Силы
и средства различных предприятий
отличаются по структуре, характеру
и порядку использования. Предприятия,
работающие с конфиденциальной информацией
и решающие задачи по ее защите в рамках
повседневной деятельности на постоянной
основе, вынуждены с этой целью создавать
самостоятельные структурные подразделения
и использовать высокоэффективные средства
защиты информации. Если предприятия лишь
эпизодически работают с конфиденциальной
информацией в силу ее небольших объемов,
вместо создания подразделений они могут
включать в свои штаты отдельные должности
специалистов по защите информации. Данные
подразделения и должности являются органами
защиты информации.
Предприятия,
работающие с незначительными объемами
конфиденциальной информации, могут на
договорной основе использовать потенциал
более крупных предприятий, имеющих необходимое
количество квалифицированных сотрудников,
высокоэффективные средства защиты информации,
а также большой опыт практической работы
в данной области.
Ведущую
роль в организации защиты информации
на предприятии играют руководитель предприятия,
а также его заместитель, непосредственно
возглавляющий эту работу.
Руководитель
предприятия несет персональную
ответственность за организацию
и проведение необходимых мероприятий,
направленных на исключение утечки сведений,
отнесенных к конфиденциальной информации,
и утрат носителей информации. Он обязан:
- знать фактическое
состояние дел в области защиты информации,
организовывать постоянную работу по
выявлению и закрытию возможных каналов
утечки конфиденциальной информации;
- определять
обязанности и задачи должностным лицам
и структурным подразделениям предприятия
в этой области;
- проявлять
высокую требовательность к персоналу
предприятия в вопросах сохранности конфиденциальной
информации;
- оценивать
деятельность должностных лиц и эффективность
мероприятий по защите информации.
Заместитель
руководителя предприятия обязан постоянно
изучать все стороны и направления
деятельности предприятия для принятия
своевременных мер по защите информации;
руководить работой службы безопасности
(иных структурных подразделений, решающих
задачи по защите информации); выполнять
другие функции по организации защиты
информации в ходе проведения предприятием
всех видов работ.
На
предприятиях для организации работ
по защите информации могут создаваться
следующие основные виды структурных
подразделений:
- режимно-секретные;
- подразделения
по технической защите информации и противодействию
иностранным техническим разведкам;
- подразделения
криптографической защиты информации;
мобилизационные;
- подразделения
охраны и пропускного режима.
Функции,
возлагаемые на перечисленные подразделения,
определяются решением (приказом) руководителя
предприятия и отражаются в соответствующих
положениях.
Организационные
мероприятия играют существенную роль
в создании надежного механизма
защиты информации, т.к. возможности
несанкционированного использования
конфиденциальных сведений в значительной
мере обусловливаются не техническими
аспектами, а злоумышленными действиями,
нерадивостью, небрежностью и халатностью
пользователей или персонала
защиты. Влияния этих аспектов практически
невозможно избежать с помощью технических
средств. Для этого необходима совокупность
организационно-правовых и организационно-технических
мероприятий, которые исключали
бы (или, по крайней мере, сводили
бы к минимуму) возможность возникновения
опасности конфиденциальной информации.
К
основным организационным мероприятиям
можно отнести:
организацию
режима и охраны. Их цель - исключение
возможности тайного проникновения
на территорию и в помещения посторонних
лиц;
обеспечение
удобства контроля прохода и перемещения
сотрудников и посетителей;
создание
отдельных производственных зон
по типу конфиденциальных работ с
самостоятельными системами доступа;
контроль
и соблюдение временного режима труда
и пребывания на территории персонала
фирмы;
организация
и подержание надежного пропускного
режима и контроля сотрудников и
посетителей и др.;
организацию
работы с сотрудниками, которая предусматривает
подбор и расстановку персонала,
включая ознакомление с сотрудниками,
их изучение, обучение правилам работы
с конфиденциальной информацией, ознакомление
с мерами ответственности за нарушение
правил защиты информации и др.;
организацию
работы с документами, включая организацию
разработки и использования документов
и носителей конфиденциальной информации,
их учет, исполнение, возврат, хранение
и уничтожение;
организацию
использования технических средств
сбора, обработки, накопления и хранения
конфиденциальной информации;
организацию
работ по анализу внутренних и
внешних угроз конфиденциальной
информации и выработке мер по
обеспечению ее защиты;
организацию
работы по проведению систематического
контроля за работой персонала с
конфиденциальной информацией, порядком
учета, хранения и уничтожения документов
и технических носителей.
