Особливості організаційного захисту комп'ютерних інформаційних систем та мереж

Організація захисту комп'ютерних інформаційних систем та мереж визначає порядок і схему функціонування основних їхніх підсистем, використання пристроїв та ресурсів, взаємовідносини користувачів між собою відповідно з нормативно-правовими вимогами та правилами. Захист інформації на основі організаційних заходів відіграє значну роль у забезпеченні надійності та ефективності, оскільки несанкціонований доступ та витік інформації найчастіше зумовлені зловмисними діями, недбалістю користувачів або персоналу. Ці фактори практично неможливо виключити або локалізувати за допомогою апаратних і програмних засобів, криптографії та фізичних засобів захисту, тому сукупність організаційних, організаційно-правових та організаційно-технічних заходів, які застосовуються разом із технічними методами, мають за мету виключити, зменшити або повністю усунути збитки при дії різноманітних деструктивних факторів.

Організаційні засоби захисту комп'ютерних інформаційних систем та мереж найчастіше застосовуються у наступних випадках:

■ при проектуванні, будівництві та обладнанні приміщень, вузлів мереж та інших об'єктів інформаційної системи для виключення впливу стихійного лиха, можливості недозволеного проникнення у приміщення і т. ін.;

■ при підборі та підготовці персоналу — в цьому випадку передбачається перевірка осіб, які приймаються на роботу, створення умов, при яких персонал був би зацікавлений у збереженні інформації, навчання правилам роботи із закритою інформацією, ознайомлення з мірою відповідальності за порушення правил захисту і т. ін.;

■ при зберіганні та використанні документів та інших носіїв (маркування, реєстрація, визначення правил видачі та повернення, ведення документації і т. ін.);

■ при дотриманні надійного пропускного режиму до технічних засобів комп'ютерних мереж та систем при роботі змінами (призначення відповідальних за захист інформації у змінах, контроль за роботою персоналу, ведення автоматизованих журналів роботи, знищення встановленим порядком закритих виробничих документів);

■ при внесенні змін у програмне забезпечення (суворе санкціонування, розгляд та затвердження проектів змін, перевірка їх на задоволення вимог захисту, документальне оформлення змін і т. ін.);

■ при підготовці та контролі роботи користувачів.

 

Служба, захисту інформації

Одним із найважливіших організаційних заходів є створення спеціальних штатних служб захисту інформації у закритих інформаційних системах у вигляді адміністратора безпеки мережі та адміністратора безпеки розподілених баз та банків даних, які містять відомості конфіденційного характеру.

Цілком очевидно, що організаційні заходи повинні чітко плануватися, спрямовуватися та здійснюватися певною організаційною структурою, певним спеціально створеним для цих цілей структурним підрозділом, укомплектованим відповідними фахівцями з безпеки діяльності та захисту інформації.

Найчастіше таким структурним підрозділом є служба безпеки підприємства (фірми, організації), на яку покладаються наступні функції:

■ організація та забезпечення охорони персоналу, матеріальних та фінансових цінностей та захисту конфіденційної інформації;

■ забезпечення пропускного та внутрішньооб'єктового режиму на території, в будівлях та приміщеннях, контроль дотримання вимог режиму співробітниками, суміжниками, партнерами та відвідувачами;

■ керівництво роботами з правового та організаційного регулювання відносин із захисту інформації;

■ участь у розробці основоположних документів з метою закріплення в них вимог забезпечення безпеки та захисту інформації, а також положень про підрозділи, трудові договори, угоди, підряди, посадові інструкції та обов'язки керівництва, спеціалістів, робітників та службовців;

■ розробка та здійснення разом з іншими підрозділами заходів із забезпечення роботи з документами, що містять конфіденційні відомості; при всіх видах робіт організація та контроль виконання вимог "Інструкції із захисту конфіденційної інформації";

■ вивчення усіх сторін виробничої, комерційної, фінансової та іншої діяльності для виявлення та наступної протидії будь-яким спробам нанесення збитків, ведення обліку та аналіз порушень режиму безпеки, накопичення та аналіз даних про зловмисні прагнення конкурентної та інших організацій, про діяльність підприємства та його клієнтів, партнерів, суміжників;

■ розробка, ведення, оновлення та поповнення "Переліку відомостей, що носять конфіденційний характер" та інших нормативних актів, які регламентують порядок забезпечення та захисту інформації;

■ забезпечення суворого виконання вимог нормативних актів із забезпечення виробничих секретів підприємства;

■ здійснення керівництва службами та підрозділами безпеки підвідомчих підприємств, організацій, закладів та іншими структурами в частині обмовлених у договорах умовах із захисту інформації;

■ організація та регулярне проведення обліку співробітників підприємства та служби безпеки з усіх напрямів захисту інформації та забезпечення безпеки виробничої діяльності;

■ ведення обліку та суворого контролю виділених для конфіденційної роботи приміщень, технічних засобів у них, що мають потенційні канали витоку інформації та канали проникнення до джерел інформації, які знаходяться під охороною;

■ забезпечення проведення всіх необхідних заходів із припинення спроб нанесення моральних та матеріальних збитків з боку внутрішніх та зовнішніх загроз;

■ підтримка контактів із правоохоронними органами та службами безпеки сусідніх підприємств для вивчення криміногенної обстановки в районі (зоні) та надання взаємної допомоги в кризових ситуаціях.

Служба безпеки є самостійною організаційною одиницею підприємства, що підпорядковується безпосередньо керівникові підприємства. Очолює службу безпеки начальник служби безпеки у посаді заступника керівника підприємства з безпеки.

Організаційно служба безпеки може складатися з наступних структурних одиниць:

■ підрозділу режиму та охорони;

■ спеціального підрозділу з обробки документів конфіденційного характеру;

■ інженерно-технічних підрозділів;

■ інформаційно-аналітичних підрозділів.

У такому складі служба безпеки здатна забезпечити захист конфіденційної інформації від будь-яких загроз.

На служби безпеки покладаються наступні завдання:

■ визначення кола осіб, які відповідно до положення, яке вони займають на підприємстві, прямо чи непрямо мають доступ до відомостей конфіденційного характеру;

■ визначення ділянок зосередження конфіденційних відомостей;

■ визначення кола сторонніх підприємств, зв'язаних із даним підприємством кооперативними зв'язками, на яких у силу виробничих відносин можливий вихід з-під контролю відомостей конфіденційного характеру;

■ виявлення кола осіб, не допущених до конфіденційної інформації, але які проявляють підвищений інтерес до таких відомостей;

■ виявлення кола підприємств, у тому числі іноземних, що зацікавлені у доступі до відомостей, які охороняються, з метою нанесення економічних збитків даному підприємству, усунення економічного конкурента або його компрометації;

■ розробка системи захисту документів, що містять відомості економічного характеру;

■ визначення на підприємстві ділянок, уразливих в аварійному відношенні, вихід із ладу яких може нанести матеріальні збитки підприємству та зірвати поставки готової продукції або комплектуючих підприємствам, зв'язаних із ним кооперацією;

■ визначення на підприємстві технологічного обладнання, вихід (або виведення) якого з ладу може призвести до великих економічних утрат;

■ визначення уразливих місць у технології виробничого циклу, несанкціонована зміна в якій може призвести до втрати якості продукції та нанести матеріальні або моральні збитки підприємству (втрата конкурентноздатності);

■ визначення на підприємстві місць, несанкціоноване відвідування яких може призвести до вилучення (викрадення) готової продукції або напівфабрикатів, заготівок і т. ін. та організація їхнього фізичного захисту;

■ визначення та обґрунтування заходів правового, організаційного та інженерно-фізичного захисту підприємства, персоналу, продукції та інформації;

■ розробка необхідних заходів, спрямованих на вдосконалення системи економічної, соціальної та інформаційної безпеки;

■ упровадження в діяльність підприємства новітніх досягнень науки та техніки, передового досвіду у галузі забезпечення економічної та інформаційної безпеки;

■ організація навчання співробітників служби безпеки відповідно до їх функціональних обов'язків;

■ вивчення, аналіз та оцінка стану забезпечення економічної та інформаційної безпеки підприємства та розробка пропозицій та рекомендацій для його удосконалення;

■ розробка техніко-економічних обґрунтувань, спрямованих на придбання технічних засобів, одержання консультації у спеціалістів, розробку необхідної документації з метою удосконалення системи заходів із забезпечення економічної та інформаційної безпеки.

Організаційні заходи є вирішальною ланкою формування та реалізації комплексного захисту інформації та створення системи безпеки підприємства.

 

Інженерно-технічний захист