Организационные основы
защиты информации на предприятии
Основные
направления, принципы и условия
организационной защиты информации
Из упоминавшихся
ранее средств и методов обеспечения информационной
безопасности особо были выделены организационные,
которые в совокупности с другими элементами
системы защиты информации на предприятии
подробно описаны в последующих главах
учебника. Для наиболее полного и глубокого
анализа происходящих в сфере защиты конфиденциальной
информации процессов, понимание сущности
планируемых и проводимых в этих целях
мероприятий прежде всего необходимо
рассмотреть одно из важнейших направлений
защиты конфиденциальной информации —
организационную защиту информации.
Организационная
защита информации является организационным
началом, так называемым «ядром»
в общей системе защиты конфиденциальной
информации предприятия. От полноты
и качества решения руководством
предприятия и должностными лицами
организационных задач зависит
эффективность функционирования
системы защиты информации в
целом. Роль и место организационной
защиты информации в общей
системе мер, направленных на
защиту конфиденциальной информации
предприятия, определяются исключительной
важностью принятия руководством
своевременных и верных управленческих
решений с учетом имеющихся
в его распоряжении сил, средств,
методов и способов защиты
информации и на основе действующего
нормативно-методического аппарата.
Среди основных
направлений защиты информации
наряду с организационной выделяют
правовую и инженерно-техническую
защиту информации.
Однако организационной
защите информации среди этих
направлений отводится особое
место.
Организационная
защита информации призвана посредством
выбора конкретных сил и средств
(включающие в себя правовые, инженерно-технические
и инженерно-геологические) реализовать
на практике спланированные руководством
предприятия меры по защите
информации. Эти меры принимаются
в зависимости от конкретной
обстановки на предприятии, связанной
с наличием возможных угроз,
воздействующих на защищаемую
информацию и ведущих к ее
утечке.
Роль руководства
предприятия в решении задач
по защите информации трудно
переоценить. Основными направлениями
деятельности, осуществляемой руководителем
предприятия в этой области,
являются: планирование мероприятий
по защите информации и персональный
контроль за их выполнением, принятие
решений о непосредственном доступе к
конфиденциальной информации своих сотрудников
и представителей других организаций,
распределение обязанностей и задач между
должностными лицами и структурными подразделениями,
аналитическая работа и т.д. Цель принимаемых
руководством предприятия и должностными
лицами организационных мер — исключение
утечки информации и, таким образом, уменьшение
или полное исключение возможности нанесения
предприятию ущерба, к которому эта утечка
может привести.
Система мер
по защите информации в широком
смысле слова должна строиться
исходя из тех начальных условий
и факторов, которые, в свою
очередь, определяются состоянием
устремленности разведок противника
либо действиями конкурента на
рынке товаров и услуг, направленными
на овладение информацией, подлежащей
защите.
Это правило
действует как на государственном
уровне, так и на уровне конкретного
предприятия.
Используются два
примерно равнозначных определения организационной
зашиты информации.
Организационная
защита информации — составная
часть системы защиты информации,
определяющая и вырабатывающая
порядок и правила функционирования
объектов защиты и деятельности
должностных лиц в целях обеспечения
защиты информации.
Организационная
защита информации на предприятии
— регламентация производственной
деятельности и взаимоотношений
субъектов (сотрудников предприятия)
на нормативно-правовой основе, исключающая
или ослабляющая нанесение ущерба
данному предприятию.
Первое из приведенных
определений в большей степени
показывает сущность организационной
защиты информации. Второе — раскрывает
ее структуру на уровне предприятия.
Вместе с тем оба определения
подчеркивают важность нормативно-правового
регулирования вопросов защиты
информации наряду с комплексным
подходом к использованию в
этих целях имеющихся сил и
средств. Основные направления
организационной защиты информации
приведены ниже.
Организационная
защита информации:
- Организация работы
с персоналом;
- Организация внутриобъектового
и пропускного режимов и охраны;
- Организация работы
с носителями сведений;
- Комплексное планирование
мероприятий по защите информации;
- Организация аналитической
работы и контроля.
Основные
принципы организационной защиты
информации:
- принцип комплексного
подхода — эффективное использование
сил, средств, способов и методов
защиты информации для решения
поставленных задач в зависимости
от конкретной складывающейся
ситуации и наличия факторов,
ослабляющих или усиливающих
угрозу защищаемой информации;
- принцип оперативности
принятия управленческих решений
(существенно влияет на эффективность
функционирования и гибкость
системы защиты информации и
отражает нацеленность руководства
и персонала предприятия на
решение задач защиты информации);
- принцип персональной
ответственности — наиболее эффективное
распределение задач по защите
информации между руководством
и персоналом предприятия и
определение ответственности за
полноту и качество их выполнения.
Среди основных
условий организационной защиты
информации можно выделить следующие:
- непрерывность
всестороннего анализа функционирования
системы защиты информации в целях принятия
своевременных мер по повышению ее эффективности;
- неукоснительное
соблюдение руководством и персоналом
предприятия установленных норм
и правил защиты конфиденциальной
информации.
