Организационные средства защиты
Организационными средствами защиты названы организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе проектирования, создания и эксплуатации АСОД с целью защиты информации. Организационные средства играют особую роль в общем механизме защиты, что обусловлено повышенным влиянием случайных факторов на защищенность информации, а важнейшей отличительной чертой рассматриваемых средств является их способность учитывать случайные факторы (неформальный характер).
Следующее важное обстоятельство, которое непременно должно учитываться при разработке организационных средств, заключается в особой, тройственной их роли в механизмах защиты информации: они, во-первых, позволяют непосредственно решать (самостоятельно или в комплексе с другими средствами) задачи защиты, во вторых, обеспечивают эффективное использование средств других классов, а, в третьих позволяют рациональным образом объединить все средства в единую, целостную систему защиты.
Основными методами формирования организационных средств могут быть только неформально-эвристические методы в различных модификациях. Рассматриваемые ниже средства формировались именно такими методами. Для этого была разработана приводимая ниже классификационная структура организационных средств, затем методами экспертных суждений формировались перечни средств каждой группы.
Отличительные особенности организационных средств обусловливают и особенности их использования, самой важной из которых является та, что защитные функции организационных средств могут быть реализованы лишь как результат целенаправленной деятельности людей, имеющих отношение к автоматизированной обработке защищаемой информации. Отсюда вытекает ряд следствий, основными из которых следует назвать следующие:
– люди, реализующие организационные средства, должны иметь стимулы, побуждающие их эффективно реализовывать все организационные средства,
– они должны быть подготовлены к реализации этих средств,
они должны быть обеспечены всем необходимым для их реализации.
На основе анализа сущности и места организационных средств в общей структуре средств защиты информации нетрудно заключить, что для системной классификации рассматриваемых средств представительной будет следующая совокупность критериев: этапы жизненного цикла системы защиты информации; функции организационных средств; сфера действия организационных средств.
В таблице 3 приведены общие данные, характеризующие структуру перечисленных критериев.
Таблица 3. Структура критериев системной классификации
организационных средств защиты информации
Наименование | Общая характеристика критерия | Значение критерия | Характеристика значения критерия |
1. Функции организационных средств | Характеризует назначение организационных средств и их место в общей совокупности средств защиты. | Непосредственная защита информации. Поддержка других средств. Объединение средств защиты в единую систему. | Выделяет те организационные средства, применением которых (самостоятельно или в совокупности с другими) обеспечивается полное или частичное перекрытие одного или нескольких каналов несанкционированного получения информации. Выделяет те организационные средства, которые необходимы (целесообразны) для эффективного функционирования других средств. Выделяет те организационные средства, которые необходимы (целесообразны) для эффективного объединения всех используемых средств в единую систему защиты информации. |
2. Этапы жизненного цикла системы защиты информации | Характеризует тот интервал времени, в течение которого используются организационные средства. | Проектирование. Внедрение. Эксплуатация. | Выделяет те организационные средства, которые необходимы (целесообразны) на этапе проектирования СЗИ. Выделяет те организационные средства, которые необходимы (целесообразны) на этапе внедрения СЗИ. Выделяет те организационные средства, которые необходимы (целесообразны) на этапе эксплуатации СЗИ. |
3. Сфера действия средств | Характеризует те субъекты, объекты или процессы, на которые распространяется действие организационных средств. | Общего назначения: – направленные на структурные компоненты АСОД; – направленные на технологию автоматизированной обработки информации; – направленные на людей. | Выделяет те организационные средства, которые носят всеобщий характер. Выделяет те организационные средства, которые регламентируют построение или функционирование технического, математического, программного, информационного или лингвистического обеспечения АСОД. Выделяет те организационные средства, которые регламентируют построение или функционирование технологии автоматизированной обработки защищаемой информации. Выделяет те организационные средства, которые регламентируют деятельность людей, участвующих в автоматизированной обработке информации. |
Тогда классификационная структура организационных средств будет выглядеть так, как показано на рисунке 5.
Рис. 5. Классификационная структура
организационных средств защиты информации
Полное множество элементов классификационной структуры организационных средств определяется декартовым произведением значений всех составляющих критериев системной классификации. Каждый элемент образованного таким образом множества представляет собой группу однородных организационных средств. Конкретный же перечень средств может быть самым различным. Целенаправленно проводимые организационно-технические и организационно-правовые мероприятия непременно должны сопровождать все процессы, каким-либо образом имеющие отношение к обработке защищаемой информации.
Ниже для иллюстрации приводится перечень некоторых организационных мер защиты:
1) организация разработки, внедрения и использования средств и систем защиты;
2) управление доступом персонала на территорию, в здания и помещения объекта;
3) контроль состояния и использования технических средств, документов, машинных носителей информации и других компонентов АСОД;
4) контроль соблюдения правил защиты информации пользователями и персоналом АСОД;
5) планирование и организация обработки защищаемой информации;
6) подбор, расстановка и подготовка кадров, участвующих в обработке защищаемой информации;
7) организация уничтожения бумажных документов, надобность в которых миновала;
8) организация ведения архивных массивов данных и документов;
9) ведение журналов регистрации сбоев и отказов средств и систем защиты;
10) организация учета и обработки сведений об обнаруженных удачных и неудачных попытках несанкционированных действий в АСОД;
11) организация и проведение профилактических осмотров и ремонта средств и систем защиты информации;
12) анализ функционирования средств и систем защиты информации;
13) разработка и внедрение в практику инструкций и других документов, регламентирующих правила обращения с защищаемой информацией.