Направление обеспечения информационной безопасности: организационная защита

Регламентация производственной деятельности и отношений исполнителей на нормативно-правовой основе, которая значительно затрудняет или исключает неправомерное овладение конфиденциальной информацией и проявляет внешние и внутренние угрозы называется организационной защитой.

Организационная защита обеспечивает:

• -    использование технических средств безопасности и информационноаналитическую деятельность по раскрытию внешних и внутренних угроз предпринимательской деятельности;

• -    организацию работу с кадрами, с документами, режима и охраны.

Организационные мероприятия играют важную роль в разработке надежного механизма защиты информации, потому что возможности несанкционированного применения секретной информации в значимой мере обусловливаются не техническими аспектами, а нерадивостью, злоумышленными деяниями, халатностью и небрежностью персонала защиты или пользователей. Воздействие таких аспектов маловероятно не допустить при помощи технических средств. Чтобы достичь желаемого результата, нужна совокупность организационно-технических и организационно-правовых мероприятий, которые исключали бы вероятность появления угрозы секретной информации.

К главным организационным мероприятиям относятся:

• -    организация работы с сотрудниками, которая предусматривает расстановку и подбор персонала, а именно ознакомление с работниками, их исследование, ознакомление с мерами ответственности за несоблюдение правил защиты информации, обучение правилам работы с секретной информацией;

• -    организация режима и охраны:   обеспечение удобства

контролирования прохода и движения гостей и служащих; исключение возможности тайного проникновения в здания и на местность посторонних лиц; контроль и соблюдение временного режима труда и присутствия на местности персонала компании; создание отдельных производственных зон по типу секретных работ с самостоятельными системами доступа и другое;

• -    организация применения технических средств обработки, сбора, хранения и накопления конфиденциальной информации;

• -    организация работы с документами и документированной информацией: организация применения и исследования носителей и документов конфиденциальной информации, их учет, возврат, исполнение, уничтожение и хранение;

• -    организация мероприятий, которые сосредоточенны на проведение систематического контроля над работой персонала с секретной информацией, порядком учета, уничтожения и хранения технических носителей и документов;

• -    организация мероприятий, которые сосредоточенны на выработке мер по обеспечению защиты конфиденциальной информации и анализе внешних и внутренних угроз секретной информации.

В любом определенном случае организационные мероприятия носят своеобразную для данной организации содержание и форму, которые нацелены на обеспечение безопасности информации в определенных условиях.

Специфической областью организационных мер является организация защиты персональных электронно-вычислительных машин, информационных сетей и систем.

Организация защиты персональных электронно-вычислительных машин, информационных сетей и систем описывает схему и порядок функционирования главных ее подсистем, использование ресурсов и устройств, взаимоотношения пользователей между собой в соответствии с нормативно - правовыми правилами и требованиями. Защита информации на базе организационных мер играет огромную роль в обеспечении эффективности и надежности, потому что утечка информации и несанкционированный доступ в большинстве случаев обоснованы небрежностью персонала или пользователей, злоумышленными действиями.

Данные причины практически невозможно локализовать или ликвидировать при помощи программных и аппаратных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-технических и организационно-правовых мероприятий, которые используют вместе с техническими методами, имеют цель исключить, уменьшить либо полностью убрать потери при действии разных нарушающих факторов.

Организационные средства защиты персональных электронновычислительных машин и информационных сетей используются:

• -    при подборе и подготовке персонала: учитывается проверка принимаемых людей на работу, создание условий, при которых персонал должен быть заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за несоблюдение правил защиты;

• -    при проектировании, строительстве и оборудовании помещений, узлов сети и прочих объектов информационной системы, исключающих влияние стихийных бедствий, вероятность проникновения в помещения и другое;

• -    при контроле и подготовке работы пользователей;

• -    при внесении конфигураций в программное обеспечение: обсуждение и утверждение проектов конфигураций, проверка их на удовлетворение требованиям защиты, документальное оформление конфигураций и так далее;

• -    при соблюдении надежного пропускного режима к персональным электронно-вычислительным машинам, к информационным системам и техническим средствам при сменной работе: обеспечение людьми, которые будут ответственными за охрану информации в сменах, ведение журналов работы, ликвидация закрытых производственных документов, контроль за работой персонала;

• -    при использовании и хранении документов и прочих носителей: регистрация, маркировка и так далее.

Одним из важных организационных мероприятий считается создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, которые содержат сведения конфиденциального характера.

Разумеется, что организационные мероприятия обязаны четко направляться, планироваться и осуществляться какой-то организационной структурой, некоторым специально предназначенным для данных целей структурным подразделением, оснащенным надлежащими специалистами по безопасности предпринимательской деятельности и защите информации.

Таким образом, организационные меры являются главным звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.