- знать фактическое
состояние дел в области защиты
информации, организовывать постоянную
работу по выявлению и закрытию
возможных каналов утечки конфиденциальной
информации;
- определять обязанности
и задачи должностным лицам
и структурным подразделениям
предприятия в этой области;
- проявлять высокую
требовательность к персоналу
предприятия в вопросах сохранности
конфиденциальной информации;
- оценивать деятельность
должностных лиц и эффективность
мероприятий по защите информации.
Заместитель руководителя
предприятия обязан постоянно
изучать все стороны и направления
деятельности предприятия для
принятия своевременных мер по
защите информации; руководить работой
службы безопасности (иных структурных
подразделений, решающих задачи
по защите информации); выполнять
другие функции по организации
защиты информации в ходе проведения
предприятием всех видов работ.
Более подробно обязанности руководителя
предприятия и его заместителя,
отвечающего за защиту информации,
рассмотрены в других статьях.
На предприятиях
для организации работ по защите
информации могут создаваться
следующие основные виды структурных
подразделений:
режимно-секретные;
подразделения
по технической защите информации
и противодействию иностранным
техническим разведкам;
подразделения
криптографической защиты информации;
мобилизационные;
подразделения
охраны и пропускного режима.
Функции, возлагаемые
на перечисленные подразделения,
определяются решением (приказом) руководителя
предприятия и отражаются в
соответствующих положениях.
По решению
руководителя предприятия данные
подразделения организационно могут
объединяться в службу безопасности,
руководитель которой в некоторых
случаях может быть наделен
статусом заместителя руководителя
предприятия и полномочиями должностного
лица, осуществляющего руководство
работой структурных подразделений
предприятия, деятельность которых
связана с использованием и
защитой информации.
Режимно-секретное
подразделение, мобилизационное подразделение
и подразделение по технической защите
информации и противодействию иностранным
техническим разведкам создаются на предприятиях,
выполняющих работы с использованием
сведений, составляющих государственную
тайну (вне зависимости от наличия на предприятии
иной информации с ограниченным доступом).
Режимно-секретное
подразделение является основным структурным
подразделением предприятия и решает
задачи организации, координации и контроля
деятельности других структурных подразделений
(персонала предприятия) по обеспечению
защиты сведений, составляющих государственную
тайну. На предприятиях, не выполняющих
работы со сведениями, составляющими государственную
тайну, для решения аналогичных задач
в отношении других видов информации с
ограниченным доступом создается и функционирует
служба безопасности (служба защиты информации).
Подразделение
по технической защите информации
и противодействию иностранным
техническим разведкам решает
задачи организации и проведения
комплекса технических мероприятий,
направленных на исключение или
существенное затруднение добывания
иностранными разведками с помощью
технических средств сведений, отнесенных
к конфиденциальной информации и подлежащих
защите.
Подразделение
криптографической защиты информации
создается в целях предотвращения
утечки конфиденциальной информации
при ее передаче по открытым
каналам (линиям) связи с помощью
технических средств, а также
при использовании локальных
вычислительных сетей, имеющих
выход за пределы территории
предприятия.
Подразделение
охраны и пропускного режима
создается в целях предотвращения
несанкционированного (бесконтрольного)
пребывания на территории и
объектах предприятия посторонних
лиц и транспорта, нанесения ущерба
предприятию путем краж (хищений)
с территории предприятия материальных
средств и иного имущества.
В некоторых случаях для решения
задач охраны и пропускного
режима на предприятиях могут
создаваться отдельные самостоятельные
подразделения.
Мобилизационное
подразделение решает задачи
всесторонней подготовки предприятия
к работе в условиях военного
времени, призыва и поступления
мобилизационных людских и материальных
ресурсов.
Кроме перечисленных
подразделений предприятия к
работе по организации защиты
информации могут привлекаться
и иные структурные подразделения,
для которых выполнение мероприятий
по защите информации не является
основной функцией.
К таким подразделениям
относятся кадровый орган, орган юридической
службы (юрисконсульт), орган психологической
и воспитательной работы, пресс-служба
предприятия и др. Особо необходимо отметить
важность участия в организации защиты
информации производственных, так называемых
«тематических» структурных подразделений
(отдельных должностных лиц), которые создают
продукцию и товары или оказывают услуги
(например, производство стрейч пленки),
и в связи с этим самым непосредственным
образом взаимодействуют с другими предприятиями
и органами государственной власти.
Для проведения
работ по организации защиты
информации используются также
возможности различных нештатных
подразделений предприятия, в
том числе коллегиальных органов
(комиссий), создаваемых для решения
специфических задач в этой
области. В их числе — постоянно
действующая техническая комиссия,
экспертная комиссия, комиссия по
рассекречиванию носителей конфиденциальной
информации, комиссия по категорированию
объектов информатизации и др.
Функции, возлагаемые на данные
комиссии, рассмотрены в других
статьях.
Чтобы добиться
максимальной эффективности при
решении задач защиты информации,
наряду с возможностями упомянутых
штатных и нештатных подразделений
(должностных лиц) необходимо
использовать имеющиеся на предприятии
средства защиты информации.
