Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Система организационной защиты информации



Организационная защита – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Главной целью организационной защиты информации является обеспечение устойчивого функциони­рования предприятия и предотвращение угроз его без­опасности, защита законных интересов организации от противоправных посягательств, недопущение хищения финансовых и материально-технических средств, унич­тожения имущества и ценностей, разглашения, утечки и несанкционированного доступа к служебной инфор­мации, нарушения работы технических средств обес­печения производственной деятельности, включая и средства информатизации.

Организационная защита обеспечивает:

· организацию охраны, режима, работу с кадрами, с документами;

· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Основными функциямиорганизационной защиты информации являются:

· руководство работами по правовому и организационному регули­рованию безопасности фирмы и ее структурных подразделений;

· участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и за­щиты информации;

· разработка и осуществление мер по сохранности информа­ции и сведений конфиденциального характера;

· осуществление контактов с правоохранительными органами и об­мен с ними информацией в установленном порядке в целях вы­полнения задач, возложенных на СБ в интересах изучения кри­миногенной обстановки;

· проведение, привлекая соответствующие подразделения, служеб­ных расследований по фактам нарушения требований безопас­ности, несоблюдения правил охраны средств и имущества, раз­глашения служебной и коммерческой тайн;

· организация и обеспечение пропускного и внутриобъектового режима, осуществление контроля его соблюдением;

· методическое руководство и контроль за безо­пасностью на объектах и в самостоятельных подразделениях;

· участие в определении инженерно-технических средств ох­раны и разработка предложения по их приобретению и ус­тановке;

· обеспечение физической охраны имущества и материальных ценностей;

· выявление и локализация возможных каналов утечки информации;

· контроль за соблюдением требований по защите коммерческой тайны;

· учет и анализ нарушений режимных требований, про­водит аттестацию выделенных помещений и осуществляет кон­троль проводимых в них закрытых мероприятий и работ;

· организация и контроль за работой администратора безопасно­сти локальной сети;

· разработка и осуществление мер по защите инфор­мации при ее обработке средствами вычислительной техники;

· организация обучения и проверки уровня подготовки специали­стов и сотрудников по вопросам безопасности;

· участие в разработке приказов, распоряжений и других доку­ментов по вопросам безопасности.

Основными задачами организационной защиты информации являются:

· прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам предприятия; причин и условий, способствующих нане­сению финансового, материального и морального ущерба, нарушению его нормативного функционирова­ния и развития;

· создание механизма и условий оперативного ре­агирования на угрозы безопасности и проявления нега­тивных тенденций в функционировании предприятия;

· создание условий для максимально возможного возмещения и локализации наносимого ущерба непра­вомерными действиями физических и юридических лиц, ослабление негативного влияния последствий на­рушения безопасности предприятию;

· обеспечение безопасности производственно-торговой деятельности и защиты конфиденциальной информации;

· организация работы по правовой, организацион­ной и инженерно-технической защите объектов без­опасности;

· организация специального делопроизводства, исключающего несанкционированное получение све­дений, являющихся коммерческой тайной предпри­ятия;

· предотвращение необоснованного допуска и до­ступа к сведениям и работам, составляющим коммер­ческие секреты;

· выявление режима безопасности при проведе­нии всех видов деятельности, включая различные встречи, переговоры, совещания;

· обеспечение охраны зданий, помещений, оборудования, продукции и технических средств различного назначения;

· обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;

· оценка маркетинговых ситуаций и неправомер­ных действий злоумышленников и конкурентов;

· организация добывания и анализ информации о мировом и национальном рынках и прогнозировании их развития;

· организация работ по выявлению конфиденци­альной информации, обоснованию уровня её конфи­денциальности и документальному оформлению в виде перечней сведений, подлежащих защите;

· сбор экономической и научно-технической ин­формации для обеспечения эффективности деловых сношений с зарубежными и отечественными партнера­ми, выявление в их числе несостоятельных, ненадеж­ных предпринимателей, а также лиц, связанных с кри­минальными структурами;

· учет официальных претензий правоохранитель­ных и контролирующих органов к возможным партне­рам на финансовом рынке, фирмам, банкам и т.п.;

· изучение, анализ и оценка криминальной обста­новки, в том числе состояния экономической преступ­ности в денежно-кредитной сфере по стране и в ре­гионе;

· информационное обеспечение руководства в об­ласти безопасности;

· координация деятельности подразделений служ­бы безопасности и обеспечения взаимодействия со всеми структурными подразделениями в решении про­блемы безопасности.

