- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Определение компонентов комплексной системы защиты информации.
Организация КСЗИ на каждом конкретном предприятии зависит от параметров рассмотренных характеристик данного предприятия. Эти характеристики определяют цели и задачи КСЗИ, объем ее материального обеспечения, состав и структуру КСЗИ, состав технических средств защиты, численность и квалификацию сотрудников СЗИ т. д. Однако степень воздействия различных характеристик предприятия на организацию КСЗИ различна. Из числа наиболее влиятельных можно выделить следующие:
характер деятельности предприятия;
состав защищаемой информации, ее объем, способы представления и отображения;
численный состав и структура кадров предприятия;
техническая оснащенность предприятия;
экономическое состояние предприятия;
организационная структура предприятия;
нормативно-правовое обеспечение деятельности предприятия.
В меньшей степени на организацию КСЗИ на предприятии могут влиять:
режим работы предприятия;
технология производства и управления;
тип и объем производства;
местоположение и архитектурные особенности предприятия;
форма собственности предприятия.
Компоненты КСЗИ со слабой защитой – должны обеспечивать защиту информации в пределах серийных средств обработки информации с использованием общедоступных организационно-правовых мер.
Компоненты со средней защитой – дополнительно к вышеуказанным мерам должны иметь системы (средства) разграничения доступа и средства регулирования (управления) защитой информации.
Компоненты сильной защиты – должны обеспечиваться комплексом средств защиты и обязательная организационная структура по защите информации (служба защиты информации).
Компоненты очень сильной защиты – компоненты должны строиться на основе типового проектирования с наличием непрерывного цикла защиты информации.
Компоненты особой защиты – данные компоненты должны реализовываться на основе индивидуального проектирования, а также реализовываться мандатный доступ к информации.
Классификационная структура типовых компонентов КСЗИ (с учетом требуемых уровней защиты)
Уровень защиты |
Стратегия защиты информации |
||
Оборонительная |
Наступательная |
Упреждающая |
|
Слабый (<= 0,5) |
|
|
|
Средний (0,5 – 0,75) |
|
|
|
Сильный (0,75 – 0,87) |
|
|
|
Очень сильный (0,87 – 0,93) |
|
|
|
Особый (>0,93) |
|
|
|
Более светлым цветом показано то, что возможно может быть допущено, более темным цветом – то, что должно быть.
Применительно к конфиденциальной информации можно указать следующие четыре требуемых уровня защиты информации:
Очень высокая защита (особо конфиденциально);
Высокая защита (строго конфиденциально);
Средняя защита (конфиденциально);
Низкая защита (открытая информации).
Допустимые и целесообразные компоненты КСЗИ (типы систем защиты информации) для различных уровней защиты
По активности реагирования на несанкционированные действия все компоненты КСЗИ (средства защиты информации) целесообразно делить на следующие три типа:
Пассивные. В которых не предусматривается сигнализация о несанкционированных действиях и не предусматривается воздействие на нарушителя.
Полуактивные. Предусматривается сигнализация о несанкционированных действиях, но не предусматривается воздействие на нарушителя.
Активные. Предусматривается сигнализация о несанкционированных действиях и воздействие на нарушителя.
Уровни защиты |
Компоненты (средства) КСЗИ |
||
Пассивные |
Полуактивные |
Активные |
|
Слабая защита (К) |
Допустимые / целесообразные |
Допустимые / целесообразные в особых случаях |
Допустимые / нецелесообразно |
Сильная защита (СК) |
Недопустимые |
Допустимо/целесообразно |
Допустимо / целесообразно в особых случаях |
Очень сильная защита (ОК) |
Недопустимые |
Допустимо / целесообразно в особых случаях |
Допустимо / целесообразно обязательно в особых случаях |
Особая защита (С) |
Недопустимые |
Не допустимо |
Обязательно |
Светлым цветом – базовые компоненты, более темным – допустимые компоненты.
К – конфиденциально
СК – строго конфиденциально
ОС – особо конфиденциально
С - секретно
Применительно к практике потенциально не обходимые компоненты КСЗИ (средств защиты информации) целесообразно привязать к типовым объектам защиты, например, подсистеме компьютерной безопасности:
персональный компьютер,
групповая ЭВМ (сервер),
вычислительный центр предприятия,
вычислительный центр коллективного пользования,
локальная вычислительная сеть,
городская вычислительная сеть.
