Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия. 
 

3 Организационная ЗИ

     Организационная защита информации является организационным  началом, так называемым «ядром»  в общей системе защиты конфиденциальной информации предприятия. От полноты  и качества решения руководством предприятия и должностными лицами организационных задач зависит  эффективность функционирования системы  защиты информации в целом. Роль и  место организационной защиты информации в общей системе мер, направленных на защиту конфиденциальной информации предприятия, определяются исключительной важностью принятия руководством своевременных  и верных управленческих решений  с учетом имеющихся в его распоряжении сил, средств, методов и способов защиты информации и на основе действующего нормативно-методического аппарата.

     Организационная защита информации — составная часть  системы защиты информации, определяющая и вырабатывающая порядок и правила  функционирования объектов защиты и  деятельности должностных лиц в  целях обеспечения защиты информации.

     Организационная защита информации на предприятии —  регламентация производственной деятельности и взаимоотношений субъектов (сотрудников  предприятия) на нормативно-правовой основе, исключающая или ослабляющая  нанесение ущерба данному предприятию.

     Первое  из приведенных определений в  большей степени показывает сущность организационной защиты информации. Второе — раскрывает ее структуру  на уровне предприятия. Вместе с тем  оба определения подчеркивают важность нормативно-правового регулирования  вопросов защиты информации наряду с  комплексным подходом к использованию  в этих целях имеющихся сил  и средств. Основные направления  организационной защиты информации приведены ниже.

     Организационная защита информации:

     - Организация аналитической работы  и контроля;

     - Организация внутриобъектового  и пропускного режимов и охраны;

     - Организация конфиденциального делопроизводства;

     - Организация работы с персоналом;

3.1 Организация аналитической работы и контроля

     Анализ  состояния защиты информации — это  комплексное изучение фактов, событий, процессов, явлений, связанных с  проблемами защиты информации, в том  числе данных о состоянии работы по выявлению возможных каналов  утечки информации, о причинах и  обстоятельствах, способствующих утечке и нарушениям режима секретности (конфиденциальности) в ходе повседневной деятельности предприятия.

     Основное  предназначение аналитической работы — выработка эффективных мер, предложений и рекомендаций руководству  предприятия, направленных на недопущение  утечки конфиденциальной информации о  деятельности предприятия и проводимых работах. Аналитическая работа должна включать элементы прогнозирования  возможных действий противника по получению  важной защищаемой информации.

     Основные  направления аналитической работы на предприятии следующие:

• анализ объекта защиты;
• анализ внутренних и внешних угроз информационной безопасности предприятия;
• анализ возможных каналов несанкционированного доступа к информации;
• анализ системы комплексной безопасности объектов;
• анализ имеющих место нарушений режима конфиденциальности информации;
• анализ предпосылок к разглашению информации, а также к утрате носителей конфиденциальной информации.

     Функции анализа на предприятии возлагаются  на специально создаваемое в его  структуре аналитическое подразделение, которое комплектуется квалифицированными специалистами в области защиты информации.

     Вместе  с тем, данные специалисты должны в полной мере владеть информацией  по всем направлениям деятельности предприятия: знать виды, характер и последовательность выполнения производственных работ, взаимодействующие  организации, специфику деятельности структурных подразделений предприятия  и т.д. Как правило, аналитическое  подразделение включается в состав службы безопасности предприятия.

     Аналитическое подразделение должно обеспечивать руководство предприятия достоверной  и аналитически обработанной информацией, необходимой для принятия эффективных  управленческих решений по всем направлениям защиты информации. Основными функциями  аналитического подразделения являются:

• обеспечение своевременного поступления достоверных и всесторонних сведений по проблемам защиты информации;
• учет, обобщение и постоянный анализ материалов о состоянии дел в системе защиты информации предприятия (его филиалов и представительств);
• анализ возможных угроз защите информации, моделирование реального сценария возможных действий конкурентов (злоумышленников), затрагивающих интересы предприятия;
• обеспечение эффективности работы по анализу имеющейся информации, исключение дублирования при ее сборе, обработке и распространении;
• мониторинг ситуации на рынке продукции, товаров и услуг, а также во внешней среде в целях выявления событий и фактов, которые могут иметь значение для деятельности предприятия;
• обеспечение безопасности собственных информационных ресурсов, ограничение доступа сотрудников предприятия к аналитической информации; подготовка выводов и предложений, направленных на повышение эффективности планируемых и принимаемых мер по защите информации, а также уточнение (корректировку) организационно-планирующих документов предприятия и его структурных подразделений;
• выработка рекомендаций по внесению изменений и дополнений в методические документы, регламентирующие алгоритм действий сотрудников предприятия по защите информации (стандарты предприятия).