· осуществление допускного и пропускного режи­мов;

· обеспечение защищенного хранения ценностей и документов (носителей информации), оснащение со­временными инженерно-техническими средствами ох­раны;

· организация физической защиты информации в процессе её внутриобъектовой транспортировки;

· обеспечение взаимодействия всех структур, уча­ствующих в обеспечении физической защиты.

· организация и осуществление разрешительной системы допуска исполнителей к работе с документа­ми и сведениями ограниченного доступа;

· осуществление закрытой переписки и шифро­ванной связи;

· организация и координация работ по защите ин­формации, обрабатываемой и передаваемой средст­вами и системами вычислительной техники и связи;

· обеспечение безопасности в процессе проведе­ния конфиденциальных совещаний, переговоров;

· осуществление контроля над сохранностью кон­фиденциальных документов (носителей информации), за обеспечением защиты информации, обрабатывае­мой и передаваемой средствами и системами вычислительной техники и связи.

Основные принципы организационной защиты информации

Законности: - предполагает разработку сис­темы организационного обеспечения на основе феде­рального законодательства в области предпринима­тельской деятельности и других нормативных актов, ут­вержденных органами государственного управления в пределах их компетенции.

Комплектности: - предполагает охват организацион­ными мерами, мероприятиями и действиями всех на­правлений защиты (физического, юридического, тех­нического, экономического, информационно-коммер­ческого и др.), правового и инженерно-технического видов обеспечения в интересах эффективной защиты объектов. Защита должна строиться эшелонированно.

Принцип непрерывности защиты. Защита информации - это не разовое мероприятие и даже не определенная совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла системы защиты информации.

Разработка системы защиты должна вестись параллельно с разработкой самой защищаемой системы. Это позволит учесть требования безопасности при проектировании архитектуры и, в конечном счете, позволит создать более эффективные (как по затратам ресурсов, так и по стойкости) защищенные системы.

Большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная (административная) поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных "закладок" и других средств преодоления системы защиты после восстановления ее функционирования.

Своевременности - упреждающий характер мер обеспечения безопасности. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирования обстановки, угроз безопасности, а также разработку эффективных мер преду­преждения посягательств на законные интересы.

Экономической целесообразности и сопоставимости возмож­ного ущерба и затрат на обеспечение безопасности (критерий "эф­фективность - стоимость").

Специализации. Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организа­ций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической рабо­ты и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготов­ленными специалистами службы безопасности, ее функциональных и обслуживающих подразделений.

Совершенствования. Предусматривает совершенствование мер и средств защиты на основе собственного опыта, появления но­вых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, накопленного отечественного и зарубежного опыта.

Принцип разумной достаточности. Создать абсолютно непреодолимую систему защиты принципиально невозможно. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл вести речь только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть мощности и ресурсов компьютерной системы и может создавать ощутимые дополнительные неудобства пользователям. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа риска).

Гибкость системы защиты. Часто приходится создавать систему защиты в условиях большой неопределенности. Поэтому принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Естественно, что для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.

Принцип простоты применения средств защиты. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе законных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод нескольких паролей и имен и т.д.).

Обособленности:-используемые возможности, средства защиты, меры, мероприятия и действия должны быть реализо­ваны с учетом современного уровня развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и соответствия установленным требова­ниям и нормам.

Соблюдение баланса защиты жизненно важных интересов предприятия и субъекта защиты:- указывает на то, что без соблюдения ба­ланса защиты жизненно важных интересов предпри­ятия и субъекта защиты может возникнуть угроза «вы­пячивания» интересов одного из объектов защиты в ущерб другим.

Взаимной ответственности:- предполагает взаимную ответственность личности и организации (предприятия) по обеспече­нию безопасности жизненно важных интересов.

Централизации управления:- предполагает самостоятельное функционирование субъекта безопасности по единым правовым, органи­зационным, функциональным и методологическим принципам в интересах эффективного управления.

Взаимодействия и координации: - означает осуществление мер обеспечения безопас­ности на основе четкой взаимосвязи соответствующих структурных подразделений, сторонних специализиро­ванных организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными объединениями и взаимодействия с органами государственного управ­ления и правоохранительными органами.

Особе внимание необходимо уделять принципу комплексности. Для обеспечения безопасности во всем многообразии структурных элементов фирмы, при множестве угроз и способов несанкционированного доступа должны применяться все виды и формы защиты и противодействия в полном объеме. Недопустимо применять отдельные формы или технические средства.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

Главными направлениями работ по защите информации являются:

· обеспечение эффективного управления системой защиты информации;

· определение сведений, охраняемых от технических средств разведки и демаскирующих признаков, раскрывающих эти сведения;

· анализ и оценка реальной опасности перехвата информации техническими средствами разведки, несанкционированного досту­па, разрушения (уничтожения) или искажения информации путем преднамеренных программно-технических воздействий в процессе ее обработки, передачи и хранения в технических средствах, выявление возможных технических каналов утечки информации, под­лежащих защите;

· разработка организационно-технических мероприятий по защи­те информации и их реализация;

· организация и проведение контроля состояния защиты инфор­мации.

К основным организационным мероприятиям относятся:

· организация режима и охраны. Их цель – исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

· организация работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

· организация работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

· организация использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

· организация работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

· организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

Основными организационно-техническими мероприятиями по защите информации являются:

· лицензирование деятельности предприятий в области защиты информации;

· аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведени­ями соответствующей степени секретности;

· сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам;

· категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности государства;

· обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;

· оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории Российской Федерации;

· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использова­ния технических средств, подлежащих защите;

· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

· разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и во­енной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи;

· разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование;

· применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам связи.

Конкретные методы, приемы и меры защиты информации разрабатываются в зависимости от степени возможного ущерба в случае ее утечки, разрушения (уничтожения).

Проведение любых мероприятий и работ с использованием сведений, отнесенных к государственной или служебной тайне, без принятия необходимых мер по защите информации не допуска­ется.

Основными группами элементов работ системы ор­ганизационного обеспечения являются:

· работы по организации создания организацион­но-правового предприятия защиты: организация и про­ведение собрания учредителей, подготовка Устава и учредительных документов, подготовка документов для юридической регистрации и регистрация предприятия в органах государственной и муниципальной власти;

· работы по организационной структуризации предприятия защиты фирмы: организация и проведе­ние работ по разработке Положения предприятия за­щиты и его структурных подразделений, разработка Должностных Инструкций;

· разработка Программ защиты коммерческой структуры, внедрение Программ в жизнь и контроль над ее действенностью;

· комплекс работ по разработке интеграционных Условий и правил, обеспечивающих эффективное уп­равление предприятием и его защиту.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, так как несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями, небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора безопасности распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, какими-то структурными подразделениями. Зачастую таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции:

· организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;

· обеспечение пропускного и внутри объектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;

· руководство работами по правовому и организационному регулированию отношений по защите информации;

· участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

· разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальную информацию; при всех видах работ организация и контроль выполнения требований «Инструкции по защите конфиденциальной информации»;

· изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленниках устремленных конкурентной и других организаций, о деятельности предприятия и его клиентов, партнеров, смежников;

· организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;

· разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;

· обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;

· осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации;

· организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности;

· ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;

· обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;

· поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях.

Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющаяся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.

Организационно служба безопасности состоит из следующих структурных единиц:

· подразделения режима и охраны;

· специального подразделения обработки документов конфиденциального характера;

· инженерно-технических подразделений;

· информационно-аналитических подразделений.

Задачи службы безопасности:

1. Определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера;

2. Определение участков сосредоточения конфиденциальных сведений;

3. Определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;

4. Выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям;

5. Выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации;

6. Разработка системы документов, содержащих сведения конфиденциального характера;

7. Определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанным с ним кооперацией;

8. Определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;

9. Определение уязвимых мест в технологии производственного цикла, несанкционированное изменение в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию (потеря конкурентоспособности);

10. Определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и т.д. и организация их физической защиты и охраны;

11. Определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации;

12. Разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия;

13. Внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;

14. Организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;

15. Изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;

16. Разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.

Таким образом, организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.




©2015 studopedya.ru Все права принадлежат авторам размещенных материалов.