Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.
Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других нормативных правовых актов по безопасности, утвержденных органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.
В целях обеспечения заданного качества функционирования системы информационной безопасности, должно проводиться предпроектное обследование и проектирование ИС, выработка требований по средствам защиты информации и контроля, предполагаемых к использованию в этих системах, а также контроль защищенности информационных ресурсов.
Применение аутентификации в автоматизированных системах обусловлено необходимостью гарантированного сопоставления участников информационного обмена учетным записям в системе в целях предоставления им законно предоставленных прав на реализацию системных процедур. Аутентификация в вычислительных сетях призвана обеспечить заданную степень уверенности получателя в том, что полученная информация была передана отправителем и при этом не была заменена или искажена.
Целью аутентификации является защита участников информационного обмена от стороннего вмешательства путем взаимной идентификации. Важной мерой защиты передаваемых в электронном виде данных, является шифрование. Политика информационной безопасности Политика информационной безопасности лист 13 из 16
Организационное обеспечение информационной безопасности
Задачи обеспечения безопасности информационных ресурсов решаются следующими организационными методами:
разработкой и осуществлением разрешительной системы допуска работников к работам с документами и сведениями конфиденциального характера;
установлением единого порядка хранения и обращения конфиденциальной информации (документов, носителей информации);
координацией работ по защите информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.
В работе с работником Фонда основными организационными мерами в плане достижения информационной безопасности являются:
заключение трудовых договоров и получение у работников добровольного согласия на соблюдение требований, регламентирующих режим информационной безопасности и сохранность конфиденциальной информации;
проведение периодического обучения и повышения квалификации работников Фонда в области информационной безопасности.
Система распределения обязанностей между отдельными работниками может в значительной мере способствовать повышению общего уровня информационной безопасности. Этого можно достичь следующими методами:
минимизация данных, доступных работникам. Каждый работник должен знать только те детали процедур обработки данных, которые необходимы ему для выполнения своих обязанностей. Организация технологического процесса сбора и обработки информации и планирование помещений должны по мере возможности исключать или сводить к минимуму контакты персонала в процессе выполнения работ. Каждый работник должен знать все о своей работе и связанных с нею ограничениях, а также четко представлять последствия нарушения этих ограничений;
Административные меры защиты информации предполагают: Политика информационной безопасности Политика информационной безопасности лист 14 из 16
обеспечение физической сохранности автоматизированной системы и дополнительного оборудования;
организацию контроля доступа и режима выполнения работ персоналом подразделения информационных технологий;
инспектирование правильности и полноты выполнения персоналом подразделения информационных технологий мер по обеспечению сохранности необходимых дубликатов файлов, библиотеки программ, оборудования системы;
практическую проверку функционирования отдельных мер защиты: предотвращения недозволенных изменений программ и оборудования, контроль всех процедур, производимых с файлами на носителях и т.д.;
проверку машинных и ручных протоколов выполнения работ со стороны пользователей;
ознакомление работников Департамента информационных технологий со всеми новыми разработками по обеспечению сохранности данных.
Программа создания системы безопасности
Политика служит методологической основой для формирования и реализации программы создания системы информационной безопасности Фонда. В целом для функционирования системы информационной безопасности с учетом положений Политики должны быть разработаны и приняты (с учетом необходимого обновления) следующие документы:
классификация (анализ) рисков информационной безопасности;
внутренний документ Фонда о порядке отнесения сведений к конфиденциальной информации;
перечень сведений, составляющих конфиденциальную информацию;
организационно-распорядительные документы, регламентирующие порядок и правила обеспечения сохранности конфиденциальной информации в рамках каждой функциональной задачи и соответствующей ей автоматизированной системы.
Для осуществления технической политики в области обеспечения информационной безопасности необходимо разработать и реализовать комплекс мероприятий:
по обеспечению технической, программной и криптографической защиты информации в автоматизированных системах;
по оснащению важнейших объектов и помещений средствами и системами защиты и контроля.
