Структура служб управления защитой информации на предприятии
Управление защитой информации на предприятии
Общие сведения об управлении защитой информацией
Целями защиты информации на предприятии являются обеспечение бесперебойной работы организации и сведение к минимуму ущерба от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму. Управление защитой информации позволяет коллективно использовать информацию, обеспечивая при этом ее защиту. Управление защитой информации должно обеспечивать на предприятии должный уровень информационной безопасности.
Схема 1. Основные компоненты информационной безопасности.
Целостность – обеспечение точности и полноты информации.
Конфиденциальность – защита конфиденциальной информации от ее несанкционированного раскрытия или перехвата.
Доступность – обеспечение доступности информации и жизненно важных сервисов для пользователей, когда это требуется.
Управление защитой информацией на предприятии подразумевает формирование и реализацию политики информационной безопасности, что включает в себя обеспечение документальной базы защиты информации на предприятии, управление персоналом, должностными лицами и доступом к конфиденциальной информацией, определение основных механизмов, средств, а также архитектуры защиты.
Процесс управления защитой информации должен реализовываться в рамках официально принятой и поддерживаемой руководством программы информационной безопасности.
Программа информационной безопасности
Основой политики информационной безопасности на предприятии является программа защиты информации – документ, на основании которого строится управление, защита и распределение критичной информации.
Программа информационной безопасности должна регламентировать общие для предприятия принципы защиты информации и следующие основные соглашения:
рассмотрение информации в любой форме как информационные ресурсы организации;
классификацию рисков и определение требований для реализации средств контроля;
определение необходимой степени защиты информации;
составление перечня обязательств каждого администратора, служащего и подрядчика в соответствии с выбранной степенью защиты информации;
определение требований к защите процесса обучения и перечня обязательств, зависящих от полученных знаний;
назначение ответственных за соблюдение политики информационной безопасности, а также ответственных за защиту информационных ресурсов и спецификацию соответствующих уровней защиты;
контроль знаний и программы обучения, чтобы гарантировать, что служащие и подрядчики осознают свои обязательства по защите информации;
разработку планов возобновления хозяйственной деятельности в случаях нарушения защиты и инцидентов в сфере защиты информации.
Структура служб управления защитой информации на предприятии
Управление защитой информации осуществляется определенными структурными единицами, такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая служба и др.
Структура и состав таких служб зависят от характеристик ее информационных ресурсов, масштаба работ, финансового состояния предприятия, квалификации высшего управленческого персонала, либо содержание подобных служб далеко не всегда требует значительных финансовых затрат. Зачастую многие проблемы защиты информации решаются в рамках правильного и качественного выполнения должностных обязанностей. Также как и политика информационной безопасности, служба защиты должна формироваться во время создания предприятия, и ее идеологом должен быть первый руководитель.
Чтобы избежать каких-либо недоразумений, касающихся отдельных организационных обязанностей, крайне важно четко определить зоны ответственности каждого управленца, а именно:
необходимо подготовить, согласовать и утвердить перечень ограничений по доступу к информационным ресурсам, которому должен вестись постоянный мониторинг;
следует идентифицировать и четко определить различные ресурсы и процессы обеспечения безопасности, связанные с каждой системой;
должна быть согласована кандидатура администратора, отвечающего за каждый ресурс или процесс обеспечения, а его обязанности задокументированы;
четко определить и задокументировать уровни полномочий.
Ответственность за обеспечение информационной безопасности несет весь высший управленческий персонал, поэтому руководству предприятия необходимо регулярно проводить совещания посвященные проблемам защиты информации, чтобы вырабатывать четкие указания по этому вопросу, а также оказывать административную поддержку инициативам по обеспечению безопасности. Если вопросов по защите информации недостаточно до повестки дня специальных совещаний, надо периодически рассматривать эти проблемы на одном из регулярно проводимых совещаний.
Обычно на подобных совещаниях рассматриваются следуют вопросы:
анализ и утверждение политики информационной безопасности и распределение общих обязанностей;
отслеживание основных угроз, которым подвергаются информационные ресурсы;
анализ и разрешение проблемных ситуаций в системе безопасности;
рассмотрение и утверждение основных инициатив направленных на усиление защиты информации.
Рекомендуется, чтобы один из высших должностных лиц брал на себя основную ответственность за координацию действий проведению политики информационной безопасности в жизнь (например, в рамках соответствующей комиссии).
На крупном предприятии, возможно, потребуется проведение совещаний по обеспечению информационной безопасности, в котором примут участие руководители разных подразделений под руководством ответственного координатора.
На крупных предприятиях может быть организована комиссия по приемке средств и систем защиты информации осуществляет процедуру рассмотрения, приемки, утверждения и ввода в эксплуатацию новых информационных систем и технологий, чтобы гарантировать целостность системы защиты и соответствие политике информационной безопасности предприятия, обеспечение принятого уровня защиты.
Также на предприятии может быть сформирована экспертная комиссия, в обязанности которой входит заблаговременный анализ и экспертизу предназначенной для широкого оглашения любой информации о деятельности предприятия и ее продукции (реклама, публикации, СМИ) в целях обнаружения в содержании или элементах отображения этой информации конфиденциальных сведений или намека на наличие таких сведений.
Обязательной составляющей структуры специальных служб на предприятии является служба безопасности, которая осуществляет охрану территории, зданий, сооружений, коммуникаций, средств связи, средств производства, транспортных средств, грузов, продукции, документов, денежных средств, ценных бумаг, бизнес мероприятий, деловых встреч, персонала, конфиденциальной информации и интересов предприятия от преступных посягательств и иных угроз безопасности.
Схема 2. Примерная структура организации защиты информации на предприятии
Координирующим центром обеспечения информационной безопасности в автоматизированной информационной системе организации должно быть специальное подразделение – служба (отдел) защиты информации. Это подразделение может входить в качестве структурной единицы в службу безопасности или напрямую подчиняться первому лицу. Отдел защиты информации осуществляет организацию и координацию работ подразделений организации по комплексной защите информации, контроль и оценку эффективности принятых мер по обеспечению информационной безопасности предприятия. Основными задачами отдела защиты информации являются:
разработка проекта единой политики (концепции) обеспечения информационной безопасности предприятия, определение требований к системе защиты информации и документообороту на бумажных и электронных носителях;
организация мероприятий и координация работ всех подразделений организации по комплексной защите информации на всех этапах технологических циклов ее создания, и переноса на носитель (бумажный или электронный), обработки и передачи в соответствии с единой политикой обеспечения информационной безопасности предприятия;
контроль и оценка эффективности принятых мер и применяемых средств защиты информации.
Основными функциями отдела защиты информации являются:
организация и координация действий подразделений организации по вопросам обеспечения информационной безопасности;
экспертиза договоров со сторонними организациями в части обеспечения информационной безопасности;
участие в работе технической комиссии по пересмотру перечня сведений, подлежащих защите;
согласование должностных и технологических инструкций связанных с информационным обменом и документооборотом;
участие в проектировании, приемке, сдаче в промышленную эксплуатацию программных средств и информационных систем (в части требований к средствам защиты информации);
контроль за соблюдением правил безопасной эксплуатации информационных систем;
контроль за соблюдением требований технических условий и сертификатов на приобретенные программные и аппаратные средства (в том числе средства защиты информации);
организация и контроль разрешительной системы допуска исполнителей к работе с защищаемой информацией;
определение порядка учета, хранения и обращения с защищаемой информацией (документами и носителями информации);
контроль за сохранностью конфиденциальных документов и носителей информации;
генерация ключей шифрования и электронных цифровых подписей.
Возглавлять эту службу (схема 2.) должен соответствующий руководитель (начальник управления, отдела, группы), а в состав должны входить должностные лица, отвечающие за отдельные направления защиты. Ими могут быть:
главный специалист по обеспечению безопасности информации в выделенных помещениях;
главный специалист по обеспечению безопасности информации на объектах вычислительной техники;
главный специалист по обеспечению безопасности системы телекоммуникации и связи.
Эти должности могут исполняться по совместительству, но, безусловно, подготовленными сотрудниками в вопросах обеспечения информационной безопасности. Кроме того, в каждом выделенном помещении назначаются ответственные за обеспечение безопасности информации. Такие же ответственные назначаются и на каждый объект (группу объектов) вычислительной техники. Что касается безопасности телекоммуникаций и связи, то здесь должны быть ответственные за обеспечение безопасности каждого вида связи (телефонной, телеграфной, факсимильной, при передаче данных). Эти должности также могут заниматься по совместительству.
В каждом подразделении назначается администратор информационной безопасности из числа сотрудников подразделения по представлению начальника подразделения, согласованному со службой обеспечения информационной безопасности. Администратор информационной безопасности непосредственно подчиняется начальнику подразделения, в штате которого он состоит.
Схема 3. Примерная структура службы защиты информации