Здавалка
Главная | Обратная связь

Контроль функціонування та керування системою захисту інформації



Контроль функціонування системи ТЗІ на об'єктах інформаційної діяльності Підприємства здійснюється з метою визначення й удосконалення стану ТЗІ в підрозділах Підприємства, щодо яких здійснюється ТЗІ, виявлення та запобігання порушенням з ТЗІ в інформаційних системах та об'єктах.

Контроль стану ТЗІ в підрозділах Підприємства організується відповідно до планів, затверджених керівниками зазначених органів, шляхом проведення перевірок.

Перевірки стану ТЗІ здійснюються безпосередньо комісіями, на які покладається забезпечення ТЗІ.

Організація проведення перевірок стану ТЗІ, заходи з ТЗІ, які підлягають контролю, висновки та рекомендації визначаються цим Положенням та іншими нормативно-правовими актами з питань ТЗІ.

Контрольно-інспекційна робота з питань ТЗІ включає планування та проведення перевірок стану ТЗІ в підрозділах Підприємства, щодо яких здійснюється ТЗІ, проведення аналізу та надання рекомендацій щодо вдосконалення заходів з ТЗІ.

Перевірки поділяються на комплексні, цільові (тематичні) та контрольні.

При комплексній перевірці вивчається та оцінюється стан ТЗІ в підрозділах Підприємства, щодо яких здійснюється ТЗІ.

При цільовій (тематичній) перевірці вивчаються окремі напрямки ТЗІ, перевіряється виконання рішень (розпоряджень, наказів, вказівок) органів державної влади з питань ТЗІ в підрозділах, щодо яких здійснюється ТЗІ, виконання завдань або провадження діяльності в галузі ТЗІ за відповідними дозволами та ліцензіями суб'єктами системи ТЗІ.

При контрольній перевірці перевіряється усунення недоліків, які були виявлені під час проведення попередньої комплексної або цільової перевірки.

Зазначені перевірки можуть бути планові та позапланові, з попередженням та раптові.

Позапланова перевірка здійснюється за вказівкою керівництва Підприємства в разі виникнення потреби визначення повноти та достатності заходів з ТЗІ за наявності відомостей щодо порушень виконання вимог нормативно-правових актів з питань ТЗІ.

Перевірки здійснюються комісіями Підприємства, на які покладено виконання завдань щодо здійснення контролю за функціонуванням системи ТЗІ.

При проведенні перевірки стану ТЗІ контролю підлягають організаційні, організаційно-технічні, технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах і об'єктах, повнота та достатність робіт з атестації виділених приміщень.

Необхідно провести аналіз функціонування системи захисту інформації, перевірку виконання заходів ТЗІ, контроль ефективності захисту, підготувати та видати дані для керування системою захисту інформації.

Керування системою захисту інформації полягає в адаптації заходів ТЗІ до поточного завдання захисту інформації. За фактами зміни умов здійснення або виявлення нових загроз заходи ТЗІ реалізуються в найкоротший строк.

Контроль організаційних заходів з ТЗІ в підрозділах Підприємства включає перевірку:

• переліку відомостей, що підлягають технічному захисту;

• окремої моделі загроз для інформаційної системи або об'єкта;

• плану контрольованої зони органу, щодо якого здійснюється ТЗІ;

• переліку виділених приміщень органу, щодо якого здійснюється ТЗІ, інформаційних систем та об'єктів;

• проведення категоріювання виділених приміщень та об'єктів. Контроль організаційно-технічних і технічних заходів щодо ТЗІ у

виділених приміщеннях, інформаційних системах та об'єктах, повноти та достатності робіт з атестації виділених приміщень включає перевірку відповідності виконання цих заходів до нормативно-правових актів з питань ТЗІ.

Організаційно-технічні й технічні заходи з ТЗІ у виділених приміщеннях, інформаційних системах та об'єктах, роботи з атестації виділених приміщень виконуються власними силами або суб'єктами підприємницької діяльності в галузі ТЗІ.

За результатами комплексної перевірки комісією складається акт перевірки стану та ефективності заходів з технічного захисту інформації, а цільової та контрольної перевірки — довідка за довільною формою. Ознайомлення керівника суб'єкта системи ТЗІ з актом (довідкою) здійснюється під розпис.

Керівник підрозділу зобов'язаний ужити невідкладні заходи щодо усунення недоліків і реалізації пропозицій комісії відповідно до вимог нормативно-правових актів з питань ТЗІ.

Порушення встановлених норм та вимог з ТЗІ, виявлені під час проведення перевірок, поділяються на три категорії:

• перша — невиконання норм та вимог з ТЗІ, внаслідок якого створюється реальна можливість порушення конфіденційності, цілісності й доступності інформації або її витоку технічними каналами;

• друга — невиконання норм та вимог з ТЗІ, внаслідок якого створюються передумови для порушення конфіденційності, цілісності і доступності інформації або її витоку технічними каналами;

• третя — невиконання інших вимог з ТЗІ.

У разі виявлення порушення першої категорії застосовують такі заходи:.

• голова комісії негайно доповідає керівництву Підприємства для прийняття рішення про припинення робіт, які проводились з порушенням норм і вимог ТЗІ, та про факт порушення;

• здійснюються заходи з усунення порушень у терміни, погоджені з підрозділом, на який покладено забезпечення ТЗІ;

• організовується в установленому порядку розслідування причин, які призвели до порушень, з метою недопущення їх у подальшому і притягнення осіб, які припустили порушення нормативно-правових актів з питань ТЗІ, до відповідальності згідно із законодавством України;

Дозвіл на відновлення робіт, під час виконання яких були виявлені порушення норм і вимог ТЗІ першої категорії, дає керівник Підприємства за погодженням з підрозділом, на який покладено забезпечення ТЗІ після усунення порушень і перевірки достатності й ефективності вжитих заходів з ТЗІ.

Керівництво Підприємства зобов'язане надавати комісії повну інформацію стосовно впроваджених заходів з ТЗІ та сприяти проведенню перевірки їх.

 







©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.