-простота применения средств защиты: механизм защиты должен быть интуитивно понятен и прост в использовании, без значительных дополнительных трудозатрат;

-научная обоснованность и техническая реализуемость: информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации;

-специализация и профессионализм: предполагает привлечение к разработке средств и реализаций мер защиты информации специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области, реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами;

-обязательность контроля: предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил безопасности. 

       Отметим, что в основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности.

       Под политикой  информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации [4, с.30]. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.

       Также к организационным  средствам  защиты можно  отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой – обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.

       Организационные меры защиты базируются на законодательных  и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать [1, с.79]:

-ограничение физического доступа к объектам ИС и реализацию режимных мер;

-ограничение возможности перехвата информации вследствие существования физических полей;

-ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;

-создание твердых копий важных с точки зрения утраты массивов данных;

-проведение профилактических и других мер от внедрения вирусов. 

      К организационно-правовым мероприятиям защиты, необходимыми в бухгалтерии относятся:

-организация и поддержание надежного пропускного режима и контроль посетителей;

-надежная охрана помещений компании и территории;

-организация защиты информации, т. е. назначение ответственного за защиту информации, проведение систематического контроля за работой персонала, порядок учета, хранения и уничтожения документов;      

       Организационные мероприятия при работе с сотрудниками компании включают в себя:

-беседы при приеме на работу;

-ознакомление с правилами и процедурами работы с ИС на предприятии;

-обучение правилам работы с ИС для сохранения ее целостности и корректности данных;

-беседы с увольняемыми. 

       В результате беседы при  приеме на работу устанавливается целесообразность приема кандидата  на соответствующую вакансию.

       Обучение  сотрудников  предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений.

       Организационно-технические  меры защиты включают следующие основные мероприятия [30, с.119]:

-резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов);

-профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах);

-ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов);

фильтрация (разделение винчестера на логические диски с различными возможностями  доступа к ним, использование резидентных программных средств слежения за файловой системой). 
 

 

2 Разработка нормативных  правовых документов кафедры  социально-гуманитарных дисциплин и регионоведения академии ИМСИТ по обеспечению информационной безопасности и организации комплексной защиты общедоступной информации и информации ограниченного доступа

    2.1 Основные положения разработки  системы защиты информации кафедры социально-гуманитарных дисциплин и регионоведения академии ИМСИТ

 

       Разработка  системы защиты информации производится сотрудниками кафедры или специализированными организациями, имеющими лицензии ФСТЭК (Гостехкомиссии) России. При этом разрабатываются методическое руководство и конкретные требования по защите информации, аналитическое обоснование необходимости создания СЗИ, согласовывается выбор ОТСС и ВТСС, технических и программных средств ЗИ, организуются работы по выявлению возможных каналов утечки информации и нарушения целостности защищаемой информации, аттестация объекта информатизации.

       Так же разрабатывается «Положение о порядке организации и проведения работ по защите конфиденциальной информации», в котором описывается порядок организации работ по созданию и эксплуатации объектов информатизации и их СЗИ (или в приложении к так же разрабатываемому «Руководству по защите информации от утечки по техническим каналам на объекте»). Этот документ должен предусматривать порядок определения защищаемой информации; порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации; порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов; порядок разработки, ввода в действие и эксплуатации объектов информатизации; ответственность должностных лиц за своевременность и качество формирования требований по защите информации, за качество и научно-технический уровень разработки СЗИ.

       Стадии  создания системы защиты информации [21, с.45]:

-предпроектная стадия, включающая предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание

-стадия проектирования (разработки проектов), включающая разработку СЗИ в составе объекта информатизации

-стадия ввода в действие СЗИ, включающая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие требованиям безопасности информации.

    2.2 Предпроектная стадия

 

       По  результатам предпроектного обследования разрабатывается аналитическое  обоснование необходимости создания СЗИ и задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ. Работы, выполняемые на предпроектной стадии:

-устанавливается необходимость обработки (обсуждения) КИ информации на данном объекте информатизации;

-определяется перечень сведений конфиденциального характера, подлежащих защите;

-определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;

-определяются условия расположения объекта информатизации относительно границ КЗ;

-определяются конфигурация и топология ОТСС в целом и их отдельных компонентов, физические, функциональные и технологические связи ОТСС с другими системами различного уровня и назначения;

-определяются конкретные технические средства и системы, предполагаемые к использованию в разрабатываемой АС, условия их расположения, их программные средства;

-определяются режимы обработки информации в АС в целом и в отдельных компонентах;

-определяется класс защищенности АС;

-определяется степень участия персонала в информации, характер их взаимодействия между собой и со службой безопасности;

-определяются мероприятия по обеспечению конфиденциальности информации на этапе проектирования объекта информатизации. 

       Аналитическое обоснование подписывается заведующим кафедрой, проводившей предпроектное обследование, согласовывается с должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации, руководителем службы безопасности и утверждается ректором академии. Аналитическое обоснование необходимости создания СЗИ включает в себя следующее:

-информационная характеристика и организационная структура объекта информатизации;

-характеристика комплекса ОТСС и ВТСС, ПО, режимов работы, технологического процесса обработки информации;

-возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

-перечень предлагаемых к использованию сертифицированных средств защиты информации;

-обоснование необходимости привлечения специализированных организаций;

-оценка материальных, трудовых и финансовых затрат на разработку и внедрение СЗИ;

-ориентировочные сроки разработки и внедрения СЗИ;

-перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

       Техническое задание (ТЗ) на проектирование объекта информатизации оформляется отдельным документом, согласовывается с проектной организацией, службой (специалистом) безопасности организации-заказчика и утверждается заказчиком. Содержание технического задания должно содержать следующее:

-обоснование разработки;

-исходные данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;

-класс защищенности АС;

-ссылка на нормативные документы, на основании которых будет разрабатываться СЗИ;

-требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС;

-перечень предполагаемых к использованию сертифицированных средств защиты информации;

-обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;