Определение количества задач для осуществления всех функций защиты во всех зонах защиты.

Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности).

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.

На это подразделение целесообразно возложить решение следующих основных задач:

· определение требований к системе защиты информации, ее носителей и
процессов обработки, разработка политики безопасности;

· организация мероприятий по реализации принятой политики
безопасности, оказание методической помощи и координация работ по
созданию и развитию комплексной системы защиты;

· контроль за соблюдением установленных правил безопасной работы в
АС, оценка эффективности и достаточности принятых мер и
применяемых средств защиты.

Основные функции службы заключаются в следующем:

· формирование требований к системе защиты при создании и развитии АС;

· участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

· планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

· обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;

· распределение между пользователями необходимых реквизитов доступа к ресурсам АС;

· контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

· взаимодействие с ответственными за безопасность информации в подразделениях;

· регламентация действий и контроль за администраторами баз данных,
серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);

• принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;

• наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.

Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом:

• служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

• сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;

• руководителю службы защиты должно быть предоставлено право ' запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности;

• численность службы должна быть достаточной для выполнения всех перечисленных выше функций;

• штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС;

• сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.

Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права:

• определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений;

• получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ОИБ;

• участвовать в проработке технических решений по вопросам ОИБ при проектировании и разработке новых подсистем и комплексов задач (задач);

• участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по ОИБ;

• контролировать деятельность сотрудников других подразделений организации по вопросам ОИБ.

Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты:

• руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС;

• аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;

• администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС;

• администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.;

• ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.);

• специалисты по защите информации от утечки по техническим каналам;

• ответственные за организацию конфиденциального (секретного) делопроизводства и др.