Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики.

Правила могут быть написаны для защиты аппаратных средств, программного обеспечения, средств доступа к информации, людей, внутренних коммуникаций, сети, сети, телекоммуникаций, правоприменения и т.д.

Правила информационной безопасности не должны быть единым документом. Чтобы упростить пользование ими, правила могут быть включены в несколько документов. На рисунке 21 представлен примерный перечень разрабатываемых правил информационной безопасности. [10]

Рисунок 21. Список систем, для которых разрабатываются правила безопасности.

Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационная структура, основные функции службы компьютерной безопасности

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в автоматизированных системах может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности).

Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования.

Основные функции службы заключаются в следующем:

· формирование требований к системе защиты в процессе создания автоматизированной системы;

· участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

· планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования автоматизированной системы;

· распределение между пользователями необходимых реквизитов защиты;

· наблюдение за функционированием системы защиты и ее элементов;

· организация проверок надежности функционирования системы защиты;

· обучение пользователей и персонала автоматизированной системы правилам безопасной обработки информации;

· контроль за соблюдением пользователями и персоналом автоматизированной системы установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

· принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

· численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;

· служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

· штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием автоматизированной системы;

· сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура автоматизированных систем и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

· руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;

· службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

Обычно выделяют четыре группы сотрудников (по возрастанию иерархии):

· Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема автоматизированной системы имеет своего сотрудника группы безопасности.

· Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления и за хранением резервных копий.

· Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.

· Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления.

Предыдущая123456789101112131415Следующая

Поделиться:

Популярное:

1. ERP II – ERP-системы второго поколения.
2. I. 49. Основные принципы разработки системы применения удобрений.
3. II. Травматические повреждения нервной системы
4. III. Обеспечение безопасности участников и зрителей
5. III. Обеспечение безопасности участников и зрителей,
6. III. Порядок защиты дипломной работы
7. III. Этапы по организации выполнения и защиты выпускной квалификационной работы
8. IX. Разработка тезисов доклада для защиты
9. MS PowerPoint - средство создания презентаций
10. V. Процедура защиты курсовой работы
11. V1: Основания для проведения экспертизы Организация и порядок проведения товарной экспертизы
12. V2: Тема 7.1 Обзор строения головного мозга. Основание головного мозга. Выход черепных нервов (ЧН). Стадии развития. Продолговатый мозг, мост.