7.2.3 Організаційний захист

Загальні положення організаційного захисту

Організаційний захист — це регламентація виробничої діяль­ності та взаємовідносин виконавців на нормативній основі, що ви­ключає або суттєво утруднює неправомірне оволодіння конфіденцій­ною інформацією та прояву внутрішніх та зовнішніх загроз (рис. 7.6)

269

Частина II Основи безпеки інформаційних технологій

Рис. 7.6.Організаційний захист інформації

270

Розділ 7 Основи безпеки інформаційних ресурсів

Організаційних захист забезпечує:

• організацію режиму, охорони, роботу з кадрами, з документами;

• використання технічних засобів безпеки та інформаційно-аналітичну діяльність із виявлення внутрішніх і зовнішніх загроз діяльності підприємства (організації).

Організаційні заходи відіграють суттєву роль у створенні надій­ного механізму захисту інформації, так як можливості несанкціоно­ваного використання конфіденційних відомостей у значній мірі об­умовлюються не те технічними аспектами, а зловмисними діями та недбалістю користувачів або персоналу. Впливу цих аспектів пра­ктично неможливо запобігти за допомогою технічних заходів. Для цього необхідна сукупність організаційно-правових і організаційно-технічних заходів, які вилучали би (або зводили до мінімуму) мо­жливість виникнення небезпеки конфіденційності інформації.

До основних організаційних заходів звичайно відносять наступні.

Організація режиму та охорони. їх мета:

• виключення можливості таємного проникнення на територію та у приміщення сторонніх осіб;

• забезпечення зручності проходу та переміщення співробітників та відвідувачів;

• створення окремих виробничих зон за типом конфіденційних ро­біт із самостійними системами доступу;

• контроль та дотримання часового режиму праці та перебування на території персоналу підприємства;

• організація та підтримка надійного пропускного режиму та кон­тролю співробітників і відвідувачів і т.ін.

Організація роботи із співробітниками, яка передбачає під­бір і розстановку персоналу, включаючи ознайомлення із співробі­тниками, їх вивчення, навчання правилам роботи з конфіденційною інформацією, ознайомлення з мірою відповідальності за порушення правил захисту інформації.

Організація роботи з документами та документованою ін­формацією, включаючи організацію розробки та використання до­кументів і носіїв конфіденційної інформації, їх облік, використання, повернення, зберігання та знищення.

Організація використання технічних засобів збирання, оброблення, нагромадження та зберігання конфіденційної інформа­ції.

Організація роботи з аналізу внутрішніх та зовнішніх за­гроз конфіденційній інформації та розробка заходів із забезпечення

271

Частина II Основи безпеки інформаційних технологій

її захисту.

Організація роботи з проведення систематичного контро­лю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів та технічних носіїв.

У кожному конкретному випадку організаційні заходи носять специфічну для даної організації форму та зміст, які спрямовані на забезпечення безпеки інформації в конкретних умовах.

Особливості організаційного захисту комп'ютерних інформаційних

систем та мереж:

Організація захисту комп'ютерних інформаційних систем та ме­реж визначає порядок і схему функціонування основних їхніх під­систем, використання пристроїв та ресурсів, взаємовідносини кори­стувачів між собою відповідно з нормативно-правовими вимогами та правилами. Захист інформації на основі організаційних заходів віді­грає значну роль у забезпеченні надійності та ефективності, так як несанкціонований доступ та витік інформації найчастіше зумовлені зловмисними діями, недбалістю користувачів або персоналу. Ці фа­ктори практично неможливо виключити або локалізувати за допомо­гою апаратних і програмних засобів, криптографії та фізичних засо­бів захисту. Тому сукупність організаційних, організаційно-правових і організаційно-технічних заходів, які застосовуються разом із техні­чними методами, мають за мету виключити, зменшити або повністю усунути збитки при дії різноманітних деструктивних факторів.

