Тема 13: Основные задачи подразделения обеспечения информационной безопасности
Организационная структура, основные функции службы компьютерной безопасности
Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности).
Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.
На это подразделение целесообразно возложить решение следующих основных задач:
- определение требований к системе защиты информации, ее носителей и
процессов обработки, разработка политики безопасности; - организация мероприятий по реализации принятой политики
безопасности, оказание методической помощи и координация работ по
созданию и развитию комплексной системы защиты; - контроль за соблюдением установленных правил безопасной работы в
АС, оценка эффективности и достаточности принятых мер и
применяемых средств защиты.
Основные функции службы заключаются в следующем:
- формирование требований к системе защиты при создании и развитии АС;
- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
-
планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;
-
обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;
- распределение между пользователями необходимых реквизитов доступа к ресурсам АС;
-
контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
-
взаимодействие с ответственными за безопасность информации в подразделениях;
-
регламентация действий и контроль за администраторами баз данных,
серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);
• принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;
• наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.
Организационно-правовой статус службы обеспечения безопасности информации определяется следующим образом:
• служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
• сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;
• руководителю службы защиты должно быть предоставлено право ' запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности;
• численность службы должна быть достаточной для выполнения всех перечисленных выше функций;
• штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС;
• сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.
Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права:
• определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений;
• получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ОИБ;
• участвовать в проработке технических решений по вопросам ОИБ при проектировании и разработке новых подсистем и комплексов задач (задач);
• участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по ОИБ;
• контролировать деятельность сотрудников других подразделений организации по вопросам ОИБ.
Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты:
• руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС;
• аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;
• администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС;
• администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.;
• ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.);
• специалисты по защите информации от утечки по техническим каналам;
• ответственные за организацию конфиденциального (секретного) делопроизводства и др.