ID: 24759

Название работы: Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов

Категория: Шпаргалка

Предметная область: Информатика, кибернетика и программирование

Описание: Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов. Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России бывш. Объект информатизации совокупность информационных ресурсов средств и систем обработки информации используемых в соответствии с заданной информационной технологией средств обеспечения объекта информатизации помещений или объектов зданий сооружений технических средств в...

Язык: Русский

Дата добавления: 2013-08-09

Размер файла: 75.83 KB

Работу скачали: 25 чел.

Билет №25

1. Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации потребованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объектеинформатизации.

Аттестация является обязательной в следующих случаях:

1.  государственная тайна;
2.  при защите государственного информационного ресурса;
3.  управление экологически опасными объектами;
4.  ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

1.  защита от НСД, в том числе компьютерных вирусов;
2.  защита от утечки через ПЭМИН;
3.  защита от утечки или воздействия информацию за счет специальных устройств, встроенных в объект информатизации.

Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:

1.  анализ исходных данных по аттестуемому объекту информатизации;
2.  предварительное ознакомление с аттестуемым объектом информатизации;
3.  проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
4.  проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
5.  проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
6.  проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
7.  анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.

В структуру системы аттестации входят:

1.  федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасностиинформации – ФСТЭК России;
2.  органы по аттестации объектов информатизации по требованиям безопасности информации;
3.  испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
4.  заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации.

В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.

Органы по аттестации:

1.  аттестуют объекты информатизации и выдают "Аттестаты соответствия";
2.  осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;
3.  отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";
4.  формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
5.  ведут информационную базу аттестованных этим органом объектов информатизации;
6.  осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации.

ФСТЭК осуществляет следующие функции в рамках системы аттестации:

1.  организует обязательную аттестацию объектов информатизации;
2.  создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
3.  устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
4.  организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
5.  аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
6.  осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
7.  рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектовинформатизации;
8.  организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.

Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации".

Заявители:

1.  проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
2.  привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;
3.  предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
4.  привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
5.  осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
6.  извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации(перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
7.  предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные:

1.  приемо-сдаточную документацию на объект информатизации;
2.  акты категорирования выделенных помещений и объектов информатизации;
3.  инструкции по эксплуатации средств защиты информации;
4.  технический паспорт на аттестуемый объект;
5.  документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
6.  сертификаты соответствия требованиям безопасности информации на ВТСС;
7.  сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
8.  акты на проведенные скрытые работы;
9.  протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
10.  протоколы измерения величины сопротивления заземления;
11.  протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
12.  данные по уровню подготовки кадров, обеспечивающих защиту информации;
13.  данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
14.  нормативную и методическую документацию по защите информации и контролю эффективности защиты. (Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.)
15.  пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
16.  перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
17.  перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
18.  перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
19.  перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
20.  перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
21.  схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
22.  технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
23.  планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
24.  план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
25.  план-схему системы заземления объекта с указанием места расположения заземлителя;
26.  план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
27.  план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
28.  план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
29.  схемы систем активной защиты (если они предусмотрены)

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

1.  подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.
2.  предварительное ознакомление с аттестуемым объектом – производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний;
3.  испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
4.  разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем.
5.  заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
6.  проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее:
7.  анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
8.  определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
9.  проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
10.  проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
11.  проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
12.  оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

Протокол аттестационных испытаний должен включать:

1.  вид испытаний;
2.  объект испытаний;
3.  дату и время проведения испытаний;
4.  место проведения испытаний;
5.  перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
6.  перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
7.  методику проведения испытания (краткое описание);
8.  результаты измерений;
9.  результаты расчетов;
10.  выводы по результатам испытаний

Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.

Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

1.  оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено).
2.  осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
3.  рассмотрение апелляций. В случае, если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию в вышестоящий орган по аттестации или в ФСТЭК. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон.

Аттестат соответствия должен содержать:

1.  регистрационный номер;
2.  дату выдачи;
3.  срок действия;
4.  наименование, адрес и местоположение объекта информатизации;
5.  категорию объекта информатизации;
6.  класс защищенности автоматизированной системы;
7.  гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
8.  организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
9.  номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
10.  перечень руководящих документов, в соответствии с которыми проводилась аттестация;
11.  номер и дата утверждения заключения по результатам аттестационных испытаний;
12.  состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
13.  организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
14.  перечень действий, которые запрещаются при эксплуатации объекта информатизации;
15.  список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

2. Основные требования, предъявляемые к межсетевым  экранам. Основные функции МЭ. Основные компоненты МЭ.

Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование. В большинстве случаев экранирующая система должна:

• Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

• Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;

• Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;

• Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. Это необходимо для того, чтобы МЭ нельзя было, образно говоря, «забросать» большим количеством вызовов,  которые привели бык нарушению работы;

• Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации.

КЛАССИФИКАЦИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ

Существует несколько схем классификации МЭ, отличающихся типом критерия, положенного в основу классификации.

По способу реализации различают

• программные и

• аппаратно-программные МЭ.

По типу защищаемого объекта различают:

• сегментные МЭ, устанавливаемые на границе двух или более сетей (или фрагментов сетей),

• встраиваемые МЭ, функционирующие на одной платформе с защищаемыми серверами и

• персональные МЭ. предназначенные для защиты отдельных рабочих станций.

Часто в качестве критерия принимается уровень эталонной модели взаимодействия

ISO/OSI, на котором функционирует конкретный тип МЭ. Такая классификация достаточно условна, поскольку современные МЭ работают сразу на нескольких уровнях. Тем не менее в литературе часто различают следующие типы МЭ:

• управляемые коммутаторы,

• пакетные фильтры,

• инспекторы состояния,

• МЭ сеансового уровня,

• МЭ прикладного уровня,

• МЭ экспертного уровня.

Управляемые коммутаторы функционируют на канальном уровне модели ISO/OSI.

Пакетные фильтры контролируют заголовки сетевого и транспортного уровня.

Причем каждый пакет проверяется независимо от предыдущих. Пакетные фильтры являются неотъемлемой частью более сложных МЭ.

Инспекторы состояния (МЭ сеансового уровня - StateFull-Inspection FW) осуществляют фильтрацию пакетов с учетом информации о текущей фазе виртуального соединения (ТCP-соединения или искусственного UDP- и/или ICMP-соединения). Для этого при фильтрации каждого пакета учитываются результаты обработки предыдущих пакетов данного соединения.

МЭ прикладного уровня осуществляют фильтрацию на основе контроля заголовков и/или данных прикладного уровня.

МЭ экспертного уровня реализуют все или большинство перечисленных технологий МЭ. В дополнение к ним МЭ этого типа реализуют дополнительные функции защиты информации: имеют встроенные механизмы обнаружения вторжений, системы поддержки VPN, усиленные системы аутентификации и др.

Отдельно выделяют особую группу межсетевых экранов – посредников. В отличие от рассмотренных выше МЭ, МЭ-посредники вместо прямого соединения клиента с сервером формируют два соединения «клиент–посредник» и «посредник-сервер». При запросе соединения с каким-либо сервером посредник сначала проверяет права клиента на доступ к указанному сервису и (только при положительном результате) – устанавливает соединение с запрашиваемым узлом.

Обычно различают МЭ-посредники следующих типов

• посредники сеансового уровня,

• посредники прикладного уровня.

Основные функции аппаратных и программно-аппаратных МЭ:

• Режим «stealth» для выполнения скрытной фильтрации,

• Пакетная фильтрация,

• Фильтрация протоколов с учетом состояния виртуального соединения,

• Трансляция адресов NAT,

• Поддержка VLAN,

• Поддержка VPN,

• Возможность регистрации и зеркалирования трафика,

• Мониторинг трафика и анализ файлов регистрации событий,

• Поддержка горячего резервирования.

3. Организационная компонента КСЗИ.

В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.

Организационная компонента КСЗИ включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании подразделения, ответственного за обеспечение безопасности информации, обучение и консультации сотрудников подразделения, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.

Определение 1.  Регламент обеспечения безопасности  - комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.

В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:

1.  создание подразделения, ответственного за обеспечение  информации;
2.  определение порядка допуска сотрудников к конфиденциальной информации;
3.  определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;
4.  установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;
5.  требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;
6.  требования к конфиденциальному делопроизводству;
7.  требования к учету, хранению и обращению с конфиденциальными документами;
8.  меры по контролю за обеспечением конфиденциальности работ и информации;
9.  план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);
10.  план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);
11.  определение ответственности за разглашение конфиденциальной информации.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

К основным организационным мероприятиям можно отнести:

1.  организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
2.  организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
3.  организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
4.  организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
5.  организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
6.  организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, каким то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности предпринимательской деятельности и защите информации.

Зачастую таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции:

1.  организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
2.  обеспечение пропускного и внутриобъектового режима
3.  руководство работами по правовому и организационному регулированю отношений по защите информации;
4.  участие в разработке основополагающих документов, положений о подразделениях, трудовых договоров, соглашений, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
5.  разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;
6.  организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;
7.  разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов
8.  обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;
9.  ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;
10.  поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях.

Организационно служба безопасности состоит из следующих структурных единиц:

1.  подразделения режима и охраны;
2.  специального подразделения обработки документов конфиденциального характера;
3.  инженерно-технических подразделений;
4.  информационно-аналитических подразделений.

В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз. .

 Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.