Наталия Гришина - Организация комплексной системы защиты информации
Определялись базовые ценности и цели данной организации, а также наиболее актуальные сферы применения кодекса.
В итоге должна быть сформирована концепция кодекса, в том числе его идеология, формат, сферы применения и создается предварительный проект текста.
2-й этап. Обсуждение. Обсуждение проекта кодекса в трудовых коллективах, во всех подразделениях организации и сбор предложений по доработке текста кодекса и системы его исполнения.
На этом этапе важно провести работу по следующим позициям:
— разъяснение сотрудникам смысла, значения и сфер применения кодекса;
— привлечение рядовых сотрудников к процессу создания Кодекса;
— создание позитивного общественного мнения в отношении кодекса среди персонала, а также подготовка менеджмента и квалифицированных сотрудников как ресурса по внедрению кодекса в практику ежедневной деятельности.
Процесс обсуждения включает в себя такие элементы, как:
— очная и заочная формы обсуждения проекта кодекса, которые позволяет сотрудникам стать соавторами кодекса;
— оригинальная методика групповой работы по обсуждению проекта кодекса, как с руководителями, так и с неформальными лидерами общественного мнения, которые бы инициировали дальнейшее обсуждение документа в трудовых коллективах;
— оперативная обработка и передача данных очного обсуждения для незамедлительного использования в параллельно идущем заочном обсуждении в корпоративных средствах массовой информации;
— интерактивная модульная схема информационной кампании, позволяющая вести в диалоговом режиме разъяснение ключевых смыслов кодекса и отвечать на самые актуальные вопросы.
Очное обсуждение ориентировано на включение в диалог работников, заинтересованных в будущем своей организации, у которых есть что высказать и предложить ради повышения общего морального климата.
Заочное обсуждение (информационная кампания в корпоративных и федеральных СМИ, а также в корпоративных виртуальных сетях) теоретически может охватить более высокий процент сотрудников, чем физически осуществимо при очном учете масштабов корпорации. В период обсуждения Кодекса должны быть задействованы все доступные средства, печатные издания, освещение темы на корпоративном сайте организации, в стенгазетах.
Обратная связь
Само обсуждение кодекса уже является началом его внедрения. Процесс обсуждения служит основой для поиска общих интересов сотрудников и руководства, построения единой ценностно-целевой картины и развития диалога между сотрудниками и руководством.
3-й этап. Интеграция. Этот этап включает анализ всех поступивших предложений, внесение изменений в содержание проекта, выработка механизмов исполнения и внедрения документа.
После обсуждения документа проводится анализ предложений, полученных от сотрудников, и на его основе корректируется содержание кодекса.
Кроме того, на этом этапе применяется схема построения механизмов внедрения и исполнения кодекса, основанная на изучении опыта других компаний, а также на предложениях сотрудников.
Итогом третьего этапа проекта становится создание окончательного варианта текста кодекса, его полиграфическое исполнение и распространение среди персонала.
Спустя некоторое время возможна ситуация, когда однажды принятый кодекс корпоративного поведения потеряет актуальность, морально устареет. В этом случае высшему руководству требуется созвать комиссию по его пересмотру, и в случае решения о неизбежности внесения изменений, разработать новый проект кодекса, с обязательным учетом прошлого опыта.
Формирование позитивной корпоративной культуры с учетом специфики безопасности затрагивает изменение таких существенных представлений, как внутренний психологический климат коллектива, фундаментальные ценности, устоявшиеся паттерны поведения, совокупность формальных и неформальных требований к персоналу в виде норм, и, наконец, общие представления представителей коллектива об окружающей среде, организации и индивидуальности каждого из сотрудников.
Все эти понятия являются составляющими организационной культуры и обусловливают деятельность, осуществляемую сознательно или неподконтрольно отдельными нормами субкультур организации, которые должны быть скорректированы таким образом, чтобы не противостоять первичным ценностям безопасности, установленным основной доминирующей культурой, не находиться в оппозиции к ним.
Чтобы действия, преследующие цели укрепления механизмов безопасности, были адекватно восприняты и приняты коллективом, они должны быть не только разумны, но и соответствовать базовым представлениям сотрудников о правильности, чему способствует изучение и понимание корпоративной культуры. Подсознательного неприятия или даже открытого противодействия политике безопасности можно избежать, если своевременно провести тщательное наблюдение, в ходе которого должен быть выявлен преобладающий тип корпоративной культуры каждого структурного подразделения, который может варьироваться в зависимости от функциональных, возрастных, профессиональных, географических или иных особенностей. Также крайне важно определить неформальных лидеров выявить наиболее авторитетные субкультуры, значительно влияющие на внутреннюю жизнедеятельность организации. Важно выбрать наиболее эффективно работающую субкультуру и использовать ее в качестве исходной позиции для введения инноваций.
9. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КСЗИ
9.1. Значение нормативно-методического обеспеченияВ целях обеспечения комплексного подхода к формированию законодательства по проблемам защиты информации и информатизации в России в апреле 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации и защиты информации». В соответствии с этой Программой была намечена разработка базового Закона РФ в области информатизации «Об информации, информатизации и ЗИ» (кстати, который сегодня уже не актуален), а также еще ряда специальных законов.
Реализация Программы должна была позволить создать правовые основы процесса информатизации в России, нормативно закрепить права граждан, организаций и государства на информацию и системы автоматизации с учетом правил охраны государственной и коммерческих тайн, порядка правовой, организационной и технической защиты информации и информационного ресурса в целом, основ защиты и правовых гарантий прав потребителя информации, защитить права собственника и автора и решить многие другие проблемы.
Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.
К содержанию нормативно-методических документов по ЗИ предъявляются требования. ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для предприятия целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к конфиденциальной информации. Пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. Информационная система должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи). Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям:
— соответствовать структуре, целям и задачам предприятия;
— описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;
— перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;
— определять ответственных за внедрение и эксплуатацию всех средств защиты;
— определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.
Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы: