Одними из приоритетных направлений развития науки, технологий и техники в РФ, основными инструментами государственной политики РФ в области развития отечественных науки и технологий, модернизации и технологического развития российской экономики и повышения ее конкурентоспособности являются «Информационно-телекоммуникационные системы» и «Безопасность и противодействие терроризму». В Указе Президента Российской Федерации от 7 июля 2011 г. № 899 «Об утверждении приоритетных направлений развития науки, технологий и техники в Российской Федерации и перечня технологий Российской Федерации» отмечено, что реализация вышеуказанных приоритетных направлений связана с созданием национальной информационной инфраструктуры, внедрением мероприятий по обеспечению безопасности жизнедеятельности, комплекса технических и технологических решений, направленных на поддержание условий, минимально необходимых для сохранения жизни и здоровья людей при взаимодействии со средой обитания [2, с. 3-5].
Информационная инфраструктура представляет собой совокупность средств и информационных технологий, которые используются для сбора, обработки, хранения и выдачи информации, используемой на предприятии. Развитие способов передачи и преобразования информации, инфраструктуры влечет разработку новых и совершенствование уже существующих методов обеспечения немаловажных мероприятий по защите информации и информационной безопасности организаций. На современном уровне информационная безопасность характеризуется переходом от традиционного рассмотрения защиты информации с точки зрения техники и технологий к широкому пониманию проблемы – внедрение политики, комплекса мер по информационной безопасности. Под этими словами часто понимают мероприятия по защите имеющихся в организации государственных тайн и конфиденциальной информации, сведений ограниченного доступа.
В последнее время в поле зрения администрации всё чаще попадают вопросы не только защиты информации, но и информационного воздействия на технические системы и средства, на сотрудников организации, психику и здоровье личности. Возникают новые проблемы сохранения целостности, доступности и конфиденциальности вновь поступаемой и накапливаемой информации, циркулирующей в локальной и глобальной информационных средах, угрозы внешних атак и потери информации. «Информационная угроза – опасность, содержание которой составляет различная информация, пригодная для использования против технических, военных, социальных объектов с целью изменения их интересов, потребностей, ориентаций в соответствии с целями субъекта воздействия» [1, с. 40]. Для эффективной работы всей организации сотрудникам необходимо иметь беспрепятственный, своевременный доступ определенного круга пользователей к информации, которая хранится в неискаженном виде, сохраняя структуру и содержание в процессе передачи и хранения. Обозначенный круг проблем влечет за собой внедрение комплексной политики безопасности, опирающейся на методы управления информационной безопасностью организации.
Цель работы состояла в кратком рассмотрении методов управления информационной безопасностью в организации.
Методы управления — это совокупность приемов и способов воздействия на управляемый объект для достижения поставленных целей. В системе методов управления информационной безопасностью можно выделить административные, инженерно-технические, правовые, теоретические, экономические и социально-психологические.
Административные методы ориентированы на такие мотивы поведения сотрудников, как осознанная необходимость дисциплины труда и сохранения корпоративных секретов, чувства долга и ответственности за информационную безопасность всей организации, стремление человека трудиться в определённой организации, сохраняя конфиденциальную информацию. При этом на сотрудников может возлагаться материальная ответственность, которая выражается в их обязанности возместить ущерб, причинённый предприятию на котором они работают при разглашении конфиденциальной информации или нанесении ущерба информационной инфраструктуре. Административные методы управления являются мощным рычагом достижения поставленных целей только в тех случаях, когда нужно подчинить весь коллектив и направить его на решение конкретной задачи. Одним из административных методов является наставление (метод однократного применения со стороны руководителя), когда руководитель аргументированно объясняет подчиненным целесообразность введения мер по защите информации. Организационно-административные методы, базирующиеся на власти, дисциплине и ответственности, осуществляются как прямое административное указание и адресуются конкретным лицам, отвечающим за информационную безопасность всего предприятия. При этом устанавливаются правила, регулирующие деятельность подчиненных по соблюдению законов РФ по защите информации, издаются указы и распоряжения, подписанные руководителем организации, разрабатываются рекомендации по организации и совершенствованию политики безопасности. Контроль и надзор за деятельностью сотрудников по обеспечению защиты информации возлагается на руководителей подразделений, отделов и отдельных сотрудников. Организационно-административные методы, включающие рекомендации и разъяснение, отличает от других методов четкая адресность директив, обязательность выполнения распоряжений, приказов и указаний. Невыполнение сотрудниками приказов администрации по информационной безопасности рассматривается как прямое нарушение исполнительской дисциплины и влечет за собой определенные взыскания — предупреждение, штрафы и увольнение.
