[ЗВУК] Следующая категория мер защиты информации,
о которых мы поговорим, это административные меры защиты информации.
Административные меры защиты информации,
как вы можете помнить из предыдущей лекции, включают правила доступа и работы
с информацией, установленные руководством организации.
По своей сути административные меры защиты информации направлены
прежде всего на персонал организации, а также на его взаимодействие с лицами,
находящимися на контролируемой территории в силу их обязанностей или
исполняемых организацией функций.
То есть если предполагается, например, что в организацию должны приходить посетители,
то это будут посетители.
Если должны приходить лица,
обеспечивающие функционирование поддерживающей инфраструктуру, например,
электроснабжения, водопровода, системы пожарной безопасности, то представители
подобных организаций тоже могут появляться на территории организации.
Соответственно, административные меры защиты информации направлены на регламент
допуска в различные помещения.
Например, в помещения, в которых происходят переговоры, включающие
обсуждение информации, составляющей, например, коммерческую тайну.
Если вы обратитесь к модели нарушителя, которые мы с вами строили несколько
лекций назад, то вспомните, что в качестве некоторых угроз, которые разные
нарушители могут реализовывать, мы рассматривали возможность того,
что нарушитель может попасть на территорию организации под видом, например,
сотрудника подобной организации, то есть попадать в категорию лиц, привлекаемых,
допустим, к пусконаладочным работам, и установить некие
технические средства негласного съема информации, известные как жучки.
Поэтому регламент допуска подобных лиц должен быть четко
установлен и соблюдаться.
Административные меры защиты информации могут опираться на законодательные меры,
в том числе и как на обоснование запрета конкретных действий.
Если какие-то действия с информацией конкретной категории (например,
информация, составляющая коммерческую тайну) или персональных данных,
прямо запрещаются законом,
то соответствующие запреты могут быть подтверждены в административных мерах или
уточнены и применены к конкретным технологиям обработки информации.
Кроме того, на законодательные меры защиты информации можно опираться
как на источник санкций за нарушение конкретных мер и конкретных установлений.
Речь идет о том, что, например, если сотрудник негласно собирает информацию о
своих коллегах с использованием собранного им вручную подслушивающего устройства,
известного как жучок, то можно охладить его пыл,
сообщив о том, что это является уголовно наказуемым деянием,
и если подобные прецеденты будут еще раз повторены, то служба безопасности
организации может заявить об этом в правоохранительные органы.
То же самое относится, например, к похищению информации с места работы,
к присвоению результатов чужого труда,
чужой интеллектуальной собственности и к ряду других деяний.
Поэтому административные меры защиты информации могут использовать
законодательные меры как источник санкций — такого сдерживающего
фактора для сотрудников от различных правонарушений в
сфере защиты информации и в сфере обработки информации вообще.
Административные меры защиты информации сами по себе не слишком хорошо
справляются с противодействием нарушителю, действующему целенаправленно,
и поэтому, как правило, должны поддерживаться организационно-техническими
и программно-техническими мерами защиты информации,
то есть конкретными физическими, техническими,
программно-аппаратными, аппаратными комплексами и системами.
Они должны соответствовать официальной и фактической позиции руководства
организации, то есть не следует допускать такой ситуации,
когда административные меры руководством изданы и даже учреждены,
но при этом фактическая позиция руководства им противоречит.
То есть согласно регламенту что-то делать нельзя,
а фактически это допускается и даже требуется руководством, или наоборот.
Административные меры, для того чтобы быть эффективными и достигать поставленных
перед ними целей, непременно должны быть доведены до сведения всех сотрудников
организации, а их исполнение должно контролироваться и лучше, если сотрудники
также будут обучены действовать правильно и соблюдать все предписанные требования.
Административные меры защиты информации, как правило,
составляют совокупность взглядов руководства на все ситуации,
возникающие при хранении, обработке и передаче информации,
а также конкретные указания на необходимые действия в таких ситуациях — и штатных,
и каких-то выходящих за рамки стандартных ситуаций,
возникающих при функционировании объекта информатизации.
Во многом административные меры защиты информации являются определяющими для
фактического уровня эффективности системы информационной безопасности организации.
Поскольку они связаны со всеми другими категориями мер защиты информации,
именно они во многом определяют, будут ли использоваться другие категории
мер и будут ли они использоваться правильно и, соответственно, эффективно.
На территории объекта информатизации, в его информационной системе может быть
установлена, допустим, криптографическая система защиты информации,
но при этом сотрудники по той или иной причине могут избегать ей пользоваться,
например, в силу сложности, в силу нежелания разбираться в ее особенностях,
в силу своей невысокой квалификации.
Именно административные меры защиты информации могут стимулировать их
правильно ей пользоваться и пользоваться ей в принципе,
не отказываться от нее на собственное усмотрение.
Административные меры защиты информации, как правило,
включают следующие крупные мероприятия: это управление рисками; разработка
политики безопасности организации; управление
персоналом и планирование действий в чрезвычайных ситуациях.
Эти категории действий, входящих в понятие
административных мер защиты информации, далее мы рассмотрим подробнее.
[ЗВУК]