3.2 Организация внутриобъектового  и пропускного  режимов и охраны

     Организация охраны — составная часть общей  системы защиты конфиденциальной информации предприятия. Вопросы обеспечения  надежной охраны территории предприятия  и его объектов неразрывно связаны  с задачами организации пропускного  режима на предприятии. Силы и средства, участвующие в решении этих задач, являются составными элементами системы  охраны предприятия.

     Контрольно-пропускной режим - это комплекс организационно-правовых ограничений и правил, устанавливающих  порядок пропуска через контрольно-пропускные пункты в отдельные здания (помещения) сотрудников объекта, посетителей, транспорта и материальных средств.

     Он является одним из ключевых моментов в организации системы безопасности на предприятии. С этих позиций контрольно-пропускной режим представляет собой комплекс организационных мероприятий (административно-ограничительных), инженерно-технических решений и действий службы безопасности.

     Контрольно-пропускной режим (как часть системы безопасности) должен соответствовать действующему законодательству, уставу предприятия, а также иным нормативно-правовым актам, регулирующим деятельность предприятия.

     Контрольно-пропускной режим можно определить как систему  обеспечения нормативных, организационных  и материальных гарантий выявления, предупреждения и пресечения посягательств  на законные права предприятия, его  имущество, интеллектуальную собственность, производственную дисциплину, технологическое  лидерство, научные достижения и  охраняемую информацию и как совокупность организационно-правовых ограничений  и правил, устанавливающих порядок  пропуска через контрольно-пропускные пункты сотрудников объекта, посетителей, транспорта и материальных ценностей.

3.3 Организация конфиденциального делопроизводства

     Организация конфиденциального делопроизводства включает:

• создание подразделения, обеспечивающего изготовление, учет, хранение, обработку и использование конфиденциальных документов, установление его статуса, структуры, численного и должностного состава;
• разработку положения о подразделении и должностных инструкций сотрудников;
• выделение для подразделения служебного помещения;
• обеспечение необходимых условий труда;
• разработку или приобретение нормативных документов и методической литературы по организации и ведению конфиденциального делопроизводства;
• создание постоянно действующей экспертной комиссии;
• оформление допуска сотрудников к коммерческой и служебной тайне и обучение их правилам работы с конфиденциальными документами.

     В целях обеспечения условий для  сохранности и конфиденциальности документов и в силу небольшого по сравнению с открытым делопроизводством  объема документов конфиденциальное делопроизводство должно быть централизованным, т.е. сосредоточенным  в едином подразделении предприятия.

     При незначительном объеме конфиденциального  делопроизводства специальное подразделение  конфиденциального делопроизводства может не создаваться. В этом случае обязанности по работе с конфиденциальными  документами возлагается на работников других подразделений.

     Основные  задачи и функции подразделения  конфиденциального делопроизводства должны быть закреплены в положении  о подразделении, а обязанности, права, ответственность сотрудников  -  в должностных инструкциях.

     В соответствии с законодательством  сотрудники подразделения конфиденциального  делопроизводства несут дисциплинарную, административную либо гражданско-правовую  ответственность  за утрату конфиденциальных документов или разглашение содержащейся в них информации, поэтому в  должностных инструкциях должна быть установлена персональная ответственность  сотрудников за сохранность конфиденциальных документов и содержащейся в них  информации.

     Важной  составной частью организации конфиденциального  делопроизводства является создание постоянно  действующей экспертной комиссии (ПДЭК). Задачами такой комиссии должны быть:

• разработка перечней сведений, составляющих коммерческую и служебную тайну;
• разработка перечней издаваемых предприятием конфиденциальных документов;
• снижение или снятие степени конфиденциальности сведений и грифа конфиденциальности документов;
• разработка Положения о системе доступа к конфиденциальным документам;
• экспертиза ценности конфиденциальных документов с целью установления сроков их хранения и  отбора  документов  на  основе этих сроков для архивного хранения и уничтожения;
• проведение аналитической работы по предотвращению утечки и утраты конфиденциальной информации.

     Сотрудники, работающие с конфиденциальными  документами, должны иметь допуск к  соответствующим видам тайны. Допуск сотрудников предприятия к коммерческой и служебной тайне осуществляется с их согласия и предусматривает:

• принятие сотрудниками обязательств по соблюдению установленного на предприятии режима соответствующего вида тайны, которые закрепляются в трудовом договоре  или специальном соглашении;
• ознакомление сотрудников с положениями законодательства, предусматривающими ответственность за нарушение конфиденциальности;
• ознакомление сотрудников с перечнями сведений, составляющих коммерческую и служебную тайну предприятия, и к которым сотрудники имеют право доступа.