Книга: Организация комплексной системы защиты информации

10.3. Контроль деятельности

10.3. Контроль деятельности

Контроль является одним из важнейших и необходимых направлений работ по ЗИ. Цель контроля выявить слабые места системы, допущенные ошибки, своевременно исправить их и не допустить повторения.

Процесс контроля включает три стадии:

1. Установление фактического состояния СЗИ;

2. Анализ сравнения фактического положения с заданным режимом, обстановкой и оценка характера допущенных отклонений и недоработок;

3. Разработка мероприятий по улучшению и корректировке процесса управления и принятия мер по их реализации.

При принятии управленческого решения контроль выступает как источник информации, использование которого позволяет судить о содержании управленческой работы, ее качестве, результативности. Отказаться от контроля нельзя, так как это будет означать утрату информации и, следовательно, потерю управления. Контроль не является самоцелью и нужен для того, чтобы качественно обеспечить выполнение принятых решений.

Основными задачами контроля являются:

1. Определение обоснованности и практической целесообразности проводимых мероприятий по ЗИ;

2. Выявление фактического состояния СЗИ в данный период времени;

3. Установление причин и обстоятельств отклонений показателей качества, характеризующих СЗИ, от заданных;

4. Изучение деловых качеств и уровня профессиональной подготовки лиц, осуществляющих ЗИ.

Меры контроля представляют собой совокупность организационных и технических мероприятий, проводимых с целью проверки выполнения установленных требований и норм по ЗИ. Организационные меры контроля включают:

1) Проверку выполнения сотрудниками требований по обеспечению сохранности КТ. Такая проверка может проводиться в течение рабочего дня руководителем предприятия, его заместителем, исполнительными директорами, начальниками объектов;

2) Проверку выполнения пропускного режима, то есть проверка наличия постоянных пропусков у сотрудников предприятия, проверка работы охранника (на месте или нет, проверяет пропуска или нет). Может проводиться ежедневно начальником охраны объекта;

3) Проверку выполнения сотрудниками правил работы с конфиденциальными документами (правила хранения, размножения и копирования) проводится заместителем руководителя в любое время;

4) Проверку наличия защищаемых носителей конфиденциальной информации проводят сотрудники предприятия в конце рабочего дня.

При этом могут применяться следующие виды контроля:

— предварительный;

— текущий;

— заключительный.

Предварительный контроль обычно реализуется в форме определенной политики, процедур и правил. Прежде всего, он применяется по отношению к трудовым, материальным и финансовым ресурсам. Предварительный контроль осуществляется при любых изменениях состава, структуры и алгоритма функционирования СЗИ, т. е. при установке нового технического устройства, при приеме нового сотрудника, при проведении ремонтных работ.

Текущий контроль осуществляется, когда работа уже идет и обычно производится в виде контроля работы подчиненного его непосредственным начальником.

Заключительный контроль осуществляется после того, как работа закончена или истекло отведенное для нее время.

Также с целью обеспечения систематического наблюдения за уровнем защиты может осуществляться периодический контроль. Периодический контроль (ежедневный) проводится сотрудниками предприятия в части проверки наличия носителей информации, с которыми они работают. Периодический контроль может быть гласным и негласным.

Гласный периодический контроль эффективности ЗИ проводится выборочно (применительно к отдельным структурным подразделениям или отдельным работам) или на всем предприятии по планам, утвержденным руководством.

Негласный контроль осуществляется с целью объективной оценки уровня ЗИ и, прежде всего, выявления слабых мест в СЗИ. Кроме того, такой контроль оказывает психологическое воздействие на сотрудников, вынуждая их более тщательно выполнять требования по обеспечению ЗИ. Добросовестное и постоянное выполнение сотрудниками требований по ЗИ основывается на рациональном сочетании способов побуждения и принуждения. Принуждение — способ, при котором сотрудники вынуждены соблюдать правила обращения с носителями конфиденциальной информации под угрозой материальной, административной или уголовной ответственности. Побуждение предусматривает использование для создания у сотрудников установки на осознанное выполнение требований по ЗИ моральных, этических, психологических и других нравственных мотивов. Поэтому на эффективность защиты влияет климат на предприятии, который формируется его руководством.

Оглавление книги


Генерация: 0.603. Запросов К БД/Cache: 3 / 0
поделиться
Вверх Вниз