Организационные средства обеспечения информационной безопасности

Оглавление         

Введение……………………………………………………………………...3        

1. Организационные средства обеспечения  информационной безопасности ………………………………………………………………….……..4        

1.1 Основные направления, принципы  и условия организационной защиты  информации…...…………………………………………………………….4        

1.2 Организационные и технические  меры по инженерно-технической  защите информации…………………………………………………………………7        

1.3 Основные методы, силы и средства, используемые  для организации защиты информации  …………………………...………………..…………………..9        

Заключение  …………………………………………………………….......18        

Список  использованной литературы………………………………….......19  

 

 

              

Введение  
        

Достижение  высокого уровня безопасности невозможно без принятия должных организационных  мер. С одной стороны, эти меры должны быть направлены на обеспечение  правильности функционирования механизмов защиты и выполняться администратором  безопасности системы. С другой стороны, руководство организации, эксплуатирующей  средства автоматизации, должно регламентировать правила автоматизированной обработки  информации, включая и правила  ее защиты, а также установить меру ответственности за нарушение этих правил.       

По  мнению большинства специалистов, меры организационной защиты составляют 50-60% в структуре большинства систем ЗИ. Это связано с рядом факторов и также с тем, что важной составной  частью организационной защиты является подбор, расстановка и обучение персонала, который будет реализовывать  на практике систему защиты информации. Отечественный и зарубежный опыт свидетельствует, что основную роль в обеспечении сохранности коммерческой тайны играют сами предприятия, а  не государственные органы.  
  
  
  
  
  
  
  
  
  
  
  
  
 

1. ОРГАНИЦАЦИОННЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

 

  
  
       

1.1 Основные  направления, принципы и условия  организационной защиты информации         

Организационная защита информации является организационным  началом, так называемым «ядром»  в общей системе защиты конфиденциальной информации предприятия. От полноты  и качества решения руководством предприятия и должностными лицами организационных задач зависит  эффективность функционирования системы  защиты информации в целом. Роль и  место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных  и верных управленческих решений  с учетом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.        

Среди основных направлений защиты информации наряду с организационной выделяют правовую и инженерно-техническую  защиту информации.       

Однако  организационной защите информации среди этих направлений отводится особое место.       

Организационная защита информации призвана посредством выбора конкретных сил и средств (включающие в себя правовые, инженерно-технические  и инженерно-геологические) реализовать на практике спланированные руководством предприятия меры по защите информации. Эти меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке.       

Роль  руководства предприятия в решении  задач по защите информации трудно переоценить.        

Основными направлениями деятельности, осуществляемой руководителем предприятия в  этой области, являются: планирование мероприятий по защите информации и персональный контроль за их выполнением, принятие решений о непосредственном доступе к конфиденциальной информации своих сотрудников и представителей других организаций, распределение обязанностей и задач между должностными лицами и структурными подразделениями, аналитическая работа и т.д.       

Цель  принимаемых руководством предприятия  и должностными лицами организационных  мер — исключение утечки информации и, таким образом, уменьшение или полное исключение возможности нанесения предприятию ущерба, к которому эта утечка может привести.        

Система мер по защите информации в широком смысле слова должна строиться исходя из тех начальных условий и факторов, которые, в свою очередь, определяются состоянием устремленности разведок противника либо действиями конкурента на рынке товаров и услуг, направленными на овладение информацией, подлежащей защите.       

Это правило действует как на государственном  уровне, так и на уровне конкретного  предприятия.       

Используются  два примерно равнозначных определения  организационной зашиты информации.       

Организационная защита информации — составная часть  системы защиты информации, определяющая и вырабатывающая порядок и правила  функционирования объектов защиты и  деятельности должностных лиц в  целях обеспечения защиты информации.        

Организационная защита информации на предприятии — регламентация  производственной деятельности и взаимоотношений  субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая  или ослабляющая нанесение ущерба данному предприятию.       