При соблюдении
перечисленных условий обеспечивается
наиболее полное и качественное
решение задач по защите конфиденциальной
информации на предприятии.
Основные
подходы и требования к организации
системы защиты информации
Успешное решение
комплекса задач по защите
информации не может быть достигнуто
без создания единой основы, так
называемого «активного кулака»
предприятия, способного концентрировать
все усилия и имеющиеся ресурсы для исключения
утечки конфиденциальной информации и
недопущения возможности нанесения ущерба
предприятию. Таким «кулаком» призвана
стать система защиты информации на предприятии,
создаваемая на соответствующей нормативно-методической
основе и отражающая все направления и
специфику деятельности данного предприятия.
Под системой
защиты информации понимают совокупность
органов защиты информации (структурных
подразделений или должностных
лиц предприятия), используемых ими
средств и методов защиты информации,
а также мероприятий, планируемых
и проводимых в этих целях.
Для решения
организационных задач по созданию
и обеспечению функционирования
системы защиты информации используются
несколько основных подходов, которые
вырабатываются на основе существующей
нормативно-правовой базы и с
учетом методических разработок
по тем или иным направлениям
защиты конфиденциальной информации.
Один из основных
подходов к созданию системы
защиты информации заключается
во всестороннем анализе состояния
защищенности информационных ресурсов
предприятия с учетом устремленности
конкурирующих организаций к
овладению конфиденциальной информацией
и, тем самым, нанесению ущерба
предприятию. Важным элементом
анализа является работа по
определению перечня защищаемых
информационных ресурсов с учетом
особенностей их расположения (размещения)
и доступа к ним различных
категорий сотрудников (работников
других предприятий).
Работу по проведению
такого анализа непосредственно
возглавляет руководитель предприятия
и его заместители по направлениям
деятельности. Изучение защищенности
информационных ресурсов основывается
на положительном и отрицательном
опыте работы предприятия, накопленном
в течение последних нескольких
лет, а также на деловых связях
и контактах предприятия с
организациями, осуществляющими
аналогичные виды деятельности.
При создании
системы защиты информации, в
первую очередь, учитываются наиболее
важные, приоритетные направления
деятельности предприятия, требующие
особого внимания. Предпочтение
также отдается новым, перспективным
направлениям деятельности предприятия,
которые связаны с научными
исследованиями, новейшими технологиями,
формирующими интеллектуальную
собственность, а также развивающимся
международным связям. В соответствии
с названными приоритетами формируется
перечень возможных угроз информации,
подлежащей защите, и определяются
конкретные силы, средства, способы
и методы ее защиты.
К организации
системы защиты информации с
позиции системного подхода выдвигается
ряд требований, определяющих ее
целостность, стройность и эффективность.
Система защиты
информации должна быть:
- централизованной
— обеспечивающей эффективное
управление системой со стороны
руководителя и должностных лиц,
отвечающих за различные направления
деятельности предприятия;
- плановой — объединяющей
усилия различных должностных
лиц и структурных подразделений
для выполнения стоящих перед
предприятием задач в области
защиты информации;
- конкретной и
целенаправленной — рассчитанной
на защиту абсолютно конкретных
информационных ресурсов, представляющих
интерес для конкурирующих организаций;
- активной — обеспечивающей
защиту информации с достаточной
степенью настойчивости и возможностью
концентрации усилий на наиболее
важных направлениях деятельности
предприятия;
- надежной и универсальной
— охватывающей всю деятельность
предприятия, связанную с созданием
и обменом информацией.
Основные
методы, силы и средства, используемые
для организации защиты информации
Один из важнейших
факторов, влияющих на эффективность
системы защиты конфиденциальной
информации, — совокупность сил
и средств предприятия, используемых
для организации защиты информации.
Силы и средства
различных предприятий отличаются
по структуре, характеру и порядку
использования. Предприятия, работающие
с конфиденциальной информацией
и решающие задачи по ее
защите в рамках повседневной
деятельности на постоянной основе,
вынуждены с этой целью создавать
самостоятельные структурные подразделения
и использовать высокоэффективные
средства защиты информации. Если
предприятия лишь эпизодически
работают с конфиденциальной
информацией в силу ее небольших
объемов, вместо создания подразделений
они могут включать в свои
штаты отдельные должности специалистов
по защите информации. Данные
подразделения и должности являются
органами защиты информации.
Предприятия, работающие
с незначительными объемами конфиденциальной
информации, могут на договорной основе
использовать потенциал более крупных
предприятий, имеющих необходимое количество
квалифицированных сотрудников, высокоэффективные
средства защиты информации, а также большой
опыт практической работы в данной области.
Ведущую роль
в организации защиты информации
на предприятии играют руководитель
предприятия, а также его заместитель,
непосредственно возглавляющий
эту работу.
Руководитель
предприятия несет персональную
ответственность за организацию
и проведение необходимых мероприятий,
направленных на исключение утечки
сведений, отнесенных к конфиденциальной
информации, и утрат носителей
информации. Он обязан: