. korxonaning tarkibiy bo'linmalarining vazifalari.

Shaxsiy ma'lumotlar xavfsizligini nazorat qilish/tahlil choralari UZ4 - UZ3 dan boshlab himoya choralarining asosiy to'plamiga kiritilganligi sababli, ko'pchilik shaxsiy ma'lumotlar operatorlari xavfsizlik skanerlarini sotib oldilar. Ba'zida men quyidagi savollarga duch kelaman: bu skanerni umuman ishga tushirish kerakmi va agar shunday bo'lsa, qanchalik tez-tez va aniq tekshirish kerak.

Keling, buni aniqlashga harakat qilaylik:
· skanerlar Rossiya FSTECning 2013 yil 18 fevraldagi 21-son buyrug'iga muvofiq shaxsiy ma'lumotlarning (APD) xavfsizligini nazorat qilish (tahlil qilish) bo'yicha chora-tadbirlar guruhini amalga oshirish uchun foydalaniladi.
Keling, Rossiya Federatsiyasining me'yoriy-huquqiy hujjatlarida xavfsizlikni tekshirish tartibi yoki chastotasi uchun majburiy talablar mavjudligini ko'rib chiqaylik:

Rossiya FSTEC buyrug'i 21-son
“8.8. Shaxsiy ma'lumotlar xavfsizligini nazorat qilish (tahlil qilish) bo'yicha chora-tadbirlar axborot tizimi xavfsizligini tahlil qilish va shaxsiy ma'lumotlarni himoya qilish tizimining ishlashini sinash bo'yicha tizimli chora-tadbirlarni amalga oshirish orqali axborot tizimida qayta ishlangan shaxsiy ma'lumotlarning xavfsizlik darajasini nazorat qilishni ta'minlashi kerak. .
ANZ.1 Axborot tizimining zaifliklarini aniqlash, tahlil qilish va yangi aniqlangan zaifliklarni tezda bartaraf etish
ANZ.2 Axborot xavfsizligi dasturiy ta'minotini yangilashni o'z ichiga olgan dasturiy ta'minot yangilanishlarini o'rnatish monitoringi
ANZ.3 Dasturiy ta'minot va axborot xavfsizligi vositalarining ishlashi, sozlamalari va to'g'ri ishlashini nazorat qilish
ANZ.4 Uskuna, dasturiy ta'minot va axborot xavfsizligi vositalari tarkibini nazorat qilish.

GOST R 51583-2014 himoyalangan dinamiklarni yaratish tartibi

Xavfsizlikni tahlil qilish talablarini o'z ichiga olgan boshqa qoidalarni topishning iloji bo'lmadi

Bu shuni anglatadiki, Rossiya Federatsiyasining huquqiy hujjatlarida tartib va ​​chastota uchun talablarni o'z ichiga olmaydi xavfsizlik tekshiruvlarini o'tkazish, mos ravishda profillarni skanerlash sozlamalari, zaifliklarni tahlil qilish chastotasi operator tomonidan mustaqil ravishda belgilanadi
U bu tartib va ​​chastotani qanday aniqlashi mumkin?

· katta ehtimol bilan axborot tizimining xususiyatlari va tanqidiyligi, foydalaniladigan dasturiy ta'minot tarkibi va dasturiy ta'minotni yangilashning ichki qoidalaridan kelib chiqish kerak;

· Shuningdek, skanerlash natijalariga ko‘ra, zaifliklar to‘g‘risida hisobot hosil qilishini tushunishingiz kerak, bu esa hali ishlab chiqilishi kerak - zaifliklarni bartaraf etish va etishmayotgan yangilanishlarni o‘rnatish. Mas'ul odamlar hisobotni qayta ishlash va zaifliklarni tuzatish uchun vaqtlari bo'lganidan ko'ra, skanerlashni tez-tez o'tkazishning ma'nosi yo'q. Skanerlash chastotasi > zaiflik hisobotini qayta ishlash uchun o'rtacha vaqt

· skanerlash tartibi va davriyligini aniqlashda axborot tizimi operatori axborot xavfsizligi sohasidagi o‘z tajribasiga, xavfsizlikni tahlil qilish bo‘yicha faoliyatni amalga oshirish tajribasiga, tashqi ekspertlar va FSTEC litsenziatlarining tavsiyalariga, shuningdek, maqomga ega hujjatlarga asoslanishi mumkin. “Tavsiya etilgan” yoki “eng yaxshi amaliyotlar”

· xavfsizlikni tahlil qilish choralari bo'lishi kerakligini hisobga olish kerak tizimli(FSTEC 21-son buyrug'ining 8.8-bandi) va bo'lishi kerak yetarli joriy tahdidlarni zararsizlantirish (Hukumatning 1119-sonli qarorining 2-bandi)

Keling, eng yaxshi uslubiy hujjatlar va eng yaxshi amaliyotlarda nima borligini ko'rib chiqaylik:

GOST R ISO/IEC 27002-2012
“12.6 Texnik zaifliklarni boshqarish
Maqsad: nashr etilgan texnik zaifliklardan foydalanish natijasida yuzaga keladigan xavflarni kamaytirish.

