Выбор организационных мер

Существует три основных стратегии выбора защитных мер: оборонительная, наступательная и упреждающая.
Использовать упреждающую стратегию в данном случае не возможно, поскольку автоматизированная система уже разработана, поэтому выбор происходит между двумя оставшимися стратегиями.
Наступательная стратегия по сравнению с оборонительной позволяет организовать защиту с учетом возможного вмешательства в информационную систему и от более широкого спектра угроз чем оборонительная, поэтому в данной работе выбрана наступательная стратегия.
Систему защиты информации можно рассматривать как совокупность организационных и технических мер. Меры организационного характера в основном направлены на административную и физическую безопасность объекта, такие меры часто носят документальный характер. Меры организационного характера во многом нужны для обеспечения надежной работы технических мер защиты.
Для эффективного решения задачи защиты от НСД в компьютерной сети «Медсервис» наряду с техническими мерами защиты необходимо применить следующие организационные меры:
- назначить и обучить лицо, ответственное за администрирование технических средств защиты информации от НСД, при этом обучение желательно проводить с учетом конкретного выбранного средства защиты информации, то есть обучение должно происходить по конкретному средству защиты;
- необходимо постоянно поддерживать в актуальном состоянии правила разграничения доступа и списки пользователей (блокировка пользователей на время отпуска, удаление учетных записей при увольнении, изменение прав доступа при изменении должностных обязанностей);
- обеспечивать надежное хранение носителей с конфиденциальной информацией и аппаратных идентификаторов в запираемых хранилищах (ящиках, сейфах, шкафах);
- не допускать размещения паролей пользователя в общедоступных местах (на мониторе, клавиатуре и т.п.);
- необходимо включить политику сложности паролей: длина не менее 6, наличие различных групп символов;
- обеспечить периодическую смену паролей (срок действия пароля пользователя не должен превышать более года);
- должен быть определен порядок реагирования на инциденты информационной безопасности.
Для эффективного решения задачи защиты информации при ее передаче по компьютерной сети в компании «Медсервис» наряду с техническими мерами защиты необходимо применить следующие организационные меры:
- назначить ответственного пользователя СКЗИ, который должен обучиться работе с внедряемыми СКЗИ;
- определить список лиц, допущенных к работе с СКЗИ и утвердить его приказом директора;
- провести ознакомление пользователей под роспись с инструкцией об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну [17];
- размещать компьютеры с СКЗИ в помещениях, доступ в которые постоянно ограничен (двери постоянно закрыты, на окнах имеются решетки, окна оснащены жалюзи);
- по окончании рабочего дня запирать на ключ и опечатывать помещения, где расположены СКЗИ;
- учитывать ключи от помещений, криптографические ключи и их носители, сами СКЗИ в отведенном специально для этих целей журнале;
- обеспечить безопасное хранение ключевых носителей и документации на СКЗИ в запираемых хранилищах

.
Для обеспечения защиты бесперебойной работы компьютерной сети и ее компонент в компании «Медсервис» необходимо принять следующие организационные меры:
- необходимо обеспечить наличие резервных жёстких дисков для сервера той же модели, что там уже установлены (всегда должен быть в наличии хотя бы один резервный диск), для возможности горячей замены вышедшего из строя жесткого диска при применении RAID технологии;
- необходимо иметь в наличии резервное коммутационное оборудование (роутер, коммутатор) на случай выхода из строя и возможности быстрой полной замены оборудования;
- необходимо обеспечить установку системы кондиционирования в серверную комнату, чтобы избежать проблем, связанных с возможным перегревом оборудования, особенно в летнее время;
- в случае нахождения вычислительной техники вблизи батарей или на полу организовать ее перенос в более безопасные места на случай угрозы подтопления;
- организовать периодическое копирование важной информации на отчуждаемые внешние носители информации и в случае их конфиденциальности хранить их в запираемых хранилищах;
- организовать регулярное проведение технического обслуживания компьютерной техники (очистка от пыли) не реже одного раза в полугодие;
- проводить плановую периодическую замену отработавшей свой срок эксплуатации вычислительной техники, при этом приоритеты по срокам замены должны быть расставлены таким образом, чтобы по возможности заменять наиболее критичные ресурсы;
- провести работу с персоналом на предмет грамотного использования ими компьютерной техники от моментов корректного включения и выключения компьютера, до обязанности не допущения ими каких-либо механических воздействий на системные блоки (проливы жидкости, удары, источники огня), довести до пользователей необходимость немедленно сообщать в отдел информационных технологий о возникших проблемах в работе вычислительной техники