Informasi pemantauan status. Langkah-langkah pengendalian teknis untuk efektivitas perlindungan informasi. Dokumentasi hasil pengendalian. Persyaratan untuk kontrol keamanan informasi

Karena fakta bahwa tindakan kontrol / analisis keamanan data pribadi termasuk dalam rangkaian tindakan perlindungan dasar mulai dari PZ4 - PZ3, sebagian besar operator data pribadi telah memperoleh pemindai keamanan. Terkadang saya menemukan pertanyaan berikut: apakah perlu menjalankan pemindai ini sama sekali, dan jika demikian, seberapa sering dan apa yang harus diperiksa.

Mari kita coba mencari tahu:
Pemindai digunakan untuk menerapkan sekelompok tindakan untuk mengontrol (menganalisis) keamanan data pribadi (ANZ) wajib sesuai dengan perintah FSTEC Rusia No. 21 tanggal 18 Februari 2013.
Mari kita lihat apakah ada tindakan hukum RF beberapa persyaratan wajib untuk urutan atau frekuensi pemindaian keamanan:

Perintah FSTEC Rusia No. 21
“8.8. Tindakan untuk mengontrol (menganalisis) keamanan data pribadi harus memastikan kontrol tingkat keamanan data pribadi yang diproses di sistem Informasi, dengan melakukan langkah-langkah sistematis untuk menganalisis keamanan sistem informasi dan menguji kinerja sistem perlindungan data pribadi.
ANZ.1 Identifikasi, analisis kerentanan sistem informasi dan penghapusan segera kerentanan yang baru diidentifikasi
ANZ.2 Perbarui kontrol instalasi perangkat lunak termasuk alat pembaruan perangkat lunak perlindungan informasi
ANZ.3 Kontrol pengoperasian, pengaturan dan fungsi yang benar dari perangkat lunak dan alat keamanan informasi
ANZ.4 Kontrol komposisi sarana teknis, perangkat lunak dan alat keamanan informasi”

GOST R 51583-2014 prosedur untuk membuat AS dalam versi yang dilindungi

Tindakan hukum pengaturan lainnya yang berisi persyaratan untuk analisis keamanan tidak dapat ditemukan

Jadi dalam tindakan hukum pengaturan Federasi Rusia tidak mengandung persyaratan untuk urutan dan frekuensi melakukan pemindaian keamanan, masing-masing, pengaturan untuk memindai profil, frekuensi analisis kerentanan ditentukan oleh operator secara independen
Bagaimana dia bisa menentukan urutan dan periodisitas ini?

kemungkinan besar, perlu untuk melanjutkan dari fitur dan kekritisan sistem informasi, komposisi perangkat lunak yang digunakan dan aturan internal untuk memperbarui perangkat lunak;

Perlu juga dipahami bahwa, berdasarkan hasil pemindaian, ini menghasilkan laporan tentang kerentanan, yang masih perlu diselesaikan - untuk menghilangkan kerentanan dan menginstal pembaruan yang hilang. Tidak masuk akal untuk memindai lebih sering daripada orang yang bertanggung jawab memiliki waktu untuk memproses laporan dan menghilangkan kerentanan. Frekuensi pemindaian > waktu rata-rata untuk memproses laporan kerentanan

Dalam menentukan urutan dan frekuensi pemindaian, operator sistem informasi dapat berpedoman pada keahliannya sendiri di bidang keamanan informasi, pengalaman dalam melakukan kegiatan analisis keamanan, rekomendasi dari pakar eksternal dan pemegang lisensi FSTEC, serta dokumen yang berstatus dari "disarankan" atau " praktik terbaik”

Dalam hal ini, harus diperhitungkan bahwa langkah-langkah analisis keamanan harus: sistematis(klausul 8.8 FSTEC pesanan No. 21) dan harus memadai untuk menetralisir ancaman saat ini (paragraf 2 Peraturan Pemerintah No. 1119)

Mari kita lihat apa yang ada dalam dokumen metodologis terbaik dan praktik terbaik:

GOST R ISO/IEC 27002-2012
“12.6 Manajemen kerentanan teknis
Tujuan: Untuk mengurangi risiko yang dihasilkan dari eksploitasi kerentanan teknis yang dipublikasikan.

Manajemen kerentanan teknis harus dilakukan dengan cara yang efisien, sistematis dan berulang, dengan pengukuran yang dilakukan untuk memastikan keefektifannya. Pertimbangan ini harus berlaku untuk sistem operasi dan aplikasi lain yang digunakan.
12.6.1 Manajemen kerentanan teknis

Ukuran dan sarana kontrol dan manajemen

Hal ini diperlukan untuk memperoleh informasi yang tepat waktu tentang kerentanan teknis dari sistem informasi yang digunakan, menilai eksposur organisasi terhadap kerentanan tersebut dan mengambil tindakan yang tepat untuk mengatasi risiko yang terkait dengan kerentanan tersebut.

Inventarisasi aset yang terus diperbarui dan lengkap (lihat 7.1) merupakan prasyarat untuk manajemen kerentanan teknis yang efektif. Informasi spesifik yang diperlukan untuk mendukung manajemen kerentanan teknis mencakup informasi tentang vendor perangkat lunak, nomor versi, status penerapan saat ini (misalnya, perangkat lunak apa yang diinstal pada sistem mana), dan orang yang bertanggung jawab atas perangkat lunak dalam organisasi keamanan.

Demikian juga, tindakan tepat waktu harus diambil dalam menanggapi identifikasi potensi kerentanan teknis. Untuk membangun proses manajemen yang efektif untuk kerentanan teknis, perlu untuk melakukan rekomendasi berikut:
a) organisasi perlu menetapkan dan menetapkan peran dan tanggung jawab yang terkait dengan pengelolaan kerentanan teknis, termasuk pemantauan kerentanan, penilaian risiko kerentanan, patching, pelacakan aset, dan fungsi koordinasi lainnya;
b) sumber informasi, yang akan digunakan untuk mengidentifikasi dan memberikan kesadaran akan kerentanan teknis yang signifikan, harus ditentukan untuk perangkat lunak dan teknologi lainnya berdasarkan daftar inventaris aset (lihat 7.1.1); sumber informasi ini harus diperbarui mengikuti perubahan inventaris atau ketika sumber daya baru atau berguna lainnya ditemukan;
c) perlu untuk menentukan parameter waktu untuk menanggapi pemberitahuan tentang kerentanan teknis yang berpotensi signifikan;
d) setelah potensi kerentanan teknis telah diidentifikasi, organisasi harus menentukan risiko terkait dan tindakan yang akan diambil; tindakan tersebut dapat mencakup menambal sistem yang terpengaruh dan/atau menerapkan kontrol dan kontrol lain;
e) tergantung pada urgensi mengatasi kerentanan teknis, tindakan yang diambil harus sesuai dengan kontrol yang terkait dengan manajemen perubahan (lihat 12.5.1) atau mengikuti prosedur respons insiden keamanan informasi (lihat .13.2);
f) jika memungkinkan untuk memasang tambalan, risiko yang terkait dengan pemasangannya harus dinilai (risiko yang ditimbulkan oleh kerentanan harus dibandingkan dengan risiko memasang tambalan);
g) patch harus diuji dan dievaluasi sebelum pemasangan untuk memastikan bahwa patch tersebut efektif dan tidak menyebabkan efek samping yang tidak dapat diterima; jika tidak mungkin memasang tambalan, tindakan dan kontrol lain harus dipertimbangkan, misalnya:
1) menonaktifkan layanan yang terkait dengan kerentanan;
2) adaptasi atau penambahan kontrol akses, seperti firewall di tepi jaringan (lihat 11.4.5);
3) peningkatan pemantauan untuk mendeteksi atau mencegah serangan nyata;
4) meningkatkan kesadaran akan kerentanan;
h) jejak audit harus mencatat semua prosedur yang dilakukan;
i) proses manajemen kerentanan teknis harus dipantau dan dievaluasi secara teratur untuk memberikan keyakinan akan efektivitas dan efisiensinya;
j) sistem berisiko tinggi harus diprioritaskan.

informasi tambahan

Fungsi yang benar dari proses manajemen kerentanan teknis penting bagi banyak organisasi, sehingga prosesnya harus dipantau secara teratur. Inventarisasi yang akurat penting untuk memastikan bahwa kerentanan teknis yang berpotensi signifikan dapat diidentifikasi.

Manajemen kerentanan teknis dapat dilihat sebagai sub-fungsi dari manajemen perubahan dan dengan demikian dapat mengambil manfaat dari proses dan prosedur manajemen perubahan (lihat 10.1.2 dan 12.5.1).

Vendor sering mengalami tekanan yang signifikan untuk melepaskan patch sesegera mungkin. Oleh karena itu, tambalan tidak dapat mengatasi masalah secara memadai dan mungkin memiliki efek samping. Juga, dalam beberapa kasus, setelah tambalan diterapkan, mungkin tidak mudah untuk menghapusnya.

Jika pengujian patch yang memadai tidak dapat dilakukan, misalnya karena biaya atau kurangnya sumber daya, penundaan dalam implementasi perubahan dapat dipertimbangkan untuk menilai risiko terkait berdasarkan pengalaman pengguna lain.”

