Общая характеристика организационного обеспечения защиты информации

При комплексном  системном анализе этих материалов появляется возможность формирования из разрозненных и в отдельности неконфиденциальных сведений достаточно полной картины, отражающей имеющиеся в фирме секреты. Этот процесс аналогичен принципу мозаики, когда из множества сегментов складывается определенная картинка. 

Любые информационные ресурсы фирмы являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утраты становится достаточно реальной. Безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. 

Выводы  поразделу 

Безопасность  информационных ресурсов (информации) - защищенность информации во времени и пространстве от любых объективных и субъективных угроз (опасностей), возникающих в обычных условиях функционирования фирмы и условиях экстремальных ситуаций: стихийных бедствий, других неуправляемых событий, пассивных и активных попыток злоумышленника создать потенциальную или реальную угрозу несанкционированного доступа к документам, делам, базам данных. 

Политика (концепция, программа) информационной безопасности фирмы практически реализуется  комплексом направлений и методов  защиты информации, обеспечивающим ее безопасность. 

Информационная  безопасность, безопасность информации и защита информации связаны единой целью, решаемыми задачами и последовательной реализацией их в условиях необходимости  обеспечения экономической безопасности предприятия. 

Информационные  ресурсы (информация) являются объектами  отношений физических и юридических  лиц между собой и с государством, составляют в совокупности информационные ресурсы России и охраняются законом  наряду с другими видами ресурсов.  

Документированная информация является комплексным понятием, основанным на ее двуединстве: с одной стороны, это информация (факты, данные, сведения), а с другой - материальный носитель. В процессе документирования информация (результат творческой работы человека) овеществляется, становится документом. Подобный подход к документированной информации представляется существенным при решении задач обеспечения безопасности информации и сохранности ее носителя. 

Документ может  быть не только и даже не столько  управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Значительно большие объемы наиболее ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические, документы на фотографических, магнитных и иных носителях. 

По принадлежности к тому или иному виду собственности  информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества  находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур. Защите, охране подлежит любая ценная документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. 

Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы. 

Документированная информация ограниченного доступа  всегда принадлежит к одному из видов  тайны - государственной или негосударственной. В соответствии с этим документы  делятся на секретные и несекретные. 

Обязательным  признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой или предпринимательской, банковской, профессиональной, производственной и др.) или содержащие персональные данные граждан, именуются конфиденциальными. 

Конфиденциальный (закрытый, защищаемый) документ- необходимым  образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица. 

Конфиденциальность  документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет). 

Угроза утраты информации - единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных  возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. 

Каждая конкретная фирма обладает своим набором  каналов несанкционированного доступа  к информации, что зависит от множества моментов - профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п. 

Утрата информации характеризуется двумя условиями, а именно информация переходит: а) непосредственно  к заинтересованному лицу - конкуренту, злоумышленнику или б) к случайному, третьему лицу. 

Выводы  по разделу 
 

Любая система  создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и  функционирование системы, называются системообразующими. 

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности. 

Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации. 

Реагирование  на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации. 

Периодический (ежедневный, еженедельный, ежемесячный) контроль должен проводиться также  сотрудниками организации в части  источников информации, с которыми они работают. 

Действие 4. Техническая защита персональных данных 

Технические меры защиты информации предполагают использование программно - аппаратных средств защиты информации. При обработке ПДн с использованием средств автоматизации применение технических мер защиты является обязательным условием, а их количество и степень защиты определяется в процессе предпроектного обследования информационных ресурсов предприятия.  

Технические средства защиты информации делятся на два  основных класса:

средства защиты информации от несанкционированного доступа (НСД) (системы разграничения доступа  к информации; антивирусная защита; межсетевые экраны; средства блокировки устройств ввода-вывода информации, криптографические стредства и т.п.);

средства защиты информации от утечки по техническим  каналам (использование экранированных кабелей; установка высокочастотных  фильтров на линии связи; установка активных систем зашумления и т.д.).  

В отличие от организационных мер, техническая  защита информации является сложным  и трудоемким делом, при выполнении которого требуется соблюдать определенные условия, а именно:

+ для выполнения работ по технической защите конфиденциальной информации (а персональные данные относятся к сведениям конфиденциального характера) требуются лицензии на выполнение такого вида деятельности;

+ требуется тщательное обследование информационных ресурсов предприятия в соответствии с методическими рекомендациями ФСТЭК (определение перечня ПДн, подлежащих защите; определение состава и структуры каждой информационной системы ПДн (ИСПДн); анализ уязвимых звеньев и возможных угроз безопасности ПДн; оценка ущерба от реализации угроз безопасности ПДн; анализ имеющихся в распоряжении мер и средств защиты ПДн);

+ на основании проведенного обследования осуществляется обоснование требований по обеспечению безопасности ПДн (разработка модели угроз и модели нарушителя безопасности ПДн; определение класса информационных систем ПДн; при необходимости обосновывается использование средств шифрования);

+ далее проводятся работы по проектированию, созданию и вводу в эксплуатацию системы защиты ПДн (разработка перечня мероприятий по защите ПДн в соответствии с выбранным классом ИСПДн; согласование документов с регуляторами; разработка технического задания на создание системы защиты ПДн; развертывание и ввод в эксплуатацию системы защиты ПДн);

+ аттестация (сертификация) информационных систем ПДн по требованиям безопасности информации (для ИСПДн 1-го и 2-го классов требуется аттестация соответствия требованиям информационной безопасности; сертификация средств защиты информации). Работы по аттестации (сертификации) выполняются при наличии соответствующих лицензий. 

Заключение 

В любом случае, независимо от размера и организационной  структуры предприятия, наличия  или отсутствия собственных специалистов по информационной безопасности, своими силами или с привлечением сторонних  организаций приступать к решению задачи по защите данных.  

Реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие. Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности: 

• появление  дополнительных ограничений для  конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации; 

• необходимость  дополнительных материальных затрат как  на проведение таких работ, так и  на расширение штата специалистов, занимающихся проблемой информационной безопасности.  

Экономия на информационной безопасности может  выражаться в различных формах, крайними из которых являются: 

• принятие только организационных мер обеспечения  безопасности информации в АС; 

• использование  только дополнительных технических  средств защиты информации (ТСЗИ). 

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и ,как правило, не выполняются. 

Во втором случае, приобретаются и устанавливаются  дополнительные ТСЗИ. Применение ТСЗИ без соответствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в АС применение любых ТСЗИ только усиливает существующий беспорядок. 

Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач: 

• создать специальное  подразделение, обеспечивающее разработку правил эксплуатации автоматизированной системы, определяющее полномочия пользователей  по доступу к ресурсам этой системы, осуществляющее административную поддержку ТСЗИ (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.); 

• разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств; 

• внедрить данную технологию путем разработки и утверждения  необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т.п.).