Texnik zaifliklarni boshqarish samarali, tizimli va takrorlanadigan tarzda amalga oshirilishi kerak, uning samaradorligini tasdiqlash uchun o'lchovlar o'tkazilishi kerak. Ushbu mulohazalar boshqariladigan tizimlar va foydalanilayotgan boshqa amaliy dasturlarga taalluqli bo'lishi kerak.
12.6.1 Texnik zaifliklarni boshqarish

Nazorat va boshqaruv chorasi va vositalari

Amaldagi axborot tizimlarining texnik zaifliklari haqida o'z vaqtida ma'lumot olish, tashkilotning bunday zaifliklarga duchor bo'lishini baholash va ular bilan bog'liq xavfni bartaraf etish uchun tegishli choralarni ko'rish kerak.

Doimiy yangilanadigan va to'liq aktivlar inventarizatsiyasi (7.1-bandga qarang) texnik zaifliklarni samarali boshqarish uchun zaruriy shartdir. Texnik zaifliklarni boshqarishni qo'llab-quvvatlash uchun zarur bo'lgan maxsus ma'lumotlarga dasturiy ta'minot sotuvchisi, versiya raqamlari, joriy joylashtirish holati (masalan, qaysi tizimlarda o'rnatilgan dasturiy ta'minot) va tashkilotdagi dasturiy ta'minot uchun mas'ul shaxs(lar) haqida ma'lumotlar kiradi.

Xuddi shunday, mumkin bo'lgan texnik zaifliklarni aniqlashga javoban o'z vaqtida choralar ko'rish kerak. Texnik zaifliklarni samarali boshqarish jarayonini yaratish uchun quyidagi tavsiyalarga amal qilish kerak:
a) tashkilot zaifliklarni nazorat qilish, zaiflik xavfini baholash, dasturiy ta'minotni tuzatish, aktivlarni kuzatish va boshqa har qanday muvofiqlashtirish funktsiyalarini o'z ichiga olgan texnik zaifliklarni boshqarish bilan bog'liq rol va mas'uliyatni belgilashi va belgilashi kerak;
b) muhim texnik zaifliklarni aniqlash va xabardor qilishni ta'minlash uchun foydalaniladigan axborot resurslari aktivlarni inventarizatsiya qilish ro'yxati asosida dasturiy ta'minot va boshqa texnologiyalar uchun aniqlanishi kerak (7.1.1 ga qarang); ushbu axborot resurslari inventarizatsiyaga kiritilgan o'zgartirishlar yoki boshqa yangi yoki foydali resurslar topilganda yangilanishi kerak;
v) potentsial ahamiyatli texnik zaifliklar to'g'risidagi xabarlarga javob berish vaqtini aniqlash zarur;
d) potentsial texnik zaiflik aniqlangandan so'ng, tashkilot u bilan bog'liq xavflarni va amalga oshirilishi kerak bo'lgan harakatlarni aniqlashi kerak; bunday harakatlar ta'sirlangan tizimlarni tuzatish va/yoki boshqa boshqaruv va boshqarish vositalarini amalga oshirishni o'z ichiga olishi mumkin;
e) Texnik zaiflikni qanchalik zudlik bilan bartaraf etish zarurligiga qarab, ko'rilgan choralar o'zgarishlarni boshqarish bilan bog'liq boshqaruv vositalariga (12.5.1-ga qarang) yoki axborot xavfsizligi hodisalariga javob berish tartib-qoidalariga muvofiq amalga oshirilishi kerak (13.2-bandga qarang);
f) agar yamoqni o'rnatish mumkin bo'lsa, uni o'rnatish bilan bog'liq xavflarni baholash kerak (zaiflikdan kelib chiqadigan xavflarni yamoqni o'rnatish xavfi bilan solishtirish kerak);
g) o'rnatishdan oldin yamoqlarni sinab ko'rish va ularning samarali ekanligiga ishonch hosil qilish va ularga yo'l qo'ymaslik kerak bo'lgan nojo'ya ta'sirlarga olib kelmasligini tekshirish kerak; Agar yamoqni o'rnatish imkoni bo'lmasa, boshqa boshqaruv va boshqaruv elementlarini hisobga olish kerak, masalan:
1) zaiflik bilan bog'liq xizmatlarni o'chirish;
2) tarmoq chegaralaridagi xavfsizlik devorlari kabi kirishni boshqarish vositalarini moslashtirish yoki qo'shish (11.4.5 ga qarang);
3) haqiqiy hujumlarni aniqlash yoki oldini olish uchun kengaytirilgan monitoring;
4) zaifliklardan xabardorlikni oshirish;
h) audit tekshiruvi barcha amalga oshirilgan protseduralarni qayd etishi kerak;
i) texnik zaifliklarni boshqarish jarayoni uning samaradorligi va samaradorligini ta'minlash uchun muntazam ravishda monitoring qilinishi va baholanishi kerak;
j) Yuqori xavfli tizimlarga ustuvorlik berilishi kerak.

qo'shimcha ma'lumot

Texnik zaiflikni boshqarish jarayonining to'g'ri ishlashi ko'plab tashkilotlar uchun muhim va jarayon muntazam ravishda kuzatilishi kerak. Muhim texnik zaifliklarni aniqlash uchun aniq inventarizatsiya muhim ahamiyatga ega.