RS BR STBP-2.6-2014
"sepuluh. Tahap operasional
10.1. Tugas utama pada tahap operasi dalam hal memberikan keamanan informasi adalah:
- evaluasi berkala keamanan ABS (melakukan kegiatan untuk mengidentifikasi kerentanan khas komponen perangkat lunak ABS, pengujian penetrasi);
10.2. Frekuensi pekerjaan penilaian keamanan ditentukan oleh keputusan
Saya makan organisasi RF BS. Untuk sistem perbankan inti yang digunakan untuk menerapkan teknologi pembayaran bank
proses non-logis, dianjurkan untuk melakukan penilaian yang komprehensif dari keamanan tidak
kurang dari setahun sekali”

dokumen metodologis FSTEC Rusia "Langkah-langkah untuk melindungi informasi dalam sistem informasi negara", yang juga dapat digunakan untuk memastikan keamanan data pribadi atas kebijaksanaan operator
“ANZ.1 IDENTIFIKASI, ANALISIS DAN PENGHAPUS KERENTANAN SISTEM INFORMASI
Identifikasi (pencarian), analisis dan penghapusan kerentanan harus dilakukan pada tahap pembuatan dan pengoperasian sistem informasi. Selama fase operasi, pencarian dan analisis kerentanan dilakukan pada interval yang ditentukan oleh operator. Pada saat yang sama, itu wajib untuk kerentanan kritis mencari dan menganalisis kerentanan dalam hal publikasi di sumber publik informasi tentang kerentanan baru dalam alat keamanan informasi, perangkat keras dan perangkat lunak yang digunakan dalam sistem informasi.
Persyaratan penguatan ANZ.1:
2) operator harus memperbarui daftar kerentanan yang dipindai dalam sistem informasi dengan frekuensi yang ditetapkan olehnya, serta setelah munculnya informasi tentang kerentanan baru;”

· dipandu oleh dokumen metodologis FSTEC - analisis keamanan harus dilakukan tanpa gagal setelah publikasi informasi tentang kerentanan kritis atau pembaruan;

Untuk OS Windows, kerentanan seperti itu muncul rata-rata bulanan;

Menurut pendapat saya, untuk memastikan netralisasi ancaman saat ini, analisis keamanan menggunakan pemindai setidaknya harus dilakukan triwulanan

· sebagai permulaan dalam menentukan apa dan bagaimana memeriksa, Anda dapat menggunakan Lampiran 3 Rekomendasi untuk melakukan penilaian keamanan terhadap RS BR STBP-2.6-2014 - bagian 2 “Identifikasi kerentanan yang diketahui”

1. Organisasi kerja pada perlindungan teknis informasi:

1.1 Organisasi perlindungan teknis informasi yang diklasifikasikan sebagai rahasia negara dan resmi dari data rekayasa dan teknis dan dari kebocoran melalui saluran teknis:

• tersedianya pedoman dan dokumen normatif-teknis di bidang teknis perlindungan informasi;
• ketersediaan dokumen yang mengatur kegiatan unit struktural untuk perlindungan teknis informasi (tugas, tanggung jawab fungsional dll.);
• analisis dan penilaian bahaya nyata kebocoran informasi melalui saluran teknis, kelengkapan dan kebenaran mengidentifikasi kemungkinan saluran teknis untuk perlindungan kebocoran informasi;
• kelengkapan, kualitas dan validitas pengembangan langkah-langkah organisasi dan teknis untuk perlindungan informasi, prosedur pelaksanaannya;
• prosedur untuk mengatur dan memantau keadaan perlindungan teknis informasi, efektivitasnya;
• ketepatan waktu dan kelengkapan kepatuhan terhadap persyaratan dokumen yang mengatur, keputusan Komisi Teknis Negara Rusia, dokumen peraturan, teknis dan metodologis tentang perlindungan teknis informasi.

1.2. Studi dan analisis kegiatan unit struktural (pejabat yang bertanggung jawab) untuk memastikan keamanan informasi yang akan dilindungi, tugas yang mereka selesaikan dan tanggung jawab fungsional.

1.3. Analisis materi yang mencirikan aksesibilitas intelijen terhadap informasi yang beredar di divisi struktural. Deteksi Kehadiran 1000m misi luar negeri melaksanakan hak ekstrateritorialitas, tempat tinggal spesialis asing.

1.4 Studi dan analisis daftar informasi yang dilindungi:

• ketersediaan daftar informasi yang harus dilindungi dari sarana teknis pengintaian dan dari kebocoran melalui saluran teknis:
• kelengkapan dan kebenaran definisi tanda-tanda membuka kedok yang mengungkapkan informasi ini;

1.5 Ketersediaan sistem keamanan informasi:

• kehadiran tugas untuk perlindungan teknis informasi dalam dokumen organisasi dan administrasi yang mengatur kegiatan organisasi dan departemen yang merupakan bagian dari satu sistem badan dikendalikan pemerintah Di federasi Rusia;
• organisasi dan pelaksanaan pekerjaan tentang perlindungan teknis informasi di kantor pusat kementerian (departemen) dan di perusahaan, organisasi dan lembaga di bawahnya;
• interaksi tentang masalah perlindungan teknis informasi dengan kementerian lain (departemen) dan organisasi pihak ketiga lainnya;
• memastikan kontrol atas efektivitas perlindungan informasi yang merupakan rahasia negara dan resmi di semua perusahaan, lembaga dan organisasi yang berada di bawah dan di bawah kementerian (departemen) yang bekerja dengan mereka.

