Организация систем защиты информации с ограниченным доступом
Автор: Иванова А.П.
Журнал: Теория и практика современной науки @modern-j
Рубрика: Основной раздел
Статья в выпуске: 10 (40), 2018 года.
Бесплатный доступ
В данной статье автор дает четкое определение системе защиты информации с ограниченным доступом. Он утверждает, что создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Подводя итог, автор указывает на то, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.
Информация, регламент, организационная защита, технические средства, государственные и негосударственные структуры, нормативно-правовая основа
Короткий адрес: https://sciup.org/140272441
IDR: 140272441
Текст научной статьи Организация систем защиты информации с ограниченным доступом
Защитить информацию с ограниченным доступом организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает [4]:
-
- организацию охраны, режима, работу с кадрами, с документами;
-
- использование технических средств безопасности и информационноаналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям можно отнести:
-
- организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
-
- организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
-
- организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
-
- организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
-
- организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
-
- организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях [5].
Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ «Об информации, информатизации и защите информации» [1].
Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.
Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.
Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.
Органы государственной власти и организации, ответственные за формирование и использование информационных ресурсов, подлежащих защите, а также органы и организации, разрабатывающие и применяющие информационные системы и информационные технологии для формирования и использования информационных ресурсов с ограниченным доступом, руководствуются в своей деятельности законодательством Российской Федерации.
Контроль за соблюдением требований к защите информации и эксплуатацией специальных программно-технических средств защиты, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом в негосударственных структурах, осуществляются органами государственной власти [3].
Контроль осуществляется в порядке, определяемом Правительством Российской Федерации.
Определим права и обязанности собственников и владельцев конфиденциальной информации в области ее защиты.
Собственник документов, массива документов, информационных систем или уполномоченные им лица в соответствии с Федеральным законом устанавливают порядок предоставления пользователю информации с указанием места, времени, ответственных должностных лиц, а также необходимых процедур и обеспечивают условия доступа пользователей к информации.
Владелец документов, массива документов, информационных систем обеспечивает уровень защиты информации в соответствии с законодательством Российской Федерации.
Риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств.
Риск, связанный с использованием информации, полученной из несертифицированной системы, лежит на потребителе информации.
Собственник документов, массива документов, информационных систем может обращаться в организации, осуществляющие сертификацию средств защиты информационных систем и информационных ресурсов, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций. Владелец документов, массива документов, информационных систем обязан оповещать собственника информационных ресурсов и (или) информационных систем о всех фактах нарушения режима защиты информации. Для защиты могут использоваться только сертифицированные средства защиты [2].
Таким образом, законодательство РФ устанавливает, что государственные органы, предприятия, учреждения, организации обязаны иметь службы по защите конфиденциальной информации.
Для негосударственных структур это положение реализуется необходимостью защиты коммерческой тайны в соответствии с ГК РФ.
Допуск должностных лиц и граждан к конфиденциальной информации осуществляет руководитель организации, учреждения, предприятия.
Список литературы Организация систем защиты информации с ограниченным доступом
- Об информации, информационных технологиях и защите информации: федеральный закон от 27.07.2006 №149-ФЗ// Собр. Законодательства РФ. - 2006. - №31 (ч.1). - Ст. 3448
- Армашев А. О. О защите конфиденциальной информации. // Безопасность информационных технологий. 2014. - № 3. -С.65.
- Семашко А.В. Правовые основы оборота информации с ограниченным доступом (конфиденциальной информации) в Российской Федерации: автореф. дисс. … канд.юрид.наук: защищена 12.02.2013. М, 2013. С. 4.
- Туманова Л.В., Снытников А.А. Обеспечение и защита права на информацию. М.: Городец-Издат, 2011. С. 234.
- Фатьянов А. А. Концептуальные основы обеспечения безопасности на современном этапе. //Безопасность информационных технологий. 2012.- № 1.- С.27