вий захист інформації
Така підсистема призначена для регламентації діяльності користувачів ІС і являє собою упорядковану сукупність організаційних рішень, нормативів, законів і правил, що визначають загальну організацію робіт із захисту інформації в ІС.
Досягнення високого рівня безпеки неможливо без прийняття належних організаційних заходів. З одного боку, ці заходи повинні бути спрямовані на забезпечення правильності функціонування механізмів захисту та виконуватися адміністратором безпеки системи. З іншого боку, керівництво організації, що експлуатує засоби автоматизації, має регламентувати правила автоматизованої обробки інформації, включаючи і правила її захисту, а також встановити міру відповідальності за порушення цих правил. p align="justify"> Організаційно-правовий захист структурно можна уявити так:
Організаційно-правові питання:
В· органи, підрозділи та особи, відповідальні за захист;
В· нормативно-правові, методичні та інші матеріали;
В· заходи відповідальності за порушення правил захисту;
В· порядок вирішення спірних ситуацій.
Реєстраційні аспекти:
В· фіксація "підпис" під документом;
В· фіксація фактів ознайомлення з інформацією;
В· фіксація фактів зміни даних;
В· фіксація фактів копіювання змісту.
Юридичні аспекти:
В· Затвердження в якості законів:
В· правил захисту інформації;
В· заходів відповідальності за порушення правил захисту;
В· реєстраційних рішень;
В· процесуальних норм і правил.
Морально-психологічні аспекти:
В· підбір і розстановка кадрів;
В· навчання персоналу;
В· система моральних і матеріальних стимулів;
В· контроль за дотриманням правил.
Для організації та забезпечення ефективного функціонування СЗІ повинні бути розроблені документи, що визначають порядок і правила забезпечення безпеки інформації при її обробці в ІС, а також документи, що визначають права і обов'язки користувачів при роботі з електронними документами юридичного характеру ( договір про організацію обміну електронними документами).
План захисту інформації може містити такі відомості:
В· призначення ІС;
В· перелік вирішуваних нею завдань;
В· конфігурація;
В· характеристики та розміщення технічних засобів та програмного забезпечення;
В· перелік категорій інформації (пакетів, файлів, наборів і баз даних, в яких вони містяться), які підлягають захисту в ІС;
В· вимоги щодо забезпечення доступності, конфіденційності, цілісності різних категорій інформації;
В· список користувачів і їх повноважень з доступу до ресурсів системи;
В· мета захисту системи та шляхи забезпечення безпеки ІС і циркулюючої в ній інформації;
В· перелік загроз безпеки ІС, від яких потрібен захист, і найбільш ймовірних шляхів нанесення шкоди;
В· основні вимоги до організації процесу функціонування ІС і заходам забезпечення безпеки оброблюваної інформації;
В· вимоги до умов застосування та визначення відповідальності, встановлених в системі технічних засобів захисту від НСД;
В· основні правила, що регламентують діяльність персоналу з питань забезпечення безпеки ІС (особливі обов'язки посадових осіб ІС);
В· мета забезпечення безперервності процесу функціонування ІС, своєчасність відновлення...
