Организационные методы информационной безопасности
Для защиты информации конкретной информационной системы строится политика безопасности.
Политика информационной безопасности (англ. Organizational security policy) – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) – правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе закрытую информацию.
Для построения Политики информационной безопасности компании рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
1. Защита объектов информационной системы.
2. Защита процессов, процедур и программ обработки информации.
3. Защита каналов связи.
4. Подавление побочных электромагнитных излучений.
5. Управление системой защиты.
По каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания системы защиты информации:
1. Определение информационных и технических ресурсов, подлежащих защите.
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации.
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки.
4. Определение требований к системе защиты.
5. Осуществление выбора средств защиты информации и их характеристик.
6. Внедрение и организация использования выбранных мер, способов и средств защиты.
7. Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему.
На основе Политики информационной безопасности строятся методы организационной защиты информации.
Организационная защита информации – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организационная защита информации обеспечивает:
· организацию охраны, режима, работу с кадрами, с документами;
· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз организации.
К основным организационным мероприятиям можно отнести:
· организацию режима и охраны. Их цель – исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
· организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
· организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
· организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
· организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
· организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.