Сущность организационного обеспечения информационной безопасности

вырабатывающая по­рядок и правила функционирования объектов защиты и деятель­ности должностных лиц в целях обеспечения защиты информа­ции

Организационная защита информации на предприятии — регламентация производственной деятельности и взаимоотношений субъектов (работников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба дан­ному предприятию.

!

— раскрывает ее структуру на уровне предприятия.
Вместе с тем оба определения подчеркивают важность нормативно-правового ре­гулирования вопросов защиты информации наряду с комплекс­ным подходом к использованию в этих целях имеющихся сил и средств.
Основные направления организационной защиты инфор­мации приведены на рисунке 1.

!

способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складываю­щейся ситуации и наличия факторов, ослабляющих или усилива­ющих угрозу защищаемой информации;
принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гиб­кость системы защиты информации и отражает нацеленность ру­ководства и персонала предприятия на решение задач защиты информации);
принцип персональной ответственности — наиболее эффектив­ное распределение задач по защите информации между руковод­ством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;
неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденци­альной информации.
При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение задач по защите конфиден­циальной информации на предприятии.

системе защи­ты информации предприятия.
От полноты и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функцио­нирования системы защиты информации в целом.
Среди основных направлений защиты информации наряду с организационной выделяют правовую и инженерно-техническую защиту информации. Однако организационной защите информа­ции среди этих направлений отводится особое место.
Организационная защита информации призвана посредством выбора конкретных сил и средств, в том числе правовых и инженер­но-технических, реализовать на практике спланированные руко­водством предприятия меры по защите информации. Эти меры при­нимаются в зависимости от конкретной обстановки на предприя­тии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке.

задач по защите информации не может быть достигнуто без создания единой основы, которой призвана стать сама система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражаю­щая все направления и специфику деятельности данного пред­приятия.

Под системой защиты информации понимают совокупность ор­ганов защиты информации (структурных подразделений или должностных лиц предприятия), используемых ими средств и мето­дов защиты информации, а также мероприятий, планируемых и проводимых в этих целях.

информации использу­ются несколько основных подходов, которые вырабатываются на основе существующей нормативно-правовой базы и с учетом ме­тодических разработок по тем или иным направлениям защиты информации.
Один из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия с учетом уст­ремленности конкурирующих организаций к овладению информацией и, тем самым, нанесению ущерба предприятию.
Важным элементом анализа является работа по оп­ределению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа к ним различных категорий работников (работников других пред­приятий).
Работу по проведению такого анализа непосредственно возглавляет руководитель предприятия и его заместители по направ­лениям деятельности.

приоритетные направления деятельности предприятия, требующие особого внимания.
Пред­почтение также отдается новым, перспективным направлениям деятельности предприятия, которые связаны с научными иссле­дованиями, новейшими технологиями, формирующими интел­лектуальную собственность, а также развивающимся международ­ным связям.
В соответствии с названными приоритетами форми­руется перечень возможных угроз информации, подлежащей за­щите, и определяются конкретные силы, средства, способы и методы ее защиты.
К организации системы защиты информации с позиции сис­темного подхода выдвигается ряд требований, определяющих ее целостность, стройность и эффективность.

!

системой со стороны руководителя и должностных лиц, отвечаю­щих за различные направления деятельности предприятия;
2. плановой — объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед пред­приятием задач в области защиты информации;
3. конкретной и целенаправленной — рассчитанной на защиту абсолютно конкретных информационных ресурсов, представляющих интерес для конкурирующих организаций;
4. активной — обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации уси­лий на наиболее важных направлениях деятельности предприя­тия;
5. надежной и универсальной — охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией.

из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, — совокупность сил и средств предприятия, используемых для организации защиты информации.
Силы и средства различных предприятий отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные струк­турные подразделения и использовать высокоэффективные сред­ства защиты информации.
Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее неболь­ших объемов, вместо создания подразделений они могут вклю­чать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются орга­нами защиты информации.

!

использовать потенциал более крупных предприятий, имеющих необхо­димое количество квалифицированных работников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области. (например, работа с гостайной).
Ведущую роль в организации защиты информации на предприятии играют руководитель предприятия, а также его замести­тель, непосредственно возглавляющий эту работу.

на исключение утечки сведений, отнесенных к конфи­денциальной информации, и утрат носителей информации.

ОН ОБЯЗАН:

!

знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закры­тию возможных каналов утечки конфиденциальной информации;
определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;
проявлять высокую требовательность к персоналу предприя­тия в вопросах сохранности информации;
оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.

предприятия для принятия своевременных мер по защите информации; руково­дить работой службы безопасности (иных структурных подразде­лений, решающих задачи по защите информации); выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ.

На предприятиях для организации работ по защите информа­ции могут создаваться следующие основные виды структурных подразделений:
режимно-секретные;
подразделения по технической защите информации и противодействию иностранным техническим разведкам;
подразделения криптографической защиты инфор­мации;
мобилизационные;
подразделения охраны и пропускного режима.