В
каждом конкретном случае организационные
мероприятия носят специфические
для данной организации форму
и содержание, направленные на обеспечение
безопасности информации в конкретных
условиях.
Специфической
областью организационных мер является
организация защиты ПЭВМ, информационных
систем и сетей, которая определяет
порядок и схему функционирования
основных ее подсистем, использование
устройств и ресурсов, взаимоотношения
пользователей между собой в
соответствии с нормативно-правовыми
требованиями и правилами. Защита информации
на основе организационных мер играет
большую роль в обеспечении надежности
и эффективности, т.к. несанкционированный
доступ и утечка информации чаще всего
обусловлены злоумышленными действиями
или небрежностью пользователей либо
персонала. Эти факторы, практически невозможно
исключить или локализовать с помощью
аппаратных и программных средств, криптографии
и физических средств защиты. Поэтому
совокупность организационных, организационно-правовых
и организационно-технических мероприятий,
применяемых совместно с техническими
методами, имеют целью исключить, уменьшить
или полностью устранить потери при действии
различных нарушающих факторов.
Организационные
средства защиты ПЭВМ и информационных
сетей применяются:
- при проектировании,
строительстве и оборудовании помещений,
узлов сети и других объектов информационной
системы, исключающих влияние стихийных
бедствий, возможность недозволенного
проникновения в помещения и др.;
- при подборе
и подготовке персонала. В этом случае
предусматриваются проверка принимаемых
на работу, создание условий, при которых
персонал был бы заинтересован в сохранности
данных, обучение правилам работы с закрытой
информацией, ознакомление с мерами ответственности
за нарушение правил защиты и др.;
- при хранении
и использовании документов и других носителей
(маркировка, регистрация, определение
правил выдачи и возвращения, ведение
документации и др.);
- при соблюдении
надежного пропускного режима к техническим
средствам, к ПЭВМ и информационным системам
при сменной работе (выделение ответственных
за защиту информации в сменах, контроль
за работой персонала, ведение (возможно
и автоматизированное) журналов работы,
уничтожение в установленном порядке
закрытых производственных документов);
- при внесении
изменений в программное обеспечение
(строгое санкционирование, рассмотрение
и утверждение проектов изменений, проверка
их на удовлетворение требованиям защиты,
документальное оформление изменений
и др.);
- при подготовке
и контроле работы пользователей.
Одним
из важнейших организационных мероприятий
является создание специальных штатных
служб защиты информации в закрытых
информационных системах в виде администратора
безопасности сети и администратора
распределенных баз и банков данных,
содержащих сведения конфиденциального
характера.
Очевидно,
что организационные мероприятия
должны четко планироваться, направляться
и осуществляться какой-то организационной
структурой, каким-то специально созданным
для этих целей структурным подразделением,
укомплектованным соответствующими специалистами
по безопасности производственной деятельности
и защите информации. Зачастую таким
структурным подразделением является
служба безопасности предприятия, на которую
возлагаются следующие общие
функции:
- организация
и обеспечение охраны персонала, материальных
и финансовых ценностей и защиты конфиденциальной
информации;
- обеспечение
пропускного и внутриобъектового режима
на территории, в зданиях и помещениях,
контроль соблюдения требований режима
сотрудниками, смежниками, партнерами
и посетителями;
- руководство
работами по правовому и организационному
регулированию отношений по защите информации;
- участие в
разработке основополагающих документов
с целью закрепления в них требований
обеспечения безопасности и защиты информации,
а также положений о подразделениях, трудовых
договоров, соглашений, подрядов, должностных
инструкций и обязанностей руководства,
специалистов, рабочих и служащих;
- разработка
и осуществление совместно с другими подразделениями
мероприятий по обеспечению работы с документами,
содержащими конфиденциальные сведения;
- при всех
видах работ организация и контроль выполнения
требований "Инструкции по защите конфиденциальной
информации";
- изучение
всех сторон производственной, коммерческой,
финансовой и другой деятельности для
выявления и последующего противодействия
любым попыткам нанесения ущерба, ведения
учета и анализа нарушений режима безопасности,
накопление и анализ данных о злоумышленных
устремлениях конкурентных организаций,
о деятельности предприятия и его клиентов,
партнеров, смежников;
- организация
и проведение служебных расследований
по фактам разглашения сведений, утрат
документов, утечки конфиденциальной
