1.1.3. Организационные мероприятия и процедуры по обеспечению защиты информации в автоматизированных системах Рассмотрим проблему организации работ на предприятии, использующем в своей деятельности средства вычислительной техники для обработки информации, подлежащей защите. Именно на этом уровне возникает потребность в решении проблем безопасности информации, составляющей как государственную, так и коммерческую тайну, секреты производства (ноу-хау), а также безопасности самих автоматизированных систем (АС), используемых, например, в управлении экологически опасными объектами [12]. Рассмотрим в целом организационные мероприятия и процедуры, используемые для решения проблем безопасности информации на всех этапах проектирования и эксплуатации АС. Существенное значение при проектировании АС различного уровня и назначения придается предпроектному обследованию объекта автоматизации. На этой стадии: - устанавливается наличие или отсутствие секретной (конфиденциальной) иформации в разрабатываемой АС, оценивается уровень ее конфиденциальности и объемы; - определяются режимы обработки этой информации, тип АС, состав комплекса основных технических средств вычислительной техники (СВТ), общесистемные программные средства, предполагаемые к использованию в разрабатываемой АС; оценивается возможность использования имеющихся на рынке сетифицированных средств защиты информации; - определяется степень участия персонала ВЦ, функциональных ипроизводственных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности; - определяются мероприятия по обеспечению режима секретности на стадии разработки. Предпроектное обследование может быть выполнено собственными силами или, как законченная научно-техническая работа, может быть поручено специализированному предприятию, имеющему лицензию на этот вид деятельности. На основании результатов предпроектного обследования разрабатывается аналитическое обоснование создания системы защиты секретной информации (СЗСИ) и раздел технического задания на ее разработку. В комплексе работ по созданию АС должна предусматриваться опережающая разработка и внеедрение СЗСИ, реализуемой в виде подсистемы АС и включающей в себя комплекс организационных, программно-технических средств, систем и мероприятий по защите информацииот НСД. СЗСИ состоит из системной и функциональной частей. Системная часть является общей и применяется при разработке, внедрении и эксплуатации всех или большинства задач АС, функциональнаячасть обеспечивает защиту информации при решении конкретной задачи и специфична защите информации от НСД в АС различных классов. Важное место в системе организации работ по обеспечению безопасности информации на предприятиях занимают так называемые специальные научно-технические подразделения (СИТИ) - службы защиты информации, основной направленностью которых являются организация работ по выявлению возможностей и предупреждению утечки информации, методическое руководство и участие в разработке требований позащите информации от НСД, аналитического обоснования необходимостисоздания СЗСИ, согласование выбора СВТ (в том числе общесистемного программного обеспечения), программно-технических средств и систем защиты. В случае привлечения для разработки СЗСИ специализированных предприятий, функции и задачи различных служб могут изменяться и перераспределяться, но координация должна остаться за предприятием-заказчиком АС. Кроме того в обеспечении безопасности информации, особенно настадии эксплуатации АС, задействованы службы обеспечения безопасности информации или секретный орган, службы администратора АС.Все указанные службы активно взаимодействуют в целях достиженияэффективной разработки и эксплуатации АС и ее СЗСИ. Для эффективной и надежной, с точки зрения обеспечения безопасности информации, работ АС необходимо правильно организовать разрешительную систему доступа пользователей к информации в АС т.е. предоставить пользователям право работать с той информацией, которая необходима им для выполнения своих функциональных обязанностей, установить их полномочия по доступу к информации. Среди организационных мероприятий по обеспечению безопасностиинформации важное место занимает охрана объекта, на котором расположена защищаемая АС (территория, здания, помещения, хранилища информационных носителей), путем установления соответствующих постов технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных ностелей, а также НСД к СВТ и линиям связи. Технология обработки информации в АС различна и зависит от используемых СВТ, программных средств, режимов работы. Не вдаваясьв особенности технологического процесса, обусловленные различиями в технике, программном обеспечении и другими причинами, можно констатировать, что основной характерной особенностью, связанной с обработкой секретной или иной подлежащей защите информации является функционирование системы защиты информации от НСД (СЗИ НСД) каккомплекса программно-технических средств и организационных (процедурных) решений, предусматривающей учет, хранение и выдачу пользователям информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), оперативный контроль за функционированием СЗСИ, контроль соответствия, общесистмной программной среды эталону и приему включаемых в АС новых программных средств, контроль за одом технологического процесса обработки информации путем регстрации анализа действий пользователей, сигнализации опасных событий. Следует отметить, что без надлежащей организационной поддержки программно-технических средств защиты информации от НСД и точного выполнения предусмотренных проектной д окументацией процедур, в должной мере не решит проблему обеспечения безопасности информации в АС, какими бы совершеными эти программно-технические средства не были.