Система обеспечения информационной безопасности организации

характеризуется двумя составляющими: деятельностью по подготовке и реализации мер, направленных на противодействие проявлению угроз информационной безопасности и миними ­ зацию последствий этих проявлений; субъектами этой деятель­ности.

Деятельность по обеспечению информационной безопасности базируется на следующих основных принципах:

законность, заключающаяся в строгом и неуклонном испол­нениинорм законодательства Российской Федерации, соблюдении прав и свобод человека и гражданина; непрерывность, предполагающая рассмотрение деятельности в качестве одной из функций организации; комплексность, заключающаяся во всестороннем анализе фактов оказывающих влияние на риски информационной без­винности, при планировании данной деятельности и использовании всех имеющихся возможностей и выделенных ресурсов для реализации составленных планов;

- замкнутость, заключающаяся в совместном осуществлении деятельности по предупреждению проявления угроз, снижению их опасности, выявлению проявлений угроз, минимизации по­следствий этих проявлений, а также по оценке эффективности выполнения планов противодействия угрозам и их соответству­ющего уточнения.

В этой деятельности широко используются методы поощрения, убеждения и принуждения.

Меры по противодействию проявлению угроз информационной без­опасности организации и минимизации последствий этих проявле­ний охватывают три основных направления деятельности:

- управление персоналом;

- организация объектового режима;

- организационно-техническое обеспечение.

Меры по управлению персоналом направлены на минимизацию рисков, связанных с проявлением личностных свойств и качеств участников организации, а также взаимодействующих с ней субъек­тов. Они включают подбор и расстановку кадров, обеспечение должной мотивации сотрудников к добросовестной работе, под­готовку и повышение их квалификации.

Меры по организации объектового режима нацелены на ми­нимизацию рисков, связанных с возможными попытками нане­сения ущерба организации ее участникам и взаимодействующим с ней субъектам. Эти мероприятия включают осуществление про­пускного и внутриобъектового режимов, в том числе установ­ление и поддержание режимов информации, информационно- коммуникационных систем и систем связи, контроль поддержа­ния установленных режимов и проведение служебных рассле­дований по фактам их нарушения. При этом режимы информа­ционно-коммуникационных систем и систем связи направлены на достижение требуемых значений основных свойств безопас­ности используемых в организации информационных техноло­гий: конфиденциальности, целостности и готовности к исполь­зованию.

Меры по организационно-техническому обеспечению позволяют использовать возможности техники для установления и поддер­жания объектового режима. Они включают мероприятия по ис­пользованию средств защиты информации, информационных и коммуникационных систем, средств связи, а также по установле­нию и реализации политики безопасности в информационно-ком­муникационных системах.

Важную роль в эффективной реализации мер по противодей­ствию угрозам информационной безопасности играет норматив­но-методическое обеспечение.

Субъектами обеспечения информационной безопасности организаций являются создаваемые в них координационные (например, советы по безопасности информационных техноло­гий) и кадровые органы, специализированные структурные под­разделения по вопросам информационной безопасности или дол­жностные лица, а также структурные образования, специализи­рующиеся на оказании услуг в данной области, объединяемые в единую систему.

Структура указанной системы и ее составных частей может быть различной. Например, в организации может быть создан совет по безопасности информационных технологий, который решает во­просы выработки внутренней политики в этой области, ее реали­зации и нормативно-методического обеспечения.

Для качественного выполнения данных функций в состав со­вета включают представителей высшего руководства организации и должностных лиц, осуществляющих непосредственное управле­ние обеспечением информационной безопасности. В некоторых случаях управление этой деятельностью может быть возложено на ответственных сотрудников соответствующих структурных подраз­делений.