1.6 Analisis kemungkinan saluran teknis untuk kebocoran informasi tentang informasi yang diklasifikasikan sebagai rahasia negara dalam kegiatan kementerian (departemen) dan perusahaan, organisasi, dan lembaga bawahannya.

1.7 Analisis arus informasi selama berfungsinya unit struktural.

1.8 Analisis komposisi perangkat keras dan perangkat lunak yang terlibat dalam pemrosesan informasi, lokasinya, teknologi pemrosesan informasi, dan status perlindungannya:

• status akuntansi untuk semua perangkat keras dan perangkat lunak produksi dalam dan luar negeri yang terlibat dalam pemrosesan informasi yang dilindungi;
• penempatan peralatan elektronik, TSPI (dengan mengacu pada tempat di mana mereka dipasang), rute untuk meletakkan sirkuit informasi dan non-informasi yang melampaui wilayah yang dikendalikan.

1.9 Analisis ketersediaan informasi yang diproses dalam sistem kontrol otomatis, komputer dan sarana teknis lainnya.

1.10 Studi organisasi dan status aktual akses personel pemeliharaan dan pengoperasian ke sumber daya informasi.

2. Memantau status perlindungan informasi:

Organisasi keamanan informasi dalam sistem dan sarana informasi dan komunikasi:

• sertifikasi sistem dan sarana otomatisasi dan komunikasi yang terlibat dalam pemrosesan informasi yang diklasifikasikan sebagai rahasia negara dan resmi;
• melakukan pemeriksaan khusus untuk mengidentifikasi perangkat tertanam;
• kegiatan unit struktural yang bertanggung jawab atas otomatisasi proses pemrosesan informasi, akuntansi, penyimpanan, akses ke media magnetiknya, tugas orang bertanggung jawab atas keamanan informasi;
• ketepatan waktu dan kebenaran penerapan sistem keamanan informasi, pemberian izin untuk mengolah informasi rahasia;
• penempatan dan penggunaan sarana teknis yang benar, elemen masing-masing;
• langkah-langkah yang diterapkan untuk melindungi informasi dari kebocoran karena radiasi dan interferensi elektromagnetik palsu, transformasi elektro-akustik;
• tindakan yang diambil untuk mencegah akses tidak sah ke informasi, serta intersepsi dengan cara teknis informasi ucapan dari tempat dan objek yang dilindungi.

• verifikasi kepatuhan terhadap persyaratan instruksi operasi dan prosedur operasi untuk sarana teknis transmisi, penyimpanan, dan pemrosesan informasi TSPI (melewati semua tempat yang dialokasikan);
• memeriksa ketepatan waktu dan kebenaran kategorisasi tempat yang dialokasikan, prosedur sertifikasi mereka selama commissioning dan penerbitan izin untuk hak untuk melakukan acara rahasia dan melakukan negosiasi rahasia;
• memeriksa ketersediaan, kualitas pemasangan dan pengoperasian sarana perlindungan informasi suara dari kebocoran melalui saluran teknis;
• verifikasi kepatuhan terhadap persyaratan untuk melakukan inspeksi khusus sarana teknis (untuk tidak adanya perangkat radiasi khusus);

2.3.3 Melakukan kontrol instrumental terhadap keamanan informasi ucapan yang beredar di ruang khusus, diproses dan dikirimkan oleh TSPI, untuk mengidentifikasi kemungkinan saluran kebocoran teknis:

. Kontrol atas pemenuhan persyaratan Hukum Federasi Rusia "Tentang Rahasia Negara"

Tata cara penerimaan warga negara asing dan pemenuhan persyaratannya dokumen normatif. Evaluasi tindakan perlindungan informasi yang diterapkan saat mengunjungi organisasi (perusahaan) oleh perwakilan asing. Partisipasi spesialis dalam melawan intelijen dalam analisis kemungkinan saluran kebocoran informasi, pengesahan dan inspeksi khusus tempat sebelum dan sesudah penerimaan spesialis asing. Ketersediaan program penerimaan, koordinasi dengan FSB. Pengembangan dan implementasi (jika perlu) langkah-langkah tambahan untuk perlindungan teknis informasi.

