Информационное обеспечение процессов управления

 Если предприятия лишь  эпизодически работают с конфиденциальной  информацией в силу ее небольших  объемов, вместо создания подразделений  они могут включать в свои  штаты отдельные должности специалистов  по защите информации. Данные  подразделения и должности являются  органами защиты информации [9, c. 100].

Предприятия, работающие с  незначительными объемами конфиденциальной информации, могут на договорной основе использовать потенциал более крупных предприятий, имеющих необходимое количество квалифицированных сотрудников, высокоэффективные средства защиты информации, а также большой опыт практической работы в данной области.

Ведущую роль в организации  защиты информации на предприятии играют руководитель предприятия, а также  его заместитель, непосредственно  возглавляющий эту работу.

Руководитель предприятия  несет персональную ответственность  за организацию и проведение необходимых  мероприятий, направленных на исключение утечки сведений, отнесенных к конфиденциальной информации, и утрат носителей  информации. Он обязан:

- знать фактическое состояние  дел в области защиты информации, организовывать постоянную работу  по выявлению и закрытию возможных  каналов утечки конфиденциальной  информации;

- определять обязанности  и задачи должностным лицам  и структурным подразделениям  предприятия в этой области;

- проявлять высокую требовательность  к персоналу предприятия в  вопросах сохранности конфиденциальной  информации;

- оценивать деятельность  должностных лиц и эффективность  мероприятий по защите информации [9, с. 150].

Заместитель руководителя предприятия  обязан постоянно изучать все  стороны и направления деятельности предприятия для принятия своевременных  мер по защите информации; руководить работой службы безопасности (иных структурных подразделений, решающих задачи по защите информации); выполнять  другие функции по организации защиты информации в ходе проведения предприятием всех видов работ. Более подробно обязанности руководителя предприятия  и его заместителя, отвечающего  за защиту информации, рассмотрены  в других статьях.

На предприятиях для организации  работ по защите информации могут  создаваться следующие основные виды структурных подразделений:

- режимно-секретные;

- подразделения по технической защите информации и противодействию иностранным техническим разведкам;

- подразделения криптографической защиты информации; мобилизационные;

- подразделения охраны и пропускного режима.

Функции, возлагаемые на перечисленные подразделения, определяются решением (приказом) руководителя предприятия  и отражаются в соответствующих  положениях [11, c. 200].

По решению руководителя предприятия данные подразделения  организационно могут объединяться в службу безопасности, руководитель которой в некоторых случаях  может быть наделен статусом заместителя  руководителя предприятия и полномочиями должностного лица, осуществляющего  руководство работой структурных  подразделений предприятия, деятельность которых связана с использованием и защитой информации.

Режимно-секретное подразделение, мобилизационное подразделение и подразделение по технической защите информации и противодействию иностранным техническим разведкам создаются на предприятиях, выполняющих работы с использованием сведений, составляющих государственную тайну (вне зависимости от наличия на предприятии иной информации с ограниченным доступом).

Режимно-секретное подразделение является основным структурным подразделением предприятия и решает задачи организации, координации и контроля деятельности других структурных подразделений (персонала предприятия) по обеспечению защиты сведений, составляющих государственную тайну. На предприятиях, не выполняющих работы со сведениями, составляющими государственную тайну, для решения аналогичных задач в отношении других видов информации с ограниченным доступом создается и функционирует служба безопасности (служба защиты информации) [11, с. 215].

Подразделение по технической  защите информации и противодействию  иностранным техническим разведкам  решает задачи организации и проведения комплекса технических мероприятий, направленных на исключение или существенное затруднение добывания иностранными разведками с помощью технических  средств сведений, отнесенных к конфиденциальной информации и подлежащих защите.

Подразделение криптографической  защиты информации создается в целях  предотвращения утечки конфиденциальной информации при ее передаче по открытым каналам (линиям) связи с помощью  технических средств, а также  при использовании локальных  вычислительных сетей, имеющих выход  за пределы территории предприятия.

Подразделение охраны и пропускного  режима создается в целях предотвращения несанкционированного (бесконтрольного) пребывания на территории и объектах предприятия посторонних лиц  и транспорта, нанесения ущерба предприятию  путем краж (хищений) с территории предприятия материальных средств  и иного имущества. В некоторых  случаях для решения задач  охраны и пропускного режима на предприятиях могут создаваться отдельные  самостоятельные подразделения.

Мобилизационное подразделение  решает задачи всесторонней подготовки предприятия к работе в условиях военного времени, призыва и поступления  мобилизационных людских и материальных ресурсов.

Кроме перечисленных подразделений  предприятия к работе по организации  защиты информации могут привлекаться и иные структурные подразделения, для которых выполнение мероприятий  по защите информации не является основной функцией [Там же, с. 217].

К таким подразделениям относятся  кадровый орган, орган юридической  службы (юрисконсульт), орган психологической  и воспитательной работы, пресс-служба предприятия и др. Особо необходимо отметить важность участия в организации  защиты информации производственных, так называемых «тематических» структурных  подразделений (отдельных должностных  лиц), которые создают продукцию и товары или оказывают услуги (например, производство стрейч пленки), и в связи с этим самым непосредственным образом взаимодействуют с другими предприятиями и органами государственной власти.

Для проведения работ по организации защиты информации используются также возможности различных  нештатных подразделений предприятия, в том числе коллегиальных  органов (комиссий), создаваемых для  решения специфических задач  в этой области. В их числе – постоянно действующая техническая комиссия, экспертная комиссия, комиссия по рассекречиванию носителей конфиденциальной информации, комиссия по категорированию объектов информатизации и др. Функции, возлагаемые на данные комиссии, рассмотрены в других статьях.

