В 5. Организационная защита информации.

План.

1. Понятие организационной защиты информации

2. Служба информационной безопасности

3. Задачи службы безопасности

5.1 Понятие организационной защиты информации

Понятие организационной защиты. Основные организационные мероприятия. Категории важности и ценности информации. Категории закрытости и секретности информации. Организация защиты технических средств обработки и передачи информации

Организационная защита – это регламентация производственной и управленческой деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая или существенно затрудняющая неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организационная защита обеспечивает:

-организацию охраны, режима, работу с кадрами, документами;

-использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз информационной безопасности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили бы к минимуму возможность опасности конфиденциальной информации.

К основным организационным мероприятиям можно отнести:

-организацию режима и охраны. Их цель – исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу закрытости работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала организации; поддержание пропускного режима сотрудников и посетителей;

-организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, ознакомление с сотрудниками, обучение правилам работы с конфиденциальной информацией, ознакомление их с мерами ответственности за нарушение режима конфиденциальности;

-организацию работы с документами и документированной информацией, включая правила работы с ее носителями, их учета, использования, возврата, хранения и уничтожения;

-организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

-организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработки мер по ее защите;

-организацию работы по проведению систематического контроля работы персонала с конфиденциальной информацией, порядком учета документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Особенно это касается организации защиты ПЭВМ, информационных систем и сетей.

Организация защиты технических средств обработки и передачи информации определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, так как несанкционированный доступ , утечка и утеря информации в компьютерах чаще всего связаны с небрежностью пользователей или персонала. Эти факторы практически невозможно исключить с помощью только аппаратных и программных средств, криптографии физических средств защиты. Организационные средства защиты ПЭВМ и информационных сетей применяются:

-при проектировании, строительстве и оборудовании помещений, узлов сети для минимизации последствий стихийных бедствий или злоумышленных действий;

-при подборе и подготовке персонала (проверка принимаемых на работу, создание условий заинтересованности в сохранности данных, обучение правилам работы с закрытой информацией);

-при хранении и использовании носителей данных (правила маркировки регистрации, выдачи);

-при соблюдении надежного пропускного режима к техническим средствам (организация сменной работы, ведение ( возможно автоматизированное) журналов работы, упорядоченное уничтожение информации);

-при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов, проверка их на удовлетворение требованиям защиты, документальное оформление изменений);

-при подготовке и контроле работы пользователей.

Чтобы все организационные мероприятия проводились упорядоченно, в любой организации информационные объекты должны быть четко классифицированы по степени важности для обеспечения деятельности предприятия (организации). С точки зрения вариантов неблагоприятных воздействий обычно рассматривают классификацию информации по степени конфиденциальности, целостности и доступности. В каждой из категорий выделяют критическую информацию (при нарушении свойств которой организация терпит крах), важную, полезную информацию, малозначимую и, наконец, вредную. Традиционно для конфиденциальной информации, содержащей государственную тайну (т.е. секретной) приняты следующие категории: «для служебного пользования» (ДСП), «секретно», «совершенно секретно», «особой важности». Соответствующий уровень секретности, называемый грифом, обязательно присутствует на титульном листе документа. В соответствии с грифом регламентируются организационные мероприятия, производимые при хранении, использовании и уничтожении документов, их обработке с помощью технических средств. Выделенные помещения и технические средства, предназначенные для работы с секретной информацией также разделяют по категориям.

5.2 Служба информационной безопасности

Служба информационной безопасности, ее организационная структура

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Организационные мероприятия должны четко планироваться и направляться специальной структурой, подразделением, укомплектованным соответствующими специалистами по безопасности и защите информации. Эту функцию чаще всего выполняет служба безопасности предприятия (организации), на которую возложены следующие общие обязанности:

-обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;

-обеспечение и контроль соблюдения пропускного и внутриобъектового режима на территории со стороны сотрудников и посетителей;

-руководство работами по правовому регулированию отношений по защите информации (участие в разработке основополагающих документов с целью закрепления в них требований обеспечения защиты информации, а также в разработке должностных инструкций и положений, специальной инструкции по защите конфиденциальной информации);

--осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;

-изучение всех сторон производственной, коммерческой и управленческой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведение учета и анализ нарушений режима безопасности, накопление и анализ данных о злоумышленных стремлениях конкурирующих организаций;

-проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки информации и других нарушений безопасности предприятия;

-разработка, ведение и пополнение «Перечня сведений конфиденциального характера»;

-обеспечение строгого выполнения требований нормативных актов по защите производственных секретов предприятия;

-осуществление руководства службами и подразделениями безопасности подведомственных предприятий , организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите информации;

-регулярное проведение учебы сотрудников предприятия и службы безопасности по всем направлениям обеспечения безопасности производственной деятельности;

-ведение строгого учета и контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к охраняемым секретам;

-обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внешних и внутренних угроз;

-поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки и оказания взаимной помощи в кризисных ситуациях.

Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю. Возглавляет службу безопасности начальник службы в ранге заместителя руководителя предприятия (организации) по безопасности.

Организационно служба безопасности состоит из следующих структурных единиц:

-подразделения режима и охраны;

-специального подразделения обработки документов конфиденциального характера;

-инженерно-технических подразделений;

-информационно-аналитических подразделений.

5.3 Задачи службы безопасности

К задачам службы безопасности предприятия относятся:

-определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к конфиденциальной информации;

-определение участков сосредоточения конфиденциальных сведений;

-определение круга сторонних предприятий, связанных с данным предприятием корпоративными связями, на которых в силу производственных отношений возможен выход из-под контроля закрытых сведений;

-определение круга лиц, не допущенных к конфиденциальным сведениям, но проявляющих повышенный интерес к таким сведениям;

-выявление круга предприятий, в том числе иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данной организации, устранения экономического конкурента или его компрометации;

-разработка системы защиты документов, содержащих сведения конфиденциального характера;

-определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих другим предприятиям;

-определение на предприятии технологического оборудования, выход (или вывод) из строя которого может привести к большим экономическим потерям;

-определение уязвимых мест в технологии производственного цикла, несанкционированное изменение в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию (потеря конкурентоспособности);

-определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок; организация их физической защиты и охраны;

-определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия , персонала, продукции и информации;

-разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия;

-внедрение в деятельность предприятия (организации) новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;

-организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;

-изучение, анализ и оценка состояния обеспечения безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;

-разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультаций у специалистов, разработку необходимо документации с целях совершенствования системы мер по обеспечению экономической и информационной безопасности.

Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.

Не нашли, что искали? Воспользуйтесь поиском по сайту: