Лекции по "Организации работ подразделений защиты информации"

СОДЕРЖАНИЕ

Лекция № 1. Структура службы информационной безопасности        2

Лекция № 2. Функции основных групп службы безопасности        5

Лекция № 3. Минимальный штатный состав СБ и обязанности сотрудников        10

Лекция № 4. Цели и задачи СБИ        17

Лекция № 5. Функции службы защиты информации        19

Лекция № 6. Организация деятельности службы безопасности        21

Лекция № 7. Организационные основы и принципы деятельности службы        23

Лекция № 8. Пакет документов для СИБ        26

Лекция  № 9. Лицензирование видов деятельности службы безопасности предприятия        29

Лекция № 10.  Управление службой защиты информации. Методы управления        32

Лекция № 11.  Управление СЗИ. Функции процессов управления        34

Лекция № 12.  Управление СЗИ Принципы управления        39

Лекция № 13.  Организация информационно-аналитической работы. Цели        42

Лекция № 14.  Организация информационно-аналитической работы. Этапы        47

Лекция № 15.  Организация работы с персоналом предприятия        51

Лекция № 16.  Организация работы с персоналом предприятия        55

Лекция № 1. Структура службы информационной безопасности

План

1. Общая структурная схема службы защиты информации
2. Основные направления деятельности СУИБ

Общая структурная схема службы защиты информации

Управление КСЗИ должно осуществляться специализированной организационной структурой (системой управления информационной безопасностью — СУИБ), которая будет координировать действия подразделений (служб) организации, эксплуатирующей АС, контролировать реализацию политики безопасности информации и пресекать выявленные нарушения. Рассмотрим возможную структуру СУИБ без привязки к конкретной организационно-штатной структуре (Рис. 1. СУИБ).

СУИБ строится как самостоятельная структура организации, подчиняющаяся непосредственно руководителю (заместителю руководителя) организации. В состав СУИБ обычно входит специализированное подразделение (отдел обеспечения безопасности информации, далее — отдел ОБИ), уполномоченные сотрудники подразделений и территориальных объектов, на которых распоряжением руководителя организации кроме основных задач дополнительно возложено решение задач по обеспечению безопасности информации (нештатные администраторы опасности, далее — администратор БИ); они управляют деятельностью (по вопросам обеспечения безопасности информации) и тесно взаимодействуют с администраторами АС (ее  сегментов) и администраторами баз данных.

Примерная структура отдела ОБИ и основные взаимодействующие подразделения приведены на рис. 2.2. В состав отдела входят группы специалистов: главных и ведущих специалистов по защите информации, инженеров-программистов, отвечающих за отдельные направления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем АС и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативнометодических и организационно-распорядительных документов по вопросам обеспечения безопасности информации; за эффективное применение и администрирование штатных для операционных и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных  систем).

Отдел ОБИ является самостоятельным структурным подраздением  организации и подчиняется заместителю руководителя организации,   отвечающему за безопасность. Начальник отдела ОБИ назначается и освобождается от занимаемой должности по согласованию с  руководителем организации.

Основные направления деятельности СУИБ

К основные направления деятельности СУИБ относится:

• выработка подходов к обеспечению безопасности информации и их практическая реализация, сбор статистических данных с целью анализа и выявления источников угроз и уязвимостей;  
• составление и ведение схемы информационных потоков, проведение их анализа с целью выявления недостатков в организации КСЗИ, составление и выполнение планов по их устранению.
• координация усилий всех подразделений по вопросам обеспечения безопасности информации на предприятии;
• взаимодействие с подразделениями ОБИ организаций, yчреждений, использующих информационные ресурсы;
• организация и выполнение технологических операций по предоставлению прав доступа сотрудникам к информационным ресурсам и средствам их обработки в соответствии с решениями, принятыми в установленном порядке;
• непосредственное обеспечение защиты информационных ресурсов, обрабатываемых с применением технических средств обработки, управление СЗИ;
• обеспечение защиты информации, циркулирующей в помЕщениях;
• доведение требований по обеспечению безопасности информации до сторонних организаций (партнеров), обращающися к информационным ресурсам;
• проведение инструктажей сотрудников по мерам обеснечения безопасности информации, обучение их работе с использованием средств защиты информации;
• учет, хранение и выдача носителей информации, генерация паролей, ключей пользователей, используемых в СЗИ, контроль соответствия ПО АС эталонному;
• контроль правильности выполнения сотрудниками требований безопасности информации и расследование случаев их нарушения;
• оказание консультационной и технической поддержки пользователям АС при выполнении ими обязанностей по обеспечению безопасности информации;
• постановка и решение научно-технических задач и реализация технологических процедур в области обеспечения безопасности информации.

Для проведения соответствующих мероприятий по защите объекта должна быть создана специальная служба безопасности.

 Задачи службы безопасности

Задачи службы безопасности крупного объекта заключаются в следующем: