Понятие и основные организационные мероприятия по обеспечению информационной безопасности.

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Организационное мероприятие по защите информации - мероприятие по защите информации, предусматривающее использование маскирующих свойств окружающей среды и установление временных, территориальных и пространственных ограничений на условия использования и режимы работ объекта.

Организационные мероприятия по обеспечению ИБ – меры, регламентирующие процесс функционирования АС, исполнения её ресурсов, деятельность персонала, порядок взаимодействия пользователей системы:

1) Мероприятия, осуществляемые при проектировании и оборудовании ВЦ и др. объектов системы.

2) Мероприятия по разработке правил доступа пользователей к ресурсам системы.

3) Мероприятия, осуществляемые при подборе и подготовке персонала системы.

4) Организация охраны и пропускной режим.

5) Организация учёта и хранения, использования и уничтожения документов и носителей информации.

6) Распространение реквизитов разграничения доступа.

7) Организация явного и скрытого контроля над работой пользователя.

Приведем перечень основных организационных мероприятия по ЗИ:

• разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности;

• внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов ИС и действиям в случае возникновения кризисных ситуаций;

• оформление юридических документов (договора, приказы и распоряжения руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением электронной подписи;

• создание научно-технических и методологических основ защиты ИС;

• проверка и сертификация используемых в ИС технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок;

• определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

• разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием ИС, а также используемых при их решении режимов обработки и доступа к данным;

• определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в ИС;

• выявление наиболее вероятных угроз для данной ИС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней;

• оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;

• организация надежного пропускного режима;

• определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

• организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

• организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации;

• определение перечня необходимых мер по обеспечению непрерывной работы ИС в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т.п.

• контроль функционирования и управление используемыми средствами защиты;

• явный и скрытый контроль за работой персонала системы;

• контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования ИС;

• периодический анализ состояния и оценка эффективности мер защиты информации;

• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

• анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

• составление правил разграничения доступа пользователей к информации;

• периодическое с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

• проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.