![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Организационные меры защиты
Организационные (административные) меры защиты – это меры, регламентирующие процессы функционирования автоматизированной системы, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации. Комплекс организационных мероприятий включает разработку следующей необходимой документации: - должностные инструкции; - положения об обработке персональных данных; - приказы; - журналы: журнал регистрации выявленных нарушений; журнал регистрации используемого программного обеспечения; журнал по учету носителей информации, содержащих персональные данные; журнал учета обращений граждан (субъектов персональных данных); - обязательства сотрудников органа муниципального управления о неразглашении данных; - регламенты взаимодействия между подразделениями органа муниципального управления; - регламенты использования программного обеспечения; - регламенты использования ресурсов сети Интернет; - требования к профессиональной подготовке персонала. При организации рабочих процессов в местной администрации необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к защищаемым персональным данным. Руководитель администрации должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям и персональным данным, хранящимся в базах данных информационной системы, должен определяться соответствующими регламентами и должностными инструкциями. К организационным мероприятиям по защите ценной информации можно отнести следующие меры: 1. Чёткое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга. 2. Ограничение доступа в помещения посторонних лиц или сотрудников других подразделений. 3. Жёсткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным, поскольку довольно часто нет средств на покупку ПК для каждого сотрудника. 4. Требование от сотрудников в перерывах выключать компьютер или использовать специальные программы – хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана. Главная цель организационных мер, предпринимаемых на высшем управленческом уровне, – сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел. Под политикой информационной безопасности органа муниципального управления понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить, какими ресурсами (материальные, персонал) они будут достигнуты, найти разумный компромисс между приемлемым уровнем безопасности и функциональностью автоматизированной системы, определить процедуры и правила достижения целей и решения задач безопасности информации и детализировать (регламентировать) эти правила. Элементами осуществления политики безопасности информации являются: 1. Принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение лиц, ответственных за ее реализацию. 2. Определение области применения политики безопасности информации; 3. Формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации. 4. Принятие решений по вопросам реализации программы безопасности. 5. Обеспечение нормативной правовой базы вопросов безопасности. 6. Определение роли и обязанности должностных лиц, отвечающих за проведение политики безопасности информации. 7. Определение и разграничение прав доступа и регламента обращения к защищаемой информации. 8. Выбор программно-математических и технических (аппаратных) средств криптографической защиты, противодействия несанкционированным действиям, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений. Организационные меры, реализующие правовой режим, предусматривают создание и поддержание правовой базы защиты информации и разработку (введение в действие) следующих организационно-распорядительных документов: 1. Положение о сохранности служебной информации ограниченного распространения. Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность работников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) организациям. 2. Перечень сведений, отнесенных к категории конфиденциальных (служебная информация ограниченного распространения, коммерческая тайна, банковская тайна, персональные данные), уровня и сроков обеспечения ограничений по доступу к защищаемой информации. 3. Приказы и распоряжения по установлению режима защиты информации: о создании комиссии по формированию Перечня сведений ограниченного распространения, о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации, о вводе в эксплуатацию объектов информатизации, о назначении выделенных помещений, о допуске работников к работе со служебной информацией ограниченного распространения, о назначении лиц, ответственных за обеспечение сохранности служебной информации ограниченного распространения в автоматизированной системе. 4. Инструкции и функциональные обязанности работников по организации охранно-пропускного режима, делопроизводства, работы со служебной информацией ограниченного распространения в электронной форме, по допуску сторонних организаций и учреждений к информационным ресурсам предприятия, по защите служебной информации ограниченного распространения, по организации модификаций аппаратно-программных конфигураций. 5. другие нормативные правовые акты.
|