Региональная вычислительная сеть.
Глобальная вычислительная сеть.
Типовые объекты подсистемы компьютерной безопасности КСЗИ |
Требуемые варианты систем (средств) защиты информации |
|||||
Слабая защита (пассивные) |
Сильная защита (полуактивные) |
Сильная защита (активные) |
Очень сильная защита (активные) |
Очень сильная защита (полуактивные) |
Особая защита (активные) |
|
ПК |
Ц |
Д/Ц* |
|
|
|
|
Главная ЭВМ (сервер) |
Ц* |
Ц |
Д/Ц* |
|
|
|
ВЦ предприятия |
Д* |
Ц |
Д/Ц* |
Д* |
|
|
ВЦ коллективного пользования |
|
|
Ц |
Ц* |
Ц* |
Д* |
ЛВС |
|
Ц* |
Ц |
Д* |
|
|
Городская ВС |
|
Ц* |
Ц* |
Ц |
Ц* |
Д* |
Региональная ВС |
|
Ц* |
Ц* |
Ц |
Д* |
Ц* |
Глобальная ВС |
|
|
|
Ц |
|
Ц* |
Выделены базовые позиции
Ц – целесообразные
Д – допустимые
* - в особых случаях
Определение условий функционирования комплексной системы защиты информации.
Изучение объекта защиты является важнейшим этапом в проектировании КСЗИ. Ошибки, допущенные в ходе этой работы, могут существенно снизить эффективность создаваемой системы защиты, и, наоборот, тщательно проведенное обследование позволит сократить затраты на внедрение и эксплуатацию системы.
Изучение объекта защиты сводится к сбору и анализу следующей информации:
1) об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
график работы объекта и его отдельных подразделений;
правила и процедуры доступа на объект, в отдельные помещения и к оборудованию персонала и посетителей (регулярный, случайный, ограниченный доступ);
численность и состав сотрудников и посетителей объекта (постоянный штат, персонал, работающий по контракту, клиенты);
— процедуру доступа на территорию транспортных средств.
Для получения этих данных можно применять следующие способы: анкетирование сотрудников; опрос сотрудников; личное наблюдение; изучение директивных и инструктивных документов. Следует иметь в виду, что ни один из этих способов не дает объективной информации: каждый имеет свои достоинства и недостатки. Поэтому их применяют вместе, в совокупности;
2) об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:
пути и организацию транспортировки и хранения материальных ценностей на территории объекта; уровни конфиденциальности информации, пути и способы ее обработки и транспортировки (документы, телефонная и радиосвязь и т. п.);
3) об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
— пространство, непосредственно прилегающее к территории объекта;
— ограждение периметра территории и проходы;
инженерные коммуникации, подземные хранилища и сооружения на территории;
размещение подразделений и сотрудников по отдельным помещениям (с поэтажными планами);
инженерные коммуникации в помещениях;
состояние подвальных и чердачных помещений;
— размещение, конструкции и состояние входов, дверей, окон;
— существующую систему защиты;
— состав и настроение населения, экономические факторы и криминогенную обстановку на прилегающей территории.
На основе результатов анализа всех перечисленных сведений должны быть определены: назначение и основные функции системы защиты; основные виды возможных угроз и субъекты угроз; внешняя среда; условия функционирования системы защиты (наличие энергетических и других ресурсов, естественные преграды и т. п.).
Эти данные рекомендуется систематизировать в виде пояснительной записки, структурных схем и планов.
Целесообразно иметь следующие планы:
1) план территории объекта с указанием расположения всех зданий и других наземных сооружений; подземных сооружений; всех коммуникаций и мест их выхода за территорию объекта; всех ограждений, в том числе по периметру территории объекта, с обозначением их технического состояния на момент обследования; средств защиты (существующей системы, если она имеется);
поэтажные планы, где должно быть указано расположение всех помещений с обозначением дверных и оконных проемов, внутренних и наружных (пожарных) лестниц, толщины материала стен и существующих средств защиты; всех коммуникаций с обозначением коммуникационных шкафов и других мест санкционированного доступа к каналам связи и жизнеобеспечения;
планы помещений с указанием мест размещения оборудования и других технических средств (телефонов, персональных ЭВМ, принтеров и т. д.); расположения коммуникаций и мест размещения коммутационного оборудования (коробки, розетки и т. п.); функционального назначения и степени конфиденциальности получаемой и обрабатываемой информации; особенностей технологического процесса (для производственных помещений), важных с точки зрения обеспечения безопасности.