Texnik zaifliklarni boshqarish o'zgarishlarni boshqarishning kichik funksiyasi sifatida ko'rib chiqilishi mumkin va shuning uchun o'zgarishlarni boshqarish jarayonlari va protseduralaridan foyda olish mumkin (10.1.2 va 12.5.1-ga qarang).

Sotuvchilar ko'pincha yamoqlarni iloji boricha tezroq chiqarish uchun sezilarli bosimga duch kelishadi. Shuning uchun, yamoq muammoni etarli darajada hal qila olmaydi va yon ta'sirga ega bo'lishi mumkin. Bundan tashqari, ba'zi hollarda, yamoq qo'llanilgandan so'ng, uni o'chirish oson bo'lmasligi mumkin.

Agar yamoqlarni adekvat sinovdan o'tkazishning iloji bo'lmasa, masalan, xarajat yoki resurslar etishmasligi sababli, boshqa foydalanuvchilarning tajribasiga asoslangan bog'liq xavflarni baholash uchun o'zgarishlarni amalga oshirishdagi kechikish ko'rib chiqilishi mumkin.

RS BR IBBS-2.6-2014
"10. Operatsion bosqichi
10.1. Axborot xavfsizligini ta'minlash bo'yicha operatsion bosqichdagi asosiy vazifalar:
- ABS xavfsizligini davriy baholash (ABS dasturiy komponentlarining tipik zaifliklarini aniqlash bo'yicha chora-tadbirlarni amalga oshirish, kirish testlari);
10.2. Xavfsizlikni baholash bo'yicha ishlarning chastotasi qaror bilan belgilanadi
RF BS tashkilotlari. Bank to'lov texnologiyasini amalga oshirish uchun foydalaniladigan asosiy bank tizimlari uchun
mantiqsiz jarayon, u emas, balki keng qamrovli xavfsizlik baholash o'tkazish tavsiya etiladi
yiliga bir martadan kam"

Rossiya FSTECning "Davlat axborot tizimlarida axborotni himoya qilish choralari" uslubiy hujjati., shuningdek, operatorning ixtiyoriga ko'ra shaxsiy ma'lumotlarning xavfsizligini ta'minlash uchun ham foydalanish mumkin
“ANZ.1 AXBOROT TIZIMINING XAVFSIZLIKLARINI ANIQLASH, TAHLIL VA BERK ETISH.
Zaifliklarni aniqlash (qidirish), tahlil qilish va bartaraf etish axborot tizimini yaratish va ishlatish bosqichlarida amalga oshirilishi kerak. Operatsion bosqichda zaifliklarni qidirish va tahlil qilish operator tomonidan belgilangan vaqt oralig'ida amalga oshiriladi. Shu bilan birga, bu majburiydir muhim zaifliklar uchun zaifliklarni qidirish va tahlil qilish amalga oshiriladi ochiq manbalarda e'lon qilingan taqdirda axborot tizimida foydalaniladigan axborot xavfsizligi vositalari, apparat va dasturiy ta’minotdagi yangi zaifliklar haqida ma’lumot.
ANZ.1 ni mustahkamlash uchun talablar:
2) operator axborot tizimida skanerdan o‘tkazilgan zaifliklar ro‘yxatini o‘zi belgilagan chastotada, shuningdek yangi zaifliklar to‘g‘risidagi ma’lumotlar paydo bo‘lgandan keyin yangilashi shart;”

· FSTEC uslubiy hujjati asosida - xavfsizlik tahlili muhim zaiflik yoki yangilanish to'g'risidagi ma'lumotlar e'lon qilinganidan keyin majburiy ravishda amalga oshirilishi kerak;

· Windows OS uchun bunday zaifliklar o'rtacha ko'rinadi oylik;

· mening fikrimcha, joriy tahdidlarni zararsizlantirishni ta'minlash uchun hech bo'lmaganda skanerlar yordamida xavfsizlik tahlili o'tkazilishi kerak. har chorakda

· nimani va qanday tekshirishni aniqlashda boshlang'ich nuqta sifatida siz RS BR IBBS-2.6-2014 xavfsizlikni baholash bo'yicha tavsiyalar 3-ilovadan foydalanishingiz mumkin - "Ma'lum zaifliklarni aniqlash" 2-bo'limi

Axborot xavfsizligini kamsitmaydigan ma'lumotlardan tekshirish axborotni himoya qilish choralari samaradorligini belgilangan talablarga yoki axborot xavfsizligi standartlariga muvofiqligini tekshirishni o'z ichiga oladi. Oldingi ma'ruzalarda muhokama qilgan NSD dan himoya vositalarining barcha guruhlari sinovdan o'tkaziladi.

Muvofiqligi tekshiriladi himoyalangan axborotni real jarayonga qayta ishlash va saqlashning texnologik jarayonining tavsiflari.

Imkoniyat baholanmoqda yuqori darajadagi maxfiylik ma'lumotlarini quyi darajadagi axborot tashuvchisiga o'tkazish.

Tahlil qilinmoqda ma'lum OTSS va xodimlar xodimlariga taalluqli ob'ektlar va kirish ob'ektlari o'rtasidagi ruxsat etilgan va taqiqlangan aloqalar.

Muvofiqlik baholanadi ishlov berishning barcha bosqichlarida xodimlarning himoyalangan resurslarga kirishiga ruxsat berish tizimiga ruxsat etilgan va taqiqlangan ulanishlar.

Tekshirish, qoida tariqasida, dasturiy ta'minot va apparat-dasturiy ta'minot xavfsizligini nazorat qilish vositalaridan foydalangan holda amalga oshiriladi. Misol tariqasida bitta kompaniyaning "Axborot xavfsizligi markazi" MChJ mahsulotlarini ko'rib chiqaylik.

NSD "Inspector 2 XP" dan xavfsizlikni boshqarish vositasi axborot resurslariga kirish ruxsatlarini boshqarish uchun mo'ljallangan.

  • PRD tarkibidagi barcha ma'lumotlarni ko'rsatish (faqat ko'rish mumkin);
  • ish ruxsatnomasida tasvirlangan AWS resurslari tuzilmasini resurslarning haqiqiy tuzilishi bilan solishtirish;
  • taqqoslash natijalari asosida hisobot tuzish;
  • avtomatlashtirilgan ish joyi ob'ektlari uchun sinov rejasini tuzish;
  • ob'ektlarga kirish uchun haqiqiy foydalanuvchining kirish huquqlarini tekshirish;
  • test natijalari to'g'risida hisobot yaratish.

Tarmoq skaneri "Network Inspector" 3.0 versiyasi o'rnatilgan tarmoq dasturiy ta'minoti va TCP/IP stek protokollaridan foydalanadigan apparat vositalaridagi zaifliklarni aniqlash uchun mo'ljallangan. Tizim keng imkoniyatlarga ega, ulardan biri FSTEC tahdidlar va zaifliklar ma'lumotlar bazasida mavjud zaifliklarni qidirishdir. Bundan tashqari, dastur cve.mitre da mavjud zaifliklarni qidiradi. org, ovaldb.altx-soft.ru, microsoft. com va boshqa manbalar.

FIX dasturiy ta'minot paketining dastlabki holatini tuzatish va monitoring qilish vositasi yaxlitlikni ta'minlash quyi tizimini boshqarish uchun mo'ljallangan. Dasturning asosiy xususiyatlari:

  • dasturiy ta'minot paketining dastlabki holatini tuzatish;
  • dasturiy ta'minot paketining dastlabki holatini kuzatish;
  • ma'lumotnomalarni aniqlash va nazorat qilish;
  • belgilangan fayllar (kataloglar)dagi farqlarni nazorat qilish;
  • uzun fayl nomlari va kirillcha belgilarni o'z ichiga olgan nomlar bilan ishlash qobiliyati.

"TERRIER" disklaridagi ma'lumotlarni qidirish va kafolatlangan yo'q qilish dasturi ma'lumotlarning yo'q qilinishini nazorat qilish imkonini beradi. Tekshirish uchun siz maxfiy mantiqiy diskda belgilarning boshqaruv birikmasi bilan fayl yaratishingiz, "TERRIER" yordamida sektorlarni aniqlashingiz, standart vositalar yordamida faylni o'chirishingiz va TERRIER yordamida uni o'chirishni boshqarishingiz kerak.

18.4. Nazorat natijalarini hujjatlashtirish. Axborot xavfsizligini boshqarish vositalariga qo'yiladigan talablar

Shuni ta'kidlash kerakki, axborot xavfsizligi choralari samaradorligini nazorat qilish vositalariga, shuningdek, bunday vositalarni ishlab chiqaruvchilarga nisbatan qat'iy talablar qo'yiladi. Hukumatning 2012-yil 3-martdagi 171-son qarori bilan tasdiqlangan “Maxfiy axborotni muhofaza qilish vositalarini ishlab chiqish va ishlab chiqarish faoliyatini litsenziyalash to‘g‘risidagi nizom”ga muvofiq axborotni muhofaza qilish bo‘yicha chora-tadbirlar samaradorligini monitoring qilishning texnik vositalarini ishlab chiqish va ishlab chiqarish; litsenziyalanishi kerak. Va ishlab chiqilgan va ishlab chiqarilgan himoya choralari samaradorligini nazorat qilish vositalarining o'zi bo'lishi kerak muvofiqlik sertifikati FSTEC Rossiya Federatsiyasi Hukumatining 1995 yil 26 iyundagi 608-sonli "Axborot xavfsizligi vositalarini sertifikatlash to'g'risida" gi qarori talablariga muvofiq.

