Организационная информация безопасность представлена в виде регламентации профессиональной деятельности компании и взаимоотношения различных лиц, отделов, департаментов, руководства, исполнителей работ на нормативно-правовой основе. С помощью регламентации деятельности в сфере защиты информации значительно затрудняется или полностью исключается незаконное овладение конфиденциальными данными, реализация внутренних и внешних киберугроз.
С помощью организационной информационной безопасности обеспечивается регламентация взаимодействия с кадрами, режимы работы, принципов использования конфиденциальной информации, особенностей работы с документацией, эксплуатации технических средств обеспечения безопасности, информационно-аналитической деятельности по обнаружению внешних и внутренних киберугроз.
Основные мероприятия
При реализации системы организационной информационной безопасности возникает необходимость в проведении комплекса определенных мероприятий. Ответственные лица (штатные профильные сотрудники компании или нанятые сторонние эксперты) должны выполнить в рамках реализации организационной информационной безопасности следующие виды работ:
- организовать режим работы компании, физическую охрану (основная цель этих мероприятий – исключение вероятности несанкционированного, скрытого проникновения на территорию компании и во внутренние помещения посторонних лиц);
- организовать работу с персоналом компании (в этой ситуации предусматривается подбор и расстановка персонала, в том числе и ознакомление с работниками, обучение их основных регламентам и нормам взаимодействия с защищаемыми данными, ознакомление с уровнем ответственности за нарушение регламентов защиты данных и т. п.);
- организовать работу с документацией, конфиденциальной информацией на бумажных носителях (здесь предполагается создание и использование документов, а также иных носителей защищаемых данных, их учет, исполнение, временное и постоянное хранение, уничтожение и другие виды взаимодействий);
- организовать возможность эксплуатации технических средств, с помощью которых будут собираться, обрабатываться, накапливаться и храниться конфиденциальные данные;
- организовать возможность проведения анализа внешних и внутренних угроз защищаемым данным, выработать необходимые меры по защите информации;
- организовать работу по выполнению периодического контроля (периодичность выбирается в соответствии с особенностями работы компании, типа и объемов конфиденциальной информации) за деятельностью сотрудников компании, когда те взаимодействуют с конфиденциальными данными;
- выработать порядок учета, хранения, уничтожения бумажной документации и технических носителей, на которых хранятся конфиденциальные данные.
Специфика реализации системы организационной информационной безопасности в каждом случае будет иметь строго специфическую для определенной компании форму. Поэтому зачастую нет возможности использовать при реализации мер организационной информационной безопасности унифицированные и общепринятые решения.
Организационные методы выступают в качестве основы комплексной системы защиты информации. При их использовании есть возможность объединить на правовой основе программные, технические, криптографические средства защиты данных в одну комплексную систему.
Определенные организационные способы защиты данных могут быть реализованы на стадии непосредственного противодействия угрозам информационной безопасности (в частности, те, которые не были добавлены при создании общей системы кибербезопасности). Максимальное внимание к реализации организационной информационной безопасности уделяется при разрешении вопросов выработки и организации работы комплексной системы защиты данных.
С помощью административных (организационных) средств обеспечения информации регламентируются процессы функционирования системы обработки данных, процедуры эксплуатации ресурсов инфосистемы, деятельность работников компании, порядок их взаимодействия с информационной системой так, чтобы максимально осложнить или на 100% исключить вероятность реализации всевозможных внутренних и внешних угроз, либо минимизировать уровень потерь в ситуациях, когда актуальные киберугрозы будут реализованы.
Главная задача организационных мер обеспечения информационной безопасности – это создание политики кибербезопасности компании, а также ее последующее выполнение с выделением требуемых ресурсов, полный контроль ее функционирования.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
