Состав средств защиты для типовых систем
Организационные мероприятия по защите информации в информационных системах заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.
Организационные меры, по мнению зарубежных специалистов, несмотря на постоянное совершенствование технических мер, составляют значительную часть (50%) системы защиты. Они используются тогда, когда вычислительная система не может непосредственно контролировать использование информации. Кроме того, в некоторых ответственных случаях в целях повышения эффективности защиты полезно иногда технические меры продублировать организационными.
Организационные меры по защите систем в процессе их функционирования и подготовки охватывают решения и процедуры, принимаемые руководством организации – потребителя системы. Хотя некоторые из них могут определяться внешними факторами, например законами или правительственными постановлениями, большинство проблем решается внутри организации в конкретных условиях.
В большинстве исследований, посвященных проблемам защиты информации, и в существующих зарубежных публикациях основное внимание уделялось либо правовому аспекту и связанным с ним социальным и законодательным проблемам, либо техническим приемам решения специфических проблем защиты. По сравнению с ними организационным вопросам недоставало той четкой постановки, которая присуща техническим проблемам, и той эмоциональной окраски, которая свойственна правовым вопросам.
Составной частью любого плана мероприятий должно быть четкое указание целей, распределение ответственности и перечень организационных мер защиты. Конкретное распределение ответственности и функций по реализации защиты от организации к организации может изменяться, но тщательное планирование и точное распределение ответственности являются необходимыми условиями создания эффективной жизнеспособной системы защиты.
Организационные меры по защите информации в информационных системах должны охватывать этапы проектирования, разработки, изготовления, испытаний, подготовки к эксплуатации и эксплуатации системы.
В соответствии с требованиями технического задания в организации проектировщике наряду с техническими средствами разрабатываются и внедряются организационные мероприятия по защите информации на этапе создания системы. Под этапом создания понимаются проектирование, разработка, изготовление и испытание системы. При этом следует отличать мероприятия по защите информации, проводимые организацией-проектировщиком, разработчиком и изготовителем в процессе создания системы и рассчитанные на защиту от утечки информации в данной организации, и мероприятия, закладываемые в проект и разрабатываемую документацию на систему, которые касаются принципов организации защиты в самой системе и из которых вытекают организационные мероприятия, рекомендуемые в эксплуатационной документации организацией-разработчиком, на период ввода и эксплуатации системы. Выполнение этих рекомендаций есть определенная гарантия защиты информации в информационных системах.
К организационным мероприятиям по защите информации в процессе создания системы относятся:
• организация разработки, внедрения и использования средств;
• управление доступом персонала на территорию, в здания и помещения;
• введение на необходимых участках проведения работ с режимом секретности;
• разработка должностных инструкций по обеспечению режима секретности в соответствии с действующими в стране инструкциями и положениями;
• при необходимости выделение отдельных помещений с охранной сигнализацией и пропускной системой;
• разграничение задач по исполнителям и выпуску документации;
• присвоение грифа секретности материалам, документации, аппаратуре и хранение их под охраной в отдельных помещениях с учетом и контролем доступа исполнителей;
• постоянный контроль за соблюдением исполнителями режима и соответствующих инструкций;
• установление и распределение ответственных лиц за утечку информации.
Организационные мероприятия, закладываемые в инструкцию по эксплуатации на систему и рекомендуемые организации-потребителю, должны быть предусмотрены на периоды подготовки и эксплуатации системы.
Указанные мероприятия как метод защиты информации предполагают систему организационных мер, дополняющих и объединяющих перечисленные выше технические меры в единую систему безопасности информации.
Организационные принципы защиты информации
Организационные принципы претерпели за последние годы значительно меньше изменений, по сравнению с правовыми. Это объясняется тем, что они отражают общие по своей сути правила, подходы к защите секретов. Они используются и «работают» при любой общественно-политической и экономической системе и при защите любого вида охраняемой информации: государственной или коммерческой тайны.