В течение первой половины 1995 г. правительством Российской Федерации во исполнение закона "О государственной тайне" приняты постановления "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны" (№ 333 от 15 апреля 1995 г.) и "О сертификации средств защиты информации" (№ 608 от 26.06.95 г.).
Указанные постановления формируют механизм получения предприятиями и организациями '(независимо от их организационно-правовой формы) лицензии на право осуществления любой деятельности, связанной с информацией, составляющей государственную тайну, а также общий порядок сертификации средств, предназначенных для защиты секретной информации.
Принятый Государственной думой федеральный закон "Об участии в международном информационном обмене" от 5 июня 1996 г. № 85-ФЗ определяет необходимость сертификации средств и лицензирования деятельности в области международного информационного обмена при работе с конфиденциальной информацией. Закон предоставляет ФАПСИ право участвовать в определении ограничений на вывоз из Российской Федерации и ввоз в нашу страну иностранных информационных продуктов, а также утверждения порядка лицензирования деятельности, сертификации средств и аттестации систем международного обмена при работе с конфиденциальными сведениями.
Перечисленные нормативные акты утвердили полномочия и компетенцию ФАПСИ в сфере лицензирования деятельности в области защиты и сертификации средств защиты информации.
Организационные аспекты [4]. Включают в себя выработку политики информационной безопасности; анализ рисков (т.е. ситуаций, в которых может произойти нарушение нормальной работы информационной системы, а также утрата или рассекречивание данных); планирование обеспечения информационной безопасности; планирование действий в чрезвычайных ситуациях; подбор средств обеспечения информационной безопасности. Перейдем к более подробному рассмотрению перечисленных выше задач.
Политика информационной безопасности определяет:
— какую информацию и от кого (чего) следует защищать;
— кому и какая информация требуется для выполнения служебных обязанностей;
— какая степень защиты требуется для каждого вида ин формации;
— чем грозит потеря того или иного вида информации;
— как организовать работу по защите информации.
Решения по этим вопросам принимают руководители организации, имеющие право решать, какой риск должен быть исключен, а на какой можно пойти, а также определять объем и порядок финансирования работ по обеспечению выбранного уровня информационной безопасности.
Для выработки политики информационной безопасности необходимо провести исследования. Сначала осуществляется сбор информации, состоящей из описания структуры организации; перечня и краткой характеристики функций, выполняемых каждым ее подразделением и работником; иерархии должностных лиц; описания функциональных связей между подразделениями и отдельными рабочими местами; перечня информационных объектов, циркулирующих в системе; перечня применяемых системных и прикладных программ (комплексов) с указанием используемых и порождаемых ими информационных объектов; описания топологии комплекса технических средств компьютерной системы.
Потом производятся обработка и систематизация полученных данных. Информационные объекты могут быть классифицированы по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери данной инфор-
мации (или по выгоде для конкурента при ее получении), по трудоемкости ее восстановления.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.