Основные направления, принципы и условия организационной защиты информации

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

МАЙКОПСКИЙ  ГОСУДАРСТВЕННЫЙ ТЕХНОЛОГИЧЕСКИЙ  УНИВЕСИТЕТ

КАФЕДРА ТЕОРИИ И ОРГАНИЗАЦИИ ЗАЩИТЫ ИНФОРМАЦИИ 
 
 
 
 

ДОКЛАД 

         ПО ПРЕДМЕТУ: Организационная защита информации

    НА  ТЕМУ: Основные направления, принципы и условия организационной защиты информации

  
 
 
 

       ВЫПОЛНИЛ: 

ПРОВЕРИЛ: 
 
 
 
 
 
 
 
 

Майкоп 2010 
 
 
 

    Организационная защита информации является организационным  началом, так называемым «ядром»  в общей системе защиты конфиденциальной информации предприятия. От полноты  и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функционирования системы защиты информации в целом. Роль и место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных и верных управленческих решений с учетом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.

    Среди основных направлений защиты информации наряду с организационной выделяют правовую и инженерно-техническую  защиту информации.

    Однако  организационной защите информации среди этих направлений отводится  особое место.

    Организационная защита информации призвана посредством выбора конкретных сил и средств (включающие в себя правовые, инженерно-технические и инженерно-геологические) реализовать на практике спланированные руководством предприятия меры по защите информации. Эти меры принимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке.

    Роль  руководства предприятия в решении  задач по защите информации трудно переоценить. Основными направлениями деятельности, осуществляемой руководителем предприятия в этой области, являются: планирование мероприятий по защите информации и персональный контроль за их выполнением, принятие решений о непосредственном доступе к конфиденциальной информации своих сотрудников и представителей других организаций, распределение обязанностей и задач между должностными лицами и структурными подразделениями, аналитическая работа и т.д. Цель принимаемых руководством предприятия и должностными лицами организационных мер — исключение утечки информации и, таким образом, уменьшение или полное исключение возможности нанесения предприятию ущерба, к которому эта утечка может привести.

    Система мер по защите информации в широком  смысле слова должна строиться исходя из тех начальных условий и факторов, которые, в свою очередь, определяются состоянием устремленности разведок противника либо действиями конкурента на рынке товаров и услуг, направленными на овладение информацией, подлежащей защите.

    Это правило действует как на государственном уровне, так и на уровне конкретного предприятия.

    Используются  два примерно равнозначных определения  организационной зашиты информации.

    Организационная защита информации — составная часть  системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.

    Организационная защита информации на предприятии —  регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию.

    Первое  из приведенных определений в  большей степени показывает сущность организационной защиты информации. Второе — раскрывает ее структуру на уровне предприятия. Вместе с тем оба определения подчеркивают важность нормативно-правового регулирования вопросов защиты информации наряду с комплексным подходом к использованию в этих целях имеющихся сил и средств. Основные направления организационной защиты информации приведены ниже. 
 

    Организационная защита информации:

    - Организация работы с персоналом;

    - Организация внутриобъектового  и пропускного режимов и охраны;

    - Организация работы с носителями  сведений;

    - Комплексное планирование мероприятий по защите информации;

    - Организация аналитической работы  и контроля. 
 
 

    Основные  принципы организационной защиты информации:

    - принцип комплексного подхода  — эффективное использование  сил, средств, способов и методов  защиты информации для решения  поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;

    - принцип оперативности принятия  управленческих решений (существенно  влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);

    - принцип персональной ответственности  — наиболее эффективное распределение  задач по защите информации  между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения. 

    Среди основных условий организационной  защиты информации можно выделить следующие:

    - непрерывность всестороннего анализа  функционирования системы защиты  информации в целях принятия своевременных мер по повышению ее эффективности;

    - неукоснительное соблюдение руководством  и персоналом предприятия установленных  норм и правил защиты конфиденциальной  информации. 

    При соблюдении перечисленных условий  обеспечивается наиболее полное и качественное решение задач по защите конфиденциальной информации на предприятии.

