К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.
Основные свойства методов и средств организационной защиты:
- обеспечение полного или частичного перекрытия значительной части каналов утечки информации (например, хищения иликопирования носителей информации);
- объединение всех используемых в КС средств в целостныймеханизм защиты информации.
Методы и средства организационной защиты информации включают в себя:
- ограничение физического доступа к объектам КС и реализация режимных мер;
- ограничение возможности перехвата ПЭМИН;
- разграничение доступа к информационным ресурсам и процессам КС (установка правил разграничения доступа, шифрование информации при ее хранении и передаче, обнаружение иуничтожение аппаратных и программных закладок);
- резервное копирование наиболее важных с точки зрения утраты массивов документов;
- профилактику заражения компьютерными вирусами.
Перечислим основные виды мероприятий, которые должныпроводиться на различных этапах жизненного цикла КС:
- на этапе создания КС: при разработке ее общего проекта ипроектов отдельных структурных элементов — анализ возможныхугроз и методов их нейтрализации; при строительстве и переоборудовании помещений — приобретение сертифицированного оборудования, выбор лицензированных организаций; при разработке математического, программного, информационного и лингвистического обеспечения — использование сертифицированных программных и инструментальных средств; при монтаже и наладкеоборудования — контроль за работой технического персонала; прииспытаниях и приемке в эксплуатацию — включение в состав аттестационных комиссий сертифицированных специалистов;
- в процессе эксплуатации КС — организация пропускногорежима, определение технологии автоматизированной обработкидокументов, организация работы обслуживающего персонала,распределение реквизитов разграничения доступа пользователейк элементам КС (паролей, ключей, карт и т.п.), организация ведения протоколов работы КС, контроль выполнения требованийслужебных инструкций и т.п.;
- мероприятия общего характера — подбор и подготовка кадров, организация плановых и предупреждающих проверок средствзащиты информации, планирование мероприятий по защите информации, обучение персонала, участие в семинарах, конференциях и выставках по проблемам безопасности информации и т. п.
Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты (хотя далеко не все).
Можно выделить четыре уровня правового обеспечения информационной безопасности.
Первый уровень образуют международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России:
- международные (всемирные) конвенции об охране промышленной собственности, охране интеллектуальной собственности,авторском праве;
- Конституция РФ (ст. 23 определяет право граждан на тайнупереписки, телефонных, телеграфных и иных сообщений);
- Гражданский кодекс РФ (в ст. 139 устанавливается право навозмещение убытков от утечки с помощью незаконных методовинформации, относящейся к служебной и коммерческой тайне);
- Уголовный кодекс РФ (ст. 272 устанавливает ответственностьза неправомерный доступ к компьютерной информации, ст. 273 —за создание, использование и распространение вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатацииЭВМ, систем и сетей);
- Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ (регулирует отношения, возникающие при:осуществлении права на поиск, получение, передачу, производство и распространение информации;применении информационных технологий;обеспечении защиты информации.)
- Федеральный закон «О государственной тайне» от 21.07.93№ 5485-1 (ст. 5 устанавливает перечень сведений, составляющихгосударственную тайну; ст. 8 — степени секретности сведений игрифы секретности их носителей: «особой важности», «совершен
но секретно» и «секретно»; ст. 20 — органы по защите государственной тайны, межведомственную комиссию по защите государственной тайны для координации деятельности этих органов;ст. 28 — порядок сертификации средств защиты информации, относящейся к государственной тайне);
- Федеральные законы «О лицензировании отдельных видов деятельности» от 08.08.2001 № 128-ФЗ, «О связи» от 16.02.95 № 15-ФЗ,«Об электронной цифровой подписи» от 10.01.02 № 1-ФЗ, «Об авторском праве и смежных правах» от 09.07.93 № 5351-1, «О правовой охране программ для электронных вычислительных машин ибаз данных» от 23.09.92 № 3523-1 (ст. 4 определяет условие признания авторского права — знак © с указанием правообладателяи года первого выпуска продукта в свет; ст. 18 — защиту прав напрограммы для ЭВМ и базы данных путем выплаты компенсациив размере от 5000 до 50 000 минимальных размеров оплаты трудапри нарушении этих прав с целью извлечения прибыли или путем возмещения причиненных убытков, в сумму которых включаются полученные нарушителем доходы).
Второй уровень правового обеспечения информационной безопасности составляют подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ. Примерами таких актов могут являться Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» от 06.03.97 № 188 или Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 № 35.
Третий уровень правового обеспечения информационной безопасности составляют государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующим государственными органами. В качестве примеров можно привести следующие документы:
- ГОСТ Р 50922—96 «Защита информации. Основные терминыи определения», ГОСТ Р 50739—95 «Средства вычислительнойтехники. Защита от несанкционированного доступа к информации. Общие технические требования», ГОСТ 28147—89 «Системыобработки информации. Защита криптографическая. Алгоритмкриптографического преобразования» и др.;
- руководящие документы Государственной технической комиссии при Президенте Российской Федерации (ГостехкомиссииРоссии) «Концепция защиты средств вычислительной техники иавтоматизированных систем от несанкционированного доступа кинформации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» и др.
Четвертый уровень правового обеспечения информационной безопасности образуют локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации. К таким нормативным документам относятся:
- приказ об утверждении перечня сведений, составляющих коммерческую тайну предприятия;
- трудовые и гражданско-правовые договоры (подряда, поручения, комиссии и т.п.), в которые включены пункты об обязанности возмещения ущерба за разглашение сведений, составляющих коммерческую тайну предприятия, и др.