Организационная защита информации

       Силы  и средства различных предприятий  отличаются по структуре, характеру  и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее небольших объемов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются органами защиты информации.

       Предприятия, работающие с незначительными объемами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области.

       Ведущую роль в организации защиты информации на предприятии играют руководитель предприятия, а также его заместитель, непосредственно возглавляющий эту работу.

       Руководитель  предприятия несет персональную ответственность за организацию  и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей информации. Он обязан:

• знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;
• определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;
• проявлять высокую требовательность к персоналу предприятия в вопросах сохранности конфиденциальной информации;
• оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.

       Заместитель руководителя предприятия обязан постоянно  изучать все стороны и направления  деятельности предприятия для принятия своевременных мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять  другие функции по организации защиты информации в ходе проведения предприятием всех видов работ.

       На  предприятиях для организации работ  по защите информации могут создаваться следующие основные виды структурных подразделений:

• режимно-секретные;
• подразделения по технической защите информации и противодействию иностранным техническим разведкам;
• подразделения криптографической защиты информации; мобилизационные;
• подразделения охраны и пропускного режима.

       Функции, возлагаемые на перечисленные подразделения, определяются решением (приказом) руководителя предприятия и отражаются в соответствующих  положениях.

       Организационные мероприятия играют существенную роль в создании надежного механизма  защиты информации, т.к. возможности  несанкционированного использования  конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а  злоумышленными действиями, нерадивостью, небрежностью и халатностью  пользователей или персонала  защиты. Влияния этих аспектов практически  невозможно избежать с помощью технических  средств. Для этого необходима совокупность организационно-правовых и организационно-технических  мероприятий, которые исключали  бы (или, по крайней мере, сводили  бы к минимуму) возможность возникновения  опасности конфиденциальной информации.

       К основным организационным мероприятиям можно отнести:

       организацию режима и охраны. Их цель - исключение возможности тайного проникновения  на территорию и в помещения посторонних лиц;

       обеспечение удобства контроля прохода и перемещения  сотрудников и посетителей;

       создание  отдельных производственных зон  по типу конфиденциальных работ с  самостоятельными системами доступа;

       контроль  и соблюдение временного режима труда  и пребывания на территории персонала  фирмы;

       организация и подержание надежного пропускного  режима и контроля сотрудников и  посетителей и др.;

       организацию работы с сотрудниками, которая предусматривает  подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение  правил защиты информации и др.;

       организацию работы с документами, включая организацию  разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

       организацию использования технических средств  сбора, обработки, накопления и хранения конфиденциальной информации;

       организацию работ по анализу внутренних и  внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

       организацию работы по проведению систематического контроля за работой персонала с  конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

       В каждом конкретном случае организационные  мероприятия носят специфические  для данной организации форму  и содержание, направленные на обеспечение  безопасности информации в конкретных условиях.

       Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей, которая определяет порядок и схему функционирования основных ее подсистем, использование  устройств и ресурсов, взаимоотношения  пользователей между собой в  соответствии с нормативно-правовыми  требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, т.к. несанкционированный  доступ и утечка информации чаще всего обусловлены злоумышленными действиями или небрежностью пользователей либо персонала. Эти факторы, практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют целью исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.

       Организационные средства защиты ПЭВМ и информационных сетей применяются:

• при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;
• при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;
• при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);
• при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);
• при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);
• при подготовке и контроле работы пользователей.

       Одним из важнейших организационных мероприятий  является создание специальных штатных  служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального  характера.

       Очевидно, что организационные мероприятия  должны четко планироваться, направляться и осуществляться какой-то организационной  структурой, каким-то специально созданным  для этих целей структурным подразделением, укомплектованным соответствующими специалистами  по безопасности производственной деятельности и защите информации. Зачастую таким  структурным подразделением является служба безопасности предприятия, на которую  возлагаются следующие общие  функции:

• организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
• обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;
• руководство работами по правовому и организационному регулированию отношений по защите информации;
• участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
• разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;
• при всех видах работ организация и контроль выполнения требований "Инструкции по защите конфиденциальной информации";
• изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентных организаций, о деятельности предприятия и его клиентов, партнеров, смежников;
• организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;
• разработка, ведение, обновление и пополнение "Перечня сведений конфиденциального характера" и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации;
• обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;
• осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации;
• организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности;
• ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;
• обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;
• поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе и оказания взаимной помощи в кризисных ситуациях.

       Служба  безопасности является самостоятельной  организационной единицей предприятия, подчиняющейся непосредственно  руководителю предприятия. Возглавляет  службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.

       Организационно  служба безопасности состоит из следующих  структурных единиц:

• подразделения режима и охраны;
• специального подразделения обработки документов конфиденциального характера;
• инженерно-технических подразделений;
• информационно-аналитических подразделений.

       В таком составе службы безопасности способна обеспечить защиту конфиденциальной информации от любых угроз. К задачам  службы безопасности предприятия относятся:

• определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера;
• определение участков сосредоточения конфиденциальных сведений;
• определение круга сторонних предприятий, связанных с данным предприятием   кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;
• выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям;
• выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации;
• разработка системы защиты документов, содержащих сведения конфиденциального характера;
• определение на предприятий участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанных с ним договорными обязательствами;
• определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;
• определение уязвимых мест в технологии производственного цикла, несанкционированное изменение, в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию;
• определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др., и организация их физической защиты и охраны;
• определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации;
• разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия;
• внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;
• организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;
• изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;
• разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.