    Основные  подходы и требования к организации  системы защиты информации

    Успешное  решение комплекса задач по защите информации не может быть достигнуто без создания единой основы, так называемого «активного кулака» предприятия, способного концентрировать все усилия и имеющиеся ресурсы для исключения утечки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию. Таким «кулаком» призвана стать система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражающая все направления и специфику деятельности данного предприятия.

    Под системой защиты информации понимают совокупность органов защиты информации (структурных подразделений или должностных лиц предприятия), используемых ими средств и методов защиты информации, а также мероприятий, планируемых и проводимых в этих целях.

    Для решения организационных задач  по созданию и обеспечению функционирования системы защиты информации используются несколько основных подходов, которые вырабатываются на основе существующей нормативно-правовой базы и с учетом методических разработок по тем или иным направлениям защиты конфиденциальной информации.

    Один  из основных подходов к созданию системы защиты информации заключается во всестороннем анализе состояния защищенности информационных ресурсов предприятия с учетом устремленности конкурирующих организаций к овладению конфиденциальной информацией и, тем самым, нанесению ущерба предприятию. Важным элементом анализа является работа по определению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа к ним различных категорий сотрудников (работников других предприятий).

    Работу по проведению такого анализа непосредственно возглавляет руководитель предприятия и его заместители по направлениям деятельности. Изучение защищенности информационных ресурсов основывается на положительном и отрицательном опыте работы предприятия, накопленном в течение последних нескольких лет, а также на деловых связях и контактах предприятия с организациями, осуществляющими аналогичные виды деятельности.

    При создании системы защиты информации, в первую очередь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого внимания. Предпочтение также отдается новым, перспективным направлениям деятельности предприятия, которые связаны с научными исследованиями, новейшими технологиями, формирующими интеллектуальную собственность, а также развивающимся международным связям. В соответствии с названными приоритетами формируется перечень возможных угроз информации, подлежащей защите, и определяются конкретные силы, средства, способы и методы ее защиты.

    К организации системы защиты информации с позиции системного подхода выдвигается ряд требований, определяющих ее целостность, стройность и эффективность. 
 
 

    Система защиты информации должна быть:

    - централизованной — обеспечивающей  эффективное управление системой  со стороны руководителя и должностных лиц, отвечающих за различные направления деятельности предприятия;

    - плановой — объединяющей усилия  различных должностных лиц и  структурных подразделений для  выполнения стоящих перед предприятием  задач в области защиты информации;

    - конкретной и целенаправленной  — рассчитанной на защиту абсолютно  конкретных информационных ресурсов, представляющих интерес для конкурирующих  организаций;

    - активной — обеспечивающей защиту  информации с достаточной степенью  настойчивости и возможностью  концентрации усилий на наиболее важных направлениях деятельности предприятия;

    - надежной и универсальной —  охватывающей всю деятельность  предприятия, связанную с созданием  и обменом информацией. 

    Основные  методы, силы и средства, используемые для организации защиты информации

    Один  из важнейших факторов, влияющих на эффективность системы защиты конфиденциальной информации, — совокупность сил  и средств предприятия, используемых для организации защиты информации.

    Силы  и средства различных предприятий  отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее небольших объемов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации.

    Ведущую роль в организации защиты информации на предприятии играют руководитель предприятия, а также его заместитель, непосредственно возглавляющий  эту работу.

    Руководитель  предприятия несет персональную ответственность за организацию и проведение необходимых мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей информации. Он обязан:

    - знать фактическое состояние  дел в области защиты информации, организовывать постоянную работу  по выявлению и закрытию возможных  каналов утечки конфиденциальной  информации;

    - определять обязанности и задачи  должностным лицам и структурным  подразделениям предприятия в этой области;

    - проявлять высокую требовательность  к персоналу предприятия в  вопросах сохранности конфиденциальной  информации;

    - оценивать деятельность должностных  лиц и эффективность мероприятий  по защите информации.