Информационная безопасность и ее обеспечение

ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Рекомендовано

Учебно-методическим объединением по образованию в области историко-архивоведения

в качестве учебника для студентов

высших учебных заведений, обучающихся по специальностям

«Организация и технология защиты информации»

и «Комплексная защита объектов информации»

направления подготовки «Информационная безопасность»

ACADEMA

Москва

Издательский центр «Академия» 2008

УДК 65.012.45(075.8) ББК 73я73 Р693

Рецензенты:

д-р физ.-мат. наук, проф. А.А.Грушо (зав. кафедрой компьютерной безопасности Российского государственного

гуманитарного университета);

канд. физ.-мат. наук, доц. Э.А.Применко

(кафедра математической кибернетики МГУ им. М.В.Ломоносова)

Романов О. А.

Р693 Организационное обеспечение информационной безопас­ности: учебник для студ. высш. учеб. заведений / О. А. Рома­нов, С. А. Бабин, С. Г. Жданов. — М.: Издательский центр «Ака­демия», 2008. — 192 с. ISBN 978-5-7695-4272-5

В учебнике рассмотрены вопросы организационного обеспечения ин­формационной безопасности; основные виды угроз и организационные ка­налы утечки информации, способы и методы ее зашиты; важнейшие ас­пекты практической деятельности руководства и персонала предприятия, соответствующих структурных подразделений по защите конфиденциаль­ной информации, а также по планированию и организации мероприятий, направленных на исключение утечки информации с ограниченным досту­пом. Особое внимание уделено анализу состояния системы зашиты инфор­мации предприятия.

Для студентов высших учебных заведений. Может быть использован в практической деятельности сотрудников предприятий и организаций, ра­ботающих с различными видами конфиденциальной информации.

УДК 65.012.45(075.8) ББК 73я73

Оригинал-макет данного издания является собственностью

Издательского центра «Академия», и его воспроизведение любым способом

без согласия правообладателя запрещается

© Романов О. А., Бабин С. А., Жданов С. Г., 2008 © Образовательно-издательский центр «Академия», 2008 ISBN 978-5-7695-4272-5 © Оформление. Издательский центр «Академия», 2008

ПРЕДИСЛОВИЕ

При решении задач защиты конфиденциальной информации в органе государственной власти, учреждении, на предприятии или в коммерческой организации большое значение имеют меры орга­низационного характера, способные на основе действующих норм и правил объединить силы и средства защиты информации.

Вполне объяснимо стремление руководителей предприятий создать и на необходимом уровне поддерживать эффективную си­стему защиты информации, способную в каждом конкретном слу­чае с учетом специфики решаемых предприятием задач обеспе­чить конфиденциальность проводимых работ и сохранение в тай­не сведений, подлежащих защите.

Для реализации организаторских функций руководства пред­приятия служит система защиты конфиденциальной информации, включающая совокупность сил, средств, способов и методов за­щиты информации, которые используются для планирования и выполнения конкретных мероприятий. Выбор управленческих ре­шений не может быть эффективным без строгого применения нормативно-методических документов на основе практического опыта работы предприятия в области защиты информации.

Многообразие функций и задач, решаемых предприятиями различных сфер деятельности и организационно-правовых форм, требует постоянного совершенствования системы защиты конфи­денциальной информации, принятия новых нормативных актов, методических документов, положений, инструкций для руково­дителей, должностных лиц и персонала этих предприятий, а так­же разработки стандартов для структурных подразделений, создан­ных в целях защиты информации.

Объединить все имеющиеся сведения в области защиты кон­фиденциальной информации, четко определить направления ее защиты и сформулировать приоритеты в использовании соответ­ствующих сил, средств, способов и методов — главная задача орга­низационной составляющей системы защиты конфиденциальной информации предприятия. Для решения этой задачи необходимо глубокое знание нормативно-правовых основ защиты информа­ции, очередности и порядка принятия управленческих решений в зависимости от особенностей и специфики деятельности конк­ретного предприятия.

В данном учебнике последовательно рассмотрены основы обеспечения информационной безопасности, организационные источ­ники и каналы утечки информации, способы, методы, силы и средства ее защиты, а также вопросы, определяющие порядок создания и эффективного функционирования системы защиты конфиденциальной информации на предприятии.

 

ГЛАВА 1

ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1.1. Роль и место информации и информационных технологий в современной жизни

В настоящее время обладание информацией позволяет контро­лировать решение любых проблем мирового сообщества. Она ста­ла фактором, способным привести к крупномасштабным авари­ям, военным конфликтам и поражению в них, дезорганизовать государственное управление, финансовую систему, работу науч­ных центров. В то же время эффективное использование информа­ции способствует развитию всех сфер деятельности государства в целом и отдельно взятого предприятия в частности и в конечном счете приводит к значительным успехам в экономике, бизнесе, финансах.

Обладание ценной информацией, предоставляя существенные преимущества, при этом возлагает на субъекты, имеющие на нее права, высокую степень ответственности за ее сохранность и за­щиту от возможного внешнего воздействия различного рода фак­торов и событий, носящих как преднамеренный, так и случай­ный характер.

Информация и информационные технологии определяют пути и направления развития любого общества и государства, корен­ным образом влияют на формирование человека как личности. Программы развития информационных технологий ведущих ми­ровых держав, государственное финансирование таких программ выходят на первое место, опережая ракетные и космические про­граммы.

Стремительность развития информационных технологий, под­нимая на новый уровень практическое значение информации, вместе с тем все больше отдаляет нас от понимания сущности самой информации, форм и способов ее проявления, методов воздействия информации на развитие общества, государства и лич­ности. Эти знания нам необходимы прежде всего для понимания общих принципов и основ информационной безопасности, фор­мулирования всего спектра связанных с ней проблем и определе­ния путей их решения.

Термин «информация» происходит от латинского informatio, что означает разъяснение, изложение. Однако разные науки се­годня вкладывают в это понятие различное содержание. Ин­формация зачастую определяется через различные свойства ма­терии или путем выделения ее содержательного (семантическо­го), ценностного (прагматического) аспектов. Диапазон толко­ваний термина «информация» достаточно широк: от частного, бытового представления (сведения, сообщения, подлежащие пе­реработке) до философского как наиболее общего и мировоз­зренческого.

Ни наука, ни человек, ни общество не могут эффективно и динамично развиваться без сбора, передачи, накопления и ис­пользования информации для получения новых знаний. В связи с этим из всего многообразия представлений о толковании термина «информация» наиболее четко выделяются две основные точки зрения на сущность информации как явления: органическая и атрибутивная.

Атрибутивная точка зрения предполагает тесное увязывание информации с материей. В основе такого подхода к определению информации лежит предположение о возможности обмена ин­формацией между объектами неживой природы. Однако практика показывает, что эта точка зрения не может в полной мере пред­ставить сущность информации, которой обмениваются субъекты живой природы — организмы, а также создаваемые и управляе­мые ими системы и механизмы в целях ее анализа, переработки и применения.

Согласно органической точке зрения, информация представ­ляет собой результаты отражения движения объектов материаль­ного мира, запечатленные в организме или коллективе организ­мов и используемые ими для адаптации к изменениям окружаю­щего мира. Такое толкование можно отнести скорее к категории философских понятий, однако позволяет представить и проана­лизировать сущность и информационных, и коммуникационных процессов. Органическое понимание информации в настоящее время более удобно для использования в практической деятель­ности и, в связи с этим, шире распространено в повседневной жизни.

Человек как объект живой природы наделен способностью адаптироваться к различным изменениям окружающей действи­тельности. В отличие от других организмов человек способен не только приспосабливаться к; реальной жизни и условиям, но и оказывать воздействие на условия своего существования. Реали­зация этих способностей человека целиком и полностью осно­вывается на восприятии, накоплении и использовании инфор­мации в форме сведений, а также получении и передаче ее в форме сообщений.

1.2. Основные формы проявления информации и их свойства

Основными формами проявления информации являются све­дения и сообщения.

Сведения — запечатленные в организме результаты отражения движения объектов материального мира.

Сообщения — набор знаков, с помощью которых сведения мо­гут быть переданы другому организму и восприняты им.

По своей сути сообщение способно порождать в организме че­ловека определенные сведения, и, в таком понимании, очевид­но, что оно содержит эти сведения. Преобразование сведений в сообщения осуществляется с использованием алгоритмов коди­рования передаваемых элементов «информационной» модели в набор знаков сообщения, а сообщений — в сведения — с исполь­зованием алгоритмов декодирования поступившего набора зна­ков в элементы «информационной» модели. Без реализации упо­мянутых алгоритмов кодирования и декодирования сообщение представляется простым набором знаков (символов). В связи с этим следует сказать о свойствах информации, представленной в фор­ме сведений и в форме сообщений.

Информация в форме сведений обладает следующими основ­ными свойствами:

динамичность — возможность изменения (посредством получе­ния и обработки сведений), отношений между запечатленными в организме объектами материального мира, а также их параметра­ми и характеристиками;

духовность — возможность восприятия сведений органами чувств;

субъективность — зависимость количества и ценности сведе­ний от получающего и обрабатывающего их субъекта;

неуничтожаемость — невозможность физического уничтоже­ния сведений.

Свойства информации в форме сообщений следующие:

статичность — независимость набора знаков, из которых сфор­мировано сообщение, от времени, прошедшего с момента его создания;

материальность — способность сообщения оказывать воздей­ствие на органы чувств;

объективность — независимость сообщения от получающего и обрабатывающего его субъекта;

уничтожаемость — возможность физического уничтожения сообщения;

ограниченная воспроизводимость — невозможность точного вос­произведения сообщения без его закрепления (копирования) на некотором материальном носителе.

Таким образом, понятие «информация» объединяет два разно­родных понятия — сведения и сообщения, обладающие опреде­ленными, характеризующими их свойствами, и способные слу­жить предметами человеческой деятельности.

На современном этапе развития общества возрастает роль инфор­мационной сферы в целом, которая представляет собой совокуп­ность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использо­вание информации, а также системы регулирования возникающих при этом общественных отношений. Информационная сфера активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности Российской Федерации.

Из всех составляющих информационной сферы ключевыми понятиями являются информация и информационные техноло­гии. При рассмотрении вопросов, связанных с применением ин­формационных технологий, осуществлением права на поиск, по­лучение, передачу, производство и распространение информа­ции, а также с обеспечением ее защиты, используются следую­щие понятия информации и информационных технологий:

информация — сведения (сообщения, данные) независимо от формы их представления;

информационные технологии — процессы, методы, способы по­иска, сбора, хранения, обработки, предоставления, распростра­нения информации.

Информационные технологии в значительной степени опре­деляют возможности человека в области формирования, распро­странения и потребления информации, накопления обществом социально важных сведений. Информационные технологии обу­словливают возможность использования приемов, моделирующих интеллектуальную деятельность человека, для создания средств производства и предметов потребления, ведения вооруженной борьбы, обеспечения социальной коммуникации. По мере разви­тия научно-технического прогресса, возрастания роли информа­ционных технологий в повседневной жизни, их проникновения во все сферы деятельности общества и государства, все большее значение приобретает информационная безопасность личности, общества и государства, а ее обеспечение занимает особое место в деятельности всех государственных институтов.

Один из принципов правового регулирования отношений, воз­никающих в сфере информации, информационных технологий и защиты информации, — «обеспечение безопасности Россий­ской Федерации при создании информационных систем, их эк­сплуатации и защите содержащейся в них информации»¹, иначе

¹ Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информа­ционных технологиях и защите информации».

говоря — обеспечение информационной безопасности нашего государства.

ПЛАНИРОВАНИЕ МЕРОПРИЯТИЙ

НА ПРЕДПРИЯТИИ

10.1. Основные цели планирования

Одно из наиболее важных направлений деятельности предпри­ятия, осуществляющего работу со сведениями конфиденциально­го характера, — планирование мероприятий по защите конфи­денциальной информации. Планирование указанных мероприятий занимает особое место в системе управления деятельностью как предприятия в целом, так и его структурных подразделений (от­дельных должностных лиц). Трудно также переоценить значение этого направления в общей системе организационных мер обес­печения информационной безопасности предприятия.

Основными целями планирования мероприятий по защите ин­формации являются:

-организация проведения комплекса мероприятий по защите
конфиденциальной информации, направленных на исключение
возможных каналов утечки этой информации;

-установление персональной ответственности всех должност­
ных лиц предприятия за решение вопросов защиты информации
в ходе производственной и иной деятельности предприятия;

-определение сроков (времени, периода) проведения конк­
ретных мероприятий по защите информации;

-систематизация (объединение) всех проводимых на плано­
вой основе мероприятий по различным направлениям защиты кон­
фиденциальной информации;

-установление системы контроля за обеспечением защиты ин­
формации на предприятии, а также системы отчетности о выпол­
нении конкретных мероприятий;

-уточнение (конкретизация) функций и задач, решаемых от­
дельными должностными лицами и структурными подразделени­
ями предприятия.

