Организационные средства защиты

Организаци­онными средствами защиты названы организационно-технические и ор­ганизационно-правовые мероприятия, осуществляемые в процессе проек­тирования, создания и эксплуатации АСОД с целью защиты информа­ции. Организационные средства играют особую роль в общем механизме защиты, что обусловлено повышенным влиянием случайных факторов на защищенность информации, а важнейшей отличительной чертой рас­сматриваемых средств является их способность учитывать случайные факторы (неформальный характер).

Следующее важное обстоятельство, которое непременно должно учитываться при разработке организационных средств, заключается в особой, тройственной их роли в механизмах защиты информации: они, во-первых, позволяют непосредственно решать (самостоятельно или в комплексе с другими средствами) задачи защиты, во вторых, обеспечи­вают эффективное использование средств других классов, а, в третьих позволяют рациональным образом объединить все средства в единую, це­лостную систему защиты.

Основными методами формирования организаци­онных средств могут быть только неформально-эвристические методы в различных модификациях. Рассматриваемые ниже средства формирова­лись именно такими методами. Для этого была разработана приводимая ниже классификационная структура организационных средств, затем ме­тодами экспертных суждений формировались перечни средств каждой группы.

Отличительные особенности организационных средств обусловли­вают и особенности их использования, самой важной из которых является та, что защитные функции организационных средств могут быть реали­зованы лишь как результат целенаправленной деятельности людей, имеющих отношение к автоматизированной обработке защищаемой ин­формации. Отсюда вытекает ряд следствий, основными из которых следу­ет назвать следующие:

– люди, реализующие организационные средства, должны иметь стимулы, побуждающие их эффективно реализовывать все организационные средства,

– они должны быть подготовлены к реализа­ции этих средств,
они должны быть обеспечены всем необходимым для их реализации.

На основе анализа сущности и места организационных средств в общей структуре средств защиты информации нетрудно заключить, что для системной классификации рассматриваемых средств представительной будет сле­дующая совокупность критериев: этапы жизненного цикла системы за­щиты информации; функции организационных средств; сфера действия организационных средств.

В таблице 3 приведены общие данные, характеризующие структуру перечисленных критериев.

 

Таблица 3. Структура критериев системной классификации
организационных средств защиты информации

 

Наименование Общая характеристика критерия Значение критерия Характеристика значения критерия
1. Функции организационных средств Характеризует назначение организационных средств и их место в общей совокупности средств защиты. Непосредственная защита информации. Поддержка других средств. Объединение средств защиты в единую систему. Выделяет те организационные средства, применением которых (самостоятельно или в совокупности с другими) обеспечивается полное или частичное перекрытие одного или нескольких каналов несанкционированного получения информации. Выделяет те организационные средства, которые необходимы (целесообразны) для эффективного функционирования других средств. Выделяет те организационные средства, которые необходимы (целесообразны) для эффективного объединения всех используемых средств в единую систему защиты информации.
2. Этапы жизненного цикла системы защиты информации Характеризует тот интервал времени, в течение которого используются организационные средства. Проектирование. Внедрение. Эксплуатация. Выделяет те организационные средства, которые необходимы (целесообразны) на этапе проектирования СЗИ. Выделяет те организационные средства, которые необходимы (целесообразны) на этапе внедрения СЗИ. Выделяет те организационные средства, кото­рые необходимы (целесообразны) на этапе эксплуатации СЗИ.
3. Сфера действия средств Характеризует те субъекты, объекты или процессы, на ко­торые распространяется действие организационных средств. Общего назначе­ния: – направленные на структурные ком­поненты АСОД; – направленные на технологию авто­матизированной обработки инфор­мации; – направленные на людей. Выделяет те организационные средства, кото­рые носят всеобщий характер. Выделяет те организационные средства, кото­рые регламентируют построение или функ­ционирование технического, математического, программного, информационного или линг­вистического обеспечения АСОД. Выделяет те организационные средства, кото­рые регламентируют построение или функ­ционирование технологии автоматизирован­ной обработки защищаемой информации. Выделяет те организационные средства, кото­рые регламентируют деятельность людей, уча­ствующих в автоматизированной обработке информации.

 

 

Тогда классификационная структура организационных средств бу­дет выглядеть так, как показано на рисунке 5.

 

 

Рис. 5. Классификационная структура
организационных средств защиты информации

 

Полное множество элементов классификационной структуры органи­зацион­ных средств определяется декартовым произведением значений всех составляющих критериев системной классификации. Каждый элемент об­разованного таким образом множества представляет собой группу од­нородных организационных средств. Конкретный же перечень средств может быть самым различным. Целенаправленно проводимые организа­ционно-технические и организационно-право­вые мероприятия непременно должны сопровождать все процессы, каким-либо образом имеющие отношение к обработке защищаемой информации.

Ниже для иллюстрации приводится перечень некоторых организа­ционных мер защиты:

1) организация разработки, внедрения и использования средств и систем защиты;

2) управление доступом персонала на территорию, в здания и по­мещения объекта;

3) контроль состояния и использования технических средств, доку­ментов, машинных носителей информации и других компонентов АСОД;

4) контроль соблюдения правил защиты информации пользовате­лями и персоналом АСОД;

5) планирование и организация обработки защищаемой информа­ции;

6) подбор, расстановка и подготовка кадров, участвующих в обра­ботке защищаемой информации;

7) организация уничтожения бумажных документов, надобность в которых миновала;

8) организация ведения архивных массивов данных и документов;

9) ведение журналов регистрации сбоев и отказов средств и систем защиты;

10) организация учета и обработки сведений об обнаруженных удачных и неудачных попытках несанкционированных действий в АСОД;

11) организация и проведение профилактических осмотров и ре­монта средств и систем защиты информации;

12) анализ функционирования средств и систем защиты информа­ции;

13) разработка и внедрение в практику инструкций и других доку­ментов, регламентирующих правила обращения с защищаемой информа­цией.