Нормативно-методическое обеспечение защиты информации

Нормативно-методическое обеспечение защиты информации предназначено для регламентации про­цессов обеспечения безопасности информации предприятия, в том числе при работе персонала с конфиденциальными сведениями, до­кументами, делами и базами данных.

Оно включаете себя ряд обязательных организационных, ин­структивных и информационных документов, устанавливающих принципы, требования и способы противодействия пассивным и активным угрозам ценной информации, которые могут возник­нуть по вине персонала, конкурентов, злоумышленников и дру­гих лиц.

Нормативно-методическое обеспечение базируется на тех обя­зательных положениях, которые должны содержаться в учреди­тельных и иных основополагающих документах организации и опреде­лять правовой статус ее информационной безопасности. Указан­ные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информацию, составляющую собственность организации и выполнять дей­ствия по ее защите.

Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих за­щиту ценной документированной информации, являются: положение о службе безопасности, положение о службе конфи­денциальной документации, должностные инструкции работников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и др.

Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию от­ражают избранную технологию системы защиты инфор­мации. Можно выделить основные регламентирующие докумен­ты, имеющие значение для любого предприятия и необходимые при ис­пользовании любой системы защиты информации или отдельных элементов такой системы.

Прежде всего, следует назвать Перечень конфиденциальных сведений предприятия и Классифицированный перечень документов, подлежащих защите.

Ин­струкция по обеспечению безопасности конфиденциальной инфор­мации, отражающая:

- обязанности сотрудников при работе с конфиденциальной информацией;

- порядок доступа работников к конфиденциальным документам и базам данных, оформление доступа;

- обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;

- порядок сохранения коммерческой при проведении совещаний, заседаний и переговоров;

- требования к помещениям для работы с конфиденциальной информацией;

- порядок охраны территории, здания, помещений, транспортных средств и персонала;

- пропускной режим помещений, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов;

- порядок приема, учета и контроля деятельности посетителей;

- требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях;

- организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств оргтехники;

- ответственность работников за разглашение конфиденциальной информации и утрату ценных документов.

Положение по защите персональных данных на предприятии (в организации), включающее:

- перечень и категорию персональных данных, обрабатываемых в информационных системах предприятия;

- режим обработки персональных данных;

- перечень и характер угроз информационным системам персональных данных;

- состав методов и средств защиты персональных данных, обрабатываемых в информационных системах предприятия.

Инструкции по обработке, хра­нению и движению конфиденциальных документов предназначена для организации работы сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, управляющего делами, секретаря-референта первого руководителя.

Информационные доку­менты (правила, требования, указания, методики, памятки и т. п.), детализирующие процессы защиты информации, носящие обязательный характер и устанавливающие порядок работы с кон­фиденциальной информацией и документами отдельных катего­рий работников, или всех работников в конкретных типо­вых ситуациях. При необходимости они могут составляться по каж­дому отдельному работнику.

Правила работы менеджера по безопасности (администратора информационной безопасности) с конфиденциальными документами и базами данных должны отражать:

- порядок приема и отправки конфиденциальных документов;

- порядок учета (регистрации) поступивших документов;

- организацию доступа исполнителей к конфиденциальным документам;

- распределение документов по руководителям и исполните­лям, ознакомление с документами исполнителей и передачу документов на исполнение;

- формирование и ведение справочно-информационного банка данных по конфиденциальным документам;

- контроль исполнения документов;

- учет и изготовление документов на пишущих устройствах;

- оформление и ведение номенклатуры дел;

- формирование и хранение (текущее и архивное) дел;

- порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;

- защиту информации при ведении телефонных переговоров и передаче информации по факсимильной связи;

- защиту информации при работе с ПЭВМ;

- построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;

- ответственность за нарушение правил работы с конфиденциальной документацией и базами данных.

Информационные документы регламентируют требования по единообразному выполнению персоналом определенных видов ти­повых действий. К таким документам можно отнести, например, Правила обеспечения безопасности и защиты конфиденци­альной информации в экстремальных ситуациях, содержащие:

- классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите конфиденциальной информации, информации и документов;

- порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;

- порядок (при необходимости — план) эвакуации и оказания помощи персоналу;

- порядок охраны имущества, оборудования и технических средств защиты информации;

- порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т. п.);

- порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций.