Вы находитесь на странице: 1из 12

Организационные меры

обеспечения безопасности
компьютерных
информационных систем
Организационная защита – это регламентация производственной
деятельности и взаимоотношений исполнителей на нормативной основе,
что исключает или существенно осложняет неправомерное овладение
конфиденциальной информацией и проявления угроз. Организационная
защита обеспечивает организацию режима, охраны, работу с кадрами и
документами и использование технических средств безопасности и
информационно-аналитическую деятельность по выявлению угроз
деятельности предприятия. Организационные мероприятия играют
существенную роль в создании надёжного механизма защиты
информации, т.к. возможности несанкционированного использования
конфиденциальных сведений обусловливается злоумышленными
действиями и небрежностью пользователей или персонала. Угрозы ИБ,
связанные именно с людьми, почти невозможно предотвратить с
помощью технических мероприятий.

2
Основные организационные мероприятия:

1. организация режима и охраны. Её цели:


- исключение возможности тайного проникновения на территорию и в
помещение посторонних лиц,
- обеспечение удобства прохода и перемещения сотрудников и
посетителей,
- создание отдельных производственных зон по типу конфиденциальных
работ с самостоятельными системами доступа,
- контроль и соблюдение временного режима труда и пребывания
сотрудников на территории предприятия,
- организация и поддержка надёжного пропускного режима и контроля
сотрудников и посетителей,
- организация работы с сотрудниками (подбор и расстановка персонала,
знакомство с сотрудниками, их обучение);
3
(продолжение)
2. организация работы с документами и документируемой
информацией, т.е. организация разработки и использование документов
и носителей конфиденциальной информации, их учёт, использование,
возврат, хранение и уничтожение;

3. организация использования технических средств сбора, обработки и


хранения конфиденциальной информации;

4. организация работы по анализу внутренних и внешних угроз


конфиденциальной информации и разработка мероприятий по
обеспечению её защиты;

5. организация работы по проведению систематического контроля за


работой персонала с конфиденциальной информацией порядком учёта,
хранения и уничтожения документов и технических носителей.
4
Организация защиты компьютерных ИС и сетей определяет порядок и
схему функционирования их основных подсистем, использования
устройств и ресурсов, взаимоотношения пользователей в соответствии с
нормативно-правовыми требованиями и правила
Организационные средства защиты компьютерных ИС и сетей
применяются в следующих случаях:
- при проектировании, строительстве и оборудовании помещений, узлов
сети и других объектов ИС, исключающих влияние стихийных бедствий,
возможность недозволенного проникновения в помещения и др.,
- при подборе и подготовке персонала,
- при хранении и использовании документов и других носителей,
- при соблюдении надёжного пропускного режима к техническим
средствам, ИС при сменной работе,
- при внесении изменений в ПО,
- при подготовке и контроле работы пользователей.
5
Положение о службе защиты информации в ИС и План защиты
информации в ИС – обязательные документы, они определяют задачи
защиты. Положение о службе защиты информации в ИС также
определяет функции, штатную структуру службы защиты информации,
обязанности, ответственность и права работников службы,
взаимодействие с другими подразделениями организации. План защиты
информации в ИС определяет классификацию информации, описание
технологии обработки секретной информации, календарный план работ
по защите информации в ИС, а также перечень организационных
мероприятий по защите информации в ИС.

Учёт пользователей ИС осуществляется с помощью учётных карточек,


которые обычно содержат имя пользователя для регистрации в ОС,
фамилию и инициалы, подразделение и должность пользователя,
уровень его допуска и перечень его ролей.
6
Основные функции администратора безопасности относительно
обеспечения защиты информации в ИС:
- ведение учётных карточек пользователей,
- ведение базы данных защиты,
- установление параметров работы системы,
- изменение владельца документа,
- отслеживание потенциально опасных событий,
- архивация данных защиты.

Функции системного администратора:


- сопровождение программного обеспечения ИС,
- обеспечение антивирусной защиты,
- сопровождение аппаратного обеспечения.

Функции ответственного за безопасность информации:


- организация печати и учёта носителей, что содержат ИзОД,
- наблюдение за работой системы,
- настройка аппаратного обеспечения. 7
Служба безопасности.

Создание специальных штатных служб защиты информации в закрытых ИС –


важное организационное мероприятие.
Функции службы безопасности предприятия:
- организация и обеспечение охраны персонала, материальных и финансовых
ценностей и защиты конфиденциальной информации,
- обеспечение пропускного и внутриобъектового режима на территории, в
помещениях, контроль соблюдения требований режима сотрудниками,
посетителями, партнёрами,
- руководство работами по правовой и организационной регуляции отношений
по защите информации,
- участие в разработке основополагающих документов для закрепления в них
требований обеспечения безопасности и защиты информации, а также в
разработке разного рода положений,
- разработка и осуществление с другими подразделениями мероприятий по
обеспечению работы с документами, которые содержат конфиденциальную
8
информацию,
(продолжение)
- изучение всех сторон разных деятельностей для выявления и
противодействия попыткам нанесения ущерба, ведение учёта и анализ
нарушений режима безопасности, накопление и анализ данных о
злоумышленных стремлениях конкурентов,
- разработка, ведение и пополнение нормативных актов, регламентирующих
порядок обеспечения и защиты информации,
- обеспечение выполнения требований нормативных актов по за защите
секретов предприятия,
- руководство службами и подразделениями безопасности подведомственных
предприятий,
- организация и проведение учёта сотрудников предприятия,
- ведение учёта и контроль выделенных для конфиденциальной работы
помещений, технических средств,
- обеспечение проведения всех нужных мероприятий по пресечению попыток
нанесения ущерба угрозами,
- поддержка контактов с правоохранительными органами и службами
безопасности соседних предприятий. 9
Служба безопасности – самостоятельная организационная единица предприятия, она
подчиняется непосредственно руководителю предприятия. Службу безопасности
возглавляет её начальник в должности заместителя руководителя предприятия по
безопасности.
СБ может состоять из следующих структурных единиц:
- подразделение режима и охраны,
- подразделение по обработке документов конфиденциального характера,
- инженерно-технических подразделений,
- информационно-аналитических подразделений.

Задачи службы безопасности:


- определение круга лиц, которые имеют доступ к конфиденциальным сведениям,
- определение участков сосредоточения конфиденциальных сведений,
- определение круга посторонних предприятий, связанных с данным корпоративными
связями, на которых возможен выход из-под контроля конфиденциальных сведений,
- разработка системы защиты документов, которые содержат сведения
экономического характера,
- выявление круга лиц, которые не допущены к конфиденциальной информации, но
10
проявляют интерес к ней,
(продолжение)
- выявление круга предприятий, которые заинтересованы в доступе к
охраняемым сведениям с целью навредить данному предприятию,
- определение на предприятии уязвимых в аварийном отношении участков,
- определение на предприятии технологического оборудования, выход из строя
которого может привести к экономическим потерям,
- определение уязвимых мест в технологии производственного цикла,
- определение мест, несанкционированное посещение которых может
привести к изъятию продукции,
- определение и обоснование мероприятий правовой, организационной и
инженерно-физической защиты предприятия, персонала, информации,
- разработка необходимых мер улучшения систем безопасности,
- внедрение новейших достижений науки и техники, передового опыта,
- организация обучения сотрудников СБ,
- изучение, анализ и оценка состояния обеспечения экономической и
информационной безопасности и разработка предложений для его улучшения,
- разработка обоснований направленных на приобретение технических
11
средств, получение консультации экспертов и т.д.
Спасибо за внимание!

12