82
- организацию подготовки и скрытого контроля за работой пользователей и персонала ИТС;
- мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях
оборудования и программного обеспечения (сертификация используемых технических и
программных средств, строгое санкционирование, рассмотрение и утверждение всех
изменений, проверка их на соответствие требованиям защиты, документальное отражение
изменений и т.п.).
Организационные меры защиты реализуются путем разработки соответствующих
нормативных документов (положений, инструкций и т.п.) и административного контроля за
выполнением персоналом (пользователями) ИТС требований данных документов.
Примерный перечень документов, которыми может регламентироваться порядок обработки
информации в ИТС:
- положение о службе защиты информации в ИТС. Должно определять задачи, функции,
штатную структуру, обязанности, права и ответственность сотрудников службы, порядок
взаимодействия с другими подразделениями;
- план защиты информации в ИТС. Должен определять основные задачи защиты:
- классификацию информации, описание технологии ее обработки;
- модель нарушителя;
- модель угроз (формализованное или неформализованное описание способов реализации
угроз в ИТС);
- политику безопасности обрабатываемой информации;
- перечень документов, в соответствии с которыми реализована защита информации в ИТС.
- порядок разработки, внедрения и модернизации прикладного программного обеспечения ИТС;
- правила выдачи идентификаторов и управления атрибутами доступа пользователей ИТС;
- правила классификации и классификатор информации и пользователей ИТС;
- инструкция о порядке резервирования информации;
- инструкция о порядке оперативного восстановления работоспособности ИТС;
- руководства пользователей СЗИ;
- инструкции о порядке ввода в действие СЗИ;
- инструкции о порядке модернизации СЗИ;
- инструкция по организации контроля за функционированием СЗИ.
Организационные меры играют значительную роль в обеспечении защищенности
информации, обрабатываемой в ИТС. Эти меры необходимо использовать тогда, когда другие
методы и средства защиты просто недоступны (отсутствуют или слишком дороги). Однако это
вовсе не означает, что СЗИ необходимо и можно строить исключительно на основе
организационных мер. Этим мерам присущи серьезные недостатки, такие как: