Книга: Организация комплексной системы защиты информации
10.3. Контроль деятельности
10.3. Контроль деятельности
Контроль является одним из важнейших и необходимых направлений работ по ЗИ. Цель контроля выявить слабые места системы, допущенные ошибки, своевременно исправить их и не допустить повторения.
Процесс контроля включает три стадии:
1. Установление фактического состояния СЗИ;
2. Анализ сравнения фактического положения с заданным режимом, обстановкой и оценка характера допущенных отклонений и недоработок;
3. Разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации.
При принятии управленческого решения контроль выступает как источник информации, использование которого позволяет судить о содержании управленческой работы, ее качестве, результативности. Отказаться от контроля нельзя, так как это будет означать утрату информации и, следовательно, потерю управления. Контроль не является самоцелью и нужен для того, чтобы качественно обеспечить выполнение принятых решений.
Основными задачами контроля являются:
1. Определение обоснованности и практической целесообразности проводимых мероприятий по ЗИ;
2. Выявление фактического состояния СЗИ в данный период времени;
3. Установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от заданных;
4. Изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ.
Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ. Организационные меры контроля включают:
1) Проверку выполнения сотрудниками требований по обеспечению сохранности КТ. Такая проверка может проводиться в течение рабочего дня руководителем предприятия, его заместителем, исполнительными директорами, начальниками объектов;
2) Проверку выполнения пропускного режима, то есть проверка наличия постоянных пропусков у сотрудников предприятия, проверка работы охранника (на месте или нет, проверяет пропуска или нет). Может проводиться ежедневно начальником охраны объекта;
3) Проверку выполнения сотрудниками правил работы с конфиденциальными документами (правила хранения, размножения и копирования) проводится заместителем руководителя в любое время;
4) Проверку наличия защищаемых носителей конфиденциальной информации проводят сотрудники предприятия в конце рабочего дня.
При этом могут применяться следующие виды контроля:
— предварительный;
— текущий;
— заключительный.
Предварительный контроль обычно реализуется в форме определенной политики, процедур и правил. Прежде всего, он применяется по отношению к трудовым, материальным и финансовым ресурсам. Предварительный контроль осуществляется при любых изменениях состава, структуры и алгоритма функционирования СЗИ, т. е. при установке нового технического устройства, при приеме нового сотрудника, при проведении ремонтных работ.
Текущий контроль осуществляется, когда работа уже идет и обычно производится в виде контроля работы подчиненного его непосредственным начальником.
Заключительный контроль осуществляется после того, как работа закончена или истекло отведенное для нее время.
Также с целью обеспечения систематического наблюдения за уровнем защиты может осуществляться периодический контроль. Периодический контроль (ежедневный) проводится сотрудниками предприятия в части проверки наличия носителей информации, с которыми они работают. Периодический контроль может быть гласным и негласным.
Гласный периодический контроль эффективности ЗИ проводится выборочно (применительно к отдельным структурным подразделениям или отдельным работам) или на всем предприятии по планам, утвержденным руководством.
Негласный контроль осуществляется с целью объективной оценки уровня ЗИ и, прежде всего, выявления слабых мест в СЗИ. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников, вынуждая их более тщательно выполнять требования по обеспечению ЗИ. Добросовестное и постоянное выполнение сотрудниками требований по ЗИ основывается на рациональном сочетании способов побуждения и принуждения. Принуждение — способ, при котором сотрудники вынуждены соблюдать правила обращения с носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности. Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по ЗИ моральных, этических, психологических и других нравственных мотивов. Поэтому на эффективность защиты влияет климат на предприятии, который формируется его руководством.
- Правовое регулирование рекламной деятельности
- 2.8. Контрольные вопросы
- 5.4. Виды деятельности
- Контроль и регулирование рекламной деятельности
- ГЛАВА 8 ГОСУДАРСТВЕННОЕ РЕГУЛИРОВАНИЕ И КОНТРОЛЬ В СФЕРЕ РЕКЛАМНОЙ ДЕЯТЕЛЬНОСТИ
- 14.4. Виды деятельности
- 1.2. Предмет курса «Правовое регулирование рекламной деятельности»
- Контрольные вопросы
- 2.5. Активная и пассивная формы интеллектуальной деятельности
- Запуск сценариев на удаленных машинах. Контроль за ходом выполнения таких сценариев
- 8.3. Отслеживание хода проекта и контроль над ним
- Контрольные суммы