Организация систем защиты информации с ограниченным доступом

Автор: Иванова А.П.

Журнал: Теория и практика современной науки @modern-j

Рубрика: Основной раздел

Статья в выпуске: 10 (40), 2018 года.

Бесплатный доступ

В данной статье автор дает четкое определение системе защиты информации с ограниченным доступом. Он утверждает, что создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Подводя итог, автор указывает на то, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.

Информация, регламент, организационная защита, технические средства, государственные и негосударственные структуры, нормативно-правовая основа

Короткий адрес: https://sciup.org/140272441

IDR: 140272441

Текст научной статьи Организация систем защиты информации с ограниченным доступом

Защитить информацию с ограниченным доступом организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает [4]:

  • -    организацию охраны, режима, работу с кадрами, с документами;

  • -    использование технических средств безопасности и информационноаналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

  • -    организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;

  • -    организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

  • -    организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

  • -    организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

  • -    организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

  • -    организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях [5].

Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ «Об информации, информатизации и защите информации» [1].

Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.

Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.

Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.

Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.

Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти [3].

Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.

Определим права и обязанности собственников и владельцев конфиденциальной информации в области ее защиты.

Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.

Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.

Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.

Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.

Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации. Для защиты могут использоваться только сертифицированные средства защиты [2].

Таким образом, законодательство РФ устанавливает, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.

Для негосударственных структур это положение реализуется необходимостью защиты коммерческой тайны в соответствии с ГК РФ.

Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.

Список литературы Организация систем защиты информации с ограниченным доступом

  • Об информации, информационных технологиях и защите информации: федеральный закон от 27.07.2006 №149-ФЗ// Собр. Законодательства РФ. - 2006. - №31 (ч.1). - Ст. 3448
  • Армашев А. О. О защите конфиденциальной информации. // Безопасность информационных технологий. 2014. - № 3. -С.65.
  • Семашко А.В. Правовые основы оборота информации с ограниченным доступом (конфиденциальной информации) в Российской Федерации: автореф. дисс. … канд.юрид.наук: защищена 12.02.2013. М, 2013. С. 4.
  • Туманова Л.В., Снытников А.А. Обеспечение и защита права на информацию. М.: Городец-Издат, 2011. С. 234.
  • Фатьянов А. А. Концептуальные основы обеспечения безопасности на современном этапе. //Безопасность информационных технологий. 2012.- № 1.- С.27
Статья научная