3.1 Memeriksa ketersediaan unit struktural, pegawai, tingkat pelatihan, kualifikasi, memastikan penyelesaian masalah yang terkait dengan rahasia negara. 3.2 Memeriksa ketersediaan lisensi untuk hak untuk melakukan pekerjaan yang terkait dengan penerapan undang-undang Federasi Rusia "Tentang Rahasia Negara", baik di divisi struktural penuh waktu maupun di organisasi eksternal yang melakukan pekerjaan (menyediakan layanan) untuk perlindungan teknis informasi untuk kepentingan kementerian (departemen) dan subordinasi mereka perusahaan, organisasi dan lembaga. 3.3 Memeriksa ketersediaan dokumen panduan dan isinya tentang masalah perlindungan teknis informasi (hukum Federasi Rusia "Tentang Rahasia Negara", Daftar informasi yang akan dilindungi ... dll.). 3.4 Memeriksa status rezim kerahasiaan di divisi dan tingkat kepatuhannya dengan dokumen yang mengatur untuk penyimpanan catatan (peralatan tempat, akuntansi dan penyimpanan dokumen rahasia, akses ke penyimpanan catatan dan dokumen rahasia). 3.5 Memeriksa ketepatan waktu dan kebenaran mengkomunikasikan persyaratan dokumen panduan tentang perlindungan teknis informasi kepada karyawan departemen, pengetahuan mereka oleh karyawan. 3.6 Memeriksa kebenaran pengkategorian informasi menurut tingkat kerahasiaan, prosedur akuntansi dan penyimpanannya saat menggunakan sarana teknis (EVT, TSPI, peralatan kantor, dll.). 3.7 Memeriksa kebenaran pencetakan (penggandaan) dokumen rahasia, pembukuannya dan tata cara penyampaiannya kepada pelaksana. 3.8 Memeriksa prosedur untuk mengizinkan karyawan bekerja dengan informasi rahasia. 3.9 Memeriksa organisasi kerja untuk mengurangi tingkat kerahasiaan (deklasifikasi) dokumen dan membawa informasi kepada pelaksana. 3.10 Memeriksa ketersediaan "Sertifikat Kesesuaian" untuk tempat yang dialokasikan dan sarana teknis yang terlibat dalam pemrosesan informasi yang akan dilindungi, dan dokumen sertifikasi untuk sarana perlindungan teknis informasi dan pengendalian efektivitasnya.

4. Hal-hal yang perlu dipertimbangkan dalam verifikasi pemegang lisensi

4.1 Diperiksa:

• ketersediaan lisensi (izin) untuk hak untuk melakukan pekerjaan pada perlindungan teknis informasi, verifikasi keabsahan lisensi dalam tenggat waktu yang ditentukan dan kepatuhan dengan pekerjaan yang sebenarnya dilakukan oleh penerima lisensi (1.5)*;
• pemegang lisensi memiliki dokumen tentang pendaftaran negara kegiatan wirausaha dan piagam perusahaan (1.7)*;
• keadaan basis produksi dan pengujian, ketersediaan peraturan dan dokumentasi metodologis melaksanakan pekerjaan pada jenis kegiatan yang dinyatakan (1.6)*;
• kepegawaian personel ilmiah dan teknik untuk melakukan pekerjaan pada jenis kegiatan yang dinyatakan. Tingkat kesiapan spesialis untuk bekerja (1.6) *;
• pelatihan profesional kepala perusahaan penerima lisensi dan (atau) orang yang diberi wewenang olehnya untuk mengelola kegiatan berlisensi (1.7)*;
• kepatuhan dengan kewajiban kontrak untuk memastikan keamanan rahasia dan aset material individu dan badan hukum yang menggunakan layanan penerima lisensi (2.4)*;
• ketepatan waktu dan kelengkapan presentasi dalam agen pemerintah untuk lisensi atau ke pusat lisensi untuk informasi tentang pekerjaan yang dilakukan pada jenis kegiatan tertentu yang ditentukan dalam lisensi sesuai dengan persyaratan Komisi Teknis Negara Rusia (2.4)*;
• kualitas layanan yang diberikan oleh penerima lisensi (penilaian efektivitas tindakan yang diambil oleh pemegang lisensi untuk perlindungan teknis informasi di 1-3 perusahaan konsumen yang menggunakan layanan penerima lisensi (3.2) *.

4.2 Hasil verifikasi pemegang lisensi tercermin dalam bentuk bagian terpisah dari undang-undang atau sertifikat, yang dibuat berdasarkan hasil pemeriksaan terjadwal kementerian (departemen) dan perusahaan, organisasi, dan lembaga bawahannya. Berdasarkan hasil yang diperoleh, kesimpulan dibuat tentang kepatuhan penerima lisensi dengan persyaratan yang ditetapkan dan kemungkinan pekerjaan lebih lanjut olehnya di area yang dinyatakan.

Catatan: *) Bagian “Peraturan tentang perizinan negara untuk kegiatan di bidang perlindungan informasi” ditunjukkan dalam tanda kurung.

Memeriksa keamanan informasi dari akses yang tidak sah terdiri dari memeriksa kepatuhan efektivitas langkah-langkah untuk melindungi informasi dengan persyaratan atau standar yang ditetapkan untuk keamanan informasi. Semua kelompok sarana perlindungan terhadap akses tidak sah, yang kami pertimbangkan dalam kuliah sebelumnya, diuji.

Kepatuhan diperiksa deskripsi proses teknologi pemrosesan dan penyimpanan informasi yang dilindungi ke proses nyata.

