Организационно-правовая защита информации

Организационно-правовая защита информации

Горюнов Владимир Сергеевич

Начальник информационного отдела НЧОУ ВО «Северный институт предпринимательства», г. Архангельск

Подсистема организационно-правовых мер обеспечения информационной безопасности подразумевает четкую регламентацию действий пользователей информационной системы и представляет собой строгую иерархическую структуру организационных решений, нормативов, законов и правил, которые по своему характеру являются определяющими в отношении проведения организационных работ на предприятии в сфере обеспечения информационной безопасности в условиях информационной системы.

В деле достижения надежного уровня информационной безопасности важным инструментом являются организационные меры. Использование этого инструмента, с одной стороны, позволит сориентировать администратора информационной безопасности направленность обеспечительных мер в правильном направлении. С другой стороны, использование этого инструмента позволит руководству компании, в пределах которой используются средства автоматизации, должно создать и внедрить регламент автоматизированной обработки данных вместе с  правилом их защиты, а также установить меру ответственности за нарушение этих правил.

Подсистема организационно-правовых мер по обеспечению информационной безопасности включает в себя несколько аспектов:

Организационно-правовой аспект:

•              какой орган, какое подразделение или должностное лицо являются ответственными в сфере обеспечения информационной безопасности;

•              создать и внедрить нормативно-правовые, методические и другие материалы;

•              установить наступление ответственности за нарушение правил информационной безопасности;

•              разработать положение о разрешении спорных ситуаций.

Регистрационный аспект:

•              зафиксировать документ путем проставления "подписи" под документом;

•              зафиксировать факт знакомства с содержащейся в документе информацией;

•              зафиксировать факт внесения изменений в данные;          фиксация фактов копирования содержания.

Юридические аспекты:

•              принять и утвердить законодательные нормативно-правовые акты в сфере информационной безопасности:

•              правила информационной безопасности;

•              установление       ответственности за      нарушение правил

информационной безопасности;

•              регистрационные решения;           процессуальные нормы и правила.

Морально-психологические аспекты:

•              проведение подбора и расстановки персонала;

•              обеспечить проведение обучения персонала;

•              установить систему морального и материального стимулирования;  контролировать соблюдение установленных правил.

Для того, чтобы провести мероприятия по созданию и обеспечению функционирования такого инструмента, как средства защиты информации, необходимым шагом является разработка пакета документов, в котором будут определены порядок и правила обеспечения безопасности информации во время ее обработки пользователем в информационной системе, а также порядок работы с электронными документами юридического характера.

В плане проведения мероприятий по обеспечению информационной безопасности могут содержаться следующие сведения:

•              назначение информационной системы;

•              перечень стоящих перед информационной системой задач;

•              конфигурация;

•              характеристика   и       размещение         технических        средств       и

программного обеспечения;

•              перечень категорий информационных ресурсов, подлежащих защите в информационной системе;

•              требования в целях принятия обеспечительных мер для доступности, конфиденциальности, целостности различных категорий информационных ресурсов;

•              список        пользователей     и        их      полномочия         по      доступу          к

информационным ресурсам системы;

•              цели принятия мер обеспечения информационной безопасности в пределах информационной системы и содержащихся в ней информационных ресурсов;

•              список существующих угроз безопасности информационной системы, от которых требуется принимать меры по обеспечению безопасности информации, и наиболее вероятные пути нанесения ущерба;

•              основные требования к организации процесса функционирования информационной системы и мерам по обеспечению информационной безопасности обработки данных;

•              требования к условиям разворачивания механизма наступления ответственности и определению ее пределов, которые устанавливаются в системе технических средств защиты от несанкционированного доступа;

•              основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности информационной системы;

•              цель обеспечения непрерывности процесса функционирования информационной системы, своевременность восстановления ее работоспособности и пути ее достижения;

•              перечень и классификация возможных кризисных ситуаций;

•              требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

•              обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;

•              разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

•              определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

•              определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

•              определение порядка разрешения споров в случае возникновения конфликтов.

Кроме того, необходимо провести организационные и организационнотехнические мероприятия по разработке, внедрению и поддержанию функционирования комплексной системы защиты.

Данный вид мер включает в себя:

•              разовые мероприятия;

•              мероприятия, проводимые в ходе внедрения или возникновения определенных корректировок в самой защищаемой автоматизированной системе или внешней среде;

•              периодически проводимые мероприятия;        постоянно проводимые мероприятия.