Організаційні засоби захисту комп'ютерних інформаційних си­стем та мереж найчастіше застосовуються у наступних випадках:

• при проектуванні, будівництві та обладнанні приміщень, вузлів мереж та інших об'єктів інформаційної системи для виключення впливу стихійного лиха, можливості недозволеного проникнення у приміщення і т.ін.;

• при підборі на підготовці персоналу. В цьому випадку передбача­ється перевірка осіб, які приймаються на роботу, створення умов, при яких персонал був би зацікавлений у збереженні інформації, навчання правилам роботи із закритою інформацією, ознайом­лення з мірою відповідальності за порушення правил захисту і т.ін.;

• при зберіганні та використанні документів та інших носіїв (мар­кування, реєстрація, визначення правил видачі та повернення, ведення документації і т.ін.);

272

Розділ 7 Основи безпеки інформаційних ресурсів

• при дотриманні надійного пропускного режиму до технічних за­собів комп'ютерних мереж та систем при роботі змінами (при­значення відповідальних за захист інформації у змінах, контроль за роботою персоналу, ведення автоматизованих) журналів робо­ти, знищення встановленим порядком закритих виробничих до­кументів) ;

• при внесенні змін у програмне забезпечення (суворе санкціонува­ння, розгляд та затвердження проектів змін, перевірка їх на задо­волення вимог захисту, документальне оформлення змін і т.ін.);

• при підготовці та контролі роботи користувачів.

Служба, захисту інформації

Одним із найважливіших організаційних заходів є створення спе­ціальних штатних служб захисту інформації у закритих інформацій­них системах у вигляді адміністратора безпеки мережі та адміністра­тора безпеки розподілених баз та банків даних, які містять відомості конфіденційного характеру.

Цілком очевидно, що організаційні заходи повинні чітко планува­тися, спрямовуватися та здійснюватися певною організаційною стру­ктурою, певним спеціально створеним для цих цілей структурним підрозділом, укомплектованим відповідними фахівцями з безпеки ді­яльності та захисту інформації.

Найчастіше таким структурним підрозділом є служба безпеки підприємства (фірми, організації), на яку покладаються наступні функції:

• організація та забезпечення охорони персоналу, матеріальних та фінансових цінностей та захисту конфіденційної інформації;

• забезпечення пропускного та внутрішньооб'єктового режиму на території, в будівлях та приміщеннях, контроль дотримання ви­мог режиму співробітниками, суміжниками, партнерами та від­відувачами;

• керівництво роботами з правового та організаційного регулюван­ня відносин із захисту інформації;

• участь у розробці основоположних документів із метою закрі­плення в них вимог забезпечення безпеки та захисту інформації, а також положень про підрозділи, трудові договори, угоди, під­ряди, посадові інструкції та обов'язки керівництва, спеціалістів, робітників та службовців;

• розробка та здійснення разом з іншими підрозділами заходів із

273

Частина II Основи безпеки інформаційних технологій

забезпечення роботи з документами, що містять конфіденційнівідомості; при всіх видах робіт організація та контроль виконання вимог "Інструкції із захисту конфіденційної інформації";

• вивчення усіх сторін виробничої, комерційної, фінансової та іншої діяльності для виявлення та наступної протидії будь-яким спро­бам нанесення збитків, ведення обліку та аналіз порушень режи­му безпеки, накопичення та аналіз даних про зловмисні устрем­ління конкурентної та інших організацій, про діяльність підпри­ємства та його клієнтів, партнерів, суміжників;

• розробка, ведення, оновлення та поповнення "Переліку відомо­стей, що носять конфіденційний характер" та інших норматив­них актів, які регламентують порядок забезпечення та захисту інформації;

• забезпечення суворого виконання вимог нормативних актів із за­безпечення виробничих секретів підприємства;

• здійснення керівництва службами та підрозділами безпеки підві­домчих підприємств, організацій, закладів та іншими структура­ми в частині обговорених у договорах умовах із захисту інфор­мації;

• організація та регулярне проведення обліку співробітників під­приємства та служби безпеки з усіх напрямів захисту інформації та забезпечення безпеки виробничої діяльності;

• ведення обліку та суворого контролю виділених для конфіденцій­ної роботи приміщень, технічних засобів у них, що мають потен­ційні канали витоку інформації та канали проникнення до джерел інформації, які знаходяться під охороною;

• забезпечення проведення всіх необхідних заходів із припинення спроб нанесення моральних та матеріальних збитків із сторони внутрішніх та зовнішніх загроз;

• підтримка контактів із правоохоронними органами та службами безпеки сусідніх підприємств для вивчення криміногенної обста­новки в районі (зоні) та надання взаємної допомоги в кризових ситуаціях.

Служба безпеки є самостійною організаційною одиницею підпри­ємства, що підпорядковується безпосередньо керівникові підприєм­ства. Очолює службу безпеки начальник служби безпеки у посаді заступника керівника підприємства з безпеки.

Організаційно служба безпеки може складатися з наступних структурних одиниць:

• підрозділу режиму та охорони;

274

Розділ 7 Основи безпеки інформаційних ресурсів

• спеціального підрозділу з оброблення документів конфіденційно­го характеру;

• інженерно-технічних підрозділів;

• інформаційно-аналітичних підрозділів.

У такому складі служба безпеки здатна забезпечити захист кон­фіденційної інформації від будь-яких загроз.

На служби безпеки покладаються наступні завдання:

• визначення кола осіб, які відповідно до положення, яке вони за­ймають на підприємстві, прямо чи непрямо мають доступ до ві­домостей конфіденційного характеру;

• визначення ділянок зосередження конфіденційних відомостей;

• визначення кола сторонніх підприємств, зв'язаних із даним під­приємством кооперативними зв'язками, на яких у силу виробни­чих відносин можливий вихід з-під контролю відомостей конфі­денційного характеру;

• виявлення кола осіб, не допущених до конфіденційної інформації, але проявляють підвищений інтерес до таких відомостей;

• виявлення кола підприємств, у тому числі іноземних, що зацікав­лені у доступі до відомостей, які охороняються, з метою нанесен­ня економічних збитків даному підприємству, усунення економі­чного конкурента або його компрометації;

• розробка системи захисту документів, що містять відомості еко­номічного характеру;

• визначення на підприємстві ділянок, уразливих в аварійному від­ношенні, вихід із ладу яких може нанести матеріальні збитки підприємству та зірвати поставки готової продукції або компле­ктуючих підприємствам, зв'язаних із ним кооперацією;

• визначення на підприємстві технологічного обладнання, вихід (або виведення) якого з ладу може призвести до великих еко­номічних утрат;

• визначення уразливих місць у технології виробничого циклу, не­санкціонована зміна, в якій може призвести до втрати якості про­дукції та нанести матеріальні або моральні збитки підприємству (втрата конкурентноздатності);

• визначення на підприємстві місць, несанкціоноване відвідування яких може призвести до вилучення (викрадення) готової проду­кції або півфабрикатів, заготівок і т.ін. та організація їхнього фі­зичного захисту;

• визначення та обґрунтування заходів правового, організаційного та інженерно-фізичного захисту підприємства, персоналу, проду-

275

Частина II Основи безпеки інформаційних технологій

кції та інформації;

• розробка необхідних заходів, спрямованих на вдосконалення си­стеми економічної, соціальної та інформаційної безпеки;

• упровадження в діяльність підприємства новітніх досягнень нау­ки та техніки, передового досвіду у галузі забезпечення економі­чної та інформаційної безпеки;

• організація навчання співробітників служби безпеки відповідно до їх функціональних обов'язків;

• вивчення, аналіз та оцінка стану забезпечення економічної та ін­формаційної безпеки підприємства та розробка пропозицій та ре­комендацій для його удосконалення;

• розробка техніко-економічних обґрунтувань, спрямованих на придбання технічних засобів, одержання консультації у спеціа­лістів, розробку необхідної документації з метою удосконалення системи заходів із забезпечення економічної та інформаційної без­пеки.

Організаційні заходи є вирішальною ланкою формування та ре­алізації комплексного захисту інформації та створення системи без­пеки підприємства.