Подразделениями
КСЗИ предполагает подчиненное единому замыслу эффективное управление всеми элементами системы обеспечения безопасности информации, анализ и адекватное противодействие внешним и внутренним угрозам, реализацию принципов зашиты информации, обрабатываемой на предприятии.
Управление КСЗИ должно осуществляться специализированной организационной структурой (системой управления информационной безопасностью — СУИБ), которая будет координировать действия подразделений (служб) организации, эксплуатирующей АС, контролировать реализацию политики безопасности информации и пресекать выявленные нарушения. Рассмотрим возможную структуру СУИБ без привязки к конкретной организационно-штатной структуре.
СУИБ строится как самостоятельная структура организации, подчиняющаяся непосредственно руководителю (заместителю руководителя) организации. В состав СУИБ обычно входит специализированное подразделение (отдел обеспечения безопасности информации, далее — отдел ОБИ), уполномоченные сотрудники подразделений и территориально разобщенных объектов, на которых распоряжением руководителя организации кроме основных задач дополнительно возложено решение задач по обеспечению безопасности информации (нештатные администраторы безопасности, далее — администратор Б И); они управляют деятельностью (по вопросам обеспечения безопасности информации) и тесно взаимодействуют с администраторами АС (ее сегментов) и администраторами баз данных.
|
|
Примерная структура отдела ОБИ и основные взаимодействующие подразделения приведены на рис. 2.2. В состав отдела входит группы специалистов: главных и ведущих специалистов по защите информации, инженеров-программистов, отвечающих за отдельные направления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем АС и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения безопасности информации; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).
Отдел ОБИ является самостоятельным структурным подразделением организации и подчиняется заместителю руководителя организации, отвечающему за безопасность. Начальник отдела ОБИ назначается и освобождается от занимаемой должности по согласованию с руководителем организации
|
|
Рис. 2.2. Примерная структура системы управления безопасностью информации и отдела обеспечения безопасности информации (ОБИ)
Включение отдела ОБИ подразделения в состав других структурных подразделений организации или передача его функции этим подразделениям, а также возложение на него задач, не связанных с деятельностью по обеспечению безопасности информации, не допускается. '
Основные направления деятельности СУИБ: выработка подходов к обеспечению безопасности информации и их практическая реализация, сбор статистических данных* целью анализа и выявления источников угроз и уязвим остей,
• составление и ведение схемы информационных потоков, приведение их анализа с целью выявления недостатков в организации КСЗИ, составление и выполнение планов по их устранению;
• координация усилий всех подразделений по вопросам обеспечения безопасности информации на предприятии;
• взаимодействие с подразделениями ОБИ организаций, учреждений, использующих информационные ресурсы;
• организация и выполнение технологических операций по предоставлению прав доступа сотрудникам к информационным ресурсам и средствам их обработки в соответствии с решениями, принятыми в установленном порядке;
• непосредственное обеспечение защиты информационных ресурсов, обрабатываемых с применением технических средств обработки, управление СЗИ;
• обеспечение зашиты информации, циркулирующей в помещениях;
• доведение требований по обеспечению безопасности информации до сторонних организаций (партнеров), обращающихся к информационным ресурсам;
• проведение инструктажей сотрудников по мерам обеспечения безопасности информации, обучение их работе с использованием средств защиты информации;
• учет, хранение и выдача носителей информации, генерация паролей, ключей пользователей, используемых в СЗИ, контроль соответствия ПО АС эталонному;
• контроль правильности выполнения сотрудниками требований безопасности информации и расследование случаев их нарушения;
• оказание консультационной и технической поддержки пользователям АС при выполнении ими обязанностей по обеспечению безопасности информации;
• постановка и решение научно-технических задач и реализация технологических процедур в области обеспечения безопасности информации.
СУИБ, как правило, должна комплектоваться специалистами, имеющими практический опыт работы в области зашиты информации и отвечающими соответствующим квалификационным требованиям для специалистов по комплексной защите информации. Их численность должна быть достаточна для обеспечения безопасности информации с учетом особенностей предприятия.