Организация режима защиты конфиденциальной информации

 

• Неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации. 
  

 

При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение  задач по защите конфиденциальной информации на предприятии.

 

 

 

 

4.3Основные подходы и требования к организации системы защиты информации

 

Один  из основных подходов к созданию системы  защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия  с учетом устремленности конкурирующих  организаций к овладению конфиденциальной информацией и, тем самым, нанесению  ущерба предприятию. Важным элементом  анализа является работа по определению  перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа  к ним различных категорий  сотрудников (работников других предприятий).

 

Работу  по проведению такого анализа непосредственно  возглавляет руководитель предприятия  и его заместители по направлениям деятельности. Изучение защищенности информационных ресурсов основывается на положительном и отрицательном  опыте работы предприятия, накопленном  в течение последних нескольких лет, а также на деловых связях и контактах предприятия с  организациями, осуществляющими аналогичные  виды деятельности.

 

При создании системы защиты информации, в первую очередь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого  внимания. Предпочтение также отдается новым, перспективным направлениям деятельности предприятия, которые  связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а  также развивающимся международным  связям. В соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные силы, средства, способы и методы ее защиты

 

Система защиты информации должна быть:

 

• Централизованной — обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц, отвечающих за различные направления деятельности предприятия;

 

• Плановой — объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед предприятием задач в области защиты информации; 
  
• Конкретной и целенаправленной — рассчитанной на защиту абсолютно конкретных информационных ресурсов, представляющих интерес для конкурирующих организаций; 
  
• Активной — обеспечивающей защиту информации с достаточной степенью настойчивости и возможностью концентрации усилий на наиболее важных направлениях деятельности предприятия;
• Надежной и универсальной — охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией.

 

4.4Методы, силы и средства, используемые для организации защиты информации

 

Один из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации является совокупность сил и средств

предприятия, используемых для организации защиты информации.

 

Силы и  средства различных предприятий  отличаются по структуре, характеру  и порядку использования. Предприятия, работающие с конфиденциальной информацией  и решающие задачи по ее защите в  рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные  структурные подразделения и  использовать высокоэффективные средства защиты информации. Если предприятия  лишь эпизодически работают с конфиденциальной информацией в силу ее небольших  объемов, вместо создания подразделений  они могут включать в свои штаты  отдельные должности специалистов по защите информации. Данные подразделения  и должности являются органами защиты информации.

 

Предприятия, работающие с незначительными объемами конфиденциальной информации, могут  на договорной основе использовать потенциал  более крупных предприятий, имеющих  необходимое количество квалифицированных  сотрудников, высокоэффективные средства защиты информации, а также большой  опыт практической работы в данной области.

 

Руководитель  предприятия несет персональную ответственность за организацию  и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей информации. Он обязан:

 

1. Знать фактическое состояние дел в области защиты информации, организовывать постоянную работу по выявлению и закрытию возможных каналов утечки конфиденциальной информации;
2. Определять обязанности и задачи должностным лицам и структурным подразделениям предприятия в этой области;
3. Проявлять высокую требовательность к персоналу предприятия в вопросах сохранности конфиденциальной информации;
4. Оценивать деятельность должностных лиц и эффективность мероприятий по защите информации.

 

 

На  предприятиях для организации работ  по защите информации могут создаваться  следующие основные виды структурных подразделений: 

 

1. Режимно - секретные;

 

2. Подразделения по технической защите информации и противодействию иностранным техническим разведкам;
3. Подразделения криптографической защиты информации; мобилизационные;
4. Подразделения охраны и пропускного режима.

 

Для проведения работ по организации защиты информации используются также возможности  различных нештатных подразделений  предприятия, в том числе коллегиальных  органов (комиссий), создаваемых для  решения специфических задач  в этой области. В их числе —  постоянно действующая техническая  комиссия, экспертная комиссия, комиссия по рассекречиванию носителей конфиденциальной информации, комиссия по категорированию  объектов информатизации и др. функции.

 

Чтобы добиться максимальной эффективности при  решении задач защиты информации, наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц) необходимо использовать имеющиеся на предприятии средства защиты информации. 
Под средствами защиты информации понимают технические, криптографические, программные и другие средства и системы, разработанные и предназначенные для защиты конфиденциальной информации, а также средства, устройства и системы контроля эффективности защиты информации.

 

Технические средства защиты информации — устройства (приборы), предназначенные для обеспечения защиты информации, исключения ее утечки, создания помех (препятствий) техническим средствам доступа к информации, подлежащей защите. 
 
Криптографические средства защиты информации — средства (устройства), обеспечивающие защиту конфиденциальной информации путем ее криптографического преобразования (шифрования). 
 
Программные средства защиты информации — системы защиты средств автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения. 
 
Эффективное решение задач организации защиты информации невозможно без применения комплекса имеющихся в распоряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприятия играют методы защиты информации, определяющие порядок, алгоритм и особенности использования данных сил и средств в конкретной ситуации. 
 
Методы защиты информации — применяемые в целях исключения утечки информации универсальные и специфические способы использования имеющихся сил и средств (приемы, меры, мероприятия), учитывающие специфику деятельности по защите информации. 
 
Общие методы защиты информации подразделяются на:

 

1. Правовые
2. Организационные
3. Технические
4. Экономические.

 

Среди перечисленных  методов защиты информации особо  выделяются организационные методы, направленные на решение следующих  задач:

 

1. Реализация на предприятии эффективного механизма управления, обеспечивающего защиту конфиденциальной информации и недопущение ее утечки;
2. Осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту конфиденциальной информации;
3. Определение перечней сведений, относимых на предприятии к различным категориям (видам) конфиденциальной информации;
4. Ограничение круга лиц, имеющих право доступа к различным видам информации в зависимости от степени ее конфиденциальности;
5. Подбор и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание персонала предприятия, допущенного к конфиденциальной информации;
6. Организация и ведение конфиденциального делопроизводства; 
   осуществление систематического контроля за соблюдением установленных требований по защите информации.

 

Методы  защиты информации с точки зрения их теоретической основы и практического  использования взаимосвязаны. Правовые методы регламентируют и всесторонне  нормативно регулируют деятельность по защите информации, выделяя, прежде всего, ее организационные направления. Тесную связь организационных и правовых методов защиты информации можно  показать на примере решения задач  по исключению утечки конфиденциальной информации, в частности относящейся к коммерческой тайне предприятия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами. Эти органы в соответствии с предоставленными им законом полномочиями осуществляют деятельность по получению, обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками).

 

Приведенный перечень организационных методов  не является исчерпывающим и, в зависимости  от специфики деятельности предприятия, степени конфиденциальности используемой информации, объема выполняемых работ, а также опыта работы в области  защиты информации, может быть дополнен иными методами.

 

5.Планирование мероприятий по организационной защите информации.

 

Одно  из наиболее важных направлений деятельности предприятия, осуществляющего работу со сведениями конфиденциального характера, — планирование мероприятий по защите конфиденциальной информации. Планирование указанных мероприятий занимает особое место в системе управления деятельностью как предприятия  в целом, так и его структурных  подразделений (отдельных должностных  лиц).

 

5.1Основные цели планирования

 

Основными целями планирования мероприятий по защите информации являются:

1. Организация проведения комплекса мероприятий по защите конфиденциальной информации, направленных на исключение возможных каналов утечки этой информации;
2. Установление персональной ответственности всех должностных лиц предприятия за решение вопросов защиты информации в ходе производственной и иной деятельности предприятия;
3. Определение сроков (времени, периода) проведения конкретных мероприятий по защите информации;
4. Систематизация (объединение) всех проводимых на плановой основе мероприятий по различным направлениям защиты конфиденциальной информации;
5. Установление системы контроля за обеспечением защиты информации на предприятии, а также системы отчетности о выполнении конкретных мероприятий;
6. Уточнение (конкретизация) функций и задач, решаемых отдельными должностными лицами и структурными подразделениями предприятия.

 

Планирование  мероприятий по защите конфиденциальной информации проводится одновременно с  планированием основной производственной и иной деятельности предприятия. Планирование может осуществляться на календарный  год, календарный месяц, неделю, а  также на иной определенный срок, обусловленный  проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами  конфиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают тактические задачи.

Планы мероприятий  по защите информации относятся к  документам с ограниченным доступом, учитываются и хранятся в службе безопасности (режимно-секретном подразделении) предприятия в порядке, установленном для документов соответствующей степени конфиденциальности (секретности).

 

Разработка  планирующих документов по защите информации на предприятии осуществляется службой  безопасности (режимно-секретным подразделением) в тесном взаимодействии с подразделениями (отдельными должностными лицами), в ведении которых находятся задачи, непосредственно касающиеся вопросов защиты информации (подразделение противодействия иностранным техническим разведкам, служба охраны, кадровый орган и др.). Кроме того, при подготовке планов учитываются предложения структурных подразделений предприятия, занимающихся производственной (финансово-хозяйственной) деятельностью или ее обеспечением. От полноты и качества разработки организационно-планирующих документов в полной мере зависит эффективность проведения мероприятий, направленных на исключение утечки конфиденциальной информации, утрат ее носителей, а также возникновения предпосылок подобных происшествий.