Структура, численность и состав подразделения (службы) по защите информации на предприятии определяются реальными потребностями (степенью влияния угроз безопасности информации на показатели работы).
Комплексная безопасность предприятия и защита информации может быть реализована следующими тремя путями:
- абонементное обслуживание силами специальных организаций;
- создание собственного подразделения;
- комбинированный вариант.
В первом случаеспециализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с организацией защиты и поддержание состояния защищенности на должном уровне. Поскольку для получения лицензии для подобного рода деятельности требуются квалифицированные кадры, дорогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия - гарантия качества защиты. При этом услуги такого рода достаточно дороги и специалисты не могут постоянно находиться на объекте.
|
|
Во втором случае создается собственное подразделение, имеющее, в общем виде структуру, представленную на рис. 6.
Рис.6. Примерная структура службы защиты информации предприятия
Для решения задач защиты информации на подобное подразделение могут быть возложены следующие функции:
- организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещениях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;
- руководить работами по правовому и организационному регулированию отношений по защите коммерческой тайны;
- участвовать в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора, Правил внутреннего трудового распорядка, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
- разрабатывать и осуществлять совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организовывать и контролировать выполнение требований «Инструкции по защите коммерческой тайны», «Политики информационной безопасности»;
- изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, вести учет и анализ нарушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;
|
|
- организовывать эксплуатацию систем безопасности, средств защиты информации, поддерживать их в работоспособном и актуальном состоянии;
- организовывать и проводить служебные расследования по фактам разглашения сведений, утрат документов и других нарушений режима безопасности предприятия;
- разрабатывать, вести, обновлять и пополнять «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
- обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;
- организовывать и регулярно проводить обучение сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны;
- вести учет носителей информации, сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;
- вести учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;
- поддерживать контакты с правоохранительными органами по вопросам обеспечения безопасности предприятия и, при необходимости – при проведении служебных проверок по фактам утраты информации.
Для предприятий, в которых создание подобных подразделений является экономически нецелесообразным данные виды работ выполняются либо руководителем предприятия, либо специально назначенным сотрудником.