Основой для планирования мероприятий по защите информации на предприятии служат:

- требования законодательных и иных нормативных правовых
актов по защите конфиденциальной информации, соответствую-

щих нормативно-методических документов федерального органа исполнительной власти (при наличии ведомственной принадлеж­ности), вышестоящей организации, а при планировании меро­приятий по защите информации филиалом или представитель­ством предприятия — указания головного предприятия;

- требования заказчиков проводимых предприятием в рамках
соответствующих договоров (контрактов) совместных и других
работ;

- положения международных договоров (соглашений) и иных
документов, определяющих участие предприятия в тех или иных
формах международного сотрудничества;

- положения внутренних организационно-распорядительных до­
кументов предприятия (приказов, директив, положений, инст­
рукций), определяющих порядок ведения производственной и иной
деятельности, а также конкретизирующих вопросы защиты кон­
фиденциальной информации на предприятии;

- результаты комплексного анализа состояния дел в области
защиты информации, проводимого службой безопасности (режим-
но-секретным подразделением) на основании материалов прове­
рок структурных подразделений (филиалов, представительств)
предприятия;

- результаты проверок состояния защиты информации, прове­
денных вышестоящими организации, федеральными органами ис­
полнительной власти (при наличии ведомственной принадлеж­
ности) и заказчиками работ (в рамках выполняемых договоров
или контрактов), выработанные на основании этих результатов
предложения и рекомендации;

- результаты контроля за состоянием защиты информации, про­
водимого органами безопасности и иными контролирующими
органами (в части, их касающейся);

- особенности повседневной деятельности предприятия и спе­
цифика выполнения на предприятии работ с использованием раз­
личных видов конфиденциальной информации.

Планирование мероприятий по защите конфиденциальной информации проводится одновременно с планированием основ­ной производственной и иной деятельности предприятия. Плани­рование может осуществляться на календарный год, календар­ный месяц, неделю, а также на иной определенный срок, обу­словленный проведением важных мероприятий (работ) по видам деятельности предприятия, если они связаны с вопросами кон­фиденциального характера. Планы мероприятий, разрабатываемые на срок более одного календарного года, относятся, как правило, к стратегическому планированию, остальные планы решают так­тические задачи.

В целях эффективного решения задач по защите конфиденци­альной информации в рамках наиболее важных и масштабных ра-

бот, а также в ходе реализации на предприятии федеральных це­левых, государственных, ведомственных и других программ могут разрабатываться отдельные планы, носящие характер программ­но-целевого планирования. Такими программами могут быть ре­конструкция предприятия, внедрение новых технологий, в том числе информационных, и т.п.

Планы мероприятий по защите информации относятся к доку­ментам с ограниченным доступом, учитываются и хранятся в служ­бе безопасности (режимно-секретном подразделении) предприя­тия в порядке, установленном для документов соответствующей степени конфиденциальности (секретности).

Разработка планирующих документов по защите информации па предприятии осуществляется службой безопасности (режим-но-секретным подразделением) в тесном взаимодействии с под­разделениями (отдельными должностными лицами), в ведении которых находятся задачи, непосредственно касающиеся вопро­сов защиты информации (подразделение противодействия ино­странным техническим разведкам, служба охраны, кадровый орган и др.). Кроме того, при подготовке планов учитываются предло­жения структурных подразделений предприятия, занимающихся производственной (финансово-хозяйственной) деятельностью или се обеспечением.

От полноты и качества разработки организационно-планиру-ющих документов в полной мере зависит эффективность проведе­ния мероприятий, направленных на исключение утечки конфи­денциальной информации, утрат ее носителей, а также возник­новения предпосылок подобных происшествий.

10.2. Структура и основное содержание плана мероприятий по защите конфиденциальной информации

Основным организационно-планирующим документом пред­приятия является План мероприятий по защите конфиденциальной информации на календарный год. Данный план наиболее полно и исесторонне отражает мероприятия по защите информации, пред­полагаемые к проведению в ходе повседневной деятельности пред­приятия в течение календарного года. При подготовке плана учи­тываются вновь принятые (подписанные, утвержденные) норма­тивные правовые акты и методические документы по защите кон­фиденциальной информации, действующие приказы и текущие указания вышестоящих органов государственной власти и орга­низаций (при наличии ведомственной принадлежности или иной подчиненности).

