page1

Формирование системы информационной безопасности фирмы

  Практика показывает, что построение комплексной системы информационной безопасности невозможно без последовательной реализации мер организационного и правового характера. Ведь возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала.

  Система организационных мер по защите информации представляют собой комплекс мероприятий, включающих четыре основные компонента:

изучение обстановки на объекте;
разработку программы защиты;
деятельность по проведению указанной программы в жизнь;
контроль за ее действенностью и выполнением установленных правил.

В числе основных подсистем защиты информации в правовом плане можно считать:
установление на объекте режима конфиденциальности;
разграничение доступа к информации;
правовое обеспечение процесса защиты информации;
четкое выделение конфиденциальной информации как основного объекта защиты.

  К числу рассматриваемых подсистем организационного плана по защите информации можно отнести следующие мероприятия:
ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
организация надежной охраны помещений и территории прохождения линии связи;
организация, хранения и использования документов и носителей конфиденциальной информации, включая порядок учета, выдачи, исполнения и возвращения;
создание штатных организационных структур по защите ценной информации или назначение ответственного за защиту информации на конкретных этапах её обработки и передачи;
создание особого порядка взаимоотношений со сторонними организациями и партнерами;
организация секретного делопроизводства.

При формировании системы безопасности необходимо четко уяснить какие задачи перед ней стоят.

  Такой компонент, как разграничение доступа к информации, задается одним из важных элементов системы комплексной защиты информации. В основе ее построения лежит положение о том, что каждый из членов трудового коллектива должен обла­дать только теми сведениями, которые необходимы ему в силу выполняемых обязанностей. В этом случае только руководитель имеет доступ ко всем материалам, независимо от их важности. 

  Качественная разработка и строгое соблюдение указанных правил - достаточно действенная мера, направленная на то, чтобы привести к минимуму риск утраты наиболее важной информации и определить объем похищенных сведений. Разработка правил предполагает найти ответ на вопросы:
кому и в каком случае может быть дано разрешение на допуск информации;
 кто из руководителей имеет право давать разре­шение на доступ и к каким сведениям.

При детализации указанных правил предполагается выделение следующих основных позиций:

права, обязанности и ответственность сотрудников и руководителей по доступу и виды разрешений на доступ к конкретной информации, узлам её хранения, обработки и передачи по сети;
порядок доступа к сведениям, составляющим тайну представителей заказчика;
порядок доступа к этим сведениям представителей государственных структур;
рассылка носителей информации в другие точки и обмен ими между подразделениями организаций.

  Исходя из всего вышесказанного, мы приходим к выводу,  что необходимо чёткое разграничение прав доступа различных; лиц; к информации на различных этапах её обработки и передачи.

  В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в различных условиях. Практика показывает, что обеспечение информационной безопасности осуществимо лишь профессионала, владеющими соответствующими знаниями и навыками, и базируется на тщательно продуманной реальной программе действий по защите информации.