Организационная защита

Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исклю­чающей или существенно затрудняющей неправомер­ное овладение конфиденциальной информацией и про­явление внутренних и внешних угроз.

Организационная защита обеспечивает:

■ организацию охраны, режима, работу с кадрами, с документами;

■ использование технических средств безопаснос­ти и информационно-аналитическую деятельность

по выявлению внутренних и внешних угроз пред­принимательской деятельности.

Организационные мероприятия играют существен­ную роль в создании надежного механизма защиты информации, так как возможности несанкционирован­ного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадиво­стью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практичес­ки невозможно избежать с помощью технических средств. Для этого необходима совокупность организа­ционно-правовых и организационно-технических ме­роприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникно­вения опасности конфиденциальной информации.

К основным организационным мероприятиям можно отнести:

■ организацию режима и охраны. Их цель — исклю­чение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и пере­мещения сотрудников и посетителей; создание от­дельных производственных зон по типу конфиден­циальных работ с самостоятельными системами доступа; контроль и соблюдение временного ре­жима труда и пребывания на территории персо­нала фирмы; организация и поддержание надеж­ного пропускного режима и контроля сотрудников и посетителей и др.;

■ организацию работы с сотрудниками, которая предусматривает подбор и расстановку персона­ла, включая ознакомление с сотрудниками, их изу­чение, обучение правилам работы с конфиденци­альной информацией, ознакомление с мерами ответственности за нарушение правил защиты ин­формации и др.;

■ организацию работы с документами и документи­рованной информацией, включая организацию разработки и использования документов и носи­телей конфиденциальной информации, их учет, ис-полнение, возврат, хранение и уничтожение;

■ организацию использования технических средств сбора, обработки, накопления и хранения конфи­денциальной информации;

■ организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

■ организацию работы по проведению системати­ческого контроля за работой персонала с конфи­денциальной информацией, порядком учета, хра­нения и уничтожения документов и технических носителей (рис. 14).

каждом конкретном случае организационные мероприятия носят специфическую для данной орга­низации форму и содержание, направленные на обес­печение безопасности информации в конкретных ус­ловиях.

Специфической областью организационных мер является организация защиты ПЭВМ, инфор-мацион­ных систем и сетей.

Организация защиты ПЭВМ, информационных систем и сетей определяет порядок и схему функ­ционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользова­телей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита ин­формации на основе организационных мер играет большую роль в обеспечении надежности и эффек­тивности, так как несанкционированный доступ и утечка информации чаще всего обусловлены зло­умышленными действиями, небрежностью пользова­телей или персонала. Эти факторы практически не­возможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и орга­низационно-технических мероприятий, приме-няемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих фак­торов.

Организационные средства защиты ПЭВМ и ин­формационных сетей применяются

§ при проектировании, строительстве и оборудова­нии помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенно­го проникновения в помещения и др.;

§ при подборе и подготовке персонала. В этом слу­чае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обу­чение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нару­шение правил защиты и др.;

§ при хранении и использовании документов и дру­гих носителей (маркировка, регистрация, опреде­ление правил выдачи и возвращения, ведение до­кументации и др.);

§ при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информаци­онным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возмож­но и автоматизированное) журналов работы, унич­тожение в установленном порядке закрытых про­изводственных документов);

§ при внесении изменений в программное обеспе­чение (строгое санкционирование,рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, докумен­тальное оформление изменений и др.);

§ при подготовке и контроле работы пользователей.

Одним из важнейших организационных меропри­ятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков дан­ных, содержащих сведения конфиденциального харак­тера.

Очевидно, что организационные мероприятия дол­жны четко планироваться, направляться и осуществ­ляться какой-то организационной структурой, каким-то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности предприниматель­ской деятельности и защите информации.

