Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия.
Прежде чем приступать к разработке руководящих документов, необходимо определить глобальные цели политики. Правила могут быть написаны для защиты аппаратных средств, программного обеспечения, средств доступа к информации, людей, внутренних коммуникаций, сети, сети, телекоммуникаций, правоприменения и т.д. Правила информационной безопасности не должны быть единым документом. Чтобы упростить пользование ими, правила могут быть включены в несколько документов. На рисунке 21 представлен примерный перечень разрабатываемых правил информационной безопасности. [10] Рисунок 21. Список систем, для которых разрабатываются правила безопасности. Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил. Организационная структура, основные функции службы компьютерной безопасности Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в автоматизированных системах может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности). Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования. Основные функции службы заключаются в следующем: · формирование требований к системе защиты в процессе создания автоматизированной системы; · участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию; · планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования автоматизированной системы; · распределение между пользователями необходимых реквизитов защиты; · наблюдение за функционированием системы защиты и ее элементов; · организация проверок надежности функционирования системы защиты; · обучение пользователей и персонала автоматизированной системы правилам безопасной обработки информации; · контроль за соблюдением пользователями и персоналом автоматизированной системы установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки; · принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты. Организационно-правовой статус службы защиты определяется следующим образом: · численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций; · служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией; · штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием автоматизированной системы; · сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура автоматизированных систем и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации; · руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации; · службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии): · Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема автоматизированной системы имеет своего сотрудника группы безопасности. · Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления и за хранением резервных копий. · Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами. · Руководитель (начальник) группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения; контроль за выполнением плана восстановления. Популярное:
|
Последнее изменение этой страницы: 2016-08-31; Просмотров: 1164; Нарушение авторского права страницы