истання програмно-технічних засобів захисту;
· інші вимоги загального характеру.
Таким чином, політика безпеки - це організаційно-правовий і технічний документ одночасно. При її складанні треба завжди спиратися на принцип розумної достатності і не втрачати здорового глузду.
Наприклад, в політиці може бути зазначено, що все прибувають на територію фірми здають мобільні телефони вахтерові (такі вимоги зустрічаються в деяких організаціях). Чи буде хто-небудь слідувати цьому розпорядженню? Як це проконтролювати? До чого це приведе з точки зору іміджу фірми? Ясно, що це вимога нежиттєздатне. Інша справа, що можна заборонити використання на території мобільних телефонів співробітникам фірми, за умови достатньої кількості стаціонарних телефонів.
Особливу увагу в політиці безпеки треба приділити розмежуванню зони відповідальності між службою безпеки і IT-службою підприємства. Часто співробітники служби безпеки, в силу низької технічної грамотності, не усвідомлюють важливості захисту комп'ютерної інформації. З іншого боку, IT-співробітники, будучи «творчими» особистостями, як правило, намагаються ігнорувати вимоги служби безпеки. Кардинально вирішити цю проблему можна було б, запровадивши посаду CEO з інформаційної безпеки, якій би підпорядковувалися обидві служби.
У політиці безпеки не треба деталізувати посадові обов'язки яких би то не було співробітників. Ці обов'язки мають розроблятися на основі політики, але не всередині неї.
Для захисту інформації на підприємстві ВАТ «Мобільні ТелеСистеми» розроблена система захисту інформації (СЗІ). Виділяють наступні елементи СЗІ:
· Нормативно-правовий елемент ЗІ - це спеціальні закони, інші нормативні акти, правила, процедури та заходи. Забезпечують захист інформації на правовій основі. На даному підприємстві існують: ветеринарно-санітарні правила, правила пожежної безпеки, правила внутрішнього розпорядку;
· Організаційний елемент ЗІ - включає регламентацію виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або послаблює нанесення, якого збитку виконавцям. На даному підприємстві є шлагбаум при в'їзді на територію, в'їзд здійснюється тільки за перепустками, на вікнах першого поверху є грати, ведеться відеоспостереження за всією територією підприємства;
· Інженерно-технічний елемент ЗІ - це використання різних інженерно-технічних засобів, що перешкоджають нанесенню шкоди захищається інформації;
· Програмно-апаратний елемент ЗІ - це всі програмні й автоматизовані системи обробки даних забезпечують збереження і конфіденційність інформації.
2.2 Нормативно-правовий елемент захисту інформації на підприємстві ВАТ «Мобільні ТелеСистеми»
Як відомо, право - це сукупність загальнообов'язкових правил і норм поведінки, встановлених державою щодо певних сфер життя і діяльності.
Правовий елемент системи організації захисту інформації на підприємстві ВАТ «Мобільні ТелеСистеми» грунтується на нормах інформаційного права і має юридичне закріплення взаємин фірми і держави з приводу правомірності використання системи захисту інформації, фірми і персоналу з приводу обов'язки персоналу дотримуватися встановлені ...
