Детальный анализ

Во многих случаях для проведения аттестации бывает недостаточно одного базового анализа, что требует проведения детального анализа для поиска конкретных ошибок в реализации АС, при этом:

• оценивают эффективность реализации функций безопасности,

• проверяется правильность функционирования механизмов БИ (работоспособность механизмов БИ, эксплуатационные характеристики, устойчивости к попыткам взлома, мониторинг механизмов безопасности).

Здесь может использоваться большинство известных методов тестирования, формальная верификация

Подготовка отчетных документов по результатам аттестации

Основными отчетными документами по результатам аттестации являются:

• «Заключение по результатам аттестационных испытаний» - содержит выводы относительно соответствия механизмов БИ АС критериям аттестации, оценку уровня защищенности и рекомендации по обеспечению режима БИ АС, дополняющие существующие организационные меры защиты,

• «Протокола аттестационных испытаний», прилагаемые к «Заключению…».

На основании Заключения председатель аттестационной комиссии принимает решение о выдаче «Аттестата соответствия».

Аккредитация

В США термином «аккредитация безопасности АС» обозначается основывающаяся на результатах аттестации санкция руководства предприятия, позволяющая использовать АС для обработки жизненно-важной и/или конфиденциальной информации в данной среде функционирования.

8. Особенности эксплуатации ксиб на объекте защиты

Ключевые понятия:

эксплуатация КСИБ, принципы эксплуатации;

контроль, виды, субъекты и объекты контроля;

служба безопасности, ее функции, задачи, методика построения и состав;

отдел режима и охраны, права и обязанности;

отдел ЗИ, права и обязанности;

инженерно-техническая группа, права и обязанности.

Рис. 17. Особенности эксплуатации КСИБ на объекте защиты.

КСИБ на объект должна руководствоваться следующими принципами:

• приоритет мер,

• законность,

• комплексное использование сил и средств,

• координация и взаимодействие внутри и вне объекта,

• сочетание гласности с конспирацией,

• компетентность,

• экономическая целесообразность,

• плановая основа деятельности,

• системность,

что гарантирует соблюдение принципов системно-концептуального подхода к решению проблемы ЗИ в процессе эксплуатации объекта.

Согласно этим принципам эксплуатация КСИБ включает в себя:

• применение сданных в эксплуатацию СрЗИ;

• планирование эксплуатационных мероприятий и контроль за их исполнением;

• техническое обслуживание, ремонт приборов и аппаратуры СрЗИ, технический контроль за эксплуатацией СрЗИ;

• материальное обеспечение эксплуатационных нужд;

• ведение установленной технической ЭД;

• сбор и обобщение статистических данных по эксплуатационно-техническому обслуживанию;

• анализ причин отказов в работе аппаратуры и причин, способствующих совершению краж и пожаров с заблокированных участков объекта.

Одной из основных функций при введении и эксплуатации КСОИБ АС является контроль – состоит в процессе сопоставления фактически достигнутых результатов с запланированными. Субъекты контрольной деятельности делятся на внутренние (руководитель предприятия, эксплуатирующего АС, члены СБ) и внешние (сотрудники лицензионно-разрешительных подразделений органов внутренних дел и прокуратуры). Контролю подлежат деятельность подразделений, состояние технической защиты объекта, защищенность информации, система профессиональной подготовки и переподготовки сотрудников СБ и т.д. Различают три вида контроля: предварительный, текущий и заключительный.

В рамках контроля состояния ЗИ на предприятии должны быть изучены следующие вопросы:

1. соблюдение норм, правил хранения и охраны в помещениях, спецхранилищах, на рабочих местах носителей информации;

2. ведение учета и обеспечение личной ответственности за выполнение данной функции;

3. соблюдение порядка хранения и уничтожения сведений, подлежащих защите;

4. соблюдение требований порядка обращения с носителями информации;

5. меры по предотвращению несанкционированного выноса носителей информации за территорию предприятия;

6. соблюдение режима и охраны их при транспортировке, рассылке, переносе, доставке;

7. организация доступа командированных, приглашенных лиц к информации предприятия;

8. уровень знания требований режима лиц, допущенных к закрытым работам и документам;

9. степень обеспеченности СБ надежными хранилищами, запирающими устройствами, средствами опечатывания;

10. уровень обеспеченности сотрудников предприятия соответствующими рабочими местами для работы с носителями информации;

11. состояние пропускного и внутреннего режима в зданиях, помещениях, в целом на предприятии;

12. механизм распределения носителей информации по уровням исполнения и управления;

13. обоснованность доступа к различным видам носителей конкретных групп сотрудников;

14. порядок обращения с носителями на рабочих местах;

15. порядок пользования средствами получения, обработки, хранения, отображения, передачи информации;

16. порядок обмена сведениями внутри предприятия и с внешними партнерами;

17. своевременность и правильность засекречивания и раскрытия сведений;

18. организация и проведение совещаний, переговоров, выставок, конференций, симпозиумов и т.д.;

19. качество разработки организационно-методических документов, выполнение планов работ и специальных мероприятий по ЗИ;

20. уровень и полнота выполнения требований руководства предприятия;

21. состояние профилактической работы с сотрудниками;

22. уровень организационно-методического обеспечения взаимодействия между подразделениями;

23. время поиска и доведения информации до исполнителей.

Таким образом, одним из условий, необходимых для реализации и эксплуатации КСИБ являются организационные условия, одно из которых заключается в необходимости создания системы органов, основу которой составили бы специализированные центры ЗИ и службы. В этих целях на предприятиях создаются специальные службы, зачастую называемые СБ.