1. Главная
  2. Психология
  3. Возможная структура службы защиты информации

Возможная структура службы защиты информации

В данной главе предпринята попытка обрисовать структуру и состав службы безопасности информации, обеспечивающей фирме (организации) защиту конфиденциальной информации.

Возглавлять данную службу (рис. 8.2) должен начальник службы безопасности информации. Для более мелких фирм (организаций) – помощник начальника службы безопасности фирмы по информационной безопасности. Эта должность может быть штатной, либо ее можно занимать по совместительству (зависит от статуса фирмы и ее финансового состояния).

возможная структура службы защиты информации - student2.ru

Рис. 8.2. Структура службы безопасности информации

В службе безопасности должны быть должностные лица, отвечающие первоначально за отдельные направления защиты. Ими могут быть:

· главный специалист по обеспечению безопасности информации (ОБИ) в выделенных помещениях (ВП) фирмы;

· главный специалист по обеспечению безопасности информации на объектах вычислительной техники (ВТ) фирмы;

· главный специалист по обеспечению безопасности связи.

Эти должности могут исполняться по совместительству, но, безусловно, подготовленными сотрудниками в вопросах обеспечения информационной безопасности. Кроме того, в каждом выделенном помещении должны быть назначены ответственные по обеспечению безопасности информации. Такие же ответственные назначаются и на каждый объект вычислительной техники. Что касается безопасности связи, то здесь должны быть ответственные за обеспечение безопасности каждого вида связи (телефонной, телеграфной, факсимильной, при передаче данных). Эти должности также занимаются по совместительству.

Таким образом, у начальника службы безопасности информации появляется структура, которую можно обучить и организовать ее эффективное функционирование по обеспечению безопасности информации в целом на фирме.

Порядок работы начальника службы безопасности информации (помощника начальника службы безопасности по информационной безопасности) по организации защиты конфиденциальной информации на фирме показан на рис.8.3.

возможная структура службы защиты информации - student2.ru

Рис. 8.3. Порядок организации защиты информации

Свою деятельность по обеспечению безопасности информации начальник службы безопасности информации (помощник начальника службы безопасности по информационной безопасности) должен начать с создания службы безопасности информации и назначения приказом руководителя фирмы (организации), должностных лиц согласно рис.1, но с учетом конкретных особенностей фирмы, а также разработать для них функциональные обязанности. Далее необходимо удостовериться, имеется ли перечень сведений, относящихся к коммерческой тайне фирмы. Если такого перечня нет, то разработать его и утвердить приказом руководителя. К разработке данного перечня по необходимости могут привлекаться и другие должностные лица фирмы. После этого проводится инструктивно-методическое занятие с сотрудниками фирмы, где до их внимания доводится утвержденный перечень сведений, относящихся к коммерческой тайне фирмы и юридическая ответственность за неправомерные действия с конфиденциальной информацией (УК РФ 1997 г.) с подписанием договорного обязательства о неразглашении коммерческой тайны.

В результате будет создана правовая база на фирме, на основании которой можно проводить и разъяснительно-воспитательную работу с сотрудниками фирмы о соблюдении мер по обеспечению безопасности конфиденциальной информации. Это важно, поскольку на сегодняшний день утечка конфиденциальной информации по вине сотрудников занимает первое место и составляет около 43%.

Следующий этап работы службы безопасности информации заключается в том, чтобы разобраться с объектами фирмы, где обрабатывается конфиденциальная информация. Для этого необходимо уточнить, имеется ли утвержденный перечень выделенных помещений и объектов вычислительной техники, где обрабатывается конфиденциальная информация. Если такого перечня нет, то его необходимо разработать. После того как перечень объектов будет разработан и утвержден, уточняется, было ли проведено спецобследование и аттестация выделенных помещений и объектов вычислительной техники. Объекты, прошедшие спецобследование и аттестацию, должны иметь соответственно акты спецобследования и аттестаты соответствия. При этом необходимо учесть, что ПЭВМ на объектах вычислительной техники должны пройти специсследование и спецпроверку и иметь соответственно акты специсследования и протоколы спецпроверки. Также следует иметь в виду, что спецобследование объектов можно проводить своими силами (то есть созданной приказом руководителя комиссией по проведению спецобследования, при наличии подготовленных специалистов), а специсследование и спецпроверку ПЭВМ и аттестацию объектов проводят только фирмы (организации), имеющие лицензии на право деятельности в этой области. Спецобследование и аттестация объектов проводится периодически.

Таким образом, предложенный вариант порядка работы службы безопасности информации не претендует быть бесспорным, однако, призван помочь специалистам в вопросах организации работы по обеспечению безопасности конфиденциальной информации на фирме (в организации).

Контрольные вопросы

1. Назовите виды угроз от сотрудников и нарушителей по возрастанию степени их опасности.

2. Опишите последовательность действий СБП при приеме на работу новых сотрудников.

3. Какие действия предпринимаются при нарушении персоналом информационной безопасности?

4. Как осуществляется набор персонала в СБП?

5. В чем особенность отбора персонала в СБП и последовательность его проведения.

6. Какие требования учитываются при отборе кандидатов на должность начальника СБП?

7. Опишите назначение и методы проведения тестирования при отборе персонала в СБП.

8. Какими знаниями и навыками должен владеть современный специалист по защите информации?

9. Перечислите основные обязанности начальника СБП.

10. Назовите новые подходы к организации служб информации на современных фирмах.

ЗАКЛЮЧЕНИЕ

Рассмотренный учебный курс по дисциплине «Организация и управление службой защиты информации» является одним из центральных в специальной подготовке специалистов по защите информации. Основная цель, которая в нем была поставлена, показать место и роль службы защиты информации в общей системе безопасности предприятия. Наиболее важными являются вопросы построения (проектирования) структуры, определение функций различных подразделений, эффективное использование современных методов управления как отдельных подразделений по защите информации, так и службы безопасности предприятия в целом.

Успешное решение этих проблем возможно при наличии на предприятии специально подготовленных специалистов и организации работы по подбору, расстановке и использованию персонала, как в службе защиты информации, так и во всех других подразделениях предприятия. Особая роль при этом отводится руководителям соответствующих служб, что должно учитываться при их отборе и управлении ими.

Наши рекомендации

Тема 3. Лицензирование деятельности в области защиты информации, сертификация средств защиты информации и аттестация объектов информатизации

Основные задачи службы защиты информации предприятия.

Структура системы защиты информации

Систем защиты информации на организации. Виды конфиденциальной информации. Элементы защиты информации.

Лекция 6. Организация службы защиты информации (СЗИ)

Руководитель службы защиты информации

Лекция 6. Организация службы защиты информации (СЗИ)

Руководитель службы защиты информации

Службы защиты информации на предприятии

Тема 2. Задачи, функции, структура и штаты службы защиты информации