logo search
БОГУШ,ЮДИН

7.2.3 Організаційний захист

Загальні положення організаційного захисту

Організаційний захист — це регламентація виробничої діяль­ності та взаємовідносин виконавців на нормативній основі, що ви­ключає або суттєво утруднює неправомірне оволодіння конфіденцій­ною інформацією та прояву внутрішніх та зовнішніх загроз (рис. 7.6)

269

Частина II Основи безпеки інформаційних технологій

Рис. 7.6.Організаційний захист інформації

270

Розділ 7 Основи безпеки інформаційних ресурсів

Організаційних захист забезпечує:

Організаційні заходи відіграють суттєву роль у створенні надій­ного механізму захисту інформації, так як можливості несанкціоно­ваного використання конфіденційних відомостей у значній мірі об­умовлюються не те технічними аспектами, а зловмисними діями та недбалістю користувачів або персоналу. Впливу цих аспектів пра­ктично неможливо запобігти за допомогою технічних заходів. Для цього необхідна сукупність організаційно-правових і організаційно-технічних заходів, які вилучали би (або зводили до мінімуму) мо­жливість виникнення небезпеки конфіденційності інформації.

До основних організаційних заходів звичайно відносять наступні.

Організація режиму та охорони. їх мета:

Організація роботи із співробітниками, яка передбачає під­бір і розстановку персоналу, включаючи ознайомлення із співробі­тниками, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з мірою відповідальності за порушення правил захисту інформації.

Організація роботи з документами та документованою ін­формацією, включаючи організацію розробки та використання до­кументів і носіїв конфіденційної інформації, їх облік, використання, повернення, зберігання та знищення.

Організація використання технічних засобів збирання, оброблення, нагромадження та зберігання конфіденційної інформа­ції.

Організація роботи з аналізу внутрішніх та зовнішніх за­гроз конфіденційній інформації та розробка заходів із забезпечення

271

Частина II Основи безпеки інформаційних технологій

її захисту.

Організація роботи з проведення систематичного контро­лю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів та технічних носіїв.

У кожному конкретному випадку організаційні заходи носять специфічну для даної організації форму та зміст, які спрямовані на забезпечення безпеки інформації в конкретних умовах.

Особливості організаційного захисту комп'ютерних інформаційних

систем та мереж:

Організація захисту комп'ютерних інформаційних систем та ме­реж визначає порядок і схему функціонування основних їхніх під­систем, використання пристроїв та ресурсів, взаємовідносини кори­стувачів між собою відповідно з нормативно-правовими вимогами та правилами. Захист інформації на основі організаційних заходів віді­грає значну роль у забезпеченні надійності та ефективності, так як несанкціонований доступ та витік інформації найчастіше зумовлені зловмисними діями, недбалістю користувачів або персоналу. Ці фа­ктори практично неможливо виключити або локалізувати за допомо­гою апаратних і програмних засобів, криптографії та фізичних засо­бів захисту. Тому сукупність організаційних, організаційно-правових і організаційно-технічних заходів, які застосовуються разом із техні­чними методами, мають за мету виключити, зменшити або повністю усунути збитки при дії різноманітних деструктивних факторів.

Організаційні засоби захисту комп'ютерних інформаційних си­стем та мереж найчастіше застосовуються у наступних випадках:

272

Розділ 7 Основи безпеки інформаційних ресурсів

Служба, захисту інформації

Одним із найважливіших організаційних заходів є створення спе­ціальних штатних служб захисту інформації у закритих інформацій­них системах у вигляді адміністратора безпеки мережі та адміністра­тора безпеки розподілених баз та банків даних, які містять відомості конфіденційного характеру.

Цілком очевидно, що організаційні заходи повинні чітко планува­тися, спрямовуватися та здійснюватися певною організаційною стру­ктурою, певним спеціально створеним для цих цілей структурним підрозділом, укомплектованим відповідними фахівцями з безпеки ді­яльності та захисту інформації.

Найчастіше таким структурним підрозділом є служба безпеки підприємства (фірми, організації), на яку покладаються наступні функції:

273

Частина II Основи безпеки інформаційних технологій

забезпечення роботи з документами, що містять конфіденційнівідомості; при всіх видах робіт організація та контроль виконання вимог "Інструкції із захисту конфіденційної інформації";

Служба безпеки є самостійною організаційною одиницею підпри­ємства, що підпорядковується безпосередньо керівникові підприєм­ства. Очолює службу безпеки начальник служби безпеки у посаді заступника керівника підприємства з безпеки.

Організаційно служба безпеки може складатися з наступних структурних одиниць:

• підрозділу режиму та охорони;

274

Розділ 7 Основи безпеки інформаційних ресурсів

У такому складі служба безпеки здатна забезпечити захист кон­фіденційної інформації від будь-яких загроз.

На служби безпеки покладаються наступні завдання:

275

Частина II Основи безпеки інформаційних технологій

кції та інформації;

Організаційні заходи є вирішальною ланкою формування та ре­алізації комплексного захисту інформації та створення системи без­пеки підприємства.