отражаются в соответствующих положениях.
По решению руководителя предприятия данные подразделе­ния организационно могут объединяться в службу безопасности, руководитель которой в некоторых случаях может быть наделен статусом заместителя руководителя предприятия и полномочиями должностного лица, осуществляющего руководство работой структурных подразделений предприятия, деятельность которых связана с использованием и защитой информации.

иностранным техническим разведкам создают­ся на предприятиях, выполняющих работы с использованием све­дений, составляющих государственную тайну (вне зависимости от наличия на предприятии иной информации с ограниченным доступом).

Режимно-секретное подразделение является основным структур­ным подразделением предприятия и решает задачи организации, координации и контроля деятельности других структурных под­разделений (персонала предприятия) по обеспечению защиты сведений, составляющих государственную тайну.
На предприяти­ях, не выполняющих работы со сведениями, составляющими го­сударственную тайну, для решения аналогичных задач в отноше­нии других видов информации с ограниченным доступом создается и функционирует служба безопасности (служба защиты информации).

задачи орга­низации и проведения комплекса технических мероприятий, направленных на исключение или существенное затруднение добывания иностранными разведками с помощью технических средств сведений, отнесенных к конфиденциальной информации и под­лежащих защите.

!

Подразделение криптографической защиты информации создается в целях предотвращения утечки конфиденциальной информа­ции при ее передаче по открытым каналам (линиям) связи с по­мощью технических средств, а также при использовании локаль­ных вычислительных сетей, имеющих выход за пределы террито­рии предприятия.

военного времени, призыва и поступления мобилизационных людских и материаль­ных ресурсов.

!

Подразделение охраны и пропускного режима создается в целях предотвращения несанкционированного (бесконтрольного) пребывания на территории и объектах предприятия посторонних лиц и транспорта, нанесения ущерба предприятию путем краж (хищений) с территории предприятия материальных средств и иного имущества. В некоторых случаях для решения задач охраны и пропускного режима на предприятиях могут создаваться отдельные самостоятельные подразделения.

привлекаться и иные структурные подразделения, для которых выполнение мероприя­тий по защите информации не является основной функцией.

!

К таким подразделениям относятся кадровый орган, орган юридической службы (юрисконсульт), орган психологической и вос­питательной работы, пресс-служба предприятия и др.
Особо не­обходимо отметить важность участия в организации зашиты ин­формации производственных, так называемых «тематических» структурных подразделений (отдельных должностных лиц), кото­рые создают продукцию и товары (оказывают услуги), и в связи с ним самым непосредственным образом взаимодействуют с другими предприятиями и органами государственной власти.

нештатных подраз­делений предприятия, в том числе коллегиальных органов (ко­миссий), создаваемых для решения специфических задач в этой области.
В их числе — постоянно действующая техническая ко­миссия, экспертная комиссия, комиссия по рассекречиванию носителей информации, комиссия по категорированию объектов информатизации и др.
Чтобы добиться максимальной эффективности при решении задач защиты информации, наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц) необ­ходимо использовать имеющиеся на предприятии средства защи­ты информации.

системы, разработанные и предназначенные для защиты информации, а также средства, устройства и системы конт­роля эффективности защиты информации.

Технические средства защиты информации — устройства (при­боры), предназначенные для обеспечения защиты информации, исключения ее утечки, создания помех (препятствий) техниче­ским средствам доступа к информации, подлежащей защите.
Криптографические средства защиты информации — средства (устройства), обеспечивающие защиту инфор­мации путем ее криптографического преобразования (шифрова­ния).
Программные средства защиты информации — системы защи­ты средств автоматизации (персональных электронно-вычислитель­ных машин и их комплексов) от внешнего (постороннего) воз­действия или вторжения.

распо­ряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприя­тия играют методы защиты информации, определяющие поря­док, алгоритм и особенности использования данных сил и средств в конкретной ситуации.

Методы защиты информации — применяемые в целях исключе­ния утечки информации универсальные и специфические спосо­бы использования имеющихся сил и средств (приемы, меры, ме­роприятия), учитывающие специфику деятельности по защите информации.

информации с точки зрения их теоретической основы и практического использования взаимосвязаны.
Правовые методы регламентируют и всесторонне нормативно регулируют де­ятельность по защите информации, выделяя, прежде всего, ее орга­низационные направления.
Организационные механизмы защиты информации определя­ют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера.

роль в обеспечении защиты информации при ее хранении, накоплении и обработке с использованием средств автоматизации.
Техниче­ские методы необходимы для эффективного применения имею­щихся в распоряжении предприятия средств защиты информации, основанных на новых информационных технологиях.

сле­дующих задач:
реализация на предприятии эффективного механизма управ­ления, обеспечивающего защиту информации и недопущение ее утечки;
осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту информации;
определение перечней сведений, относимых на предприятии к различным категориям (видам) информации;
ограничение круга лиц, имеющих право доступа к различ­ным видам информации в зависимости от степени ее секретности/конфиденциальности;
подбор и изучение лиц, назначаемых на должности, связан­ные с «закрытой» информацией, обучение и воспитание персонала предприятия, допущенного к такой ин­формации;