Принципы построения системы информационной безопасности
Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается обществом, что так поступать не принято. В рамках обеспечения информационной безопасности следует рассмотреть на законодательном уровне две группы мер:
· меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы Украины.
В Конституции Украины содержится ряд правовых норм, определяющих основные права и свободы граждан в области информатизации, в том числе определяется право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; обеспечивается право на получение достоверной информации о состоянии окружающей среды и др.
В Уголовном кодексе имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства.
Для создания и поддержания необходимого уровня информационной безопасности в фирме разрабатывается система соответствующих правовых норм, представленная в следующих документах: Уставе и/или учредительном договоре; коллективном договоре; правилах внутреннего трудового распорядка; должностных обязанностях сотрудников; специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях); договорах со сторонними организациями; трудовых договорах с сотрудниками; иных индивидуальных актах.
Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования.
Методы и средства обеспечения безопасности экономического объекта представлены на рис. 12.2.
Рис. 12.2 - Методы и средства информационной безопасности экономического объекта
Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий [101].
Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий: организационно-административные; организационно-технические; организационно-экономические.
В табл. 12.1 изложены организационные мероприятия, обеспечивающие защиту документальной информации.
Таблица 12.1 - Обеспечение информационной безопасности организации
Составные части делопроизводства | Функции обеспечения ИБ при работе с документами | Способы выполнения |
Документирование | Предупреждение: – необоснованного изготовления документов; – включение в документы избыточной конфиденциальной информации; – необоснованного завышения степени конфиденциальности документов; – необоснованной рассылки | Определение перечня документов Осуществление контроля за содержанием документов и степени конфиденциальности содержания Определение реальной степени конфиденциальности сведений, включенных в документ Осуществление контроля за размножением и рассылкой документов |
Учет документов | Предупреждение утраты (хищения) документов | Контроль за местонахождением документа |
Организация документооборота | Предупреждение: – необоснованного ознакомления с документами; – неконтролируемой передачи документов | Установление разрешительной системы доступа исполнителей к документам Установление порядка приема-передачи документов между сотрудниками |
Хранение документов | Обеспечение сохранности документов Исключение из оборота документов, потерявших ценность | Выделение специально оборудованных помещений для хранения документов, исключающих доступ к ним посторонних лиц Установление порядка подготовки документов для уничтожения |
Уничтожение документов | Исключение доступа к бумажной «стружке» | Обеспечение необходимых условий уничтожения Осуществление контроля за правильностью и своевременностью уничтожения документов |
Контроль наличия, своевременности и правильности исполнения документов | Контроль наличия документов, выполнения требований обработки, учета, исполнения и сдачи | Установление порядка проведения наличия документов и порядка их обработки |
Комплекс организационно-технических мероприятий состоит:
1. в ограничении доступа посторонних лиц внутрь корпуса оборудования за счет установки различных запорных устройств и средств контроля;
2. в отключении от ЛВС, Internet тех СКТ, которые не связаны с работой с конфиденциальной информацией, либо в организации межсетевых экранов;
3. в организации передачи такой информации по каналам связи только с использованием специальных инженерно-технических средств;
4. в организации нейтрализации утечки информации по электромагнитным и акустическим каналам;
5. в организации защиты от наводок на электрические цепи узлов и блоков автоматизированных систем обработки информации;
6. в проведении иных организационно-технических мероприятий, направленных на обеспечение компьютерной безопасности.