Himoya samaradorligini monitoring qilish axborot ob'ektining axborot xavfsizligiga muvofiqligini qisqacha baholash, qoidabuzarliklarni bartaraf etish bo'yicha aniq tavsiyalar, axborot ob'ektini himoya qilish tizimini belgilangan talablarga muvofiqlashtirish, takomillashtirish bo'yicha xulosalar berish bilan yakunlanadi. ushbu tizim va axborot ob'ektining ishlashini monitoring qilish bo'yicha tavsiyalar. Xulosaga sinovlar davomida olingan natijalarni tasdiqlovchi va xulosada berilgan xulosani asoslovchi test hisobotlari ilova qilinadi.

1. Texnik axborotni muhofaza qilish ishlarini tashkil etish:

1.1.Davlat va rasmiy sirlarga mansub maʼlumotlarni muhandislik-texnik xodimlardan hamda texnik kanallar orqali chiqib ketishdan texnik himoya qilishni tashkil etish:

  • texnik axborot xavfsizligi masalalari bo'yicha yo'riqnomalar va me'yoriy-texnik hujjatlarning mavjudligi;
  • texnik axborotni muhofaza qilish bo'yicha tarkibiy bo'linmalarning faoliyatini tartibga soluvchi hujjatlar mavjudligi (vazifalar, funktsional majburiyatlar va boshqalar);
  • texnik kanallar orqali axborot chiqib ketishining real xavfini tahlil qilish va baholash, himoya qilinishi kerak bo‘lgan axborot chiqib ketishining mumkin bo‘lgan texnik kanallarini aniqlashning to‘liqligi va to‘g‘riligi;
  • axborotni muhofaza qilish bo'yicha tashkiliy-texnik tadbirlar ishlab chiqishning to'liqligi, sifati va asosliligi, ularni amalga oshirish tartibi;
  • texnik axborot xavfsizligi holatini, uning samaradorligini tashkil etish va nazorat qilish tartibi;
  • boshqaruv hujjatlari talablariga, Rossiya Davlat texnik komissiyasining qarorlariga, texnik ma'lumotlarni himoya qilish bo'yicha normativ, texnik va uslubiy hujjatlarga rioya qilishning o'z vaqtida va to'liqligi.

1.2. Himoya qilinishi kerak bo'lgan axborot xavfsizligini ta'minlash bo'yicha tarkibiy bo'linmalar (mas'ul mansabdor shaxslar) faoliyatini, ular hal qiladigan vazifalarni va funktsional majburiyatlarini o'rganish va tahlil qilish.

1.3. Tarkibiy bo'linmalarda aylanib yuradigan ma'lumotlarga razvedka kirishini tavsiflovchi materiallarni tahlil qilish. 1000 metrlik zonada ekstraterritoriallik huquqiga ega xorijiy vakolatxonalar va xorijiy mutaxassislarning yashash joylari mavjudligini aniqlash.

1.4 Himoya qilinishi kerak bo'lgan ma'lumotlar ro'yxatini o'rganish va tahlil qilish:

  • texnik razvedka vositalaridan va texnik kanallar orqali sizib chiqishdan himoyalanishi kerak bo'lgan ma'lumotlar ro'yxatining mavjudligi:
  • ushbu ma'lumotni ochib beradigan belgilarni aniqlashning to'liqligi va to'g'riligi;

1.5 Axborot xavfsizligi tizimining mavjudligi:

  • rossiya Federatsiyasida davlat organlarining yagona tizimiga kiruvchi tashkilotlar va idoralar faoliyatini tartibga soluvchi tashkiliy-ma'muriy hujjatlarda axborotni texnik muhofaza qilish bo'yicha vazifalarning mavjudligi;
  • vazirlik (idora) markaziy apparatida hamda unga qarashli korxona, tashkilot va muassasalarda axborotni texnik muhofaza qilish ishlarini tashkil etish va amalga oshirish;
  • texnik axborot xavfsizligi masalalari bo'yicha boshqa vazirliklar (idoralar) va boshqa uchinchi tomon tashkilotlari bilan o'zaro hamkorlik qilish;
  • ular bilan ishlovchi vazirlik (idora)ga bo‘ysunuvchi va unga bo‘ysunuvchi barcha korxona, muassasa va tashkilotlarda davlat va xizmat sirlarini tashkil etuvchi ma’lumotlarni himoya qilish samaradorligi ustidan nazoratni ta’minlash.

1.6 Vazirlik (idora) va unga qarashli korxona, tashkilot va muassasalar faoliyati davomida davlat siriga kiruvchi ma’lumotlar to‘g‘risidagi ma’lumotlarni oshkor qilishning mumkin bo‘lgan texnik kanallarini tahlil qilish.

1.7 Tarkibiy bo'linmalar faoliyati davomida axborot oqimlarini tahlil qilish.

1.8 Axborotni qayta ishlashda ishtirok etuvchi apparat va dasturiy ta'minotning tarkibi, ularning joylashuvi, axborotni qayta ishlash texnologiyasi va uni himoya qilish holatini tahlil qilish:

  • himoya qilinishi lozim bo‘lgan axborotni qayta ishlashga jalb qilingan mahalliy va import ishlab chiqarishning barcha texnik va dasturiy ta’minotini hisobga olish holati;
  • elektron asbob-uskunalarni joylashtirish, TSPI (ular o'rnatilgan binolarga asoslanib), nazorat qilinadigan hududdan tashqarida joylashgan axborot va axborot bo'lmagan sxemalarni yotqizish yo'llari.

