Основные направления, принципы и условия организационной защиты информации

    Заместитель руководителя предприятия обязан постоянно изучать все стороны и направления деятельности предприятия для принятия своевременных мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять другие функции по организации защиты информации в ходе проведения предприятием всех видов работ. Более подробно обязанности руководителя предприятия и его заместителя, отвечающего за защиту информации, рассмотрены в других статьях.

    На  предприятиях для организации работ по защите информации могут создаваться следующие основные виды структурных подразделений:

    Режимно - секретные;

    подразделения по технической защите информации и  противодействию иностранным техническим  разведкам;

    подразделения криптографической защиты информации; мобилизационные;

    подразделения охраны и пропускного режима.

    Функции, возлагаемые на перечисленные подразделения, определяются решением (приказом) руководителя предприятия и отражаются в соответствующих  положениях.

    По  решению руководителя предприятия данные подразделения организационно могут объединяться в службу безопасности, руководитель которой в некоторых случаях может быть наделен статусом заместителя руководителя предприятия и полномочиями должностного лица, осуществляющего руководство работой структурных подразделений предприятия, деятельность которых связана с использованием и защитой информации.

    Режимно-секретное  подразделение, мобилизационное подразделение  и подразделение по технической  защите информации и противодействию  иностранным техническим разведкам создаются на предприятиях, выполняющих работы с использованием сведений, составляющих государственную тайну (вне зависимости от наличия на предприятии иной информации с ограниченным доступом).

    Режимно-секретное  подразделение является основным структурным подразделением предприятия и решает задачи организации, координации и контроля деятельности других структурных подразделений (персонала предприятия) по обеспечению защиты сведений, составляющих государственную тайну. На предприятиях, не выполняющих работы со сведениями, составляющими государственную тайну, для решения аналогичных задач в отношении других видов информации с ограниченным доступом создается и функционирует служба безопасности (служба защиты информации).

    Подразделение по технической защите информации и противодействию иностранным техническим разведкам решает задачи организации и проведения комплекса технических мероприятий, направленных на исключение или существенное затруднение добывания иностранными разведками с помощью технических средств сведений, отнесенных к конфиденциальной информации и подлежащих защите.

    Подразделение криптографической защиты информации создается в целях предотвращения утечки конфиденциальной информации при  ее передаче по открытым каналам (линиям) связи с помощью технических средств, а также при использовании локальных вычислительных сетей, имеющих выход за пределы территории предприятия.

    Подразделение охраны и пропускного режима создается  в целях предотвращения несанкционированного (бесконтрольного) пребывания на территории и объектах предприятия посторонних лиц и транспорта, нанесения ущерба предприятию путем краж (хищений) с территории предприятия материальных средств и иного имущества. В некоторых случаях для решения задач охраны и пропускного режима на предприятиях могут создаваться отдельные самостоятельные подразделения.

    Мобилизационное подразделение решает задачи всесторонней подготовки предприятия к работе в условиях военного времени, призыва  и поступления мобилизационных  людских и материальных ресурсов.

    Кроме перечисленных подразделений предприятия  к работе по организации защиты информации могут привлекаться и иные структурные  подразделения, для которых выполнение мероприятий по защите информации не является основной функцией.

    К таким подразделениям относятся кадровый орган, орган юридической службы (юрисконсульт), орган психологической и воспитательной работы, пресс-служба предприятия и др. Особо необходимо отметить важность участия в организации защиты информации производственных, так называемых «тематических» структурных подразделений (отдельных должностных лиц), которые создают продукцию и товары или оказывают услуги (например, производство стрейч пленки), и в связи с этим самым непосредственным образом взаимодействуют с другими предприятиями и органами государственной власти.

    Для проведения работ по организации  защиты информации используются также  возможности различных нештатных  подразделений предприятия, в том  числе коллегиальных органов (комиссий), создаваемых для решения специфических задач в этой области. В их числе — постоянно действующая техническая комиссия, экспертная комиссия, комиссия по рассекречиванию носителей конфиденциальной информации, комиссия по категорированию объектов информатизации и др. Функции, возлагаемые на данные комиссии, рассмотрены в других статьях. 

