Организация защиты информации – это порядок и содержание действий, которые обеспечивают защиту информации.
Система защиты информации – это совокупность исполнителей или органов, используемая ими спецтехника, а также объекты защиты, которые организованы и функционируют по правилам, что установлены организационно-распорядительными, нормативными и правовыми документами, регламентирующими защиту информации.
Особенности организации защиты информации
Основные направления в организации защиты информации определяются мероприятиями по информационной защите, системой защиты, а также мероприятиями по контролю за эффективностью защиты информации. Меры по защите информации определяют совокупность действий по практическому применению и разработке средств и способов защиты, а мероприятия по контролю эффективности информационной защиты – совокупность действий и средств контроля эффективности защиты информации.
Органом информационной защиты является административный орган, который осуществляет организацию защиты информации. Объект защиты – информационные данные, информационный носитель или процесс, по отношению к которым необходимо выполнить защиту в соответствии с установленной целью.
К технике защите информации можно отнести средства информационной защиты, средства контроля эффективности, а также системы и средства управления, которые предназначены для обеспечения информационной защиты.
К системам и средствам организации защиты информации относятся программные и технические средства, которые используются для организации и реализации управления информационной защитой. В мероприятия по защите входят лицензирование, сертификация, аттестация и категорирование.
Сертификация – это процесс, который реализуется в отношении такой категории, как средство или изделие. После выполнения комплекса мероприятий в результате сертификации устанавливается или подтверждается качество изделия. Сертификацией средств защиты информации является деятельность производителей и потребителей по установлению соответствия средств информационной защиты тем требованиям нормативных документов, которые утверждены государственными сертифицирующими органами.
Лицензирование – это мероприятия, которые связаны с предоставлением лицензий, а также документов, что подтверждают их наличие; с возобновлением или приостановлением действий лицензий, а также с контролем лицензирующих органов за соблюдением лицензиатами соответствующих требований и условий.
Лицензией является специальное разрешение, которое дает право осуществлять конкретный вид деятельности при условии соблюдения обязательных лицензионных требований. Лицензия выдается индивидуальному предпринимателю или юридическому лицу специальным лицензирующим органом.
Аттестация выделенных помещений подразумевает проведение первичной проверки выданных помещений и тех технических средств, которые находятся в них на соответствие требований защиты.
Организация защиты информации на предприятии
Для того чтобы обеспечить защиту интеллектуальной собственности, в каждой компании установлен определенный порядок работы с информацией и доступа к ней, что подразумевает комплекс правовых, административных, инженерно-технических, организационных, социально-психологических, финансовых и прочих мероприятий, что основаны на организационно-распорядительных положениях руководства предприятия или на его правовых нормах.
Организация эффективной защиты информации на предприятии подразумевает обязательное выполнение некоторых условий:
- единство в принятии решений режимного, производственного, финансового и коммерческого характера;
- координация мероприятий безопасности между всеми подразделениями предприятия, которые заинтересованы в организации и проведении защиты информации;
- осуществление научной оценки информации и тех объектов, которые подлежат классификации;
- разработка всех необходимых режимных мероприятий еще до начала проведения режимных работ;
- персональная и материальная ответственность руководящих должностей разного уровня и тех исполнителей, принимающих участие в закрытых работах, за обеспечение сохранности конфиденциальной информации и коммерческой тайны предприятия, а также поддержание на должном уровне охранного режима выполняемых работ.
Этапы организации защиты информации и ее способы
Организация защиты информации и коммерческой тайны предприятия включает в себя обязательное выполнение следующих этапов:
- Определение предмета защиты. На данном этапе необходимо разработать перечень сведений, которые составляют коммерческую тайну предприятия. Она содержит наиболее ценную информацию, которая нуждается в усиленной охране и защите. Также на данном этапе учитываются требования по защите других организаций, что принимают участие в совместных работах.
- На следующем этапе организации защиты информации необходимо установить периоды существования определенных сведений, которые составляют коммерческую тайну.
- Далее необходимо определить категории носителей ценной информации: персонал, внутренняя документация, материалы и изделия; физические излучения, а также технические средства обработки, хранения и передачи ценной информации. Для того чтобы организовать правильное восприятие формируемой системы защиты, на данном этапе разрабатывается соответствующая схема, где установлены конкретные сотрудники, что осведомлены о коммерческой тайне.
- Далее необходимо перечислить стадии выполняемых работ и время материализации коммерческой тайны применительно к пространственным зонам.
- На следующем этапе необходимо составить схему с указанием конкретных сведений в пределах предприятия и вне его.
- После этого необходимо рассмотреть допустимые для компании несанкционированные перемещения, что можно использовать с целью овладения конкурентами коммерческой тайной. Эти перемещения корректируются или разрабатываются в процессе осуществления анализа разрешительных подсистем допуска и допуска к определенным сведениям, что составляют коммерческую тайну.
- На следующем этапе устанавливается, кто имеет право реализовать мероприятия и, кто несет ответственность за защиту определенной информации. Также планируются координационные меры и назначаются конкретные исполнители.
- В завершении намечаются действия, которые направлены на стимулирование и активизацию лиц, что задействованы в организации защиты информации предприятия. Обязательно проверяется надежность мер обеспечения защиты информации, которые приняты к реализации.
Предприниматели России в процессе организации защиты информации используют такие способы:
- Законодательная защита, которая подразумевает соблюдение тех прав юридического лица на защиту конфиденциальной информации, что предусмотрены действующим законодательством РФ. Если эти права будут нарушены, предприниматель может обратиться в соответствующие органы для того, чтобы восстановить нарушенные права и возместить убытки.
- Физическая защита информации подразумевает реализацию пропускного режима, который установлен на предприятии, а также охрану и использование специальных гостевых карточек, секретных шкафов и закрывающихся сейфов для посторонних.
- Организационная защита подразумевает создание должности, которая будет нести ответственность за отнесение определенной информации к категории конфиденциальной, а также за соблюдение правил доступа и пользования этих информационных данных.
- Техническая защита – это применение технических средств защиты и контроля (микрофоны, видеокамеры, сигнализирующие устройства, средства идентификации и защиту программных комплексов предприятия от несанкционированного вмешательства.