1.9 Avtomatlashtirilgan boshqaruv tizimlarida, kompyuterlarda va boshqa texnik vositalarda qayta ishlangan ma'lumotlarning mavjudligi tahlilini o'tkazish.

1.10 Axborot resurslariga texnik xizmat ko'rsatuvchi va ekspluatatsion xodimlarning kirishini tashkil etish va haqiqiy holatini o'rganish.

2. Axborot xavfsizligi holatini monitoring qilish:

Axborot-kommunikatsiya tizimlari va vositalarida axborot xavfsizligini tashkil etish:

  • davlat va rasmiy sirlarga mansub ma’lumotlarni qayta ishlashda ishtirok etuvchi avtomatlashtirish va aloqa tizimlari hamda vositalarini sertifikatlashdan o‘tkazish;
  • O'rnatilgan qurilmalarni aniqlash uchun maxsus tekshiruvlar o'tkazish;
  • axborotni qayta ishlash jarayonlarini, hisobga olishni, saqlashni, magnit tashuvchilardan foydalanishni avtomatlashtirish uchun mas'ul bo'lgan tarkibiy bo'linmalar faoliyati, axborot xavfsizligi uchun mas'ul shaxslarning javobgarligi;
  • axborot xavfsizligi tizimini o‘z vaqtida va to‘g‘ri joriy etish, maxfiy ma’lumotlarni qayta ishlashga ruxsat olish;
  • texnik vositalar va ularning alohida elementlarini to'g'ri joylashtirish va ulardan foydalanish;
  • yon elektromagnit nurlanish va shovqinlar, elektroakustik transformatsiyalar natijasida ma'lumotlarni sizib chiqishidan himoya qilish uchun qo'llaniladigan chora-tadbirlar;
  • ma'lumotlarga ruxsatsiz kirishning oldini olish, shuningdek, binolar va muhofaza qilinadigan ob'ektlardan ovozli ma'lumotni texnik vositalar yordamida ushlash bo'yicha ko'riladigan choralar.

2.1 Ruxsatsiz kirishdan (NAD)

Dasturiy ta'minot va axborot resurslarining ruxsatsiz kirishdan himoyalanish holatini tekshirishda quyidagi chora-tadbirlarni amalga oshirish tavsiya etiladi:

2.1.1 Avtomatlashtirilgan tizim sinfini, foydalaniladigan operatsion tizimni, ruxsatsiz kirishdan himoya qilish tizimini va boshqa matematik dasturlarni aniqlang. 2.1.2 AS yoki SVTda aylanayotgan axborotni texnik muhofaza qilish bo'yicha tashkiliy-texnik tadbirlarning bajarilishini tekshirish. 2.1.3 Dasturiy ta'minot va apparatni himoya qilish vositalarining mavjudligi, o'rnatish sifati va ishlash tartiblarini tekshirish. 2.1.4 AS va SVT tomonidan qayta ishlangan axborot xavfsizligi vositalarining nazorat sinovlarini tayyorlash va o'tkazish, mashina sinovlari hisobotlarini yaratish va ularni tahlil qilish. 2.1.5 Sinov natijalarini tahlil qilish va himoya vositalarining haqiqiy xususiyatlarini, ularning avtomatlashtirilgan tizimning xavfsizlik ko'rsatkichlariga muvofiqligini aniqlash. 2.1.6 Maxsus dasturiy ta'minot ta'sirining yo'qligi uchun bir yoki bir nechta shaxsiy kompyuterlarning (alohida yoki mahalliy kompyuter tarmoqlarining bir qismi) dasturiy ta'minoti va axborot ta'minoti bo'yicha so'rov o'tkazish:

  • kompyuter dasturlari va ma'lumotlarini kompyuter "viruslari" bilan yuqtirishning bilvosita va bevosita belgilari to'g'risidagi ma'lumotlarni tahlil qilish;
  • Axborotni maxsus dasturiy ta'sirlardan himoya qilishni tashkil etish bo'yicha sxema-texnik, dasturiy-apparat, tashkiliy va boshqa echimlarni tahlil qilish, "viruslar" kirib borish kanallarini aniqlash uchun dasturiy mahsulotni olish usullari va undan foydalanish tartibi. hujumchilar tomonidan AS yoki SVT ga maxsus dasturlarni kiritish;
  • dasturiy ta'minot va axborotni qo'llab-quvvatlash, umumiy tizim va amaliy dasturiy ta'minotning yaxlitligini monitoring qilish va axborotni buzish (yo'q qilish) uchun yashirin dasturiy mexanizmlarni qidirish.