В процессе создания системы безопасности необходимо предусмотреть приоритеты реализации наиболее важных и актуальных направлений обеспечения безопасности, с учетом выделяемых финансовых ресурсов.
В целях достижения оптимального уровня информационной безопасности следует: Политика информационной безопасности Политика информационной безопасности лист 15 из 16
иметь в наличие внутренний документ, определяющий порядок определения сведений, составляющих конфиденциальную информацию Фонда и требования к организации их защиты, включающие описание процедур отнесения сведений к категории конфиденциальных и, в случае необходимости, в установленном порядке вносить в него изменения и дополнения;
регулярно проводить анализ принятой технологии обработки конфиденциальной информации, включая категорирование ресурсов по степени критичности обрабатываемых с их помощью данных;
определять полный перечень и возможные угрозы нарушения конфиденциальности информации и классифицировать их по вероятности возникновения исходя из принятой типовой модели нарушителя;
с учетом действующих мер и средств защиты проводить оценку риска утечки конфиденциальной информации;
разработать и внедрить систему обеспечения безопасности информации в Фонде (систему защиты информации), направленную на снижение уровня риска, включающую комплекс организационных мер и технических средств;
на постоянной основе проводить обучение и повышение квалификации персонала Фонда в области информационной безопасности;
проводить периодический контроль эффективности и адекватности принимаемых мер защиты информации.
Разделение полномочий и ответственность
Руководство Фонда осуществляет координацию деятельности всех подразделений для организации и поддержания соответствующего уровня информационной безопасности.
Решение вопросов стратегического планирования по информационной безопасности, а также контроль нештатных ситуаций и инцидентов в области защиты информации, осуществляет Департамент безопасности совместно с Департаментом информационных технологий.
В рамках исполнения настоящей политики Фонд проводит регулярный мониторинг и аудит программно-аппаратного комплекса, обеспечивающего функционирование норм и правил настоящей политики. Аудит проводится силами и средствами Департамента информационных технологий при общем участии Департамента безопасности, на регулярной основе, по согласованному и утвержденному план-графику, с представлением отчетности руководству курирующих департаментов. Независимый аудит информационной безопасности может быть проведен по решению Совета Директоров Фонда с привлечением независимой аудиторской компании.
Департамент безопасности выполняет мониторинг защищенности информационных ресурсов, разрабатывает правила и инструкции, контролирует соблюдение требований информационной безопасности всеми участниками информационного обмена. Расследование инцидентов осуществляет Политика информационной безопасности Политика информационной безопасности лист 16 из 16 Департамент безопасности Фонда совместно с Департаментом информационных технологий.
Директора департаментов и филиалов Фонда несут ответственность за ознакомление работников с требованиями информационной безопасности.
Администраторы ресурсов ИС обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
Задачей каждого пользователя ИС является соблюдение правил, инструкций, рекомендаций по обеспечению безопасной работы ИС, извещение руководства обо всех подозрительных ситуациях при работе с информационными ресурсами.
За несоблюдение порядка и правил использования информационных ресурсов к виновным могут быть применены меры, предусмотренные трудовыми договорами, заключенными между Фондом и работником, а также действующим законодательством и настоящей Политикой.
Порядок пересмотра Политики, документы, регламентирующие Политику
Департаментом безопасности ежегодно пересматриваются основные принципы, направления и требования по защите информации в Фонде. Пересмотр Политики осуществляется в соответствии с изменениями, влияющими на первоначальную оценку риска, путем выявления существенных инцидентов нарушения информационной безопасности, появления новых уязвимостей или изменения организационной или технологической инфраструктуры Фонда. Настоящая Политика регламентируются дополнительными документами, предусмотренными пунктом настоящей Политики и соответствующими Правилами информационной безопасности по конкретным областям ее применения.
Заключение
На основании проведенного исследования теоретических и нормативных источников, практического опыта ознакомления с деятельностью конкретной аптечной организации можно утверждать, что обязательным элементом нормального трудового процесса работников аптечной организации является рациональная организация делопроизводства, под которым подразумевается весь комплекс работ с документами, которые совершаются в учреждениях в ходе выполнения ими своих функций. Работа с документами складывается из методов, приемов и способов обработки служебной документации.
Состояние делопроизводства в аптечных организациях оказывает большое влияние на различные участки: руководство, регулирование производственных процессов, информацию, учет, планирование, контроль, обобщение опыта и т. д.
При этом оперативной работе с документами способствует правильная организация документооборота. При построении схем документооборота особо выделяется прохождение таких групп документов, как правительственная документация; предложения, заявления и жалобы граждан, документы, адресуемые на имя руководства и вниз по подчиненности. В схемах указываются этапы прохождения документов и должностные лица, участвующие в работе с ними.
В системе делопроизводства конкретной аптечной организации, прежде всего, значима роль ее руководителя, особенно если учредительными документами (Устав и др.) он признается единоличным исполнительным Органом и наделяется исключительным правом на издание приказов, распоряжений, прочей нормативной документации по данной организации. Именно на него возлагаются задачи по планированию, регулированию, координации и контролю всей аптечной работы, где ему постоянно приходится принимать решения. Управленческие решения как непосредственный результат управленческого труда влекут за собой очевидные последствия для организации в целом. Именно поэтому рациональное и обоснованное ведение делопроизводства в аптечной организации позволяет эффективно решить сразу несколько задач:
) документально оформить отношения, в т.ч. производственные, трудовые, взаимоотношения с третьими лицами (поставщиками, клиентами), формализовать производственные, кадровые и учетно-отчетные процедуры в организации;
) построить стройную систему управления персоналом, отвечающую стратегическим задачам управления. Это удобной инструмент, с помощью которого можно выстроить и закрепить документально единые принципы корпоративных отношений;
) регламентировать взаимоотношения работника и работодателя. Введение кадровых документов позволяет добиться «баланса интересов» работодателя и работников путем четкой регламентации: чем конкретно должен заниматься каждый работник (например, в должностных инструкциях) и каковы функции работодателя;
) создать организационно-правовые основы производственных и трудовых отношений, как для работников, так и для руководителя. Так, с одной стороны кадровые документы поддерживают интересы работодателя, а с другой - направляют его для недопущения игнорирования требований трудового законодательства. Поэтому наличие грамотно составленных кадровых документов взаимовыгодно обеим сторонам трудового договора.
В свою очередь, наличие грамотно оформленных приказов и распоряжений в иных сферах деятельности организации позволяет ей путем неукоснительного соблюдения действующего законодательства (требований федеральных законов, приказов, распоряжений, методических указаний и т.д.) не только планомерно достигать поставленных целей, но и избегать на этом пути жалоб со стороны потребителей, дополнительных проверок и возможных взысканий со стороны вышестоящих организаций и проверяющих органов.
) Разрешать возникающие споры. Очень часто от качества оформления документов зависит успех позиции руководителя, как, впрочем, и всей аптечной организации, при возникновении конфликтных ситуаций, особенно когда документация выступает как одно из письменных доказательств в судебном разбирательстве. Это актуально не только для кадровой документации, но и для документации в сфере обращения лекарственных средств.
) Основной смысл организационно-распорядительной, справочно-информационной, кадровой и учетной документации - в придании большей прозрачности всей деятельности аптечной организации. Вся система документации устанавливает определенные «правила игры», при соблюдении которых сотрудники чувствуют стабильность, а администрация значительно повышает экономические показатели, стабильность деятельности организации и управляемость персонала.
В целом, в совершенствовании управления аптекой можно выделить следующие основные направления:
) рационализация форм разделения и кооперирования управленческого труда;
) рациональная система документирования;
) механизация и автоматизация управленческих работ:
) рациональное использование рабочего времени управленческим персоналом;