Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими

Подразделениями

КСЗИ предполагает подчиненное единому замыслу эффективное управление всеми элементами системы обеспечения безопасности информации, анализ и адекватное противодействие внешним и внутренним угрозам, реализацию принципов зашиты информации, обрабатываемой на предприятии.

Управление КСЗИ должно осуществляться специализированной организационной структурой (системой управления информационной безопасностью — СУИБ), которая будет координировать действия подразделений (служб) организации, эксплуатирующей АС, контролировать реализацию политики безопасности информации и пресекать выявленные нарушения. Рассмотрим возможную структуру СУИБ без привязки к конкретной организационно-штатной структуре.

СУИБ строится как самостоятельная структура организации, подчиняющаяся непосредственно руководителю (заместителю руководителя) организации. В состав СУИБ обычно входит специализированное подразделение (отдел обеспечения безопасности информации, далее — отдел ОБИ), уполномоченные сотрудники подразделений и территориально разобщенных объектов, на которых распоряжением руководителя организации кроме основных задач дополнительно возложено решение задач по обеспече­нию безопасности информации (нештатные администраторы безопасности, далее — администратор Б И); они управляют деятельностью (по вопросам обеспечения безопасности информации) и тесно взаимодействуют с администраторами АС (ее сегментов) и администраторами баз данных.

Примерная структура отдела ОБИ и основные взаимодейству­ющие подразделения приведены на рис. 2.2. В состав отдела входит группы специалистов: главных и ведущих специалистов по защите информации, инженеров-программистов, отвечающих за отдельные направления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем АС и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методи­ческих и организационно-распорядительных документов по воп­росам обеспечения безопасности информации; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).

Отдел ОБИ является самостоятельным структурным подразде­лением организации и подчиняется заместителю руководителя организации, отвечающему за безопасность. Начальник отдела ОБИ назначается и освобождается от занимаемой должности по согласованию с руководителем организации

Рис. 2.2. Примерная структура системы управления безопасностью информации и отдела обеспечения безопасности информации (ОБИ)

Включение отдела ОБИ подразделения в состав других структурных подразделений организации или передача его функции этим подразделениям, а также возложение на него задач, не связанных с деятельностью по обеспечению безопасности информации, не допускается. '

Основные направления деятельности СУИБ: выработка подходов к обеспечению безопасности информации и их практическая реализация, сбор статистических данных* целью анализа и выявления источников угроз и уязвим остей,

• составление и ведение схемы информационных потоков, при­ведение их анализа с целью выявления недостатков в организации КСЗИ, составление и выполнение планов по их устранению;

• координация усилий всех подразделений по вопросам обеспечения безопасности информации на предприятии;

• взаимодействие с подразделениями ОБИ организаций, учреждений, использующих информационные ресурсы;

• организация и выполнение технологических операций по пре­доставлению прав доступа сотрудникам к информационным ресурсам и средствам их обработки в соответствии с решениями, принятыми в установленном порядке;

• непосредственное обеспечение защиты информационных ре­сурсов, обрабатываемых с применением технических средств обработки, управление СЗИ;

• обеспечение зашиты информации, циркулирующей в помещениях;

• доведение требований по обеспечению безопасности информации до сторонних организаций (партнеров), обращающихся к информационным ресурсам;

• проведение инструктажей сотрудников по мерам обеспечения безопасности информации, обучение их работе с использованием средств защиты информации;

• учет, хранение и выдача носителей информации, генерация паролей, ключей пользователей, используемых в СЗИ, контроль соответствия ПО АС эталонному;

• контроль правильности выполнения сотрудниками требова­ний безопасности информации и расследование случаев их нарушения;

• оказание консультационной и технической поддержки пользо­вателям АС при выполнении ими обязанностей по обеспечению безопасности информации;

• постановка и решение научно-технических задач и реализа­ция технологических процедур в области обеспечения безопасности информации.

СУИБ, как правило, должна комплектоваться специалистами, имеющими практический опыт работы в области зашиты инфор­мации и отвечающими соответствующим квалификационным требованиям для специалистов по комплексной защите информации. Их численность должна быть достаточна для обеспечения без­опасности информации с учетом особенностей предприятия.