2.2 Yon elektromagnit nurlanish va shovqin (PEMIN) tufayli ma'lumotlarning oqib chiqishiga qarshi

2.2.1 Mavjud test dasturlarining qo'llanilishini tahlil qilish yoki sinovdan o'tkazilayotgan ushbu texnik vosita uchun yangilarini ishlab chiqish.
2.2.2 Dastlabki ma'lumotlarga asoslanib, instrumental nazorat qilish uchun axborotni uzatish, saqlash va qayta ishlashning texnik vositalarini tanlang.
2.2.3 PEMIN bilan himoyalangan texnik jihozlarning oqishidan himoya qilish samaradorligini instrumental monitoringini amalga oshirish.

2.3 Interferentsiya va akustik maydon tufayli ajratilgan xonalarda aylanib yuradigan nutq ma'lumotlarining sizib chiqishidan

Belgilangan binolarda aylanayotgan nutq ma'lumotlarining himoya holatini tekshirishda quyidagilar tavsiya etiladi:

2.3.1 Boshqaruv xodimlarining ofis binolarida, shuningdek, maxfiy muzokaralar olib boriladigan yoki maxfiy ma'lumotlarni qayta ishlash uchun texnik vositalar o'rnatilgan binolarda aylanib yuradigan nutq ma'lumotlarining mavjudligini tahlil qilish.

  • ajratilgan binolarni va ularda o'rnatilgan asosiy (OTSS) va yordamchi texnik tizimlar va inshootlarni (VTSS) joylashtirish shartlarini, ularni joylashtirish sxemalarini va ulash liniyalarini yotqizish marshrutlarini o'rganish;
  • nazorat qilinadigan zona (GKZ) chegarasidan tashqariga chiqadigan chiziqlarni aniqlash;
  • razvedka holatini aniqlashtirish, xavfli razvedka yo'nalishlarini va akustik razvedka jihozlarining mumkin bo'lgan joylarini aniqlash;
  • nutq ma'lumotlarini himoya qilish bo'yicha ishchi hujjatlarning mavjudligi va sifatini tekshirish;

2.3.2 Belgilangan binolarda aylanib yuradigan nutq ma'lumotlarini himoya qilish bo'yicha tashkiliy-texnik chora-tadbirlarning bajarilishini tekshirish. Bunday holda, quyidagi chora-tadbirlar majmuasini amalga oshirish tavsiya etiladi:
  • TSPI ma'lumotlarini uzatish, saqlash va qayta ishlash (barcha belgilangan binolarni chetlab o'tish) texnik vositalarining foydalanish yo'riqnomasi va foydalanish tartibi talablariga muvofiqligini tekshirish;
  • ajratilgan binolarni toifalarga ajratishning o‘z vaqtida va to‘g‘riligini, foydalanishga topshirishda ularni sertifikatlash tartibini hamda maxfiy tadbirlarni o‘tkazish va konfidensial muzokaralar olib borish huquqiga ruxsat berish tartibini tekshirish;
  • nutq ma'lumotlarini texnik kanallar orqali sizib chiqishidan himoya qilish vositalarining mavjudligi, o'rnatish sifati va ishlash tartibini tekshirish;
  • texnik jihozlarni maxsus ko'rikdan o'tkazish talablariga muvofiqligini tekshirish (maxsus emissiya qurilmalari yo'qligi uchun);

2.3.3 Texnik qochqinning mumkin bo'lgan kanallarini aniqlash uchun TSPI tomonidan qayta ishlangan va uzatiladigan ajratilgan binolarda aylanayotgan ovozli ma'lumotlar xavfsizligini instrumental monitoringini o'tkazish:

. Rossiya Federatsiyasining "Davlat sirlari to'g'risida" gi qonuni talablariga rioya etilishini nazorat qilish

