Лекция 6. Организация службы защиты информации (СЗИ)

6.1.Создание СЗИ

6.2.Структура СЗИ

6.3.Организационно-технические мероприятия СЗИ

6.4.Руководитель службы защиты информации

6.5.Разработка должностных инструкций для специалистов по защите информации

Создание СЗИ

Основной задачей службы информационной безопасности является определение направления развития и поддержки усилий организации, направленных на защиту информации от несанкционированного ознакомления, изменения, разрушения или отказа в доступе. Это достигается путем внедрения соответствующих правил, инструкций и указаний.

Служба информационной безопасности отвечает:

- за разработку и издание правил (инструкций и указаний) по обеспечению безопасности, соответствующих общим правилам работы организации и требованиям к обработке информации;

- внедрение программы обеспечения безопасности, включая классификацию степени секретности информации (если таковая имеется) и оценку деятельности;

- разработку и обеспечение выполнения программы обучения и ознакомления с основами информационной безопасности в масштабах организации;

- разработку и сопровождение перечня минимальных требований к процедурам контроля за доступом ко всем компьютерным системам, независимо от их размера;

- отбор, внедрение, проверку и эксплуатацию соответствующих методик планирования восстановления работы для всех подразделений

- организации, принимающих участие в автоматизированной обработке самой важной информации;

- разработку и внедрение процедур пересмотра правил обеспечения информационной безопасности, а также рабочих программ, предназначенных для поддержки правил, инструкций, стандартов и указаний организации;

- участие в описании, конструировании, создании и приобретении систем в целях соблюдения правил безопасности при автоматизации производственных процессов;

- изучение, оценку, выбор и внедрение аппаратных и программных средств, функций и методик обеспечения информационной безопасности, применимых для компьютерных систем организации.

При необходимости на службу информационной безопасности возлагается выполнение других обязанностей:

- формирование требований к системе защиты в процессе создания информационных систем (ИС);

- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

- планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования ИС;

- распределение между пользователями необходимых реквизитов защиты;

- наблюдение за функционированием системы защиты и ееэлементов;

- организация проверок надежности функционирования системы защиты;

- обучение пользователей и персонала ИС правилам безопасной обработки информации;

- контроль за соблюдением пользователями и персоналом ИС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

- принятие мер при попытках несанкционированного доступа НСД к информации и при нарушениях правил функционирования системы защиты.

При создании СЗИ на предприятии рекомендуется учитывать следующие требования :

· численность службы защиты должна быть достаточной для выполнения всех перечисленных функций;

· служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

· штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием ИС;

· сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура ИС, и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

· руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы ИС, если они не отвечают требованиям защиты информации;

· служба защиты информации должна иметь все условия, необходимые для выполнения своих функций.

Структура СЗИ

В структуру службы безопасности могут входить :

· директор (заместитель директора) или руководитель непосредственно подчиненный главе фирмы;

· заместитель начальника службы безопасности - на некоторы) предприятиях он руководит физической, а иногда и технически! службами охраны;

· аналитик;

· юрист;

· специалисты в области обеспечения безопасности экономической разведки, промышленной контрразведки;

· технические специалисты, умеющие применять специальну|| технику для защиты помещений;

· сотрудники физической охраны и пропускного режима (по найму), но подчиненные руководителю службы безопасности).

Условно сотрудников службы информационной безопасности можно разделить по функциональным обязанностям:

Сотрудник группы безопасности.В его обязанности входит обеспечение контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема ИС имеет своего сотрудника группы безопасности.

Администратор безопасности системы.В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (при необходимости) и за хранением резервных копий.

Администратор безопасности данных. Вего обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.

Руководитель группы. Вего обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах ИС (при децентрализованном управлении).

В небольших организациях функции руководителя службы обычно выполняет либо глава фирмы, либо его заместитель.

Количественный состав службы безопасности различен и зависит, прежде всего, от возможностей самой фирмы. Возможны различные варианты состава такой группы. Кроме того, перечень необходимых знаний и навыков, а также функциональных обязанностей лиц, входящих и группу защиты информации, может существенно отличаться в зависимости от назначения структуры и задач, решаемых в конкретной

К сожалению, на современном этапе отдается предпочтение ] физической и технической охране, время "оперативников" и аналитиков I только начинается [2].

Наши рекомендации