Чтобы добиться максимальной эффективности при решении задач  защиты информации, наряду с возможностями  упомянутых штатных и нештатных  подразделений (должностных лиц) необходимо использовать имеющиеся на предприятии средства защиты информации[18, c. 156].

Под средствами защиты информации понимают технические, криптографические, программные и другие средства и  системы, разработанные и предназначенные  для защиты конфиденциальной информации, а также средства, устройства и  системы контроля эффективности  защиты информации.

Технические средства защиты информации — устройства (приборы), предназначенные для обеспечения  защиты информации, исключения ее утечки, создания помех (препятствий) техническим  средствам доступа к информации, подлежащей защите.

Криптографические средства защиты информации – средства (устройства), обеспечивающие защиту конфиденциальной информации путем ее криптографического преобразования (шифрования).

Программные средства защиты информации — системы защиты средств  автоматизации (персональных электронно-вычислительных машин и их комплексов) от внешнего (постороннего) воздействия или вторжения.

Эффективное решение задач  организации защиты информации невозможно без применения комплекса имеющихся  в распоряжении руководителя предприятия  соответствующих сил и средств. Вместе с тем определяющую роль в  вопросах организации защиты информации, применения в этих целях сил и  средств предприятия играют методы защиты информации, определяющие порядок, алгоритм и особенности использования данных сил и средств в конкретной ситуации.

Методы защиты информации – применяемые в целях исключения утечки информации универсальные и специфические способы использования имеющихся сил и средств (приемы, меры, мероприятия), учитывающие специфику деятельности по защите информации [5, c. 135].

Общие методы защиты информации подразделяются на правовые, организационные, технические и экономические.

Методы защиты информации с точки зрения их теоретической  основы и практического использования  взаимосвязаны. Правовые методы регламентируют и всесторонне нормативно регулируют деятельность по защите информации, выделяя, прежде всего, ее организационные направления. Тесную связь организационных и  правовых методов защиты информации можно показать на примере решения  задач по исключению утечки конфиденциальной информации, в частности относящейся к коммерческой тайне предприятия, при его взаимодействии с различными государственными и территориальными инспекторскими и надзорными органами.

 Эти органы в соответствии  с предоставленными им законом  полномочиями осуществляют деятельность  по получению (истребованию), обработке  и хранению информации о предприятиях  и гражданах (являющихся их  сотрудниками).

Передача информации, в  установленном порядке отнесенной к коммерческой тайне или содержащей персональные данные работника предприятия, должна осуществляться на основе договора, предусматривающего взаимные обязательства сторон по нераспространению (неразглашению) этой информации, а также необходимые меры по ее защите.

Организационные механизмы  защиты информации определяют порядок  и условия комплексного использования  имеющихся сил и средств, эффективность  которого зависит от применяемых  методов технического и экономического характера [7, c. 250].

Технические методы необходимы для эффективного применения имеющихся  в распоряжении предприятия средств  защиты информации, основанных на новых  информационных технологиях.[5, c. 80]

Среди перечисленных методов  защиты информации особо выделяются организационные методы, направленные на решение следующих задач:

- реализация на предприятии эффективного механизма управления, обеспечивающего защиту конфиденциальной информации и недопущение ее утечки;

- осуществление принципа персональной ответственности руководителей подразделений и персонала предприятия за защиту конфиденциальной информации;

- определение перечней сведений, относимых на предприятии к различным категориям (видам) конфиденциальной информации;

- ограничение круга лиц, имеющих право доступа к различным видам информации в зависимости от степени ее конфиденциальности;

- подбор и изучение лиц, назначаемых на должности, связанные с конфиденциальной информацией, обучение и воспитание персонала предприятия, допущенного к конфиденциальной информации;

- организация и ведение конфиденциального делопроизводства;

- осуществление систематического контроля за соблюдением установленных требований по защите информации [5, c. 80].

Таким образом, средства и методы защиты должны противостоять незаконному вмешательству в программное обеспечение организаций.

 

Заключение

 

Информация в процессе управления играет чрезвычайно большую  роль. Это совокупность сведений и  сигналов о состоянии, процессах  и явлениях в жизнедеятельности  предприятий. Ее восприятие зависит  от множества обстоятельств психологического и технического свойства. Информация является такой продукцией, которой интересуются буквально все руководители. В ряде стран имеет место юридическое обеспечение защиты информации.

Научно-технический прогресс, открытия и изобретения в области  электроники позволили в последние  десятилетия создать целые информационные системы и разнообразные информационные технологии. Среди них автоматизированная система управления, информационная система управления, Информационно-вычислительные центры и комплексы и др.

Информация является объектом исследования целого ряда научных дисциплин, таких как теория информации (математическая теория систем передачи информации), кибернетика (наука о связи и управлении в машинах и животных, а также  в обществе и человеческих существах), семиотика (наука о знаках и знаковых системах), теория массовой коммуникации (исследование средств массовой информации и их влияния на общество), информатика (изучение процессов сбора, преобразования, хранения, защиты, поиска и передачи всех видов информации и средств их автоматизированной обработки), соционика (теория информационного метаболизма индивидуальной и социальной психики), информодинамика (наука об открытых информационных системах), информациология (наука о получении, сохранении и передаче информации для различных множеств объектов) и т. д.