    Чтобы добиться максимальной эффективности  при решении задач защиты информации, наряду с возможностями упомянутых штатных и нештатных подразделений (должностных лиц) необходимо использовать имеющиеся на предприятии средства защиты информации.

    Под средствами защиты информации понимают технические, криптографические, программные  и другие средства и системы, разработанные  и предназначенные для защиты конфиденциальной информации, а также  средства, устройства и системы контроля эффективности защиты информации.

    Технические средства защиты информации — устройства (приборы), предназначенные для обеспечения  защиты информации, исключения ее утечки, создания помех (препятствий) техническим  средствам доступа к информации, подлежащей защите.

    Криптографические средства защиты информации — средства (устройства), обеспечивающие защиту конфиденциальной информации путем ее криптографического преобразования (шифрования).

    Программные средства защиты информации — системы  защиты средств автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения.

    Эффективное решение задач организации защиты информации невозможно без применения комплекса имеющихся в распоряжении руководителя предприятия соответствующих сил и средств. Вместе с тем определяющую роль в вопросах организации защиты информации, применения в этих целях сил и средств предприятия играют методы защиты информации, определяющие порядок, алгоритм и особенности использования данных сил и средств в конкретной ситуации.

    Методы  защиты информации — применяемые  в целях исключения утечки информации универсальные и специфические  способы использования имеющихся  сил и средств (приемы, меры, мероприятия), учитывающие специфику деятельности по защите информации.

    Общие методы защиты информации подразделяются на правовые, организационные, технические  и экономические.

    Методы  защиты информации с точки зрения их теоретической основы и практического  использования взаимосвязаны. Правовые методы регламентируют и всесторонне нормативно регулируют деятельность по защите информации, выделяя, прежде всего, ее организационные направления. Тесную связь организационных и правовых методов защиты информации можно показать на примере решения задач по исключению утечки конфиденциальной информации, в частности относящейся к коммерческой тайне предприятия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами. Эти органы в соответствии с предоставленными им законом полномочиями осуществляют деятельность по получению (истребованию), обработке и хранению информации о предприятиях и гражданах (являющихся их сотрудниками).

    Передача  информации, в установленном порядке  отнесенной к коммерческой тайне  или содержащей персональные данные работника предприятия, должна осуществляться на основе договора, предусматривающего взаимные обязательства сторон по нераспространению (неразглашению) этой информации, а также необходимые меры по ее защите.

    Организационные механизмы защиты информации определяют порядок и условия комплексного использования имеющихся сил и средств, эффективность которого зависит от применяемых методов технического и экономического характера.

    Технические методы защиты информации, используемые в комплексе с организационными методами, играют большую роль в обеспечении защиты информации при ее хранении, накоплении и обработке с использованием средств автоматизации. Технические методы необходимы для эффективного применения имеющихся в распоряжении предприятия средств защиты информации, основанных на новых информационных технологиях.

    Среди перечисленных методов защиты информации особо выделяются организационные  методы, направленные на решение следующих  задач:

    реализация  на предприятии эффективного механизма управления, обеспечивающего защиту конфиденциальной информации и недопущение ее утечки;

    осуществление принципа персональной ответственности  руководителей подразделений и  персонала предприятия за защиту конфиденциальной информации;

    определение перечней сведений, относимых на предприятии к различным категориям (видам) конфиденциальной информации;

    ограничение круга лиц, имеющих право доступа  к различным видам информации в зависимости от степени ее конфиденциальности;

    подбор  и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание персонала предприятия, допущенного к конфиденциальной информации;

    организация и ведение конфиденциального  делопроизводства;

    осуществление систематического контроля за соблюдением  установленных требований по защите информации.

    Приведенный перечень организационных методов  не является исчерпывающим и, в зависимости  от специфики деятельности предприятия, степени конфиденциальности используемой информации, объема выполняемых работ, а также опыта работы в области защиты информации, может быть дополнен иными методами.