Наиболее распространенные методы, применяемые в современных организациях — инженерно-технические, которые помогают обеспечить защиту информации от утечки по техническим каналам, разработать и внедрить механизмы защиты информации, обрабатываемой на рабочих местах сотрудников в персональных компьютерах и корпоративных сетях. Инженеры устанавливают на персональные компьютеры сотрудников антивирусные программы, предлагают запретить использование флэш-карт и дисков, ввести ограничения по использованию Интернет и т.п.
Правовые методы защиты информации призваны создать и использовать нормативную базу — федеральные законы и локальные акты отдельных организаций различного рода деятельности.
Теоретические методы предполагают создание моделей управления доступом к информации, описание возможных информационных потоков в системе, что гарантирует выполнение требуемых свойств безопасности и проведение сертификации автоматизированных систем.
Экономическими методами осуществляют материальное стимулирование всего коллектива и отдельных сотрудников, которые строго соблюдают все правила, приказы и требования руководителей по обеспечению информационной безопасности в организации. Дополнительное вознаграждение (премии разовые или квартальные, годовые, памятные подарки) могут получать сотрудники, которые внесли индивидуальный вклад в конечные результаты по обеспечению защиты информации в конкретные периоды времени.
Наиболее тонким инструментом воздействия на сотрудников, образующих социальные группы в организации, являются социально-психологические методы. По масштабам и способам воздействия эти методы можно разделить на две основные группы: социологические, которые направлены на группы людей и их взаимодействие в организации (внешний мир человека) и психологические, которые воздействуют на личность конкретного человека (внутренний мир человека).
Социологические методы позволяют установить назначение и место каждого сотрудника в обеспечении сохранности информации, выявить лидеров и обеспечить их поддержку, связать мотивацию людей с конечными результатами работы по обеспечению информационной безопасности всей организации, обеспечить эффективные коммуникации при обмене опытом и разрешении конфликтов, возникающих при утечке информации, поддерживать корпоративную культуру.
К способам психологического воздействия на отдельную личность относятся убеждение в необходимости внедрения и строгого соблюдения правил политики безопасности, вовлечение в процесс защиты информации, осуждение и порицание при утечки корпоративной информации, требование строго соблюдать законы РФ и приказы администрации, запрещение несанкционированного обмена информацией с другими организациями, рекомендации передавать информацию и тексты статей для открытой печати после рассмотрения на экспертном совете организации.
Одной из мер политики безопасности является возложение на руководителей подразделений и отделов ответственности за утечку конфиденциальной информации и предоставление всем сотрудникам возможности для открытого распространения информации через обязательное прохождение процедуры рассмотрения информации на редакционно-экспертном совете организации с последующим участием в конференциях, симпозиумах и т.п., где можно поделиться полученными результатами работы и информацией. Соблюдение регламента организации ведет к пониманию каждым сотрудником ответственности за свою работу, причастности к полученным результатам и информации, которые важны не только для него, но и для коллектива в целом. Одобрение экспертным советом статей и тезисов, предназначенных для печати и выступления на конференциях, позволяет каждому сотруднику почувствовать свою значимость, получить моральное и, возможно, материальное признание. Опираясь на опыт и знания сотрудников, награждая их грамотами, подарками, премиями, администрация может добиться самоконтроля труда и индивидуального принятия решения о необходимости информационной безопасности, неразглашении корпоративных секретов. Уравновешенное психологическое состояние сотрудника может способствовать повышению производительности и эффективности труда. Усталость, раздражение, апатия наоборот, могут снижать трудовую активность людей и порождать желание продать конфиденциальную информацию, нарушить существующие нормы поведения и правила вопреки коллективному мнению и сложившимся традициям корпоративной культуры.
