Методики оценки эффективности применяемых мер защиты информации.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Защита информации; ЗИ: Деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Контроль эффективности защиты – проверка соответствия качественных и количественных показателей эффективности мер технической защиты установленным требованиям или нормам эффективности защиты информации.

Показатель эффективности защиты информации представляет собой меру или характеристику для ее оценки.

Нормы эффективности защиты информации соответствуют показателям, установленным нормативными документами.

Под методом контроля эффективности защиты информации понимают порядок и правила применения расчетных и измерительных операций при решении задач контроля эффективности защиты.

Виды контроля эффективности защиты делятся на:

· организационный контроль проверка соответствия мероприятий по технической защите информации требованиям руководящих документов;

· технический контроль – контроль эффективности технической защиты информации, проводимый с использованием технических средств контроля. Целью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контроля и подтверждение того, что утечка информации с объекта невозможна, т.е. на объекте отсутствуют технические каналы утечки информации. Технический контроль состояния защиты информации в системах управления производствами, транспортом, связью, энергетикой, передачи финансовой и другой информации осуществляется в соответствии со специально разрабатываемыми программами и методиками контроля, согласованными с ФСТЭК России, владельцем объекта и ведомством по подчиненности объекта контроля.

По способу проведения и содержанию технический контроль эффективности технической защиты информации относится к наиболее сложным видам контроля и может быть:

· комплексным, когда проверяется возможная утечка информации по всем опасным каналам контролируемого объекта;

· целевым, когда проводится проверка по одному из интересующих каналов возможной утечки информации;

· выборочным, когда из всего перечня технических средств на объекте для проверки выбираются только те, которые по результатам предварительной оценки с наибольшей вероятностью имеют опасные каналы утечки защищаемой информации.

В зависимости от вида выполняемых операций методы технического контроля делятся на:

· инструментальные, когда контролируемые показатели определяются непосредственно по результатам измерения контрольно-измерительной аппаратурой;

· инструментально-расчетные, при которых контролируемые показатели определяются частично расчетным путем и частично измерением значений некоторых параметров физических полей аппаратными средствами;

· расчетные, при которых контролируемые показатели рассчитываются по методикам, содержащимся в руководящей справочной литературе.

С целью исключения утечки информации не допускается физическое подключение технических средств контроля, а также формирование тестовых режимов, запуск тестовых программ на средствах и информационных системах, находящихся в процессе обработки информации.

Технический контроль состояния защиты информации в автоматизированных системах управления различного назначения осуществляется в полном соответствии со специально разработанными программами и методиками контроля, согласованными с ФСТЭК России, владельцем объекта и ведомством, которому подчиняется объект контроля.

Целью технического контроля является получение объективной и достоверной информации о состоянии защиты объектов контроля и подтверждение того, что на объекте отсутствуют технические каналы утечки информации.

Контроль состояния защиты информации заключается в проверке соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.

Организационный контроль эффективности защиты информации – проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.

Технический контроль эффективности защиты информации – контроль эффективности защиты информации, проводимый с использованием технических и программных средств контроля.

Средство контроля эффективности защиты информации – техническое, программное средство, вещество и/или материал, используемые для контроля эффективности защиты информации.

Технический контроль определяет действенность и надежность принятых мер защиты объектов информатизации от воздействия технических средств разведки.

Технический контроль предназначен для:

· выявления возможных каналов утечки конфиденциальной информации;

· проверки соответствия и эффективности принятых мер защиты нормативным требованиям;

· разработки рекомендаций по совершенствованию принятых защитных мероприятий.

Технический контроль проводится по отдельным физическим полям, создаваемых объектами информатизации, и состоит из:

· сбора исходных данных, характеризующих уязвимости объекта информатизации по отношению к воздействиям технической разведки;

· определения возможных типов и средств технической разведки;

· предварительного расчета зон разведдоступности;

· определения состава и подготовки к работе контрольно-измерительной аппаратуры;

· измерения нормируемых технических параметров защищаемого объекта по отдельным физическим полям на границе контролируемой зоны;

· определения эффективности принятых мер защиты и в отдельных случаях разработки необходимых мер усиления защиты.

Для проведения технического контроля требуется наличие норм эффективности защиты, методик (методов) проведения контроля и соответствующей контрольно-измерительной аппаратуры. Все контролируемые нормативные показатели разделяются на информационные и технические.

Информационные показатели относятся к вероятности обнаружения, распознавания и измерения технических характеристик объектов с заданной точностью.

Техническими показателями эффективности принятых мер защиты являются количественные показатели, характеризующие энергетические, временные, частотные и пространственные характеристики информационных физических полей объекта. Примерами таких характеристик могут быть напряженности электрического и магнитного полей ПЭМИ средств вычислительной техники, уровень сигналов наводок в силовых и слаботочных линиях за пределами контролируемой зоны, уровни акустических сигналов за пределами ограждающих конструкций и т.д. Нормой эффективности принятых мер защиты считается максимально допустимое значение контролируемых параметров на границе контролируемой зоны (в местах возможного нахождения технических средств разведки).

Инструментально-расчетные методы применяются тогда, когда комплект контрольно-измерительной аппаратуры не позволяет получить сразу конечный результат или не обладает достаточной чувствительностью.

Расчетные методы технического контроля применяются в случае отсутствия необходимой контрольно-измерительной аппаратуры, а также при необходимости быстрого получения предварительных ориентировочных результатов о зонах разведдоступности, например, перед инструментальными аттестациями рабочих мест.

При проведении технического контроля требуется контрольно-измерительная аппаратура, которая в большинстве случаев обеспечивает получение объективных характеристик контролируемых параметров или исходных данных для получения инструментально-расчетных характеристик. Контрольно-измерительная аппаратура по возможности должна быть портативной, что важно для аттестующих организаций, иметь достаточную чувствительность, соответствующую чувствительности аппаратуры разведки, быть надежной в эксплуатации.

Как правило, при проведении контроля расчетно-инструментальным методом проводится большое число измерений на дискретных интервалах и соответственно большое число сложных расчетов, что приводит к быстрой утомляемости испытателей. Поэтому современная тенденция развития контрольно-измерительной аппаратуры заключается в разработке для целей контроля программно-аппаратных комплексов, обеспечивающих полную автоматизацию измерения параметров физических полей и расчета нормируемых показателей защищенности объекта. По результатам контроля состояния и эффективности защиты информации составляется заключение с приложением протоколов контроля.