План мероприятий по защите конфиденциальной информа­ции на предприятии на календарный год утверждается руководи-

телем предприятия до начала календарного года, на который он разработан. При необходимости план согласовывается с соответ­ствующим органом безопасности. Утвержденный план под рас­писку доводится до сведения заместителей руководителя пред­приятия, руководителей структурных подразделений и отдельных должностных лиц, ответственных за проведение указанных в пла­не мероприятий.

Типовой план мероприятий по защите конфиденциальной ин­формации на календарный год содержит следующие основные раз­делы:

1. Организаторская работа руководства предприятия — разра­
ботка организационно-планирующих документов в ходе повсед­
невной деятельности предприятия и при выполнении предприя­
тием всех видов работ; представляемые в вышестоящий орган
государственной власти или в вышестоящую организацию до­
клады и донесения о состоянии защиты информации; подготов­
ка и издание приказов руководителя предприятия по различным
вопросам в сфере защиты конфиденциальной информации; пе­
реработка и уточнение должностных обязанностей сотрудников
и др.

2. Подготовка персонала по вопросам защиты информации — орга­
низация и проведение занятий со всеми категориями сотрудни­
ков предприятия с учетом специфики выполняемой ими работы;
изучение положений нормативно-методических документов в об­
ласти защиты информации и, при необходимости, доведение их
требований до сведения сотрудников под расписку; принятие за­
четов и проведение занятий с вновь прибывшими или назначен­
ными на должность сотрудниками; мероприятия по обучению со­
трудников предприятия в образовательных учреждениях высше­
го, среднего и дополнительного профессионального образования.

3. Контроль защиты информации и наличия носителей конфиден­
циальной информации — организация и проведение всех видов про­
верок состояния защиты информации и наличия носителей кон­
фиденциальной информации. Особое внимание уделяется плани­
рованию проводимых по окончании календарного года меропри­
ятий по проверке наличия носителей информации комиссией
предприятия. Для предприятий, работающих со сведениями, со­
ставляющими государственную тайну, проведение проверок на­
личия носителей этих сведений планируется в соответствии со
сроками, определенными в нормативных правовых актах по обес­
печению режима секретности. При наличии у предприятия под­
чиненных организаций, филиалов и представительств планиру­
ются проверки состояния защиты информации в этих организа­
циях комиссиями головного предприятия.

4. Допуск и доступ персонала к конфиденциальной информации и
ее носителям — мероприятия, касающиеся разработки, перера-

ботки и согласования номенклатуры должностей работников пред­приятия, подлежащих оформлению на допуск к сведениям, со­ставляющим государственную тайну; вопросы оформления и пе­реоформления материалов на допуск к государственной тайне сотрудников предприятия, в том числе контрактов, трудовых до­говоров и карточек о допуске; разработка и переработка списков лиц, допускаемых к конфиденциальной информации, а также лиц, допускаемых к конкретным материалам проводимых работ; ме­роприятия, направленные на разграничение доступа к носителям конфиденциальной информации в зависимости от степени их сек­ретности или конфиденциальности, а также в зависимости от те­матики проводимых предприятием работ. При необходимости от­дельным пунктом отражаются вопросы организации учета осве­домленности лиц в сведениях особой важности и совершенно сек­ретных сведениях, подготовки соответствующих заключений.

5. Организация и ведение конфиденциального делопроизводства —
мероприятия, непосредственно касающиеся деятельности служ­
бы безопасности или режимно-секретного подразделения пред­
приятия, а также специально создаваемых на предприятии ко­
миссий по отбору конфиденциальных документов и материалов
для уничтожения, пересмотру степени секретности или конфи­
денциальности материалов, инструктажу лиц, убывающих с но­
сителями конфиденциальной информации за пределы предприя­
тия; вопросы учета, хранения, размножения и уничтожения но­
сителей конфиденциальной информации, порядок работы с ними
персонала предприятия.

6. Защита информации при осуществлении рекламной и публика­
торской деятельности — мероприятия, связанные с работой экс­
пертной комиссии по принятию решений о возможности публи­
кации научных материалов, информации о деятельности пред­
приятия, использования этих материалов при проведении рек­
ламных акций; мероприятия, осуществляемые при подготовке
материалов к открытому опубликованию.

7. Защита информации при использовании технических средств —
организационные мероприятия по подготовке и вводу в эксплуата­
цию объектов информатизации, обрабатывающих информацию с
ограниченным доступом, по технической защите информации,
защите информации от несанкционированного доступа и от утеч­
ки по техническим каналам; работа должностных лиц по противо­
действию иностранным техническим разведкам, предотвращению
утечки информации при использовании средств открытой связи —
например факсимильной, телеграфной, голосовой, телефонной.

8. Защита информации в ходе осуществления международного
сотрудничества — мероприятия по защите информации при под­
готовке и реализации международных договоров и иных докумен­
тов, приеме иностранных делегаций на предприятии. Мероприя-

тия предусматриваются с учетом распределения функций по за­щите информации между структурными подразделениями пред­приятия (отделами, службами) и должностными лицами.

9. Выезд за границу сотрудников, допущенных к конфиденциальной
информации, — для предприятий, работающих со сведениями, со­
ставляющими государственную тайну, планирование мероприятий
в данном разделе осуществляется в строгом соответствии с Федераль­
ным законом «О порядке выезда из Российской Федерации и въез­
да в Российскую Федерацию», Законом РФ «О государственной
тайне» и иными нормативными правовыми актами РФ. Планируе­
мые мероприятия не должны быть направлены на ограничение права
сотрудников предприятия, допущенных к конфиденциальной ин­
формации (за исключением сведений особой важности и совер­
шенно секретных сведений), на выезд из Российской Федерации.

10. Защита информации при выполнении совместных и других ра­
бот — мероприятия, направленные на исключение утечки кон­
фиденциальной информации при участии предприятия в выпол­
нении совместных и других работ, предусмотренных уставом пред­
приятия; порядок и условия отражения в договорах, заключаемых
с заказчиками или исполнителями работ, вопросов защиты ин­
формации, содержание соответствующих пунктов указанных до­
говоров; мероприятия по защите государственной тайны в ходе
деятельности конкурсных комиссий по выбору исполнителей ра­
бот; при участии предприятия в выполнении работ в рамках госу­
дарственного оборонного заказа — особенности проведения этих
работ. Для совместных работ, в которых предприятие выступает в
роли заказчика или головного исполнителя, предусматриваются
мероприятия по контролю эффективности защиты исполнителя­
ми этих работ конфиденциальной информации, передаваемой им
предприятием в качестве исходных данных. При выполнении пред­
приятием работ с использованием сведений, составляющих госу­
дарственную тайну, в данном разделе плана предусматриваются
мероприятия, определенные ст. 17 Закона РФ «О государственной
тайне» (включение в договоры на проведение работ положений,
содержащих меры ответственности заказчиков, головных испол­
нителей и исполнителей работ за несоблюдение установленных
требований и т.д.).

11. Защита информации в чрезвычайных ситуациях — порядок
формирования, задачи и основные направления деятельности
нештатного подразделения предприятия — специальной комис­
сии, создаваемой приказом руководителя предприятия в целях
выработки мер по предупреждению чрезвычайных ситуаций¹ на

¹ Под чрезвычайной ситуацией понимается сложившаяся в силу воздействия различных факторов обстановка на объекте предприятия, которая может по­влечь утечку конфиденциальной информации, утрату, хищение или уничтоже­ние носителей этой информации.

предприятии, а также мер по защите информации при возник­новении чрезвычайных ситуаций; практические меры, направ­ленные на недопущение нанесения ущерба информационной без­опасности предприятия вследствие возникновения чрезвычай­ных ситуаций, в том числе на предотвращение утечки защищае­мой информации, утраты, хищения или уничтожения носите­лей конфиденциальной информации; анализ возможных угроз и различных факторов, приводящих к возникновению на предпри­ятии чрезвычайных ситуаций. Особое внимание уделяется воп­росам координации действий всех структурных подразделений, участвующих в решении задач защиты информации. При плани­ровании мероприятий по защите информации учитываются все возможные виды и способы проявления чрезвычайных ситуаций. Мероприятия по защите информации при возникновении чрез­вычайных ситуаций отражаются в соответствующих планах рабо­ты предприятия (его структурных подразделений) на календар­ный месяц. В данном разделе плана (либо в отдельном приложе­нии к плану) указываются также:

- фамилия, имя, отчество, домашний адрес и контактные те­
лефоны (в том числе мобильной связи) каждого сотрудника, при­
нимающего участие в ликвидации последствий чрезвычайной си­
туации на объектах предприятия;

- очередность и порядок вызова (оповещения) всех сотрудни­
ков, участвующих в выполнении работ по ликвидации послед­
ствий чрезвычайной ситуации, в зависимости от ее вида, сроки
прибытия этих сотрудников на объекты предприятия;

- обязанности каждого сотрудника предприятия и последова­
тельность выполнения им мероприятий (работ) в соответствии с
конкретным планом действий;

- перечень сил и средств (в том числе транспортных средств и
средств связи), привлекаемых к решению задач ликвидации по­
следствий чрезвычайных ситуаций;

- места стоянки и маршруты движения транспортных средств,
чвакуирующих носители конфиденциальной информации (в том
числе крупногабаритные);

- маршруты эвакуации носителей конфиденциальной инфор­
мации, места их сосредоточения, способы и порядок охраны эва­
куированных носителей (крупногабаритных изделий), привлекае­
мые для охраны силы и средства (в том числе штатных подразде­
лений охраны).

12. Пропускной режим и охрана объектов предприятия — орга­низационные мероприятия по созданию и совершенствованию системы пропускного режима и охраны, такие, как подготовка приказов о вводе в действие или о выводе из действия всех видов пропусков, о назначении ответственных должностных лиц, раз­работка и переработка инструкций и положений, мероприятия

по материально-техническому обеспечению, установке и эксплу­атации технических средств охраны и др.

13. Аналитическая работа на предприятии — все виды обзоров и отчетов о состоянии дел в области защиты информации на пред­приятии, оформляемых для руководства предприятия, а также для руководителей вышестоящих органов государственной власти или вышестоящих организаций; мероприятия по формированию ма­териалов, содержащих итоги работы предприятия и его структур­ных подразделений по защите информации, для изучения всеми сотрудниками предприятия. Особое место в разделе занимают ана­литические отчеты по итогам календарного месяца и календарно­го года, которые готовит служба безопасности (режимно-секрет-ное подразделение) предприятия.

При необходимости включения в план иных мероприятий, не вошедших в перечисленные разделы, они отражаются в отдель­ном разделе плана («Другие мероприятия»).

Особое внимание при разработке и реализации плана меро­приятий уделяется роли руководителей структурных подразделе­ний предприятия как должностных лиц, ответственных за обеспе­чение защиты информации в непосредственно подчиненных им подразделениях. Контроль за выполнением конкретных меропри­ятий, включенных в данный план, осуществляется руководите­лем предприятия и его заместителем, в ведении которого нахо­дятся вопросы защиты конфиденциальной информации. Служба безопасности (режимно-секретное подразделение) предприятия осуществляет текущий контроль за практической реализацией включенных в план мероприятий и информирует об их выполне­нии указанных должностных лиц. Мероприятия, отраженные в разделах плана, подробно рассмотрены в соответствующих главах учебника.

ГЛАВА И

ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПРОВЕДЕНИИ СОВЕЩАНИЙ

11.1. Планирование мероприятий по защите информации при подготовке к проведению совещания

В ходе повседневной деятельности предприятий,' связанной с использованием конфиденциальной информации, планируются и проводятся служебные совещания¹, на которых рассматривают­ся или обсуждаются вопросы конфиденциачьного характера. Пред­метом обсуждения могут быть сведения, составляющие государ­ственную тайну, вопросы конфиденциального характера, касаю­щиеся проводимых предприятием научно-исследовательских, опытно-конструкторских и иных работ, предусмотренных его уста­вом, или коммерческой стороны его деятельности.

Перечисленные мероприятия могут быть внешними (с участием представителей сторонних организаций) или внутренними (к уча­стию в них привлекается только персонал данного предприятия).

Решение о проведении совещания во всех случаях принимает непосредственно руководитель предприятия или его заместитель по ходатайству руководителя структурного подразделения (отде­ла, службы), планирующего проведение данного совещания. Меры по защите конф