2014-10-30
5976
Нормативные документы по защите информации коммерческих организаций (предприятий) разрабатываются:
для адаптации существующих требований по защите информации и обеспечению информационной безопасности к нуждам организаций (предприятий);
восполнения пробелов в системе нормативных документов федерального и отраслевого уровня;
внедрения международных стандартов по ИБ;
реализации выбранной модели обеспечения ИБ.
Указанные нормативные документы коммерческих организаций (предприятий) должны обеспечить:
соответствие системы защиты информации законодательству Российской Федерации, государственным стандартам и нормативным документам ведомств, уполномоченных государством в качестве регулирующих деятельность в области защиты информации;
документальное определение защищаемых информационных ресурсов и порядка отнесения ресурсов к защищаемым и установление порядка доступа к ним;
организацию процесса разработки и реализации приказов, инструкций, методик и других документов по обеспечению безопасности информации в организации (предприятии) и дочерних структурах в соответствии со спецификой их деятельности;
|
|
|
регулирование физической защиты (режима доступа и охраны, противопожарной и технологической защиты) зданий и помещений, где установлены или хранятся средства обработки информации и/или ее носители, производятся работы с защищаемой информацией;
регламентирование вопросов защиты информации и соблюдения режима конфиденциальности при подготовке и во время ведения переговоров (деловых встреч) с отечественными и зарубежными партнерами, а также в договорах о сотрудничестве и выполнении работ в интересах организации (предприятия) с другими организациями;
установление персональной ответственности (в том числе материальной) за обеспечение безопасности информации с отражением соответствующих положений в контрактах (трудовых соглашениях) с сотрудниками, положениях о поощрениях и взысканиях.
подготовку персонала, работающего с защищаемой информацией, по вопросам информационной безопасности;
регулярный аудит (в том числе активный) существующей системы безопасности в соответствии с разработанным регламентом.
На основании вышеизложенного в рамках нормативного обеспечения коммерческих организаций (предприятий) по защите информации выделяются следующие направления:
Создание нормативных документов, регламентирующих деятельность самой организации (предприятия) и персонала в области безопасности информации, регулирующих отношения с государством и с коллективом сотрудников.
К таким документам относятся:
|
|
|
Устав организации (предприятия). В него необходимо внести дополнения «организация (предприятие) имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну, требовать от своих сотрудников обеспечения ее сохранности». «Организация (предприятие) должна обеспечивать сохранность коммерческой тайны». Внесение этих дополнений дает право администрации организации (предприятия) создавать организационные структуры по защите информации, издавать нормативно-распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и их защиты, В данном случае в понятие защиты включаются также требования по защите в договорах по всем видам хозяйственной деятельности, по защите интересов компании перед государственными и судебными органами, распоряжающимися информацией, являющейся собственностью компании, в целях извлечения выгоды, и недопущения экономического ущерба коллективу компании и собственнику информации.
Перечень сведений, составляющих коммерческую тайну организации (предприятия). Данный перечень может быть конкретизирован до каждого должностного лица и доведен до каждого сотрудника в рамках его должностных обязательств.
Договор с сотрудниками, который должен содержать следующий пункт: «администрация обязуется обеспечить разработку и осуществление мероприятий по определению и защите информации, а сотрудники принимают на себя обязательства по соблюдению установленных в организации (на предприятии) требований по защите информации».
Правила внутреннего трудового порядка.
Порядок приема и увольнения сотрудников.
2. Распределение функций по защите информации среди персонала службы защиты информации к организации (предприятия):
расстановка сотрудников по направлениям защиты информации;
организация социальной и профессиональной адаптации сотрудников в коллективе службы защиты информации;
организация системы оплаты и стимулирования труда;
оценка результатов деятельности любого сотрудника;
организация продвижения по службе наиболее перспективных сотрудников;
организация подготовки руководителей службы защиты информации на базе внутреннего резерва;
организация подготовки и переподготовки сотрудников;
исследование коллектива службы защиты информации с точки зрения неформальных отношений. Функции, связанные с обеспечением безопасности информации, должны распределяться между персоналом таким образом, чтобы каждый сотрудник знал ровно столько, сколько ему положено знать, и понимал, что вверенная ему коммерческая информация (КИ) должна быть доступна только санкционированному кругу лиц.
3. Обеспечение понимания сотрудниками организации (предприятия) необходимости работы службы защиты информации. Основные конфликты в ходе обеспечения безопасности информации возникают в процессе взаимодействия службы защиты информации с администрацией и другими подразделениями организации (предприятия). В связи с этим необходимо:
разъяснять сотрудникам организации (предприятия) необходимость обеспечения безопасности информации;
определить конкретные права и обязанности сотрудников службы защиты информации и закрепить их в нормативных документах;
определить арбитра, который мог бы решить возникший конфликт;
создать и определить необходимую концепцию защиты информации и информировать о ней все заинтересованные подразделения и сотрудников;
разработать систему вознаграждений сотрудников за выполнение норм и правил по обеспечению безопасности информации.
Таким образом, в Российской Федерации имеется ряд нормативных документов как федерального, так и ведомственного уровня, регламентирующих деятельность пообеспечению защиты информации. В основном эти документы направлены на защиту интересов государства и граждан и не отражают конкретных нужд коммерческих организаций (предприятий) по защите информации. В этой части документы носят рамочный характер, предполагая принятие либо подзаконных актов, либо самостоятельную разработку организациями (предприятиями) пакета нормативных документов по защите информации.
|
|
|
Действующая на сегодняшний день нормативная правовая база дает возможность организациям (предприятиям) индивидуально разрабатывать комплект нормативных документов, регламентирующих обеспечение безопасности информации. В комплекте нормативных документов, регулирующих процесс защиты информации, можно выделить:
1) базовые или концептуальные документы;
2) документы, регламентирующие взаимоотношения с персоналом и партнерами;
3) должностные инструкции и прочие документы.
