Элемент организационной защиты информации

Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, устанавливающие технологию защиты и побуждающие персонал соблюдать правила защиты ценной информации учреждения. Элемент включает в себя:

• формирование и регламентацию деятельности службы безопасности учреждения (или менеджера по безопасности), обеспечение этой службы нормативно-методическими документами по организации и технологии защиты информации;

• регламентацию и регулярное обновление состава (перечня, списка, матрицы) ценной информации учреждения, подлежащей защите, составление и ведение перечня (описи) бумажных, машиночитаемых и электронных ценных документов фирмы;

• регламентацию системы (иерархической схемы) разграничения доступа персонала к ценной информации;

• регламентацию методов отбора персонала для работы с закрытой информацией, методики обучения и инструктирования сотрудников;

• регламентацию технологии защиты и обработки бумажных, машиночитаемых и электронных документов учреждения (делопроизводственной, автоматизированной и смешанной технологий);

• регламентацию порядка защиты ценной информации учреждения от случайных или умышленных несанкционированных действий персонала;

• регламентацию порядка защиты информации при проведении совещаний, заседаний, проведении переговоров, приеме посетителей, работе с представителями средств массовой информации;

• регламентацию аналитической работы по выявлению угроз ценной информации и каналов разглашения, утечки информации;

• оборудование и аттестацию помещений и рабочих зон, выделенных для работы с ценной информацией, лицензирование технических систем и средств защиты информации и охраны, сертификацию информационных систем, предназначенных для обработки закрытой информации;

• регламентацию пропускного режима на территории, в здании и помещениях учреждения, идентификацию персонала и посетителей;

• регламентацию системы охраны территории, здания, помещений, оборудования, транспорта и персонала учреждения;

• регламентацию организационных вопросов эксплуатации технических средств защиты информации и охраны;

• регламентацию организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

• регламентацию действий службы безопасности и персонала учреждения в экстремальных ситуациях;

• регламентацию работы по управлению системой защиты информации;

• регламентацию критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы. По мнению большинства специалистов, меры организационной защиты информации составляют 50–60 % в структуре большинства систем защиты информации. Это связано с рядом факторов и также с тем, что важной стороной организационной защиты информации является подбор, расстановка и обучение персонала, который будет осуществлять на практике принципы и методы защиты. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой, даже самой технически совершенной системы защиты информации.

Организационные меры защиты отражаются в нормативно-методических документах службы безопасности учреждения. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты – элемент организационно-правовой защиты информации.