Виды, задачи, функции, полномочия, построение организационных структур, которые реализуют функции системы обеспечения информационной безопасности и защиты информации
Для организации защиты информации в организации могут создаваться:
1. служба безопасности;
2. отдел защиты информации;
3. служба конфиденциального делопроизводства.
1. Основные задачи, решаемые службой безопасности предприятия следующие:
- организация и обеспечение пропускного и внутри объектового режима в зданиях и помещениях, контроль соблюдения требований режима сотрудниками и посетителями; руководство работами по организационному регулированию отношений по защите конфиденциальной информации;
- участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации, в частности, Устава, Коллективного договора, Правил внутреннего трудового распорядка, Положений о подразделениях, а также трудовых договоров, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
- разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной;
- изучение всех сторон коммерческой и производственной деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведение учета и анализа нарушений режима безопасности;
- организация и проведение служебных расследований по фактам разглашения сведений, утрат документов и других нарушений информационной безопасности предприятия;
- разработка, ведение, обновление перечня сведений, составляющих коммерческую тайну и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
- обеспечение строгого выполнения требований нормативных документов по защите конфиденциальной информации;
- организация и регулярное проведение учебы сотрудников предприятия по всем направлениям защиты конфиденциальной информации;
- ведение учета выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
- проверка работников на предмет соблюдения правил обеспечения экономической, информационной и физической безопасности;
- оказание содействия отделу кадров по работе с персоналом в вопросах подбора, расстановки, служебного перемещения и обучения персонала1.
2. Подразделение конфиденциального делопроизводства либо наделение сотрудников службы документационного обеспечения управления функциями, аналогичными функциям подразделения конфиденциального делопроизводства.
Основные задачами по защите информации:
- предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам и т.д.;
- обеспечение физической сохранности документов;
- обеспечение сохранности информации, содержащейся в них.
Выполнение этих задач позволит не только избежать утраты или подмены документов ограниченного доступа, но и предотвратить нарушение режима их
конфиденциальности в результате разглашения охраняемых сведений, т.е. несанкционированного распространения данной информации среди третьих лиц, не входящих в круг лиц, имеющих доступ к ней. При этом не следует забывать, что утечка конфиденциальной информации может произойти не только по вине посторонних лиц, непосредственно не работающих в организации, но и по вине сотрудников самой организации, поэтому одним из главных направлений в создании и эффективной деятельности организации и защите сведений, составляющих коммерческую тайну, является правильный подбор сотрудников службы конфиденциального делопроизводства и всесторонний контроль их деятельности.
3. Отдел защиты информации – основная задача комплексная защита информации на предприятии.
Функции:
- Разработка и внедрение организационных и технических мероприятий по комплексной защите информации на предприятии по работам, содержание которых составляет государственную или коммерческую тайну.
- Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.
- Обеспечение конфиденциальности переговоров, бесед и совещаний закрытого характера.
- Разработка проектов текущих и перспективных планов работы.
- Организация, координация и выполнение работ по защите информации, разработка технических средств контроля.
- Заключение договоров на работы по защите информации.
- Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.
- Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, и разработка мер по их устранению и предотвращению.
- Составление актов и другой технической документации о степени защищенности технических средств и помещений.
- Контроль за соблюдением нормативных требований по защите информации.
- Обеспечение комплексного использования технических средств, методов и организационных мероприятий.
- Рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.
- Разработка и реализация мер по устранению выявленных недостатков по защите информации.
- Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.
- Разработка регламента допуска сотрудников предприятия к отдельным каналам информации, плана защиты информации, положений об определении степени защищенности ресурсов автоматизированных систем.
- Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.
- Формирование Перечня сведений, составляющих коммерческую тайну, а также Перечня сведений, отнесенных к государственной тайне.
- Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.
Отдел по защите информации имеет право:
- Осуществлять контроль за деятельностью структурных подразделений предприятия по выполнению ими требований информационной безопасности.
- Давать структурным подразделениям предприятия и отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию отдела.
- Запрашивать и получать от структурных подразделений сведения, справочные и другие материалы, необходимые для осуществления деятельности отдела.
- Принимать меры при обнаружении несанкционированного доступа к информации как внутри предприятия, так и извне и докладывать о принятых мерах руководителю предприятия с представлением информации о субъектах, нарушивших режим доступа.