Требования, предъявляемые к КСЗИ

Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями

КСЗИ предполагает подчиненное единому замыслу эффектив­ное управление всеми элементами системы обеспечения безопасности информации, анализ и адекватное противодействие внешним и внутренним угрозам, реализацию принципов защиты информации, обрабатываемой на предприятии.

Управление КСЗИ должно осуществляться специализированной организационной структурой (системой управления информационной безопасностью — СУИБ), которая будет координировать действия подразделений (служб) организации, эксплуатируюшей АС, контролировать реализацию политики безопасности информации и пресекать выявленные нарушения. Рассмотрим возможную структуру СУИБ без привязки к конкретной организационно-штатной структуре.

СУИБ строится как самостоятельная структура организации, подчиняющаяся непосредственно руководителю (заместителю руч ководителя) организации. В состав СУИБ обычно входит специализированное подразделение (отдел обеспечения безопасности информации, далее — отдел ОБИ), уполномоченные сотрудники подразделений и территориально разобщенных объектов, на ко торых распоряжением руководителя организации кроме основных задач дополнительно возложено решение задач по обеспсчению безопасности информации (нештатные администраторы безопасности, далее — администратор БИ); они управляют деятельсттью (по вопросам обеспечения безопасности информации) и тесно взаимодействуют с администраторами АС (ее сегментов) и администраторами баз данных.

Примерная структура отдела ОБИ и основные взаимодействующие подразделения приведены на рис. 2.2. В состав отдела входит группы специалистов: главных и ведущих специалистов по мшите информации, инженеров-программистов, отвечающих за «и кмьные направления в работе (за анализ состояния информа­ционных баз, определение требований к защищенности различных подсистем АС и выбор методов и средств обеспечения их мнимы, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вол­чкам обеспечения безопасности информации; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных инициализированных средств защиты и анализа защищенности ресурсов автоматизированных систем.

Отдел ОБИ является самостоятельным структурным подразделением организации и подчиняется заместителю руководителя организации, отвечающему за безопасность. Начальник отдела ОБИ назначается и освобождается от занимаемой должности по согласованию с руководителем организации.

Рис. 2.2. Примерная структура системы управления безопасностью информации и отдела обеспечения безопасности информации (ОБИ)

Включение отдела ОБИ подразделения в состав других струк­турных подразделений организации или передача его функций этим подразделениям, а также возложение на него задач, не свя­занных с деятельностью по обеспечению безопасности информа­ции, не допускается.

Основные направления деятельности СУИБ:

• выработка подходов к обеспечению безопасности информа­ции и их практическая реализация, сбор статистических данных с целью анализа и выявления источников угроз и уязвимостей;

• составление и ведение схемы информационных потоков, про­ведение их анализа с целью выявления недостатков в организа­ции КСЗИ, составление и выполнение планов по их устранению;

• координация усилий всех подразделений по вопросам обес­печения безопасности информации на предприятии;

• взаимодействие с подразделениями ОБИ организаций, уч­реждений, использующих информационные ресурсы;

• организация и выполнение технологических операций по пре­доставлению прав доступа сотрудникам к информационным ре­сурсам и средствам их обработки в соответствии с решениями, принятыми в установленном порядке;

• непосредственное обеспечение защиты информационных ре­сурсов, обрабатываемых с применением технических средств об­работки, управление СЗИ;

• обеспечение зашиты информации, циркулирующей в поме­щениях;

• доведение требований по обеспечению безопасности инфор­мации до сторонних организаций (партнеров), обращающихся к информационным ресурсам;

• проведение инструктажей сотрудников по мерам обеспече­ния безопасности информации, обучение их работе с использова­нием средств защиты информации;

• учет, хранение и выдача носителей информации, генерация паролей, ключей пользователей, используемых в СЗИ, контроль соответствия ПО АС эталонному;

• контроль правильности выполнения сотрудниками требова­ний безопасности информации и расследование случаев их нару­шения;

• оказание консультационной и технической поддержки пользо­вателям АС при выполнении ими обязанностей по обеспечению безопасности информации;

• постановка и решение научно-технических задач и реализа­ция технологических процедур в области обеспечения безопасно­сти информации.

СУИБ, как правило, должна комплектоваться специалистами, имеющими практический опыт работы в области защиты инфор­мации и отвечающими соответствующим квалификационным требованиям для специалистов по комплексной защите информации. И численность должна быть достаточна для обеспечения без­опасности информации с учетом особенностей предприятия.