Chet el fuqarolarini qabul qilish tartibi va uning normativ hujjatlar talablariga muvofiqligi. Xorijiy vakillar tashkilotlarga (korxonalarga) tashrif buyurishda qo'llaniladigan axborot xavfsizligi choralarini baholash. Qarshi razvedka mutaxassislarining axborot sizib chiqishining mumkin bo'lgan kanallarini tahlil qilishda ishtirok etish, sertifikatlashtirish va xorijiy mutaxassislarni qabul qilishdan oldin va keyin binolarni maxsus tekshirish. Qabul qilish dasturlari mavjudligi, FSB organlari bilan muvofiqlashtirish. Axborotni texnik himoya qilish bo'yicha qo'shimcha chora-tadbirlarni ishlab chiqish va amalga oshirish (agar kerak bo'lsa).
3.1 Davlat sirlari bilan bog'liq masalalarni hal qilishni ta'minlaydigan tarkibiy bo'linmalar, xodimlar, ularning tayyorgarlik darajasi, malakasi mavjudligini tekshirish. 3.2 Rossiya Federatsiyasining "Davlat sirlari to'g'risida" gi qonunini amalga oshirish bilan bog'liq ishlarni bajarish huquqiga litsenziyaning mavjudligini tekshirish, ham oddiy tarkibiy bo'linmalarda, ham tashqi tashkilotlarda texnik muhofaza qilish bo'yicha ishlarni (xizmatlarni ko'rsatishni) amalga oshirish. vazirlik (idora) va unga bo'ysunuvchi korxonalar, tashkilotlar va muassasalarning manfaatlarini ko'zlab axborot. 3.3 Axborotni texnik muhofaza qilish masalalari bo'yicha yo'l-yo'riqli hujjatlar mavjudligini va ularning mazmunini tekshirish ("Davlat sirlari to'g'risida" gi RF qonuni, himoya qilinishi kerak bo'lgan ma'lumotlar ro'yxati ... va boshqalar). 3.4 Bo'limlarda maxfiylik rejimining holatini va uning ish yuritish bo'yicha boshqaruv hujjatlariga (binolarni jihozlash, maxfiy hujjatlarni hisobga olish va saqlash, ish yuritish va maxfiy hujjatlarga kirish) muvofiqligini tekshirish. 3.5 Texnik axborotni muhofaza qilish bo'yicha boshqaruv hujjatlari talablarini bo'limlar xodimlariga etkazishning o'z vaqtida va to'g'riligini, ularni xodimlar tomonidan bilishini tekshirish. 3.6 Texnik vositalardan (elektronika, TSPI, orgtexnika va boshqalar) foydalanishda ma'lumotlarning maxfiylik darajasiga ko'ra turkumlanishining to'g'riligini, uni hisobga olish va saqlash tartibini tekshirish. 3.7 Maxfiy hujjatlarni chop etish (ko'paytirish) to'g'riligini, ularni yozib olish va ularni ijrochilarga etkazish tartibini tekshirish. 3.8 Xodimlarni maxfiy ma'lumotlar bilan ishlashga ruxsat berish tartibini tekshirish. 3.9 Hujjatlarning maxfiylik (maxfiylik) darajasini pasaytirish bo'yicha ishlarning tashkil etilishini tekshirish va ma'lumotlarni ijrochilarga etkazish. 3.10 Himoya qilinadigan axborotni qayta ishlashga jalb qilingan ajratilgan binolar va texnik vositalar uchun “Muvofiqlik sertifikatlari” va axborotni texnik muhofaza qilish vositalariga sertifikatlash hujjatlari mavjudligini tekshirish va uning samaradorligini nazorat qilish.

4. Litsenziatlarni tekshirishda e'tiborga olinadigan masalalar

4.1 Tekshirildi:
  • axborotni texnik muhofaza qilish bo‘yicha ishlarni amalga oshirish huquqiga litsenziyaning (ruxsatnomaning) mavjudligi, litsenziyaning belgilangan muddatlarda amal qilishini va litsenziat tomonidan amalda bajariladigan ishlarga muvofiqligini tekshirish (1.5)*;
  • litsenziatda tadbirkorlik faoliyatini davlat ro‘yxatidan o‘tkazish to‘g‘risidagi hujjatlar va korxona ustavi (1.7)* bo‘lsa;
  • ishlab chiqarish va sinov bazasining holati, e'lon qilingan faoliyat turlari bo'yicha ishlarni bajarish uchun me'yoriy-uslubiy hujjatlarning mavjudligi (1.6)*;
  • e'lon qilingan faoliyat turlari bo'yicha ishlarni amalga oshirish uchun ilmiy, muhandislik-texnik xodimlar bilan ta'minlash. Mutaxassislarning ishlarni bajarishga tayyorlik darajasi (1.6)*;
  • litsenziat korxona rahbarining va (yoki) u tomonidan litsenziyalanadigan faoliyatni boshqarishga vakolat berilgan shaxslarning kasbiy tayyorgarligi (1.7)*;
  • litsenziat xizmatlaridan foydalangan jismoniy va yuridik shaxslarning maxfiy va moddiy boyliklarining saqlanishini ta’minlash bo‘yicha shartnoma majburiyatlarini bajarish (2.4)*;
  • davlat litsenziyalovchi organiga yoki litsenziyalash markaziga Rossiya Davlat texnik komissiyasining talablariga muvofiq litsenziyada ko'rsatilgan muayyan faoliyat turlari bo'yicha bajarilgan ishlar to'g'risidagi ma'lumotlarni taqdim etishning o'z vaqtida va to'liqligi (2.4)*;
  • litsenziat tomonidan ko'rsatiladigan xizmatlar sifati (litsenziat xizmatlaridan foydalangan 1-3 ta iste'molchi korxonalarda litsenziatlar tomonidan ma'lumotlarni texnik muhofaza qilish bo'yicha ko'rilgan chora-tadbirlar samaradorligini baholash (3.2)*).

4.2 Litsenziatlar faoliyatini tekshirish natijalari vazirliklar (idoralar) hamda ularga bo‘ysunuvchi korxonalar, tashkilotlar va muassasalar faoliyatini rejali tekshirish natijalari bo‘yicha tuzilgan dalolatnoma yoki dalolatnomaning alohida bo‘limi shaklida aks ettiriladi. Olingan natijalar bo'yicha litsenziatning belgilangan talablarga muvofiqligi va belgilangan yo'nalishlarda kelgusida ishlarni amalga oshirish imkoniyati to'g'risida xulosa chiqariladi.

Eslatma: *) “Axborot xavfsizligi sohasidagi faoliyatni davlat litsenziyalash to‘g‘risidagi nizom” bo‘limlari qavs ichida ko‘rsatilgan.