Организация систем защиты информации с ограниченным доступом

Защитить информацию с ограниченным доступом организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает [4]:

• -    организацию охраны, режима, работу с кадрами, с документами;

• -    использование технических средств безопасности и информационноаналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

• -    организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

• -    организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

• -    организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

• -    организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

• -    организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

• -    организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях [5].

Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ «Об информации, информатизации и защите информации» [1].

Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.

Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.

Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти [3].

Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

Определим права и обязанности собственников и владельцев конфиденциальной информации в области ее защиты.

Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации. Для защиты могут использоваться только сертифицированные средства защиты [2].

Таким образом, законодательство РФ устанавливает, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.

Для негосударственных структур это положение реализуется необходимостью защиты коммерческой тайны в соответствии с ГК РФ.

Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.