Зачастую таким структурным подразделением яв­ляется служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции:

■ организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;

■ обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещени­ях, контроль соблюдения требований режима со­трудниками, смежниками, партнерами и посети­телями;

■ руководство работами по правовому и организа­ционному регулированию отношений по защите информации;

■ участие в разработке основополагающих докумен­тов с целью закрепления в них требований обес­печения безопасности и защиты информации, а также положений о подразделениях, трудовых до­говоров, соглашений, подрядов, должностных ин­струкций и обязанностей руководства, специали­стов, рабочих и служащих;

■ разработка и осуществление совместно с други­ми подразделениями мероприятий по обеспече­нию работы с документами, содержащими кон­фиденциальные сведения; при всех видах работ организация и контроль выполнения требований «Инструкции по защите конфиденциальной ин­формации»;

■ изучение всех сторон производственной, коммер­ческой, финансовой и другой деятельности для выявления и последующего противодействия лю­бым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, на­копление и анализ данных о злоумышленных ус­тремлениях конкурентной и других организаций, о деятельности предприятия и его клиентов, парт­неров, смежников;

■ организация и проведение служебных расследо­ваний по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предпри­ятия; ■ разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характе­ра» и других нормативных актов, регламентирую­щих порядок обеспечения безопасности и защиты информации;

■ обеспечение строгого выполнения требований нормативных документов по защите производ­ственных секретов предприятия;

■ осуществление руководства службами и подраз­делениями безопасности подведомственных пред­приятий, организаций, учреждений и другими структурами в части оговоренных в договорах ус­ловий по защите конфиденциальной информации;

■ организация и регулярное проведение учета со­трудников предприятия и службы безопасности по всем направлениям защиты информации и обес­печения безопасности производственной деятель­ности;

■ ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, техничес­ких средств в них, обладающих потенциальными каналами утечки информации и каналами проник­новения к источникам охраняемых секретов;

■ обеспечение проведения всех необходимых мероп­риятий по пресечению попыток нанесения мо­рального и материального ущерба со стороны внут­ренних и внешних угроз;

■ поддержание контактов с правоохранительными органами и службами безопасности соседних пред­приятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях.

Служба безопасности является самостоятельной организационной единицей предприятия, подчиняю­щейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.

Организационно служба безопасности состоит из следующих структурных единиц:

■ подразделения режима и охраны;

■ специального подразделения обработки докумен­тов конфиденциального характера;

■ инженерно-технических подразделений;

■ информационно-аналитических подразделений.

В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз.

К задачам службы безопасности предприятия от­носятся:

■ определение круга лиц, которые в силу занимае­мого служебного положения на предприятии пря­мо или косвенно имеют доступ к сведениям кон­фиденциального характера;

■ определение участков сосредоточения конфиден­циальных сведений;

■ определение крута сторонних предприятий, свя­занных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля све­дений конфиденциального характера;

■ выявление круга лиц, не допущенных к конфиден­циальной информации, но проявляющих повы­шенный интерес к таким сведениям;

■ выявление круга предприятий, в том числе и ино­странных, заинтересованных в овладении охраняе­мыми сведениями с целью нанесения экономичес­кого ущерба данному предприятию, устранения экономического конкурента либо его компроме­тации;

■ разработка системы защиты документов, содержа­щих сведения конфиденциального характера;

■ определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комп­лектующих предприятиям, связанным с ним коо­перацией;

■ определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;

■ определение уязвимых мест в технологии произ­водственного цикла, несанкционированное измене­ние в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию (потеря кон­курентоспособности);

■ определение мест на предприятии, несанкциони­рованное посещение которых может привести к изъятию (краже) готовой продукции или полуфаб­рикатов, заготовок и др. и организация их физи­ческой защиты и охраны;

■ определение и обоснование мер правовой, орга­низационной и инженерно-технической защи­ты предприятия, персонала, продукции и ин­формации;

■ разработка необходимых мероприятий, направлен­ных на совершенствование системы экономичес­кой, социальной и информационной безопасности предприятия;

■ внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информа­ционной безопасности;

■ организация обучения сотрудников службы безо­пасности в соответствии с их функциональными обязанностями;

■ изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и реко­мендаций для их совершенствования;

■ разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалис­тов, разработку необходимой документации в целях совершенствования системы мер по обес­печению экономической и информационной без­опасности.

Организационные меры являются решаю­щим звеном формирования и реализации комплексной защиты информации и созда­ния системы безопасности предприятия.

3.3. Инженерно-техническая защита

На вооружении промышленных шпионов, недо­бросовестных конкурентов и просто злоумышленни­ков находятся самые разнообразные средства проник­новения на объекты противоправных интересов и по­лучения конфиденциальной информации. В этих условиях в интересах обеспечения информационной безопасности необходимы адекватные по ориентации, функциональному назначению и другим характерис­тикам технические средства защиты охраняемых сек­ретов.

Дата добавления: 2014-01-05; Просмотров: 669; Нарушение авторских прав?; Мы поможем в написании вашей работы!