Место и роль службы защиты информации. Задачи и функции службы защиты информации. Классификация автоматизированных систем и требования по защите информации

Организация и управление службы ЗИ Мартынов Виктор Павлович

Лекция 07.09.2007

1.  Место и роль службы ЗИ

СлЗИ – хранитель всех тайн предприятия.

Служба ЗИ возлагается давольно значительной, но всеже частичной кусок системы защиты предприятия.

Исходя из модели (рис 1) компитенция СлЗИ     а именно: охраны, режима, кадрового состава, документации, инженерно-технических средств и информационно-аналитической деятельности по защите информационных ресурсов, по всем напрвлениям обеспечения безопасности предприятия: правовое, организационное, инженерно-техническая.

Рис 1

Тем не менее в силу своего положения в системе безопасности предприятия наиболее профессиональный и компетентный орган по обеспечению безопасности, а по этому на него чаще всего возлагается роль координатора этой деятельности. Этому подразделению должно быть дело до всего, что касается защиты информации.

При обнаружении проблем в каком-либо секторе своей деятельности, подразделение службы ЗИ в лице его руководителя и сотрудников должно принимать всяческие меры по разрешению этих проблем не зацикливаясь на собственном подразделении или персоне.

Служба ЗИ может являться как подразделением службы безопасности предприятия (иерархическая структура), так и подчиняться непосредственно предприятию (горизонтальное положение).

В незначительных объемах и важности информационных ресурсов на нее может возлагаться и заглавная роль в системе безопасности с подчинением ей ряда остальных структур подразделения предприятия.

Статус СБ должен быть прописан в соответствующем положении о службе и утвержден руководством предприятия.

14.09.2007

Задачи и функции службы защиты информации.

Служба ЗИ должна отвечать за следующие вопросы деятельности предприятия:

1)  Разработка и внедрение правил по обеспечению безопасности;

2)  Внедрение программы обеспечение безопасности включая классификацию степени секретности  информации и оценку деятельности;

3)  Разработка и обеспечение программы обучения персонала и ознакомление его с особенностями информационной безопасности в масштабах организации;

4)  Выбор и обоснование приобретение программных и аппаратных средств;

5)  Участие в проектировании системы защиты информации;

6)  Распределение между пользователями необходимых регламентов и реквизитов защиты;

7)  Контроль над соблюдением пользователя и персоналом информационных систем установленных в правилах обращения с защищаемой информацией в процессе ее обработки;

8)  Принятие мер при попытках несанкционированного доступа к информации и при нарушении правил функционирования системы защиты информации.

Для удобства структурирования обширного круга задач и функций СБ представляется целесообразным разбить их на 3 группы:

1)  Организационные

2)  Технологические

3)  Координационные

Организационные задачи и функции службы защиты информации

               Обеспечить и организовать разработку перечней сведений конфиденциального характера

               Организовать специальное делопроизводство исключающее несанкционированное получение конфиденциальной информации.

               Обрабатывать и хранить конфиденциальные документы.

               Своевременно выявлять угрозы защищаемой информации компании причины и условия их возникновения и их реализации.

               Анализировать возможности возникновение новых каналов утечки и разрабатывать методы и рекомендации по их пресечению.

               Выявлять и максимально перекрывать потенциально возможные каналы и методы несанкционированного доступа к информации.

               Предотвращать несанкционированный доступ к информации.

               Разрабатывать и проводить мероприятия предотвращающие вынос персоналом из помещения предприятия документов, дисков, дискет и др. носителей информации.

Для выполнения организационных задач служба защиты информации выполняет следующие организационные функции:

1)  Организация и обеспечение режима ограничения доступа к источникам и носителям защищаемой информации;

2)  Обеспечение организацией и ведение делопроизводство конфиденциального характера;

3)  Ограничение по режиму допуска к сведениям конфиденциального характера;

4)  Организационно-правовое и методическое обеспечение работ по регулированию отношений связанных с использований сведений с ограниченным доступом;

5)  Обследование производственной и административной деятельности для выявление и закрытие возможных каналов утечки конфиденциальной информации, ведение учета и анализ нарушения режима безопасности информации;

6)  Организация и проведение служебных расследований по фактам разглашения конфиденциальных сведений, а также утраты документов содержащих такие сведения;

7)  Обеспечение строгого выполнения требований нормативных документов по защите информации;

8)  Регулярное проведение учебы сотрудников по всем направлениям защиты информации;