Проблемы обеспечения информационной безопасности: правовые и организационные аспекты

Аннотация: Для создания эффективной системы информационной безопасности должны быть использованы комплексно различные средства и методы. Особое место занимают правовые и организационные методы защиты информации.

Abstract: To create an effective information security system, it is important to use various security tools and methods in a comprehensive manner. A special place is occupied by legal and organizational methods of information protection.
Ключевые слова: информационная безопасность, правовая защита информации, организационная защита информации.
Keywords: information security, legal protection of information, organizational protection of information.

Защита информации на данный момент – один из самых насущных проблем информационного общества в связи с тем, что всевозможные данные, которые накапливаются и обрабатываются вычислительной техникой, определяют направление деятельности и иные аспекты.
Многие проблемы информационной безопасности связаны с недооценкой важности выявления и устранения потенциальных угроз. В широком смысле под информационной безопасностью государства понимается состояние защищенности его национальных интересов в информационной сфере, которые определяются совокупностью сбалансированных интересов государства, общества и личности [6].
Информационная безопасность организаций и предприятий представляет собой состояние защищенности корпоративных данных, обеспечивающее их целостность, аутентичность, конфиденциальность и доступность [3].
Система информационной безопасности выполняет многообразные задачи, к примеру:
    разграничение доступа к документам с различной степенью конфиденциальности;
    обеспечение защищенного хранения на различных носителях;
    обеспечение защиты данных, которые передаются по каналам связи;
    послеаварийное восстановление информационной системы;
    создание резервных копий и др.
Наиболее полную защиту информации можно выполнить только при комплексном и системном подходе. Полноценная информационная безопасность организаций и предприятий предполагает непрерывный контроль важных событий, влияющих на безопасность данных в реальном времени.
Защита должна осуществляться все время и учитывать жизненный цикл информации, начиная от поступления и заканчивая уничтожением или потерей актуальности.
В общем виде, можно заключить, что задача информационной безопасности предполагает обеспечение основных характеристик информации: целостности, доступности и конфиденциальности.
В обеспечении информационной безопасности организаций и предприятий ключевую роль играют организационные меры защиты. Данные меры должны обязательно поддерживаться инженерно-техническими, экономическими, программно-аппаратными и техническими средствами [7].
Организационные меры защиты предполагают меры, которые обеспечивают регламентацию процессов функционирования автоматизированных систем и деятельности персонала предприятия таким образом, чтобы это могло максимально затруднить или исключить вероятность реализации угроз информационной безопасности [4].
По сути, выбор организационных средств подразумевает применение управленческих функций руководством предприятия, которые связаны с организацией защиты информации, включающей также конфиденциальные сведения, с помощью приказов, инструкций и их документирования.
Организационный аспект защиты информации также включает в себя такие  меры защиты информации, как анализ рисков, планирование действий во время чрезвычайных ситуаций, планирование процесса обеспечения информационной безопасности, подбор средств обеспечения защиты информации, работа с персоналом и т.д.
Так к наиболее важным организационным мероприятиям по обеспечению защиты информации относятся:
    четкое разделение персонала с выделением соответствующих помещений на определенные группы;
    ограничение доступа сотрудников других подразделений и посторонних лиц в помещения;
    разграничение доступа к компьютерам;
    определение требований к сотрудникам, связанных с соблюдением соответствующего уровня защиты информации [9].
Для того чтобы обеспечить сохранность информации  при возникновении сбоев и аварий необходимо обеспечить эффективное резервное копирование данных и возможность их восстановления, так:
    резервное копирование должно автоматически ежедневно производиться в конце рабочего дня после завершении работы информационной системы или по инициативе администратора;
    восстановление данных из резервной копии  должна обеспечиваться только администратором системы.
Помимо этого должны быть разработаны планы, содержащие сведения о самых важных функциях, необходимых условиях обработки информации и т.п. Так, могут быть разработаны следующие планы:
    руководство администратора;
    руководство пользователя;
    порядок реагирования на инциденты и т.п.
Помимо организационного аспекта одним из способов обеспечения безопасности является правовая защита информации. Различные процессы обеспечения информационной безопасности в организациях и на предприятиях должно быть стандартизировано, также должны учитываться все нормативно-правовые акты в данной области.
Основой правового элемента системы защиты информации являются нормы информационного права. Правовой элемент предполагает юридическое закрепление отношений государства и предприятия по поводу правомерности использования системы информационной безопасности, персонала и предприятия по поводу обязанности персонала по соблюдению установленных мер защитного характера, ответственности персонала за нарушение порядка защиты информации и т.д. [4] 
Данный элемент позволяет:
    формулировать и доводить до сведения персонала положения о правовой ответственности в случае разглашения конфиденциальной информации, за фальсификацию документов или уничтожение;
    указывать в организационных документах организаций и предприятий правила внутреннего трудового распорядка, а также положения и обязательства по защите конфиденциальной информации в должностных инструкциях и трудовых договорах;
    разъяснять лицам, которые принимаются на работу, положения о добровольности ограничений, непосредственно связанных с выполнением обязательств по обеспечению информационной безопасности [6].
В целях создания взаимосвязанной структуры нормативных документов предприятия в области обеспечения информационной безопасности, разрабатываемые и обновляемые нормативные документы должны соответствовать иерархии, представленной на рисунке 1.
  
