Понятие и основные объекты контроля
Контроль — целенаправленная деятельность руководства и должностных лиц предприятия по проверке состояния защиты конфиденциальной информации в ходе его повседневной деятельности при выполнении предприятием всех видов работ.
Контроль за состоянием защиты конфиденциальной информации на предприятии организуется и проводится в целях определения истинного состояния дел в области защиты информации, оценки эффективности принимаемых для исключения утечки информации мер, выявления возможных каналов утечки сведений, выработки предложений и рекомендаций руководству предприятия по совершенствованию комплексной системы защиты информации.
Непосредственная организация и осуществление контроля над состоянием защиты конфиденциальной информации возлагаются на службу безопасности предприятия или его режимно-секретное подразделение.
В число основных объектов контроля за состоянием защиты информации входят:
- структурные подразделения предприятия, привлекаемые к выполнению работ конфиденциального характера;
- сотрудники предприятия, допущенные в установленном порядке к конфиденциальной информации, и ее носителям, и выполняющие работы с их использованием;
- служебные помещения, в которых проводятся работы с носителями конфиденциальной информации (документами, материалами, изделиями);
- места непосредственного хранения носителей конфиденциальной информации (хранилища, сейфы, шкафы), размещенные как в служебных помещениях службы безопасности (режимно-секретного подразделения), так и в служебных кабинетах сотрудников предприятия (филиала, представительства);
- непосредственно носители конфиденциальной информации (документы, материалы, изделия, магнитные носители).
Основные формы контроля за состоянием защиты информации на предприятии включают предварительный контроль, текущий контроль, заключительный контроль, повторный контроль.
Предварительный контроль проводится на этапе подготовки мероприятий и направлен на проверку соответствия спланированных мероприятий по защите информации требованиям нормативно-методических документов и специфике проведения конкретных работ.
Текущий контроль — оценка мер по защите информации, принимаемых в процессе выполнения предприятием (его структурными подразделениями) конкретных видов работ в рамках повседневной деятельности.
Заключительный контроль направлен на оценку состояния дел в сфере защиты информации в ходе проведения мероприятия и по его завершении и служит основой для формирования итоговых выводов об эффективности принимавшихся мер по исключению утечки конфиденциальной информации.
Повторный контроль проводится в целях проверки полноты устранения выявленных в ходе иных видов контроля недостатков (нарушений) и реализации предложений и рекомендаций по исключению их появления в дальнейшем.
Основные задачи контроля за состоянием защиты информации следующие:
- сбор, обобщение и анализ информации о состоянии системы защиты конфиденциальной информации предприятия;
- анализ состояния дел в области защиты информации в структурных подразделениях, а также в филиалах и представительствах предприятия;
- проверка наличия носителей конфиденциальной информации;
- проверка соблюдения всеми сотрудниками предприятия норм и правил, устанавливающих порядок обращения с носителями конфиденциальной информации;
- выявление угроз защите конфиденциальной информации и выработка мер по их нейтрализации;
- анализ полноты и качества выполнения спланированных мероприятий по защите информации в ходе повседневной деятельности предприятия;
- оказание практической помощи должностным лицам в устранении нарушений требований нормативно-методических документов;
- применение мер административной и дисциплинарной ответственности к лицам, нарушающим требования по порядку обращения с носителями конфиденциальной информации;
- проверка эффективности мер по защите конфиденциальной информации, принимаемых должностными лицами и руководителями структурных подразделений предприятия.
Основные методы контроля за состоянием защиты информации включают проверку, анализ, наблюдение, сравнение и учет.
