Практика показывает, что построение комплексной системы информационной безопасности невозможно без последовательной реализации мер организационного и правового характера. Ведь возможности несанкционированного использования конфиденциальных сведений в значительной мере обуславливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала.
Система организационных мер по защите информации представляют собой комплекс мероприятий, включающих четыре основные компонента:
изучение обстановки на объекте; | |
разработку программы защиты; | |
деятельность по проведению указанной программы в жизнь; | |
контроль за ее действенностью и выполнением установленных правил. |
В числе основных подсистем защиты информации в правовом плане можно считать:
установление на объекте режима конфиденциальности; | |
разграничение доступа к информации; | |
правовое обеспечение процесса защиты информации; | |
четкое выделение конфиденциальной информации как основного объекта защиты. |
К числу рассматриваемых подсистем организационного плана по защите информации можно отнести следующие мероприятия:
ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.; | |
организация надежной охраны помещений и территории прохождения линии связи; | |
организация, хранения и использования документов и носителей конфиденциальной информации, включая порядок учета, выдачи, исполнения и возвращения; | |
создание штатных организационных структур по защите ценной информации или назначение ответственного за защиту информации на конкретных этапах её обработки и передачи; | |
создание особого порядка взаимоотношений со сторонними организациями и партнерами; | |
организация секретного делопроизводства. |
При формировании системы безопасности необходимо четко уяснить какие задачи перед ней стоят.
Такой компонент, как разграничение доступа к информации, задается одним из важных элементов системы комплексной защиты информации. В основе ее построения лежит положение о том, что каждый из членов трудового коллектива должен обладать только теми сведениями, которые необходимы ему в силу выполняемых обязанностей. В этом случае только руководитель имеет доступ ко всем материалам, независимо от их важности.
Качественная разработка и строгое соблюдение указанных правил - достаточно действенная мера, направленная на то, чтобы привести к минимуму риск утраты наиболее важной информации и определить объем похищенных сведений. Разработка правил предполагает найти ответ на вопросы:
кому и в каком случае может быть дано разрешение на допуск информации; | |
кто из руководителей имеет право давать разрешение на доступ и к каким сведениям. |
При детализации указанных правил предполагается выделение следующих основных позиций:
права, обязанности и ответственность сотрудников и руководителей по доступу и виды разрешений на доступ к конкретной информации, узлам её хранения, обработки и передачи по сети; | |
порядок доступа к сведениям, составляющим тайну представителей заказчика; | |
порядок доступа к этим сведениям представителей государственных структур; | |
рассылка носителей информации в другие точки и обмен ими между подразделениями организаций. |
Исходя из всего вышесказанного, мы приходим к выводу, что необходимо чёткое разграничение прав доступа различных; лиц; к информации на различных этапах её обработки и передачи.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в различных условиях. Практика показывает, что обеспечение информационной безопасности осуществимо лишь профессионала, владеющими соответствующими знаниями и навыками, и базируется на тщательно продуманной реальной программе действий по защите информации.