ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ
Организационные мероприятия по защите информации в информационных системах заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.
Организационные меры, по мнению специалистов, несмотря на постоянное совершенствование технических мер, составляют значительную часть (~50 %) системы обеспечения безопасности информации. Они используются тогда, когда компьютерная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эффективности защиты полезно иногда технические меры продублировать организационными.
Оргмеры по обеспечению информационной безопасности систем в процессе их функционирования и подготовки охватывают решения и процедуры, принимаемые руководством организации-потребителя системы. Хотя некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, большинство проблем решается внутри организации в конкретных условиях.
Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Конкретное распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной и жизнеспособной системы защиты.
Организационные меры по обеспечению безопасности информации в информационных системах должны охватывать этапы:
- • проектирования;
- • разработки;
- • изготовления;
- • испытаний;
- • подготовки к эксплуатации;
- • непосредственно эксплуатации системы.
В соответствии с требованиями технического задания в организации-проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по обеспечению безопасности информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по обеспечению безопасности информации, проводимые организацией-проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендаций есть определенная гарантия защиты информации в информационной системе.
К оргмероприятиям по обеспечению безопасности информации в процессе создания системы относятся:
- • введение на необходимых участках проведения работ с режимом секретности;
- • разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;
- • при необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;
- • разграничение задач по исполнителям и выпуску документации;
- • присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;
- • постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;
- • установление и распределение ответственных лиц за утечку информации;
- • другие меры, устанавливаемые главным конструктором при создании конкретной системы.
Организационные мероприятия, закладываемые в инструкцию по эксплуатации на систему и рекомендуемые организации-потребителю, должны быть предусмотрены на периоды подготовки и эксплуатации системы.
Указанные мероприятия как метод обеспечения безопасности информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации. Поскольку организационные меры являются неотъемлемой частью системы обеспечения безопасности информации в информационных системах с комплексами автоматизации обработки информации, дальнейшее их описание приведено ниже в соответствующих разделах.
Контрольные вопросы
- 1. Приведите основные методы обеспечения безопасности информации?
- 2. Опишите основные методы шифрования информации?
- 3. Проведите классификацию криптографических методов преобразования информации? Каким образом осуществляется выбор метода преобразования?
- 4. Опишите принципы лежащие в основе методов контроля достоверности?
- 5. Раскройте сущность принципа изоляции областей доступа к информации?
- 6. Опишите списковые и мандатные схемы защиты?
- 7. Приведите основные методы обеспечения безопасности информации при аварийных ситуациях?
- 8. Постройте структуру системы организационных мероприятий по обеспечению безопасности информации?