Первое  из приведенных определений в  большей степени показывает сущность организационной защиты информации. Второе — раскрывает ее структуру  на уровне предприятия. Вместе с тем  оба определения подчеркивают важность нормативно-правового регулирования  вопросов защиты информации наряду с комплексным подходом к использованию в этих целях имеющихся сил и средств. Основные направления организационной защиты информации приведены ниже.

• Организационная защита информации:
• Организация работы с персоналом;
• Организация внутриобъектового и пропускного режимов и охраны;
• Организация работы с носителями сведений;
• Комплексное планирование мероприятий по защите информации;
• Организация аналитической работы и контроля.

 

       Основные  принципы организационной защиты информации:

• принцип комплексного подхода — эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;
• принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);
• принцип персональной ответственности — наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

 

       Среди основных условий организационной  защиты информации можно выделить следующие:

• непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;
• неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.

 

       При соблюдении перечисленных условий  обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной информации на предприятии.  
  
        

1.2 Основные подходы  и требования к  организации системы  защиты информации         

Успешное  решение комплекса задач по защите информации не может быть достигнуто без создания единой основы, так называемого «активного кулака» предприятия, способного концентрировать все усилия и имеющиеся ресурсы для исключения утечки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию. Таким «кулаком» призвана стать система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражающая все направления и специфику деятельности данного предприятия.       

Под системой защиты информации понимают совокупность органов  защиты информации (структурных подразделений  или должностных лиц предприятия), используемых ими средств и методов  защиты информации, а также мероприятий, планируемых и проводимых в этих целях.       

Для решения организационных задач  по созданию и обеспечению функционирования системы защиты информации используются несколько основных подходов, которые вырабатываются на основе существующей нормативно-правовой базы и с учетом методических разработок по тем или иным направлениям защиты конфиденциальной информации.       

Один  из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия с учетом устремленности конкурирующих организаций к овладению конфиденциальной информацией и, тем самым, нанесению ущерба предприятию. Важным элементом анализа является работа по определению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа к ним различных категорий сотрудников (работников других предприятий).       

Работу  по проведению такого анализа непосредственно  возглавляет руководитель предприятия  и его заместители по направлениям деятельности. Изучение защищенности информационных ресурсов основывается на положительном и отрицательном  опыте работы предприятия, накопленном  в течение последних нескольких лет, а также на деловых связях и контактах предприятия с организациями, осуществляющими аналогичные виды деятельности.       

При создании системы  защиты информации, в первую очередь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого внимания. Предпочтение также отдается новым, перспективным  направлениям деятельности предприятия, которые связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а также развивающимся международным связям. В соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные силы, средства, способы и методы ее защиты.       

К организации системы защиты информации с позиции системного подхода выдвигается ряд требований, определяющих ее целостность, стройность и эффективность.        

Система защиты информации должна быть:

• централизованной — обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц, отвечающих за различные направления деятельности предприятия;
• плановой — объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед предприятием задач в области защиты информации;
• конкретной и целенаправленной — рассчитанной на защиту абсолютно конкретных информационных ресурсов, представляющих интерес для конкурирующих организаций;
• активной — обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации усилий на наиболее важных направлениях деятельности предприятия;
• надежной и универсальной — охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией.

 

  
  
  
  
       

1.3 Основные методы, силы и средства, используемые для  организации защиты  информации        

Один  из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, — совокупность сил и средств предприятия, используемых для организации защиты информации.       

Силы  и средства различных предприятий  отличаются по структуре, характеру  и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее небольших объемов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются органами защиты информации.       

Предприятия, работающие с незначительными объемами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области.        

Ведущую роль в организации защиты информации на предприятии играют руководитель предприятия, а также его заместитель, непосредственно возглавляющий эту работу.        

Руководитель  предприятия несет персональную ответственность за организацию  и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей информации. Он обязан:

• знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;
• определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;
• проявлять высокую требовательность к персоналу предприятия в вопросах сохранности конфиденциальной информации;
• оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.

 

       Заместитель руководителя предприятия обязан постоянно  изучать все стороны и направления  деятельности предприятия для принятия своевременных мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять  другие функции по организации защиты информации в ходе проведения предприятием всех видов работ.