Система информационной безопасности

Под системой информационной безопасности (системой защиты информации) понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности.

Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта защиты:

- предотвращение угроз его безопасности;

- защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых;

- обеспечение нормальной деятельности всех подразделений объекта.

Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности, имущественных прав и интересов предприятия.

Главными требованиями к организации эффективного функционирования системы являются:

- персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации;

- регламентация состава конфиденциальных сведений и документов, подлежащих защите;

- регламентация порядка доступа персонала к конфиденциальным сведениям и документам;

- наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.

Система информационной безопасности имеет следующие виды обеспечения, опираясь на которые она выполняет свою основную функцию:

- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;

- организационное обеспечение. Реализация защиты информации осуществляется определенными структурными единицами, например, такой как Отдел информационной безопасности;

- аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности системы;

- программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;

- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;

- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;

- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях требований защиты информации.

Система информационной безопасности предприятия должна быть построена с соблюдением следующих правил:

- Профилактика возможных угроз. Необходимо своевременное выявление возможных угроз безопасности предприятия, анализ которых позволит разработать соответствующие профилактические меры.

- Законность. Меры по обеспечению безопасности разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.

- Комплексное использование сил и средств. Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей компетенции, участвовать в обеспечении безопасности предприятия.

- Координация и взаимодействие внутри и вне предприятия. Меры противодействия угрозам осуществляются на основе взаимодействия и координации усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия. Организовать координацию может служба безопасности предприятия.

- Сочетание гласности с секретностью. Доведение информации до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль — предотвращение потенциальных и реальных угроз.

- Компетентность. Сотрудники должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.

- Экономическая целесообразность. Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения.

- Плановая основа деятельности. Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия.

- Системность. Этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников, использование всех сил и средств.