Основные задачи подразделения обеспечения безопасности информационных технологий. Организация работ по обеспечению безопасности информационных технологий
Организационная структура, основные функции подразделения безопасности
Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должно быть) создано специальное подразделение обеспечения безопасности информации (служба компьютерной безопасности).
Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.
На это подразделение целесообразно возложить решение следующих основных задач:
· определение требований к системе защиты информации, ее носителей и процессов обработки, разработка (совершенствование), согласование и утверждение у руководства политики безопасности;
· организация мероприятий по реализации принятой политики безопасности, оказание методической помощи и координация работ по созданию и развитию комплексной системы защиты информации;
· контроль за соблюдением установленных правил безопасной работы в АС, оценка эффективности и достаточности принятых мер и применяемых средств защиты.
Основные функции службы заключаются в следующем:
· формирование требований к системе защиты при создании и развитии АС;
· участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
· планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
· обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;
· распределение между пользователями необходимых реквизитов доступа к ресурсам АС;
· контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
·взаимодействие с ответственными за безопасность информации в подразделениях;
·регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);
·принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;
·наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.
Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом:
·служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
·сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;
·руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности;
·численность службы должна быть достаточной для выполнения всех перечисленных выше функций;
·штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС;
·сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.
Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права.
·определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений;
·получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся обеспечения безопасности ИТ;
·участвовать в проработке технических решений по вопросам обеспечения безопасности ИТ при проектировании и разработке новых подсистем и комплексов задач (задач);
·участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по обеспечению безопасности ИТ;
·контролировать деятельность сотрудников других подразделений организации по вопросам обеспечения безопасности ИТ.
Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты:
· руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС;
· аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно -методических и организационно-распорядительных документов по вопросам защиты информации;
· администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС;
· администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.;
· ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.);
· специалисты по защите информации от утечки по техническим каналам;
· ответственные за организацию конфиденциального (секретного) делопроизводства и др.
ТЕМА 17
Концепция безопасности информационных технологий предприятия (организации)
Дата добавления: 2018-03-01; просмотров: 1586;