Рассмотренный комплекс методов управления информационной безопасностью находится в постоянном динамическом равновесии, где каждый компонент органически дополняет другой и игнорирование одного из методов может привести к потере важной информации и негативно отразиться на конкурентоспособности организации.
Политика безопасности, основой которой являются методы управления информационной безопасностью, внедряется поэтапно.
На первом этапе используются административные, инженерно-технические методы, разрабатываются требования, которые включают состав технических средств информационной системы, анализ уязвимых мест, оценку угроз утечки информации и возможных атак, анализ риска и прогнозирование последствий нарушения правил информационной безопасности для организации. На втором этапе на основе экономических, теоретических и правовых методов определяют способы и средства информационной безопасности, защиты информации и техники согласно нормативно-правовым актам, рассчитывают стоимость реализации мероприятий. На третьем этапе, используя административные и социально-психологические методы, принимают управленческие решения принимают локальные нормативно-правовые документы. Комплексное противодействие угрозам и информационным атакам возможно через повышение корпоративной культуры и компьютерной грамотности сотрудников организации, развитие системы подготовки кадров в области обеспечения и реализации политики информационной безопасности.
Таким образом, информатизация, информационные технологии и программное обеспечение, являясь характерной чертой жизни общества и необходимым атрибутом обеспечения деятельности организаций, требуют новых подходов к управлению информацией и информационной безопасностью. От качества и достоверности информации, оперативности ее получения во многом зависят управленческие решения и конкурентоспособность современных организаций. Обеспечение и управление информационной безопасностью — комплексная задача, включающая многоплановый механизм, компонентами которого являются сотрудники организации, техника, электронное оборудование, программное обеспечение и т.д.
Список литературы
- Петров В., Петров С. Информационная безопасность России / В. Петров, С. Петров // ОБЖ. Основы безопасности жизни. № 9. 2007. — С.39-41.
- Смирнов Ю.Г. Алфавитно-предметный указатель критических технологий / Ю.Г. Смирнов, О.О. Шпак. – М.: ИНИЦ «ПАТЕНТ», 2013 – 128 с .[schema type=»book» name=»МЕТОДЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В ОРГАНИЗАЦИИ» description=»Современная информатизация общества и ускорение потоков информации ведут к появлению новых способов обмена информацией. Возникающие угрозы потери важной информации и информационные атаки отражаются на конкурентоспособности и требуют совершенствования методов управления информационной безопасностью в организациях. На современном уровне информационная безопасность характеризуется переходом от традиционного рассмотрения защиты информации с точки зрения техники и технологий к широкому пониманию проблемы и внедрению новых мер. Описывая методы управления необходимо подчеркнуть постепенность и поэтапность внедрения политики информационной безопасности в организации. От качества и достоверности информации, оперативности ее получения во многом зависят управленческие решения. Обеспечение и управление информационной безопасностью — комплексная задача, включающая многоплановый механизм, компонентами которого являются сотрудники организации, техника, электронное оборудование, программное обеспечение и т.д. Предлагаемый комплекс методов управления (административные, инженерно-технические, правовые, теоретические, экономические и социально-психологические) находится в постоянном динамическом равновесии, где каждый компонент органически дополняет другой и игнорирование одного из методов может привести к потере важной информации и негативно отразиться на конкурентоспособности организации.» author=»Базелюк Никита Григорьевич, Степанов Алексей Владимирович» publisher=»БАСАРАНОВИЧ ЕКАТЕРИНА» pubdate=»2017-04-14″ edition=»ЕВРАЗИЙСКИЙ СОЮЗ УЧЕНЫХ_30.04.2015_4(13)» ebook=»yes» ]