Организационные основы защиты информации на предприятии

Автор работы: s***************@gmail.com, 28 Ноября 2011 в 14:09, реферат

Описание

Из упоминавшихся ранее средств и методов обеспечения информационной безопасности особо были выделены организационные, которые в совокупности с другими элементами системы защиты информации на предприятии подробно описаны в последующих главах учебника. Для наиболее полного и глубокого анализа происходящих в сфере защиты конфиденциальной информации процессов, понимание сущности планируемых и проводимых в этих целях мероприятий прежде всего необходимо рассмотреть одно из важнейших направлений защиты конфиденциальной информации — организационную защиту информации.

Работа состоит из  1 файл

Организационные основы защиты информации на предприятии.docx

— 33.81 Кб (Скачать документ)

Организационные основы защиты информации на предприятии 
 

     Основные  направления, принципы и условия  организационной защиты информации 

 Из упоминавшихся ранее средств и методов обеспечения информационной безопасности особо были выделены организационные, которые в совокупности с другими элементами системы защиты информации на предприятии подробно описаны в последующих главах учебника. Для наиболее полного и глубокого анализа происходящих в сфере защиты конфиденциальной информации процессов, понимание сущности планируемых и проводимых в этих целях мероприятий прежде всего необходимо рассмотреть одно из важнейших направлений защиты конфиденциальной информации — организационную защиту информации. 

 Организационная  защита информации является организационным  началом, так называемым «ядром»  в общей системе защиты конфиденциальной  информации предприятия. От полноты  и качества решения руководством  предприятия и должностными лицами  организационных задач зависит  эффективность функционирования  системы защиты информации в  целом. Роль и место организационной  защиты информации в общей  системе мер, направленных на  защиту конфиденциальной информации  предприятия, определяются исключительной  важностью принятия руководством  своевременных и верных управленческих  решений с учетом имеющихся  в его распоряжении сил, средств,  методов и способов защиты  информации и на основе действующего  нормативно-методического аппарата. 

 Среди основных  направлений защиты информации  наряду с организационной выделяют  правовую и инженерно-техническую  защиту информации. 

 Однако организационной  защите информации среди этих  направлений отводится особое  место. 

 Организационная  защита информации призвана посредством  выбора конкретных сил и средств  (включающие в себя правовые, инженерно-технические  и инженерно-геологические) реализовать  на практике спланированные руководством  предприятия меры по защите  информации. Эти меры принимаются  в зависимости от конкретной  обстановки на предприятии, связанной  с наличием возможных угроз,  воздействующих на защищаемую  информацию и ведущих к ее  утечке. 

 Роль руководства  предприятия в решении задач  по защите информации трудно  переоценить. Основными направлениями  деятельности, осуществляемой руководителем  предприятия в этой области,  являются: планирование мероприятий  по защите информации и персональный  контроль за их выполнением, принятие решений о непосредственном доступе к конфиденциальной информации своих сотрудников и представителей других организаций, распределение обязанностей и задач между должностными лицами и структурными подразделениями, аналитическая работа и т.д. Цель принимаемых руководством предприятия и должностными лицами организационных мер — исключение утечки информации и, таким образом, уменьшение или полное исключение возможности нанесения предприятию ущерба, к которому эта утечка может привести. 

 Система мер  по защите информации в широком  смысле слова должна строиться  исходя из тех начальных условий  и факторов, которые, в свою  очередь, определяются состоянием  устремленности разведок противника  либо действиями конкурента на  рынке товаров и услуг, направленными  на овладение информацией, подлежащей  защите. 

 Это правило  действует как на государственном  уровне, так и на уровне конкретного  предприятия. 

 Используются два примерно равнозначных определения организационной зашиты информации. 

 Организационная  защита информации — составная  часть системы защиты информации, определяющая и вырабатывающая  порядок и правила функционирования  объектов защиты и деятельности  должностных лиц в целях обеспечения  защиты информации. 

 Организационная  защита информации на предприятии  — регламентация производственной  деятельности и взаимоотношений  субъектов (сотрудников предприятия)  на нормативно-правовой основе, исключающая  или ослабляющая нанесение ущерба  данному предприятию. 

 Первое из приведенных  определений в большей степени  показывает сущность организационной  защиты информации. Второе — раскрывает  ее структуру на уровне предприятия.  Вместе с тем оба определения  подчеркивают важность нормативно-правового  регулирования вопросов защиты  информации наряду с комплексным  подходом к использованию в  этих целях имеющихся сил и  средств. Основные направления  организационной защиты информации  приведены ниже. 

 Организационная  защита информации: 

- Организация работы  с персоналом;

- Организация внутриобъектового и пропускного режимов и охраны;

- Организация работы  с носителями сведений;

- Комплексное планирование  мероприятий по защите информации;

- Организация аналитической  работы и контроля. 

     Основные  принципы организационной защиты  информации: 

- принцип комплексного  подхода — эффективное использование  сил, средств, способов и методов  защиты информации для решения  поставленных задач в зависимости  от конкретной складывающейся  ситуации и наличия факторов, ослабляющих или усиливающих  угрозу защищаемой информации; 

- принцип оперативности  принятия управленческих решений  (существенно влияет на эффективность  функционирования и гибкость  системы защиты информации и  отражает нацеленность руководства  и персонала предприятия на  решение задач защиты информации); 

- принцип персональной  ответственности — наиболее эффективное  распределение задач по защите  информации между руководством  и персоналом предприятия и  определение ответственности за  полноту и качество их выполнения. 

 Среди основных  условий организационной защиты  информации можно выделить следующие: 

- непрерывность  всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;

- неукоснительное  соблюдение руководством и персоналом  предприятия установленных норм  и правил защиты конфиденциальной  информации. 

 При соблюдении  перечисленных условий обеспечивается  наиболее полное и качественное  решение задач по защите конфиденциальной  информации на предприятии. 

     Основные  подходы и требования к организации  системы защиты информации 

 Успешное решение  комплекса задач по защите  информации не может быть достигнуто  без создания единой основы, так  называемого «активного кулака»  предприятия, способного концентрировать все усилия и имеющиеся ресурсы для исключения утечки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию. Таким «кулаком» призвана стать система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражающая все направления и специфику деятельности данного предприятия. 

 Под системой  защиты информации понимают совокупность  органов защиты информации (структурных  подразделений или должностных  лиц предприятия), используемых ими  средств и методов защиты информации, а также мероприятий, планируемых  и проводимых в этих целях. 

 Для решения  организационных задач по созданию  и обеспечению функционирования  системы защиты информации используются  несколько основных подходов, которые  вырабатываются на основе существующей  нормативно-правовой базы и с  учетом методических разработок  по тем или иным направлениям  защиты конфиденциальной информации. 

 Один из основных  подходов к созданию системы  защиты информации заключается  во всестороннем анализе состояния  защищенности информационных ресурсов  предприятия с учетом устремленности  конкурирующих организаций к  овладению конфиденциальной информацией  и, тем самым, нанесению ущерба  предприятию. Важным элементом  анализа является работа по  определению перечня защищаемых  информационных ресурсов с учетом  особенностей их расположения (размещения) и доступа к ним различных  категорий сотрудников (работников  других предприятий). 

 Работу по проведению  такого анализа непосредственно  возглавляет руководитель предприятия  и его заместители по направлениям  деятельности. Изучение защищенности  информационных ресурсов основывается  на положительном и отрицательном  опыте работы предприятия, накопленном  в течение последних нескольких  лет, а также на деловых связях  и контактах предприятия с  организациями, осуществляющими  аналогичные виды деятельности. 

 При создании  системы защиты информации, в  первую очередь, учитываются наиболее  важные, приоритетные направления  деятельности предприятия, требующие  особого внимания. Предпочтение  также отдается новым, перспективным  направлениям деятельности предприятия,  которые связаны с научными  исследованиями, новейшими технологиями, формирующими интеллектуальную  собственность, а также развивающимся  международным связям. В соответствии  с названными приоритетами формируется  перечень возможных угроз информации, подлежащей защите, и определяются  конкретные силы, средства, способы  и методы ее защиты. 

 К организации  системы защиты информации с  позиции системного подхода выдвигается  ряд требований, определяющих ее  целостность, стройность и эффективность. 

 Система защиты  информации должна быть: 

- централизованной  — обеспечивающей эффективное  управление системой со стороны  руководителя и должностных лиц,  отвечающих за различные направления  деятельности предприятия;

- плановой — объединяющей  усилия различных должностных  лиц и структурных подразделений  для выполнения стоящих перед  предприятием задач в области  защиты информации;

- конкретной и  целенаправленной — рассчитанной  на защиту абсолютно конкретных  информационных ресурсов, представляющих  интерес для конкурирующих организаций;

- активной — обеспечивающей  защиту информации с достаточной  степенью настойчивости и возможностью  концентрации усилий на наиболее  важных направлениях деятельности  предприятия;

- надежной и универсальной  — охватывающей всю деятельность  предприятия, связанную с созданием  и обменом информацией. 

     Основные  методы, силы и средства, используемые  для организации защиты информации 

 Один из важнейших  факторов, влияющих на эффективность  системы защиты конфиденциальной  информации, — совокупность сил  и средств предприятия, используемых для организации защиты информации. 

 Силы и средства  различных предприятий отличаются  по структуре, характеру и порядку  использования. Предприятия, работающие  с конфиденциальной информацией  и решающие задачи по ее  защите в рамках повседневной  деятельности на постоянной основе, вынуждены с этой целью создавать  самостоятельные структурные подразделения  и использовать высокоэффективные  средства защиты информации. Если  предприятия лишь эпизодически  работают с конфиденциальной  информацией в силу ее небольших  объемов, вместо создания подразделений  они могут включать в свои  штаты отдельные должности специалистов  по защите информации. Данные  подразделения и должности являются  органами защиты информации. 

 Предприятия, работающие с незначительными объемами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области. 

 Ведущую роль  в организации защиты информации  на предприятии играют руководитель  предприятия, а также его заместитель,  непосредственно возглавляющий  эту работу. 

 Руководитель  предприятия несет персональную  ответственность за организацию  и проведение необходимых мероприятий,  направленных на исключение утечки  сведений, отнесенных к конфиденциальной  информации, и утрат носителей  информации. Он обязан: 

Информация о работе Организационные основы защиты информации на предприятии