информации и других нарушений безопасности
предприятия;
- разработка,
ведение, обновление и пополнение "Перечня
сведений конфиденциального характера"
и других нормативных актов, регламентирующих
порядок обеспечения безопасности и защиты
информации;
- обеспечение
строгого выполнения требований нормативных
документов по защите производственных
секретов предприятия;
- осуществление
руководства службами и подразделениями
безопасности подведомственных предприятий,
организаций, учреждений и другими структурами
в части оговоренных в договорах условий
по защите конфиденциальной информации;
- организация
и регулярное проведение учета сотрудников
предприятия и службы безопасности по
всем направлениям защиты информации
и обеспечения безопасности производственной
деятельности;
- ведение учета
и строгого контроля выделенных для конфиденциальной
работы помещений, технических средств
в них, обладающих потенциальными каналами
утечки информации и каналами проникновения
к источникам охраняемых секретов;
- обеспечение
проведения всех необходимых мероприятий
по пресечению попыток нанесения морального
и материального ущерба со стороны внутренних
и внешних угроз;
- поддержание
контактов с правоохранительными органами
и службами безопасности соседних предприятий
в интересах изучения криминогенной обстановки
в районе и оказания взаимной помощи в
кризисных ситуациях.
Служба
безопасности является самостоятельной
организационной единицей предприятия,
подчиняющейся непосредственно
руководителю предприятия. Возглавляет
службу безопасности начальник службы
в должности заместителя руководителя
предприятия по безопасности.
Организационно
служба безопасности состоит из следующих
структурных единиц:
- подразделения
режима и охраны;
- специального
подразделения обработки документов конфиденциального
характера;
- инженерно-технических
подразделений;
- информационно-аналитических
подразделений.
В
таком составе службы безопасности
способна обеспечить защиту конфиденциальной
информации от любых угроз. К задачам
службы безопасности предприятия относятся:
- определение
круга лиц, которые в силу занимаемого
служебного положения на предприятии
прямо или косвенно имеют доступ к сведениям
конфиденциального характера;
- определение
участков сосредоточения конфиденциальных
сведений;
- определение
круга сторонних предприятий, связанных
с данным предприятием кооперативными
связями, на которых в силу производственных
отношений возможен выход из-под контроля
сведений конфиденциального характера;
- выявление
круга лиц, не допущенных к конфиденциальной
информации, но проявляющих повышенный
интерес к таким сведениям;
- выявление
круга предприятий, в том числе и иностранных,
заинтересованных в овладении охраняемыми
сведениями с целью нанесения экономического
ущерба данному предприятию, устранения
экономического конкурента либо его компрометации;
- разработка
системы защиты документов, содержащих
сведения конфиденциального характера;
- определение
на предприятий участков, уязвимых в аварийном
отношении, выход из строя которых может
нанести материальный ущерб предприятию
и сорвать поставки готовой продукции
или комплектующих предприятиям, связанных
с ним договорными обязательствами;
- определение
на предприятии технологического оборудования,
выход (или вывод) которого из строя может
привести к большим экономическим потерям;
- определение
уязвимых мест в технологии производственного
цикла, несанкционированное изменение,
в которой может привести к утрате качества
выпускаемой продукции и нанести материальный
или моральный ущерб предприятию;
- определение
мест на предприятии, несанкционированное
посещение которых может привести к изъятию
(краже) готовой продукции или полуфабрикатов,
заготовок и др., и организация их физической
защиты и охраны;
- определение
и обоснование мер правовой, организационной
и инженерно-технической защиты предприятия,
персонала, продукции и информации;
- разработка
необходимых мероприятий, направленных
на совершенствование системы экономической,
социальной и информационной безопасности
предприятия;
- внедрение
в деятельность предприятия новейших
достижений науки и техники, передового
опыта в области обеспечения экономической
и информационной безопасности;
- организация
обучения сотрудников службы безопасности
в соответствии с их функциональными обязанностями;
- изучение,
анализ и оценка состояния обеспечения
экономической и информационной безопасности
предприятия и разработка предложений
и рекомендаций для их совершенствования;
- разработка
технико-экономических обоснований, направленных
на приобретение технических средств,
получение консультации у специалистов,
разработку необходимой документации
в целях совершенствования системы мер
по обеспечению экономической и информационной
безопасности.