Под средствами
защиты информации понимают технические,
криптографические, программные
и другие средства и системы,
разработанные и предназначенные
для защиты конфиденциальной
информации, а также средства, устройства
и системы контроля эффективности
защиты информации.
Технические средства
защиты информации — устройства
(приборы), предназначенные для обеспечения
защиты информации, исключения ее
утечки, создания помех (препятствий)
техническим средствам доступа
к информации, подлежащей защите.
Криптографические
средства защиты информации —
средства (устройства), обеспечивающие
защиту конфиденциальной информации
путем ее криптографического
преобразования (шифрования).
Программные средства
защиты информации — системы
защиты средств автоматизации
(персональных электронно-вычислительных
машин и их комплексов) от внешнего
(постороннего) воздействия или вторжения.
Эффективное решение
задач организации защиты информации
невозможно без применения комплекса
имеющихся в распоряжении руководителя
предприятия соответствующих сил
и средств. Вместе с тем определяющую
роль в вопросах организации
защиты информации, применения в
этих целях сил и средств предприятия
играют методы защиты информации, определяющие
порядок, алгоритм и особенности использования
данных сил и средств в конкретной ситуации.
Методы защиты
информации — применяемые в
целях исключения утечки информации
универсальные и специфические
способы использования имеющихся
сил и средств (приемы, меры, мероприятия),
учитывающие специфику деятельности
по защите информации.
Общие методы
защиты информации подразделяются
на правовые, организационные, технические
и экономические.
Методы защиты
информации с точки зрения
их теоретической основы и
практического использования взаимосвязаны.
Правовые методы регламентируют
и всесторонне нормативно регулируют
деятельность по защите информации,
выделяя, прежде всего, ее организационные
направления. Тесную связь организационных
и правовых методов защиты
информации можно показать на
примере решения задач по исключению
утечки конфиденциальной информации,
в частности относящейся к коммерческой
тайне предприятия, при его взаимодействии
с различными государственными и территориальными
инспекторскими и надзорными органами.
Эти органы в соответствии с предоставленными
им законом полномочиями осуществляют
деятельность по получению (истребованию),
обработке и хранению информации о предприятиях
и гражданах (являющихся их сотрудниками).
Передача информации,
в установленном порядке отнесенной
к коммерческой тайне или содержащей персональные
данные работника предприятия, должна
осуществляться на основе договора, предусматривающего
взаимные обязательства сторон по нераспространению
(неразглашению) этой информации, а также
необходимые меры по ее защите.
Организационные
механизмы защиты информации
определяют порядок и условия
комплексного использования имеющихся
сил и средств, эффективность
которого зависит от применяемых
методов технического и экономического
характера.
Технические методы
защиты информации, используемые
в комплексе с организационными
методами, играют большую роль
в обеспечении защиты информации
при ее хранении, накоплении и
обработке с использованием средств
автоматизации. Технические методы
необходимы для эффективного
применения имеющихся в распоряжении
предприятия средств защиты информации,
основанных на новых информационных
технологиях.
Среди перечисленных
методов защиты информации особо
выделяются организационные методы,
направленные на решение следующих
задач:
реализация на
предприятии эффективного механизма
управления, обеспечивающего защиту
конфиденциальной информации и
недопущение ее утечки;
осуществление
принципа персональной ответственности
руководителей подразделений и
персонала предприятия за защиту
конфиденциальной информации;
определение перечней
сведений, относимых на предприятии
к различным категориям (видам)
конфиденциальной информации;
ограничение круга
лиц, имеющих право доступа
к различным видам информации
в зависимости от степени ее
конфиденциальности;
подбор и изучение
лиц, назначаемых на должности,
связанные с конфиденциальной
информацией, обучение и воспитание
персонала предприятия, допущенного
к конфиденциальной информации;
организация и
ведение конфиденциального делопроизводства;
осуществление
систематического контроля за соблюдением
установленных требований по защите информации.
Приведенный перечень
организационных методов не является
исчерпывающим и, в зависимости
от специфики деятельности предприятия,
степени конфиденциальности используемой
информации, объема выполняемых
работ, а также опыта работы
в области защиты информации,
может быть дополнен иными
методами.
http://all-ib.ru
Законы и нормативные
акты исполняются только в том
случае, если они подкрепляются организаторской
деятельностью соответствующих
структур, создаваемых в государстве,
в ведомствах, учреждениях и организациях.
При рассмотрении вопросов безопасности
информации такая деятельность относится
к организационным методам защиты информации.
Организационные методы защиты информации
включают меры, мероприятия и действия,
которые должны осуществлять должностные
лица в процессе создания и эксплуатации
КС для обеспечения заданного уровня безопасности
информации.
Организационные
методы защиты информации тесно
связаны с правовым регулированием
в области безопасности информации.
В соответствии с законами
и нормативными актами в министерствах,
ведомствах, на предприятиях (независимо
от форм собственности) для
защиты информации создаются
специальные службы безопасности
(на практике они могут называться
и иначе). Эти службы подчиняются,
как правило, руководству учреждения.
Руководители служб организуют
создание и функционирование
систем защиты информации. На
организационном уровне решаются
следующие задачи обеспечения
безопасности информации в КС:
• организация
работ по разработке системы
защиты инфор- мации;
ограничение доступа
на объект и к ресурсам КС;