На предприятиях для организации работ
по защите информации могут создаваться
следующие основные виды структурных
подразделений:
- режимно-секретные;
- подразделения по технической защите информации и противодействию иностранным техническим разведкам;
- подразделения криптографической защиты информации; мобилизационные;
- подразделения охраны и пропускного режима.
Функции, возлагаемые на
перечисленные подразделения, определяются
решением (приказом) руководителя предприятия и отражаются
в соответствующих положениях.
Организационные мероприятия играют
существенную роль в создании надежного механизма
защиты информации, т.к. возможности несанкционированного
использования конфиденциальных сведений
в значительной мере обусловливаются не
техническими аспектами, а злоумышленными
действиями, нерадивостью, небрежностью
и халатностью пользователей или персонала
защиты. Влияния этих аспектов практически
невозможно избежать с помощью технических
средств. Для этого необходима совокупность
организационно-правовых и организационно-технических
мероприятий, которые исключали бы (или,
по крайней мере, сводили бы к минимуму)
возможность возникновения опасности конфиденциальной
информации.
К основным организационным мероприятиям
можно отнести:
организацию режима
и охраны. Их цель - исключение возможности тайного проникновения
на территорию и в помещения посторонних
лиц;
обеспечение удобства
контроля прохода и перемещения сотрудников и посетителей;
создание отдельных производственных
зон по типу конфиденциальных работ с самостоятельными
системами доступа;
контроль и соблюдение
временного режима труда и пребывания
на территории персонала фирмы;
организация и подержание
надежного пропускного режима и контроля
сотрудников и посетителей и др.;
организацию работы
с сотрудниками, которая предусматривает
подбор и расстановку персонала, включая ознакомление
с сотрудниками, их изучение, обучение
правилам работы с конфиденциальной информацией,
ознакомление с мерами ответственности за
нарушение правил защиты информации и др.;
организацию работы
с документами, включая организацию разработки
и использования документов и носителей конфиденциальной
информации, их учет, исполнение, возврат,
хранение и уничтожение;
организацию использования технических средств
сбора, обработки, накопления и хранения
конфиденциальной информации;
организацию работ по
анализу внутренних и внешних угроз конфиденциальной
информации и выработке мер по обеспечению ее
защиты;
организацию работы
по проведению систематического контроля
за работой персонала с конфиденциальной
информацией, порядком учета, хранения
и уничтожения документов и технических носителей.
В каждом конкретном
случае организационные мероприятия носят специфические
для данной организации форму и содержание,
направленные на обеспечение безопасности
информации в конкретных условиях.
Специфической областью
организационных мер является организация защиты
ПЭВМ, информационных систем и сетей, которая определяет
порядок и схему функционирования основных
ее подсистем, использование устройств и ресурсов,
взаимоотношения пользователей между собой в
соответствии с нормативно-правовыми требованиями
и правилами. Защита информации на основе
организационных мер играет большую роль
в обеспечении надежности и эффективности,
т.к. несанкционированный доступ и утечка
информации чаще всего обусловлены злоумышленными
действиями или небрежностью пользователей
либо персонала. Эти факторы, практически
невозможно исключить или локализовать
с помощью аппаратных и программных средств,
криптографии и физических средств защиты.
Поэтому совокупность организационных,
организационно-правовых и организационно-технических
мероприятий, применяемых совместно с
техническими методами, имеют целью исключить,
уменьшить или полностью устранить потери
при действии различных нарушающих факторов.
Организационные средства
защиты ПЭВМ и информационных сетей применяются:
- при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;
- при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;
- при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);
- при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);
- при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);
- при подготовке и контроле работы пользователей.
Одним из важнейших организационных мероприятий
является создание специальных штатных
служб защиты информации в закрытых информационных
системах в виде администратора безопасности
сети и администратора распределенных
баз и банков данных, содержащих сведения
конфиденциального характера.
Очевидно, что организационные мероприятия
должны четко планироваться, направляться
и осуществляться какой-то организационной
структурой, каким-то специально созданным
для этих целей структурным подразделением,
укомплектованным соответствующими специалистами
по безопасности производственной деятельности
и защите информации. Зачастую таким структурным подразделением
является служба безопасности предприятия,
на которую возлагаются следующие общие
функции:
- организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
- обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;
- руководство работами по правовому и организационному регулированию отношений по защите информации;
- участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
- разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;
- при всех видах работ организация и контроль выполнения требований "Инструкции по защите конфиденциальной информации";
- изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентных организаций, о деятельности предприятия и его клиентов, партнеров, смежников;
- организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;
- разработка, ведение, обновление и пополнение "Перечня сведений конфиденциального характера" и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;
- обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;
- осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации;
- организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности;
- ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;
- обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;
- поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе и оказания взаимной помощи в кризисных ситуациях.
Служба безопасности
является самостоятельной организационной единицей
предприятия, подчиняющейся непосредственно
руководителю предприятия. Возглавляет
службу безопасности начальник службы
в должности заместителя руководителя предприятия по
безопасности.
Организационно служба
безопасности состоит из следующих структурных единиц:
- подразделения режима и охраны;
- специального подразделения обработки документов конфиденциального характера;
- инженерно-технических подразделений;
- информационно-аналитических подразделений.
В таком составе службы
безопасности способна обеспечить защиту
конфиденциальной информации от любых угроз.
К задачам службы безопасности предприятия относятся:
- определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера;
- определение участков сосредоточения конфиденциальных сведений;
- определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;
- выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям;
- выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации;
- разработка системы защиты документов, содержащих сведения конфиденциального характера;
- определение на предприятий участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанных с ним договорными обязательствами;
- определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;
- определение уязвимых мест в технологии производственного цикла, несанкционированное изменение, в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию;
- определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др., и организация их физической защиты и охраны;
- определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации;
- разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия;
- внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;
- организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;
- изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;
- разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.
и т.д.................