наделение органов контроля необходимыми полномочиями, позволяющими им должным образом влиять на контролируемые объекты и обеспечивающими эффективность и действенность контроля;
независимость органов контроля от должностных лиц контролируемых объектов при осуществлении своих полномочий;
соблюдение законности в работе органов контроля и их должностных лиц;
системность и регулярность в проведении контроля;
профессионализм сотрудников органов контроля, применение ими методов и средств проведения проверок в соответствии с действующими нормативно-методическими документами, единая информационная база органов контроля по нормам, методикам и средствам контроля;
объективность анализа обстоятельств и причин нарушений в состоянии защиты информации;
наличие обратной связи с контролируемыми объектами, обеспечивающей объективность сведений о состоянии защиты информации и о ходе устранения вскрываемых нарушений и недостатков;
экономическая целесообразность функционирования контрольных органов - оптимальное сочетание результативности их деятельности с затратами на их содержание.
Функции органа контроля:
организация и осуществление контроля выполнения требований по защите информации силами подразделений ЗИ и специализированных организаций;
сбор, анализ и обобщение материалов о состоянии защиты информации по результатам проверок;
информирование об эффективности мер и состоянии работ по защите информации руководства организации.
Основные методы контроля:
проверки выполнения требований по защите информации;
изучение состояния защиты информации;
испытание системы защиты информации;
наблюдение за выполнением требований по защите информации;
зачетов, экзаменов, тестирования;
провокация в области защиты информации;
атаки на систему защиты информации;
отзыв и изучение документов, регламентирующих деятельность в области защиты информации.
Периодичность проведения проверок состояния дел по защите информации определяется исходя из высшего грифа конфиденциальности обрабатываемой (циркулирующей) в ней информации или установленной категории по требованиям обеспечения защиты объекта.
Нарушения в области защиты информации – несоответствие мер защиты информации установленным требованиям или нормам по защите информации.
Нарушения по степени опасности можноразделить на три категории:
первая категория - невыполнение требований или норм по технической защите информации, составляющей государственную тайну, подтвержденное протоколом технического контроля, в результате которого имелась или имеется реальная возможность утечки информации по техническим каналам, несанкционированного доступа к информации или воздействия на информацию;
вторая категория - невыполнение требований по технической защите информации, в результате чего создаются предпосылки к утечке информации по техническим каналам или несанкционированного доступа к ней;
третьякатегория - недостатки в оформлении документов по организации технической защиты информации, которые непосредственно не ведут к возникновению предпосылок к утечке информации по техническим каналам или несанкционированному доступу к ней.
При обнаружении нарушений второй и третьей категорий руководитель проверяемой организации обязан принять необходимые меры по их устранению в сроки, согласованные с органом, проводившим проверку. Контроль за устранением этих нарушений осуществляется подразделением контроля проверенной организации.