Kemungkinan dinilai mentransfer informasi dari tingkat kerahasiaan yang lebih tinggi ke pembawa informasi tingkat yang lebih rendah.

Analisis sedang berlangsung koneksi yang diizinkan dan dilarang antara subjek dan objek akses dengan mengacu pada OTSS dan staf tertentu.

Kepatuhan dinilai tautan yang diizinkan dan dilarang ke sistem permisif akses personel ke sumber daya yang dilindungi di semua tahap pemrosesan.

Verifikasi, sebagai suatu peraturan, dilakukan dengan menggunakan perangkat lunak dan perangkat lunak dan kontrol keamanan perangkat keras. Sebagai contoh, mari kita pertimbangkan produk dari satu perusahaan, LLC "Pusat Keamanan Informasi".

Alat kontrol keamanan terhadap UA "Auditor 2 XP" dirancang untuk mengontrol hak akses ke sumber daya informasi.

• tampilan semua informasi yang terkandung dalam DRP (hanya melihat yang dimungkinkan);
• perbandingan struktur sumber daya dari workstation yang dijelaskan dalam DRP dengan struktur sumber daya yang sebenarnya;
• membuat laporan hasil perbandingan;
• membangun rencana untuk menguji objek stasiun kerja;
• memeriksa hak akses nyata pengguna untuk mengakses objek;
• membuat laporan hasil tes.

Pemindai Jaringan "Pemeriksa Jaringan" versi 3.0 dirancang untuk mendeteksi kerentanan dalam perangkat lunak dan perangkat keras jaringan yang diinstal menggunakan protokol tumpukan TCP/IP. Sistem ini memiliki banyak peluang, salah satunya adalah pencarian kerentanan yang terdapat dalam database ancaman dan kerentanan FSTEC, yang kami pertimbangkan sebelumnya. Selain itu, program mencari kerentanan yang terdapat di cve.mitre. org, ovaldb.altx-soft.ru, microsoft. com dan beberapa sumber lainnya.

Sarana untuk memperbaiki dan mengendalikan keadaan awal paket perangkat lunak"FIX" dirancang untuk mengontrol subsistem integritas. Fitur utama dari program ini:

• memperbaiki keadaan awal paket perangkat lunak;
• kontrol keadaan awal paket perangkat lunak;
• memperbaiki dan mengendalikan direktori;
• kontrol perbedaan dalam file tertentu (direktori);
• kemampuan untuk bekerja dengan nama file yang panjang dan nama yang mengandung karakter Cyrillic.

Program pencarian dan penghancuran informasi yang dijamin pada disk "TERRIER" memungkinkan Anda untuk mengontrol penghancuran informasi. Untuk memeriksa, Anda perlu membuat file dengan kombinasi karakter kontrol pada disk logis rahasia, cari sektor menggunakan "TERRIER", hapus file menggunakan alat standar dan kontrol penghapusannya menggunakan TERRIER.

18.4. Dokumentasi hasil pengendalian. Persyaratan untuk kontrol keamanan informasi

Perlu dicatat bahwa persyaratan yang agak ketat dikenakan pada sarana pemantauan efektivitas tindakan perlindungan informasi, serta pada produsen sarana tersebut. Sesuai dengan "Peraturan tentang Kegiatan Perizinan untuk Pengembangan dan Produksi Alat Perlindungan Informasi Rahasia", yang disetujui oleh Keputusan Pemerintah No. 171 pada tanggal 3 Maret 2012, pengembangan dan produksi sarana teknis untuk memantau efektivitas tindakan perlindungan informasi adalah tunduk pada lisensi. Dan sarana yang dikembangkan dan diproduksi untuk memantau keefektifan tindakan perlindungan itu sendiri harus memiliki sertifikat Kesesuaian FSTEC sesuai dengan persyaratan Keputusan Pemerintah Federasi Rusia 26 Juni 1995 N 608 "Tentang sertifikasi alat keamanan informasi".

Pemantauan efektivitas perlindungan diselesaikan dengan mengeluarkan Kesimpulan dengan penilaian singkat tentang kepatuhan objek informasi pada keamanan informasi, rekomendasi khusus untuk menghilangkan pelanggaran, membawa sistem perlindungan objek informasi sesuai dengan persyaratan yang ditetapkan, meningkatkan sistem ini , rekomendasi untuk memantau fungsi objek informasi. Laporan pengujian dilampirkan pada Kesimpulan, mengkonfirmasikan hasil yang diperoleh selama pengujian dan memperkuat kesimpulan yang diberikan dalam kesimpulan.

Pemantauan efektivitas VBI dilakukan dengan memeriksa kesesuaian indikator kualitatif dan kuantitatif efektivitas kegiatan VBI dengan persyaratan atau standar efektivitas VBI.

Pemantauan efektivitas VBI meliputi:

Kontrol teknis efektivitas VBI - kontrol efektivitas VBI, dilakukan dengan menggunakan sarana kontrol teknis.

