Горюнов Владимир Сергеевич
Начальник информационного отдела НЧОУ ВО «Северный институт предпринимательства», г. Архангельск
Подсистема организационно-правовых мер обеспечения информационной безопасности подразумевает четкую регламентацию действий пользователей информационной системы и представляет собой строгую иерархическую структуру организационных решений, нормативов, законов и правил, которые по своему характеру являются определяющими в отношении проведения организационных работ на предприятии в сфере обеспечения информационной безопасности в условиях информационной системы.
В деле достижения надежного уровня информационной безопасности важным инструментом являются организационные меры. Использование этого инструмента, с одной стороны, позволит сориентировать администратора информационной безопасности направленность обеспечительных мер в правильном направлении. С другой стороны, использование этого инструмента позволит руководству компании, в пределах которой используются средства автоматизации, должно создать и внедрить регламент автоматизированной обработки данных вместе с правилом их защиты, а также установить меру ответственности за нарушение этих правил.
Подсистема организационно-правовых мер по обеспечению информационной безопасности включает в себя несколько аспектов:
Организационно-правовой аспект:
· какой орган, какое подразделение или должностное лицо являются ответственными в сфере обеспечения информационной безопасности;
· создать и внедрить нормативно-правовые, методические и другие материалы;
· установить наступление ответственности за нарушение правил информационной безопасности;
· разработать положение о разрешении спорных ситуаций.
Регистрационный аспект:
· зафиксировать документ путем проставления "подписи" под документом;
· зафиксировать факт знакомства с содержащейся в документе информацией;
· зафиксировать факт внесения изменений в данные;
· фиксация фактов копирования содержания.
Юридические аспекты:
· принять и утвердить законодательные нормативно-правовые акты в сфере информационной безопасности:
· правила информационной безопасности;
· установление ответственности за нарушение правил информационной безопасности;
· регистрационные решения;
· процессуальные нормы и правила.
Морально-психологические аспекты:
· проведение подбора и расстановки персонала;
· обеспечить проведение обучения персонала;
· установить систему морального и материального стимулирования;
· контролировать соблюдение установленных правил.
Для того, чтобы провести мероприятия по созданию и обеспечению функционирования такого инструмента, как средства защиты информации, необходимым шагом является разработка пакета документов, в котором будут определены порядок и правила обеспечения безопасности информации во время ее обработки пользователем в информационной системе, а также порядок работы с электронными документами юридического характера.
В плане проведения мероприятий по обеспечению информационной безопасности могут содержаться следующие сведения:
· назначение информационной системы;
· перечень стоящих перед информационной системой задач;
· конфигурация;
· характеристика и размещение технических средств и программного обеспечения;
· перечень категорий информационных ресурсов, подлежащих защите в информационной системе;
· требования в целях принятия обеспечительных мер для доступности, конфиденциальности, целостности различных категорий информационных ресурсов;
· список пользователей и их полномочия по доступу к информационным ресурсам системы;
· цели принятия мер обеспечения информационной безопасности в пределах информационной системы и содержащихся в ней информационных ресурсов;
· список существующих угроз безопасности информационной системы, от которых требуется принимать меры по обеспечению безопасности информации, и наиболее вероятные пути нанесения ущерба;
· основные требования к организации процесса функционирования информационной системы и мерам по обеспечению информационной безопасности обработки данных;
· требования к условиям разворачивания механизма наступления ответственности и определению ее пределов, которые устанавливаются в системе технических средств защиты от несанкционированного доступа;
· основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности информационной системы;
· цель обеспечения непрерывности процесса функционирования информационной системы, своевременность восстановления ее работоспособности и пути ее достижения;
· перечень и классификация возможных кризисных ситуаций;
· требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
· обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
· разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
· определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
· определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
· определение порядка разрешения споров в случае возникновения конфликтов.
Кроме того, необходимо провести организационные и организационно-технические мероприятия по разработке, внедрению и поддержанию функционирования комплексной системы защиты.
Данный вид мер включает в себя:
· разовые мероприятия;
· мероприятия, проводимые в ходе внедрения или возникновения определенных корректировок в самой защищаемой автоматизированной системе или внешней среде;
· периодически проводимые мероприятия;
· постоянно проводимые мероприятия.
