Под системой информационной безопасности (системой защиты информации) понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности.
Главная цель любой системы информационной безопасности заключается в обеспечении устойчивого функционирования объекта защиты:
- предотвращение угроз его безопасности;
- защите законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых;
- обеспечение нормальной деятельности всех подразделений объекта.
Другая задача сводится к повышению качества предоставляемых услуг и гарантий безопасности, имущественных прав и интересов предприятия.
Главными требованиями к организации эффективного функционирования системы являются:
- персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации;
- регламентация состава конфиденциальных сведений и документов, подлежащих защите;
- регламентация порядка доступа персонала к конфиденциальным сведениям и документам;
- наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.
Система информационной безопасности имеет следующие виды обеспечения, опираясь на которые она выполняет свою основную функцию:
- правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия;
- организационное обеспечение. Реализация защиты информации осуществляется определенными структурными единицами, например, такой как Отдел информационной безопасности;
- аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности системы;
- программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
- математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
- лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
- нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях требований защиты информации.
Система информационной безопасности предприятия должна быть построена с соблюдением следующих правил:
- Профилактика возможных угроз. Необходимо своевременное выявление возможных угроз безопасности предприятия, анализ которых позволит разработать соответствующие профилактические меры.
- Законность. Меры по обеспечению безопасности разрабатываются на основе и в рамках действующих правовых актов. Локальные правовые акты предприятия не должны противоречить законам и подзаконным актам.
- Комплексное использование сил и средств. Для обеспечения безопасности используются все имеющиеся в распоряжении предприятия силы и средства. Каждый сотрудник должен, в рамках своей компетенции, участвовать в обеспечении безопасности предприятия.
- Координация и взаимодействие внутри и вне предприятия. Меры противодействия угрозам осуществляются на основе взаимодействия и координации усилий всех подразделений, служб предприятия, а также установления необходимых контактов с внешними организациями, способными оказать необходимое содействие в обеспечении безопасности предприятия. Организовать координацию может служба безопасности предприятия.
- Сочетание гласности с секретностью. Доведение информации до сведения персонала предприятия и общественности в допустимых пределах мер безопасности выполняет важнейшую роль — предотвращение потенциальных и реальных угроз.
- Компетентность. Сотрудники должны решать вопросы обеспечения безопасности на профессиональном уровне, а в необходимых случаях специализироваться по основным его направлениям.
- Экономическая целесообразность. Стоимость финансовых затрат на обеспечение безопасности не должна превышать тот оптимальный уровень, при котором теряется экономический смысл их применения.
- Плановая основа деятельности. Деятельность по обеспечению безопасности должна строиться на основе комплексной программы обеспечения безопасности предприятия.
- Системность. Этот принцип предполагает учет всех факторов, оказывающих влияние на безопасность предприятия, включение в деятельность по его обеспечению всех сотрудников, использование всех сил и средств.