Pengendalian organisasi terhadap efektivitas VBI - memeriksa kesesuaian kelengkapan dan keabsahan kegiatan VBI dengan persyaratan pedoman dan dokumen peraturan dan metodologi di bidang VBI;

Pengendalian teknis atas efektivitas VBI (yang sedang kami pertimbangkan) adalah pengendalian efektivitas VBI, yang dilakukan dengan menggunakan sarana pengendalian teknis.

Bergantung pada tujuan dan sasaran pengendalian, serta karakteristik objek yang diperiksa, pengendalian teknis efektivitas VBI dapat berupa:

Komprehensif, ketika organisasi dan status VBI diperiksa terhadap kebocoran melalui semua kemungkinan saluran teknis yang merupakan karakteristik dari sarana teknis yang dikendalikan (objek informasi), dari akses tidak sah ke informasi atau pengaruh khusus padanya;

Ditargetkan, ketika pemeriksaan dilakukan melalui salah satu saluran teknis yang memungkinkan kebocoran informasi, karakteristik sarana teknis terkontrol yang memiliki parameter yang dilindungi atau di mana informasi yang dilindungi beredar;

Selektif, bila dari keseluruhan komposisi sarana teknis di fasilitas tersebut dipilih yang menurut hasil penilaian awal kemungkinan besar memiliki saluran teknis untuk membocorkan informasi yang dilindungi.

Tergantung pada kondisi spesifik dari kontrol teknis, kontrol efisiensi dapat dilakukan dengan metode berikut:

Metode instrumental, ketika instrumen pengukuran teknis digunakan dalam proses pengendalian dan kondisi operasi nyata dari sarana pengintaian teknis disimulasikan;

Metode perhitungan instrumental, ketika pengukuran dilakukan di sekitar objek kontrol, dan kemudian hasil pengukuran dihitung ulang ke tempat (kondisi) lokasi yang diinginkan dari peralatan pengintai;

Metode perhitungan, ketika efektivitas VBI dievaluasi dengan perhitungan, berdasarkan kondisi penempatan aktual dan kemampuan peralatan pengintai teknis dan karakteristik objek kontrol yang diketahui.

Inti dari tindakan pengendalian teknis adalah pelaksanaan pemeriksaan instrumental (perhitungan instrumen) terhadap efektivitas perlindungan informasi dari kebocoran melalui saluran teknis yang timbul karena:

1) radiasi elektromagnetik palsu (SEMI) selama pengoperasian sarana dan sistem teknis utama (OTSS) objek informasi;

3) gangguan sinyal informasi pada jalur penghubung VTSS yang terletak di area cakupan PEMI OTSS;

4) konsumsi arus yang tidak merata di jaringan catu daya OTSS;

5) pengenaan frekuensi tinggi linier dan transformasi elektro-akustik sebagai metode penyadapan informasi ucapan melalui VTSS yang dipasang di ruang khusus.

Kontrol instrumental dilakukan sesuai dengan program standar dan metode standar yang disetujui oleh badan pengesahan dan sertifikasi. Semua peralatan pengukuran disertifikasi oleh otoritas metrologi dengan cara yang ditentukan.

Dokumen peraturan dan metodologi utama yang mengatur kegiatan untuk kontrol teknis objek yang dipertimbangkan adalah:

2. GOST 29339-92. Teknologi Informasi. Perlindungan informasi dari kebocoran akibat radiasi elektromagnetik palsu dan pengambilan selama pemrosesannya melalui teknologi komputer. Persyaratan teknis umum;

3. Pengumpulan dokumen metodologis tentang pengendalian informasi yang dilindungi yang diproses oleh teknologi komputer dari kebocoran akibat radiasi elektromagnetik dan pickup (PEMIN). Disetujui atas perintah Komisi Teknis Negara Rusia tertanggal 19 November 2002 No. 391.

4. Perintah Layanan Federal untuk Kontrol Teknis dan Ekspor (FSTEC Rusia) tertanggal 11 Februari 2013 N 17 Moskow

5. Perintah FSTEC Rusia tertanggal 18 Februari 2013 No. 21 "Atas persetujuan Komposisi dan isi tindakan organisasi dan teknis untuk memastikan keamanan data pribadi selama pemrosesannya dalam sistem informasi data pribadi."

Tindakan memeriksa status VBI harus berisi bagian berikut:

1. Informasi umum tentang objek pengendalian;

2. Masalah umum organisasi VBI di fasilitas;

3. Organisasi dan status perlindungan objek informasi;

4. Kelengkapan dan kualitas pekerjaan yang dilakukan oleh pemegang lisensi FSTEC Rusia tentang perlindungan dan sertifikasi objek informasi;

Menyembunyikan informasi tentang sarana, kompleks, objek, dan sistem pemrosesan informasi. Tugas-tugas ini dapat dibagi menjadi teknis dan organisasi.

Tugas organisasi untuk menyembunyikan informasi tentang objek ditujukan untuk mencegah pengungkapan informasi ini oleh karyawan dan kebocorannya melalui saluran rahasia.

