Организационно-правовая защита информации

Такая подсистема предназначена для регламентации деятельности пользователей ИС и представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации в ИС.

Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационно-правовую защиту структурно можно представить так:

Организационно-правовые вопросы:

• органы, подразделения и лица, ответственные за защиту;

• нормативно-правовые, методические и другие материалы;

• меры ответственности за нарушение правил защиты;

• порядок разрешения спорных ситуаций.

Регистрационные аспекты:

• фиксация "подписи" под документом;

• фиксация фактов ознакомление с информацией;

• фиксация фактов изменения данных;

• фиксация фактов копирования содержания.

Юридические аспекты:

• Утверждение в качестве законов:

• правил защиты информации;

• мер ответственности за нарушение правил защиты;

• регистрационных решений;

• процессуальных норм и правил.

Морально-психологические аспекты:

• подбор и расстановка кадров;

• обучение персонала;

• система моральных и материальных стимулов;

• контроль за соблюдением правил.

Для организации и обеспечения эффективного функционирования СЗИ должны быть разработаны документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в ИС, а также документы, определяющие права и обязанности пользователей при работе с электронными документами юридического характера (договор об организации обмена электронными документами).

План защиты информации может содержать следующие сведения:

• назначение ИС;

• перечень решаемых ею задач;

• конфигурация;

• характеристики и размещение технических средств и программного обеспечения;

• перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;

• требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;

• список пользователей и их полномочий по доступу к ресурсам системы;

• цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;

• перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

• основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;

• требования к условиям применения и определение ответственности, установленных в системе технических средств защиты от НСД;

• основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);

• цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и пути ее достижения;

• перечень и классификация возможных кризисных ситуаций;

• требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

• обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;

• разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

• определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

• определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

• определение порядка разрешения споров в случае возникновения конфликтов.

Так же стоит проводить организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты

Они включают:

· разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

· мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

· периодически проводимые (через определенное время) мероприятия;

· постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.