В число основных объектов контроля за состоянием защиты информации входят:
структурные подразделения предприятия, привлекаемые к выполнению работ конфиденциального характера;
сотрудники предприятия, допущенные в установленном порядке к конфиденциальной информации, и ее носителям, и выполняющие работы с их использованием;
служебные помещения, в которых проводятся работы с носителями конфиденциальной информации (документами, материалами, изделиями);
места непосредственного хранения носителей конфиденциальной информации (хранилища, сейфы, шкафы), размещенные как в служебных помещениях службы безопасности (режимно-секретного подразделения), так и в служебных кабинетах сотрудников предприятия (филиала, представительства);
непосредственно носители конфиденциальной информации (документы, материалы, изделия, магнитные носители).
Основные методы контроля за состоянием защиты информации включают проверку, анализ, наблюдение, сравнение и учет.
Основным и наиболее эффективным методом контроля за состоянием защиты информации на предприятии, а также в его филиалах и представительствах является проверка.
Проверки по объему проведения подразделяются на комплексные и частные, а по характеру (способу проведения) — на плановые и внезапные.
Комплексные проверки организуются и проводятся по всем направлениям защиты конфиденциальной информации. К их проведению привлекаются структурные подразделения, отвечающие за вопросы защиты информации на предприятии. Комплексные проверки охватывают все сферы повседневной деятельности предприятия (его структурного подразделения, филиала или представительства) и направлены на всестороннюю оценку состояния дел в области защиты конфиденциальной информации.
Результаты проверки оформляются в виде акта или справки-доклада и доводятся до сведения руководителя проверенного структурного подразделения (филиала, представительства). В итоговом документе перечисляются выявленные недостатки, а также формулируются предложения по их устранению, повышению эффективности работы должностных лиц (сотрудников) в области защиты информации. Проверяющие лица устанавливают конкретные сроки устранения выявленных недостатков и реализации предложений (рекомендаций).
Частные проверки организуются и проводятся по одному или нескольким направлениям (вопросам) защиты конфиденциальной информации в целях их глубокого изучения, анализа и оценки эффективности работы должностных лиц (сотрудников) предприятия (филиала, представительства) по этим направлениям.
По результатам частной проверки, как правило, готовится отдельный документ — справка.
Плановые проверки организуются заблаговременно, включаются в соответствующие планы мероприятий предприятия на календарный год и месяц. Как правило, такие проверки являются комплексными, и в состав комиссий по их проведению включаются представители подразделений, ответственных за деятельность по различным направлениям защиты конфиденциальной информации, способные оценить состояние и эффективность работы по конкретным вопросам.
Внезапные проверки организуются и проводятся при необходимости по указанию руководителя предприятия или его заместителя. Они могут проводиться как в масштабах предприятия, так и в его структурных подразделениях, филиалах или представительствах. Цель их проведения — проверка защиты конфиденциальной информации по всем или нескольким направлениям деятельности предприятия. Особенность организации таких проверок состоит в том, что они отсутствуют в планах на календарный год и проводятся внезапно. Организация работы комиссии и оформление результатов внезапных проверок в основном такие же, как при плановых проверках.
Особый вид проверок — контрольные проверки состояния защиты конфиденциальной информации. В ходе их проведения проверяется и оценивается полнота устранения недостатков, выявленных предыдущей проверкой, и реализация выработанных по ее результатам предложений (рекомендаций)