Рисунок 1 – Иерархия нормативных документов предприятия

1) Политика информационной безопасности является внутренним нормативным документом по информационной безопасности первого уровня.
2) Документы второго уровня – инструкции, порядки, регламенты и прочие документы, описывающие действия сотрудников предприятия по реализации документов первого и второго уровня.
3) Документы третьего уровня – отчётные документы о выполнении требований документов верхних уровней [8].
Наиболее важным вопросом при обеспечении информационной безопасности предприятия следует считать правильную разработку Политики безопасности, так как она охватывает значительные части организации предприятия, охватывающие не только материально-техническую часть, но и работу персонала.
Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме.
В правовом плане основными подсистемами защиты информации могут являться:
    разграничение доступа к информации;
    установление режима конфиденциальности на объекте;
    выделение конфиденциальной информации в качестве основного объекта защиты;
    правовое обеспечение процесса информационной безопасности.
На уровне конкретной организации или предприятия, опираясь на государственные правовые акты, должны быть разработаны собственные нормативно-правовые документы, которые ориентированы на обеспечение защиты информации.
К этим документам главным образом относятся:
    Политика Информационной безопасности;
    Положение о защите персональных данных;
    Положение о коммерческой тайне;
    Перечень сведений, составляющих конфиденциальную информацию. предприятия;
    Инструкция о порядке допуска сотрудников к сведениям, которые составляют конфиденциальную информацию;
    Обязательство сотрудника о сохранении конфиденциальной информации;
    Памятка сотруднику об обеспечении сохранности коммерческой тайны;
    Положение о специальном документообороте и делопроизводстве [8].
Перечисленные нормативные акты призваны на правовой основе предупредить случаи неправомерного разглашения секретов, а также принимать в случае их нарушения соответствующие меры воздействия.
По сути, для создания системы защиты информации используется документ, в котором сформулированы основные положения и принципы политики организации или предприятия в сфере информационной безопасности. В том документе обозначаются следующие вопросы:
1.    разработка системы нормативны правовых документов (правовое обеспечение защиты информации), которые актуальны для деятельности предприятия. С одной стороны данная система определяет правила защиты информации, а с другой стороны она устанавливает ответственность за их нарушения; 
2.    выявление вероятных угроз безопасности информации, которые условно делятся на три основные группы, возникающие:
    вследствие отказа программных или технических средств или некорректной работы (к примеру, сбой в работе операционной системы, который вызван вирусом);
    вследствие человеческого фактора, а именно: непреднамеренные ошибки специалистов во время работы в информационной системе (случайное удаление данных), а также преднамеренные действия (кража носителей информации или документов);
    вследствие катаклизмов, стихийных бедствий и т.д. [5]
3.    Составление перечня данных, которые подлежат защите. Информация, используемая на предприятии, может быть закрытой или открытой. Открытыми считаются данные, которые не составляют коммерческой или государственной тайны, а также к категории конфиденциальной информации в соответствии с законодательством или внутренним документам предприятия [1]. Защиты этих данных не приоритетна, так как ущерб от потери такого рода не значителен.
К закрытой информации относятся:
    данные, относящиеся государственной тайной, перечень которых определено законодательством;
    служебные и коммерческие сведения – информация, которая связана с финансами и иными средствами и сведениями, утрата или утечка которых может привести к непоправимому ущербу;
    персональные данные сотрудников.
Защита персональных данных сотрудников очень важна для любого предприятия. Для всех видов данных должны быть указаны место и время их возможного появления, программные и технические средства, посредством которых производится их обработка, подразделения непосредственно работающие с ними и т.д. [2]
Таким образом, система защиты информации состоит из множества методов и средств защиты. Наиболее важным является комплекс специальных мер правового и административного характера, организационных мероприятий. Совокупность этих мер и составляет организационно-правовую защиту информации.
Организационные меры предполагают инструктаж сотрудников, имеющих право обращаться к конфиденциальной информации, разграничение доступа, доведение до сведения сотрудников административных мер наказания за разглашение конфиденциальной информации, определение правила парольной защиты и т.д. Эти меры должны быть первоочередными, так как они смогут обеспечить в полном объеме остальные меры защиты.
После определения основных организационных моментов должны быть рассмотрены правовые аспекты. Так, должны быть разработаны нормативные акты, которые направлены на предупреждение случаев неправомерного разглашения секретов. Кроме того должны приниматься соответствующие меры воздействия в случае нарушения мер безопасности. Наиболее важным элементом в правовом обеспечении информационной безопасности предприятия является политика безопасности, поэтому разработка полной и эффективной политики безопасности должна быть первоочередной задачей при разработке системы защиты информации. Данный шаг позволит избежать потенциальных рисков и угроз.