На основе этих планов целесообразно подготовить структурные схемы:
— ограждения каждого помещения, указав на ней (схематично) все стены и другие инженерно-технические сооружения, окружающие помещение;
— документооборота (для документов с ограниченным доступом), указав источник и приемники документа; его связи с другими документами; способ подготовки (ручной, машинный); способ транспортировки (с курьером, по телефону, по факсу, по компьютерной сети и т. п.); место хранения;
Разработка модели комплексной системы защиты информации.
Целями моделирования КСЗИ являются:
Поиск оптимальных решений по управлению КСЗИ;
Оценка эффективности использования различных подсистем и мероприятий по защите информации;
Определение потребных параметров защиты информации
И другие цели
Применительно к КСЗИ создаются не одна, а несколько моделей различных типов:
Модели анализа исследуемых процессов систем и подсистем;
Модели синтеза (построения различных систем, подсистем и мероприятий);
Модели управления исследуемыми процессами (подсистемами) с целью поиска оптимальных управленческих решений.
При этом рассматриваются
общие модели (в масштабе всей КСЗИ или подсистемы)
частные модели с целью определения отдельных параметров функционирования КСЗИ (подсистемы)
В основе каждой модели лежит определенный метод моделирования:
Аналитические методы (модели);
Имитационные методы (модели);
Экспертные методы (модели).
Как правило, все указанные типы методов (моделей) реализуются на основании использования различных видов математических аппаратов: теории вероятности, исследовании операций, дискретной математики, теории нечетких множеств и т.д.
Виды моделей по защите информации
Характеристики |
Аналитические модели |
Имитационные модели |
Экспертные модели |
Решаемые задачи защиты информации (ИБ) |
- определение узвимостей в системе защиты - вероятностное оценивание всех процессов, включая экономическую оценку - обоснование мер - и другие |
- исследование объекта - оценка влияния различных факторов - процессы обучения - и т.д. |
- оценка уровней безопасности - сравнение вариантов по ЗИ - анализ последствий реализации угроз - и т.д. |
Достоинства |
- достаточный уровень формализации ЗИ (ИБ) - формульное представление моделей - количественная оценка |
- естественный язык моделирования (получение данных) - моделирование слабоформализуемых явлений |
|
Недостатки |
- сложность учета большого количества факторов - не стационарный характер анализируемых процессов |
- субъективный характер оценки - трудность получения количественных характеристик |
На практике при моделировании как правило используется сочетание различных видов моделей.
Обобщенная модель КСЗИ
Обобщенная модель представляет собой совокупность частных моделей отдельных компонентов, входящих в КСЗИ. Данная модель позволяет обосновывать стратегические решения (стратегии) по защите информации на основе перспективных планов развития предприятия.
Структура локальной пятимерной модели доступа к информации
Основные рекомендации по использованию моделей:
(основная) моделями должен пользоваться только квалифицированный специалист-профессионал по защите информации;
Модели надо использовать не просто для получения конкретных значений показателей, а для оценки поведения этих значений в тех или других ситуациях;
Для оценки адекватности моделей (правильности решений) в рассматриваемых условиях необходимо привлекать квалифицированных (опытных) экспертов по защите информации;
Необходимо постоянно уточнять исходные данные при использовании моделей, т.к. они имеют высокую степень неопределенности в различных ситуациях.
Содержание работ по организации КСЗИ.
Для решения сложных проблем, требуется организационная деятельность многих людей. Решение этих задач необходимо для обеспечения корректной работы КСЗИ. Такая деятельность в искусственных формированиях (сделанных человеком) называется организационными системами (ОС). ОС эквивалентно КСЗИ.
Технологические этапы ОС (не обязательно должны быть последовательными): 1. Постановка проблемы 2. Исследование проблемы: сбор и анализ всех данных и знаний о проблеме, и факторах, влияющих на ее решение 3. Определение границ проблемного объекта, т.е. потенциальных участников решения проблемы 4. Обследование проблемного объекта. Формируется целевая программа по решению проблемы и решается вопрос о целесообразности создания ОС. 5. Выбор критерия эффективности ОС 6. Выбор границ объекта управления 7. Обследование объекта управления 8. Разработка технического задания на создание ОС. Выбор эффективного варианта построения ОС. 9. Техническое и рабочее проектирование ОС 10. Внедрение ОС.
РИС. Общая схема решения организационных проблем. Проблема Знания Ресурсы: 1. Постановления, приказы, планы, договоры. 2. Целевые комплексные программы 3. Организационные системы.
Характеристика основных стадий создания КСЗИ.
Рекомендуются следующие стадии создания системы защиты информации:
Предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания системы защиты информации и технического (частного технического) задания на ее создание;
Стадия проектирования (разработки проектов), включает разработку системы защиты информации в составе объекта информатизации;
Стадия ввода в действие системы защиты информации, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствующие требования безопасности информации.
Выполняемые работы на предпроектной стадии по обследованию объекта информатизации
На предпроектной стадии по обследованию объекта информатизации выполняются следующие мероприятия:
Установление необходимости обработки (обсуждения) конфиденциальной информации на данном объекте информатизации;
Определяется перечень сведений конфиденциального характера подлежащих защите;
Определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;
Определяются условия расположения объекта информатизации относительно границ контролируемой зоны;
Определяются конфигурация и топология автоматизированной системы и систем связи в целом и их отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;
Определяются технические средства и системы, предполагаемые к использованию в разработанной автоматизированной системе и в системах связи, темные и прикладные программы средств, имеющиеся на рынке и предполагаемые к разработке;
Определяются режимы обработки информации в автоматизированных системах в целом и в отдельных компонентах;
Определяется класс защищенности в автоматизированной системе;
Определяется степень участия персонала в обработке (обсуждении, передачи, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
Определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации.
Содержание аналитического обоснования необходимости создания системы защиты информации
По результатам предпроектного обследования разрабатывается аналитическое обоснование необходимости создания системы защиты информации.
На основе действующих нормативно-методических документов по технической защите конфиденциальной информации с учетом установленного класса защищенности автоматизированной системы задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку системы защиты информации.
Предпроектное обследование в части касающейся определения защищаемой информации должно базироваться на документально оформленного перечня сведений конфиденциального характера составленного заказчиком объекта информатизации и утверждается руководителями организации-заказчика.
Аналитическое обоснование необходимости создания системы защиты информации должно содержать:
Информационную характеристику и организационную структуру объекта информатизации;
Характеристику комплекса основных и вспомогательных технических средств, программное обеспечение, режимов работы, технологического процесса обработки информации;
Возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
Перечень предлагаемых к использованию сертифицированных средств защиты информации;
Обоснование необходимости привлечения специализированных организаций, имеющие необходимые лицензии на право проведения работ по защите информации;
Оценку материальных, трудовых и финансовых затрат на разработку и внедрение системы защиты информации;
Перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.
Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с главным конструктором (должностным лицом обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности и утверждается руководителями организации-заказчика.
Содержание технического задания на разработку системы защиты информации
Техническое (частное техническое) задание на разработку системы защиты информации должно содержать:
Обоснование разработки;
Исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
Класс защищенности автоматизированных систем;
Ссылку на нормативно-методические документы, с учетом которых будет разрабатываться система защиты информации и приниматься в эксплуатацию объект информатизации;
Требования к системе защиты информации на основе нормативно-методических документов и установленного класса защищенности автоматизированной системы;
Перечень предполагаемых к использованию сертифицированных средств защиты информации;
Обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
Состав, содержание и сроки проведения работ по этапам разработки и внедрения;
Перечень подрядных организаций-исполнителей видов работ;
Перечень предъявляемый заказчику научно-технической продукции и документации.
Техническое (частное техническое) задание на разработку системы защиты информации подписывается разработчиком, согласованным со службой безопасности организации-заказчика, подрядными организациями и утверждается заказчиком.
В целях дифференцированного подхода к защите информации производится классификация автоматизированных систем по требованиям защищенности от несанкционированного доступа к информации;
Класс защищенности автоматизированных систем от несанкционированного доступа к информации устанавливается совместно заказчиком и разработчиком автоматизированной системы с привлечением специалистов по защите информации соответствующих требованиям действующих нормативно-методических документов, а также СТР-К и оформляется актом.
Пересмотр класса защищенности автоматизированных систем производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.
Содержание работ на стадии проектирования и создания объекта информатизации и системы защиты информации в его составе
На стадии проектирования и создания объекта информации и системы защиты информации в его составе на основе предъявленных требований и заданных заказчиком ограничении на финансовые, материальные, трудовые и временные ресурсы осуществляются следующими мероприятиями:
Разработку задания и проекта на строительные, строительно-монтажные работы (реконструкцию) объекта информатизации с учетом требований технического задания на разработку системы защиты информации;
Разработку раздела технического проекта на объект информатизации в части защиты информации;
Строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
Разработку организационно-технических мероприятий по защите информации в соответствии с предъявленными требованиями;
Закупка сертифицированных образцов и серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации либо их сертификации;
Закупка сертифицированных технических средств защиты информации программных и программно-технических средств защиты информации и их установка;
Разработка, доработка или закупка и последующая сертификация по требованиям безопасности информации, программных средств защиты информации в случае, когда на рынке отсутствует требуемые сертифицированные программные средства;
Организация охраны и физической защиты помещений объекта информатизации, исключая несанкционированный доступ к техническим средствам обработки, ранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;
Разработка и реализация разрешительной системы доступа пользователей и эксплуатации персонала к обрабатываемой (обсуждаемой) на объекте информатизированной информации;
Выполнение инсталляции пакета прикладных программ в комплексе с программными средствами;
Разработка эксплуатации документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказы, инструкции и другие документы);
Выполнение других мероприятий специфичных для конкретных объектов информатизации и направлений защиты информации.
Техническое задание на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика в части достаточности мер по технической защите информации и утверждается заказчиком.
Мероприятие по защите информации от утечки по техническим каналам относятся основным элементам проектных решений, которые включаются в соответствующие разделы проекта и разрабатываются одновременно с ними.
На стадии проектирования и создания объекта информатизации оформляются также технический (технорабочий) проект и эксплуатационная документация системы защиты информации, состоящая из следующих документов:
Пояснительной записки с изложением решений по комплексу организационных мер и программно-техническим средствам обеспечения безопасности информации, составу средств защиты информации с указанием их соответствия требованиям ТЗ;
Описание технического, программного информационного обеспечения и технологии обработки (передачи) информации;
Плана организационно-технических мероприятий по подготовки объекта информатизации к внедрению средств и мер защиты информации;
Технического паспорта объекта информатизации (формы технических паспортов на автоматизированные системы и защищенные помещения приведены в СТР-К);
Инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для сотрудников службы безопасности.
На стадии ввода в действие объекта информатизации и системы защиты информации осуществляются:
Опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
Приемосдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемосдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
Аттестация объекта информатизации по требованию безопасности информации.
На стадии ввода в действие объекта информатизации и системы защиты информации оформляются:
Акты внедрения средств защиты информации по результатам их приемо-сдаточных испытаний;
Протоколы аттестационных испытаний и заключение по их результатам;
Аттестат соответствия объекта информатизации требованиям по безопасности информации (формы «аттестатов соответствия» для автоматизированных систем и защищенного помещения приведены в приложениях СТР-К).
Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:
На проектирование объекта информатизации и назначение ответственных исполнителей;
На проведение работ по защите информации;
О назначении лиц, ответственных за эксплуатацию объекта информатизации;
На обработку в защищенном помещении (обсуждение) или в автоматизированной системе конфиденциальной информации.
Эксплуатация объекта информатизации осуществляется в полном соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией с учетом требовании и положений СТР-К по защите речевой конфиденциальной информации и обрабатываемой в автоматизированных системах. С целью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного затруднения несанкционированного доступа к ней и предотвращение специальных программно-технических воздействий, вызывающих нарушение конфиденциальности, целостности или доступности информации, в организации проводятся периодический (не реже 1 раза в год) контроль состояния защиты информации. Контроль осуществляется службой безопасности информации.
Аттестация объекта информатизации – комплекс организационно-технические мероприятий, в результате которых посредством специального документа – аттестата соответствия подтверждается, что объект соответствует требованиям стандартов и иных нормативно-технических документов по безопасности информации, утвержденных федеральным органом по сертификации и аттестации.