Главная страница Случайная страница
КАТЕГОРИИ:
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника
Организационные меры защиты
|
|
Организационные (административные) меры защиты – это меры, регламентирующие процессы функционирования автоматизированной системы, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.
Комплекс организационных мероприятий включает разработку следующей необходимой документации:
- должностные инструкции;
- положения об обработке персональных данных;
- приказы;
- журналы:
журнал регистрации выявленных нарушений;
журнал регистрации используемого программного обеспечения;
журнал по учету носителей информации, содержащих персональные данные;
журнал учета обращений граждан (субъектов персональных данных);
- обязательства сотрудников органа муниципального управления о неразглашении данных;
- регламенты взаимодействия между подразделениями органа муниципального управления;
- регламенты использования программного обеспечения;
- регламенты использования ресурсов сети Интернет;
- требования к профессиональной подготовке персонала.
При организации рабочих процессов в местной администрации необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к защищаемым персональным данным. Руководитель администрации должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям и персональным данным, хранящимся в базах данных информационной системы, должен определяться соответствующими регламентами и должностными инструкциями.
К организационным мероприятиям по защите ценной информации можно отнести следующие меры:
1. Чёткое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга.
2. Ограничение доступа в помещения посторонних лиц или сотрудников других подразделений.
3. Жёсткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным, поскольку довольно часто нет средств на покупку ПК для каждого сотрудника.
4. Требование от сотрудников в перерывах выключать компьютер или использовать специальные программы – хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана.
Главная цель организационных мер, предпринимаемых на высшем управленческом уровне, – сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Под политикой информационной безопасности органа муниципального управления понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
Политика должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить, какими ресурсами (материальные, персонал) они будут достигнуты, найти разумный компромисс между приемлемым уровнем безопасности и функциональностью автоматизированной системы, определить процедуры и правила достижения целей и решения задач безопасности информации и детализировать (регламентировать) эти правила.
Элементами осуществления политики безопасности информации являются:
1. Принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение лиц, ответственных за ее реализацию.
2. Определение области применения политики безопасности информации;
3. Формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации.
4. Принятие решений по вопросам реализации программы безопасности.
5. Обеспечение нормативной правовой базы вопросов безопасности.
6. Определение роли и обязанности должностных лиц, отвечающих за проведение политики безопасности информации.
7. Определение и разграничение прав доступа и регламента обращения к защищаемой информации.
8. Выбор программно-математических и технических (аппаратных) средств криптографической защиты, противодействия несанкционированным действиям, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.
Организационные меры, реализующие правовой режим, предусматривают создание и поддержание правовой базы защиты информации и разработку (введение в действие) следующих организационно-распорядительных документов:
1. Положение о сохранности служебной информации ограниченного распространения.
Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность работников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) организациям.
2. Перечень сведений, отнесенных к категории конфиденциальных (служебная информация ограниченного распространения, коммерческая тайна, банковская тайна, персональные данные), уровня и сроков обеспечения ограничений по доступу к защищаемой информации.
3. Приказы и распоряжения по установлению режима защиты информации: о создании комиссии по формированию Перечня сведений ограниченного распространения, о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации, о вводе в эксплуатацию объектов информатизации, о назначении выделенных помещений, о допуске работников к работе со служебной информацией ограниченного распространения, о назначении лиц, ответственных за обеспечение сохранности служебной информации ограниченного распространения в автоматизированной системе.
4. Инструкции и функциональные обязанности работников по организации охранно-пропускного режима, делопроизводства, работы со служебной информацией ограниченного распространения в электронной форме, по допуску сторонних организаций и учреждений к информационным ресурсам предприятия, по защите служебной информации ограниченного распространения, по организации модификаций аппаратно-программных конфигураций.
5. другие нормативные правовые акты.