Tugas teknis ditujukan untuk menghilangkan atau melemahkan fitur teknis membuka kedok objek yang dilindungi dan saluran teknis untuk membocorkan informasi tentang mereka. Pada saat yang sama, penyembunyian dilakukan dengan penurunan elektromagnetik, temporal, struktural dan aksesibilitas atribut, serta melemahnya kecukupan antara struktur, topologi dan sifat fungsi sarana, kompleks, objek, pemrosesan informasi. dan sistem kontrol.

Solusi untuk masalah ini adalah penerapan langkah-langkah dan langkah-langkah organisasi dan teknis yang kompleks yang memastikan pemenuhan persyaratan dasar untuk sarana, kompleks dan sistem pemrosesan informasi - keamanan intelijen dan ditujukan untuk mencapai salah satu tujuan utama - pengecualian atau kesulitan yang signifikan dari intelijen teknis dalam pencarian, lokasi, pengawasan radio dari sumber emisi radio, klasifikasi dan identifikasi objek oleh intelijen teknis sesuai dengan tanda-tanda yang terungkap.

Memecahkan masalah pengurangan aksesibilitas elektromagnetik mempersulit baik untuk mendeteksi energi dan untuk menentukan koordinat area di mana sumber emisi radio berada, dan juga meningkatkan waktu untuk mengungkapkan tanda-tanda yang membuka kedok, mengurangi akurasi pengukuran parameter dan sinyal radio. sarana emisi.

Penurunan ketersediaan sementara sarana pemancar radio menyiratkan pengurangan waktu operasi mereka untuk radiasi selama transmisi informasi dan peningkatan durasi jeda antara sesi pemrosesan informasi. Untuk mengurangi ketersediaan struktural dan indikatif sarana, kompleks dan sistem pemrosesan informasi, langkah-langkah organisasi dan teknis diambil untuk melemahkan tanda-tanda yang membuka kedok dan menciptakan apa yang disebut "latar belakang abu-abu".

Kelas 1.2. Disinformasi musuh.

Kelas ini mencakup tugas-tugas yang terdiri dari penyebaran informasi palsu yang disengaja mengenai tujuan sebenarnya dari beberapa objek dan produk, keadaan sebenarnya dari beberapa bidang kegiatan negara, keadaan di suatu perusahaan, dll.

Disinformasi biasanya dilakukan dengan menyebarkan informasi palsu melalui berbagai saluran, meniru atau mendistorsi fitur dan sifat elemen individu dari objek perlindungan, membuat objek palsu, serupa dalam penampilan atau manifestasi dengan objek yang menarik bagi lawan, dll.

Peran disinformasi ditekankan oleh A.F. Viviani, seorang ahli di bidang kontra-spionase: Sejumlah besar informasi jatuh pada kita, jatuh, meletus. Itu palsu, tapi kelihatannya bisa dipercaya; itu benar, tetapi sebenarnya itu digambar ulang dengan licik untuk memberi kesan palsu; sebagian salah dan sebagian benar. Itu semua tergantung pada metode yang dipilih dari apa yang disebut disinformasi, yang tujuannya adalah untuk membuat Anda percaya, berharap, berpikir, membuat keputusan ke arah yang bermanfaat bagi mereka yang karena alasan tertentu perlu memengaruhi kita...

Disinformasi teknis pada objek perlindungan adalah serangkaian tindakan organisasi dan tindakan teknis yang ditujukan untuk menyesatkan intelijen teknis tentang tujuan sebenarnya dari sistem pemrosesan informasi, pengelompokan dan kegiatan pasukan, dan niat badan komando dan kontrol.

Pemecahan masalah ini dilakukan dalam kerangka operasi radio masking yang terkenal dengan mendistorsi fitur teknis membuka kedok dari objek yang dilindungi atau mensimulasikan fitur teknis membuka kedok dari objek palsu.

Tugas khusus disinformasi teknis adalah:

Distorsi tanda-tanda yang membuka kedok objek dan sistem nyata yang sesuai dengan tanda-tanda objek palsu;

Penciptaan (imitasi) lingkungan, objek, sistem, kompleks yang salah dengan mereproduksi tanda-tanda yang membuka kedok objek nyata, struktur sistem, situasi, tindakan, fungsi, dll .;

Transfer, pemrosesan, penyimpanan dalam sistem pemrosesan informasi palsu;

Meniru aktivitas tempur sarana, kompleks, dan sistem pemrosesan informasi di titik kontrol palsu;

Partisipasi kekuatan dan sarana dalam tindakan demonstratif pada arah yang salah;

Transmisi informasi palsu (disinformasi radio), mengandalkan intersepsinya oleh musuh, dll.

Secara umum, tugas-tugas ini dapat dikelompokkan ke dalam tugas-tugas tertentu dari imitasi radio, disinformasi radio, dan tindakan demonstratif.