Контроль эффективности защиты информации

Информация используется во всех сферах жизни и чаще всего имеет конфиденциальный характер. Построение эффективной системы защиты информации может помочь избежать ее раскрытия. Но данная система, как и любая другая, не гарантирует надежную защиту, необходимо обеспечить контроль защиты информации.

Контроль эффективности защиты информации — что это?

Со временем технологии развиваются, а в старых системах находят все больше уязвимостей, что приводит к несанкционированному доступу и краже данных. Таким образом система защиты может быть не эффективной и, в связи с этим, необходимо контролировать состояние защиты информации. Под контролем защиты информации понимается проведение проверок на соответствие правовым и организационно-распорядительным требованиям, а также нормативным документам. Кроме того, должна быть организована эффективная система защиты информации. Под эффективной системой защиты информации понимается выполнение технических и организационных требований нормативных документов.

Основным методом реализации защиты является применение технических средств, но не менее важно, для построения эффективной защиты информации, вести нормативную документацию в области обеспечения безопасности.

Виды контроля в соответствии с ГОСТ Р 50922–96 (средства контроля эффективности защиты информации)

В соответствии со стандартом ГОСТ Р 50922-96 контроль подразделяется на следующие виды:

• Организационный контроль;
• Технический контроль.

Для технического контроля используются средства контроля (программные или аппаратные). В качестве организационного контроля выступает организационно-распорядительная документация.

Применение способов контроля на практике называется методом контроля. Наиболее надежным является технический контроль эффективности защиты информации. Для реализации технического контроля применяются следующие методы:

• Инструментальные;
• Инструментально-расчетные;
• Расчетные.

К инструментальным методам относятся программные, программно-аппаратные и аппаратные средства. Следовательно, можно организовать надежный контроль защиты информации. С использованием исходных данных о состоянии системы защиты возможно использовать расчётный метод и узнать, насколько контроль эффективен.

Система документов

ФСТЭК разрабатывает документы, в соответствии с которыми должна быть организована защита информации. Существует нормативная документация «Руководящие документы», при помощи которой проводится оценка эффективности защиты информации.

Она применяется к:

• автоматизированным системам (АС);
• межсетевым экранам (МЭ);
• средствам вычислительной технике (СВТ).

В каждом документе прописаны требования, которые должны применяться к системам, обрабатывающим соответствующую информацию.

Кроме того, важно учитывать угрозы, которые могут быть реализованы. Для этого используется «Методика оценки угроз безопасности информации». Ее разработка поможет определить перечень наиболее актуальных угроз и на основании этого реализовать надежную защиту информации.

Заключение: оценка эффективности защиты информации

Контроль защиты информации необходимо обеспечивать, чтобы избежать несанкционированного доступа. Как правило, защита информации реализуется с использованием технических и организационных мер. Чтобы обеспечить контроль необходимо использовать средства контроля эффективности защиты информации.

Кроме того, нужно проводить ежегодную оценку контроля эффективности защиты информации, чтобы вовремя обнаружить слабые места в системе и принять решение по их устранению. Провести оценку могут организации, имеющие соответствующие лицензии.