ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ

Организационные мероприятия по защите информации в информационных системах заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.

Организационные меры, по мнению специалистов, несмотря на постоянное совершенствование технических мер, составляют значительную часть (~50 %) системы обеспечения безопасности информации. Они используются тогда, когда компьютерная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эффективности защиты полезно иногда технические меры продублировать организационными.

Оргмеры по обеспечению информационной безопасности систем в процессе их функционирования и подготовки охватывают решения и процедуры, принимаемые руководством организации-потребителя системы. Хотя некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, большинство проблем решается внутри организации в конкретных условиях.

Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Конкретное распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной и жизнеспособной системы защиты.

Организационные меры по обеспечению безопасности информации в информационных системах должны охватывать этапы:

  • • проектирования;
  • • разработки;
  • • изготовления;
  • • испытаний;
  • • подготовки к эксплуатации;
  • • непосредственно эксплуатации системы.

В соответствии с требованиями технического задания в организации-проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по обеспечению безопасности информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по обеспечению безопасности информации, проводимые организацией-проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендаций есть определенная гарантия защиты информации в информационной системе.

К оргмероприятиям по обеспечению безопасности информации в процессе создания системы относятся:

  • • введение на необходимых участках проведения работ с режимом секретности;
  • • разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;
  • • при необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;
  • • разграничение задач по исполнителям и выпуску документации;
  • • присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;
  • • постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;
  • • установление и распределение ответственных лиц за утечку информации;
  • • другие меры, устанавливаемые главным конструктором при создании конкретной системы.

Организационные мероприятия, закладываемые в инструкцию по эксплуатации на систему и рекомендуемые организации-потребителю, должны быть предусмотрены на периоды подготовки и эксплуатации системы.

Указанные мероприятия как метод обеспечения безопасности информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации. Поскольку организационные меры являются неотъемлемой частью системы обеспечения безопасности информации в информационных системах с комплексами автоматизации обработки информации, дальнейшее их описание приведено ниже в соответствующих разделах.

Контрольные вопросы

  • 1. Приведите основные методы обеспечения безопасности информации?
  • 2. Опишите основные методы шифрования информации?
  • 3. Проведите классификацию криптографических методов преобразования информации? Каким образом осуществляется выбор метода преобразования?
  • 4. Опишите принципы лежащие в основе методов контроля достоверности?
  • 5. Раскройте сущность принципа изоляции областей доступа к информации?
  • 6. Опишите списковые и мандатные схемы защиты?
  • 7. Приведите основные методы обеспечения безопасности информации при аварийных ситуациях?
  • 8. Постройте структуру системы организационных мероприятий по обеспечению безопасности информации?
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >