|
|
Создание службы информационной безопасности, организационная структура и основные функции На схеме представлена совокупность действий по разработке рациональной структуры и организационной поддержке службы информационной безопасности. К задачам службы безопасности предприятия относятся: · определение перечня сведений, составляющих коммерческую тайну, а также круга лиц, которые в силу занимаемого служебного положения на предприятии имеют к ним доступ; · определение участков сосредоточения сведений, составляющих коммерческую тайну; технологического оборудования, выход из строя которого (в том числе уязвимого в аварийном отношении) может привести к большим экономическим потерям; · формирование требований к системе защиты в процессе создания и участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию; · планирование, организация и обеспечение функционирования системы защиты информации; · распределение между пользователями необходимых реквизитов защиты, включая установку (периодическую смену) паролей, управление средствами защиты коммуникаций и криптозащиту предаваемых, хранимых и обрабатываемых данных; · координация действий с аудиторской службой, совместное проведение аудиторских проверок, контроль функционирования системы защиты и ее элементов, тестирование системы защиты; · организация обучения сотрудников СИБ в соответствии с их функциональными обязанностями; обучение пользователей АС правилам безопасной обработки информации; · определение круга предприятий, связанных с данным кооперативными связями, на которых возможен выход из-под контроля сведений, составляющих коммерческую тайну предприятия; выявление лиц на предприятии и предприятий (в том числе иностранных), заинтересованных в овладении коммерческой тайной;. · расследование происшедших нарушений защиты, принятие мер реагирования на попытки НСД к информации и нарушениям правил функционирования системы защиты; · выполнение восстановительных процедур после фактов нарушения безопасности; · изучение, анализ, оценка состояния и разработка предложений по совершенствованию системы обеспечения информационной безопасности предприятия; внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения информационной безопасности. · совместная работа с представителями других организаций по вопросам безопасности - непосредственный контакт или консультации с партнерами или клиентами; · постоянная проверка соответствия принятых в организации правил безопасной обработки информации существующим правовым нормам, контроль за соблюдением этого соответствия. Дополнительно в обязанности сотрудников СИБ входит исполнение директив вышестоящего руководства, участие в выработке решений по всем вопросам, связанным с процессом обработки информации с точки зрения обеспечения его защиты. Более того, все их распоряжения, касающиеся этой области, обязательны для исполнения сотрудниками всех уровней и организационных звеньев. Существует несколько вариантов штатного расписания такой службы. Один из них может быть таким: · заместитель директора по безопасности и защите информации; · администратор безопасности АС - штатный сотрудник отдела защиты информации; · администратор системы - штатный сотрудник отдела автоматизации; · администраторы групп - штатные сотрудники подразделений, эксплуатирующих АС; · менеджеры безопасности; · операторы Эта схема используется в большинстве организаций, серьезно заботящихся о безопасности информации. Надежность такой структуры СИБ обусловлена тем, что защитой информации занимается подразделение специалистов, несущих непосредственную ответственность за свою работу.
Организационно группы СИБ должны быть обособлены от всех отделов или групп, занимающихся управлением самой системой, программированием и другими относящимися к системе задачами во избежание возможного столкновения интересов. Для эффективной работы Службы информационной безопасности необходима соответствующая административная поддержка, заключающаяся в отражении основных положений принятой политики безопасности в соответствующих Инструкциях и Распоряжениях. В них в первую очередь должны быть определены: · должностные обязанности групп пользователей; · правила доступа (разграничения доступа) к информации; · мероприятия по обеспечению контроля и функционирования системы защиты информации; · меры реагирования на нарушение режима безопасности; · планирование и организация восстановительных работ. Для обеспечения успешной работы СИБ необходимо определить права и обязанности Службы, а также правила ее взаимодействия с другими подразделениями по вопросам защиты информации на объекте. Организационно-правовой статус СИБ определяется следующим образом: · численность службы должна быть достаточной для выполнения всех перечисленных выше функций; · служба должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией; · штатный состав службы не должен иметь других обязанностей, связанных с функционированием АС; · сотрудники службы должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации; · руководителю службы должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации; · службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций. Существуют различные варианты детально разработанного штатного расписания групп, включающие перечень функциональных обязанностей, необходимых знаний и навыков, распределение времени и усилий. При организации защиты существование детально разработанных обязанностей сотрудников СИБ совершенно необходимы.
Не нашли, что искали? Воспользуйтесь поиском по сайту: ©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.
|
