Пройти Антиплагиат ©



Главная » Организация службы безопасности и защиты информации на предприятии » 6. Функции службы защиты информации предприятия



6. Функции службы защиты информации предприятия

Creative Commons «Attribution» («Атрибуция») 4.0 Всемирная. Найти рефераты и курсовые по данной теме Уникализировать текст 



 
Организационные, технологические и координационные функции службы защиты информации.
 
Учитывая разнообразие видов тайн, специфику нормативных требований по защите каждой из них, изложим примерный базовый набор функций СлЗИ в общем виде, без привязки к виду защищаемой информации, а также без учета масштабов и других особенностей предприятия:
1) организация планирования, разработки и проведения мероприятий по защите информации ограниченного доступа при проведении работ с ее носителями;
2) координация деятельности структурных подразделений предприятия по вопросам защиты информации ограниченного доступа, контроль выполнения ими нормативных документов по защите такой информации;
3) анализ деятельности предприятия по защите информации ограниченного доступа, выявление возможных каналов ее утечки и подготовка предложений по их закрытию;
4) учет и анализ нарушений режима обеспечения сохранности информации ограниченного доступа;
5) участие в работе по отнесению сведений к различным категориям информации ограниченного доступа, разработке перечней такой информации, нормативно-методических документов по обеспечению ее защиты;
6) участие в проведении служебных расследований в случае утраты либо хищения носителей информации ограниченного доступа, других нарушений режима обеспечения сохранности такой информации, а также по фактам ее разглашения;
7) организация проведения профилактической работы с работниками предприятия по соблюдению режима обеспечения сохранности информации ограниченного доступа;
8) разработка перечней должностей работников, подлежащих допуску к информации ограниченного доступа;
9) контроль разработки и осуществление мероприятий по защите информации ограниченного доступа;
10) осуществление мероприятий, обеспечивающих доступ к информа-ции ограниченного доступа только тех работников, которым она необходима для выполнения должностных обязанностей;
11) проведение инструктажа работников, допущенных к информации ограниченного доступа, контроль знания ими требований нормативных документов по режиму обеспечения ее сохранности;
12) ведение учета осведомленности работников в информации ограниченного доступа;
13) участие в обеспечении пропускного режима, охраны предприятия и режимных территорий, контроле несения службы охраной;
14) участие в определении эффективности инженерно-технических средств охраны и разработке предложений по их совершенствованию;
16) организация и ведение учета носителей информации ограниченного доступа;
17) контроль соблюдения установленного порядка работы с носителями информации ограниченного доступа.
  
В соответствии с задачами служба защиты информации выполняет следующие общие функции:
организация и обеспечение режима ограничения доступа к источникам и носителям защищаемой информации;
организационно-правовое и методическое обеспечение работ по регулированию отношений, связанных с использованием сведений ограниченного доступа;
обследование производственной и административной деятельности предприятия для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведение учета и анализ нарушений режима безопасности информации;
организация и проведение служебных расследований по фактам нарушения правил функционирования системы технической защиты информации;
обеспечение строгого выполнения требований нормативных документов по защите информации;
осуществление руководства и контроля за деятельностью подразделений защиты информации в структурных подразделениях предприятия при их наличии;
регулярное проведение учебы сотрудников предприятия и СлЗИ по всем направлениям защиты информации;
ведение учета технических средств ИС предприятия и СЗИ, в том числе специальных хранилищ, средств вычислительной техники, используемых для работы с конфиденциальной информацией;
разработка совместно с руководителями структурных подразделений организационно-распорядительных документов по вопросам защиты информации на предприятии, обеспечение их утверждения в установленном порядке;
проведение профилактической работы с сотрудниками структурных подразделений на предприятии по соблюдению требований ЗИ ограниченного доступа;
создание специального информационно-справочного фонда по вопросам защиты информации;
сбор и анализ сведений по различным аспектам защиты информации для использования в работе;
обеспечение своевременного выявления недостатков и совершенствование комплекса мероприятий по реализации политики защиты информации на предприятии.
сбор, аналитическая обработка и оценка сведений о потенциальных и реальных нарушителях БИ предприятия, в том числе зарубежных, с целью выявления возможных противоправных действий по добыванию ими охраняемых сведений и перекрытия каналов утечки информации.
 
Основными функциями службы защиты информации по организации подготовки, издания, хранения и использования документов с ограниченным доступом являются:
обеспечение на предприятии ведения делопроизводства конфиден-циального характера;
организация проведения служебных расследований по фактам разглашения конфиденциальных сведений, а также утраты документов, содержащих такие сведения;
контроль за соблюдением установленного порядка изменения условных и открытых наименований тем, работ, специзделий и т. п.;
контроль за соблюдением исполнителями правил обращения с конфиденциальными документами.
 
Основными функциями службы защиты информации по организации и обеспечению режима ограничения доступа являются:
1) разработка совместно с руководителями структурных подразделений номенклатуры должностей работников, подлежащих оформлению на допуск к сведениям конфиденциального характера;
2) ограничение по режиму допуска и доступа к сведениям конфиденциального характера;
3) ведение учета специзделий, организация контроля за обеспечением требований режима конфиденциальности уполномоченными лицами в структурных подразделениях, проведение проверок наличия специзделий;
4) участие в проведении мероприятий по соблюдению режима конфиденциальности при осуществлении прямых связей с зарубежными странами.
5) участие в подготовке приказов и распоряжений по вопросам обеспечения режима конфиденциальности проводимых работ.
 
Основными функциями службы защиты информации от ее утечки по техническим каналам являются:
обследование предприятия с целью выявления потенциально возможных каналов утечки информации;
формирование перечней каналов утечки информации на основе анализа моделей технических разведок и угроз;
разработка и внедрение средств инженерно-технической защиты информации и контроля их эффективности;
анализ эффективности применения средств защиты и контрольно-измерительной аппаратуры;
установка, монтаж, наладка и эксплуатация комплекса инженерно-технических средств защиты информации;
обеспечение защиты в системах связи от прослушивания, разрыва линий, фальсификации и ложных сообщений; обеспечение юридической значимости электронных документов;
регистрация, сбор, хранение, обработка и выдача сведений о событиях, касающихся законных обращений, ошибочных и незаконных обращений; аналитико-синтетическая обработка зарегистрированных сведений;
оптимизация использования информационных и вычислительных ресурсов путем контроля параметров надежности технических средств, а также выявление и прогнозирование критических ситуаций;
контроль и поддержание целостности ресурсов ИС и среды ее функционирования.
Дополнительная информация
Основные функции службы защиты заключаются в следующем:
формирование требований к системе защиты в процессе создания ИС;
участие в проектировании системы защиты;
участие в испытаниях системы защиты и ее составных элементов;
планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования ИС;
распределение между пользователями необходимых реквизитов защиты: паролей, дополнительной идентифицирующей информации, ключей защиты и т.п.;
организация генерирования и установки кодов идентификаторов технических средств;
организация и ведение в ЗУ ИС служебных массивов системы защиты;
наблюдение за функционированием системы защиты и ее элементов;
организация превентивных проверок надежности функционирования систем защиты;
обучение пользователей и персонала правилам обработки защищаемой информации;
контроль за соблюдением пользователями и персоналом ИС правил обращения с защищаемой информацией в процессе автоматизированной ее обработки;
12) принятие мер при попытках несанкционированного доступа к информации и при нарушениях правил функционирования системы защиты.
  
Служба защиты информации участвует в выполнении практически всех приведенных ниже основных организационно-технических мероприятий по ЗИ:
- разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности;
- внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов ИС и действиям в случае возникновения кризисных ситуаций;
- оформление юридических документов (договора, приказы и распоряжения руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением электронной подписи;
- создание научно-технических и методологических основ защиты ИС;
- исключение возможности тайного проникновения в помещения, установки прослушивающей аппаратуры и т.п.;
- проверка и сертификация используемых в ИС технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок;
- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
- разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием ИС, а также используемых при их решении режимов обработки и доступа к данным;
- определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в ИС;
- выявление наиболее вероятных угроз для данной ИС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней;
- оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;
- организация надежного пропускного режима;
- определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;
- организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
- организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации;
- определение перечня необходимых мер по обеспечению непрерывной работы ИС в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т.п.;
- контроль функционирования и управление используемыми средствами защиты;
- явный и скрытый контроль за работой персонала системы;
- контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования ИС;
- периодический анализ состояния и оценка эффективности мер защиты информации;
- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
- анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;
- составление правил разграничения доступа пользователей к информации;
- периодическое с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На осовее полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;
- рассмотрение и утверждение всех изменений в оборудовании ИС, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.;
- проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.
 
Функции специальных комиссий
Использование различных видов информации ограниченного доступа в управленческой и производственной деятельности предприятия является сложным процессом, тонкости которого не могут быть в полном объеме известны специалистам службы защиты информации ввиду необходимости узкоспециальных знаний, технической сложности и разнообразия производственных процессов. Вместе с тем знание таких «тонкостей» является важнейшим условием принятия эффективных решений по защите информации ограниченного доступа, начиная со стадии отнесения информации к таковой и заканчивая внедрением сложных технических средств защиты информации.
Учитывая изложенное, рядом нормативных документов, а также исходя из практики деятельности по защите информации, на предприятиях предусматривается создание целого ряда комиссий, являющихся нештатными рабочими органами руководителя предприятия, призванными обеспечить принятие эффективных решений по защите информации.
К таким специальным комиссиям относятся:
а) в области защиты государственной тайны — экспертные комиссии, предусмот-ренные ст. 14 Закона РФ «О государственной тайне» и постановлением Правительства Российской Федерации от 04.09.1995 г. № 870 «Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»*, а также постоянно действующие технические комиссии предприятий по защите государственной тайны, создаваемые в соответствии с Положением, утвержденным совместным приказом Гостехкомиссии России и ФСБ России 2001 г. № 309/405;
экспертные комиссии, создаваемые в соответствии с Основными правилами работы архивов организаций (одобр. Коллегией Росархива от 06.02.2002 г.), «Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения» (утв. Росархивом 06.10.2000 г.), Типовой инструкцией по делопроизводству в федеральных органах исполнительной власти (приказ Минкультуры РФ от 08.11.2005 г. № 536, зарегистрирован в Минюсте РФ 27.01.2006 г. № 7418);
внутренние проверочные комиссии, назначаемые руководителем предприятия для проверки наличия носителей информации ограниченного доступа, соблюдения порядка обращения с ними; аналогичные комиссии, назначаемые для проверок в подчиненных организациях (дочерних, филиалах и т.п.), ликвидационные комиссии.
В последнее время в практике работы предприятий используются так называемые Советы по безопасности, в числе прочих задач выполняющие функции консультативных органов по защите информации ограниченного доступа при руководителе предприятия. В состав советов, как правило, включаются:
специалисты подразделений предприятия, использующих в своей работе информацию ограниченного доступа;
специалисты службы безопасности (по вопросам охраны, физической защиты объектов и т.п.);
специалисты подразделений по защите информации;
представители организаций-заказчиков.
Основной задачей советов по безопасности в области защиты информации является выработка рекомендаций руководству предприятия по защите информации ограниченного доступа при решении следующих вопросов:
отнесении сведений к различным видам информации ограниченного доступа, определении степени ее конфиденциальности;
организации методического обеспечения и проведения аналитической работы по предупреждению несанкционированного распространения информации ограниченного доступа;
разработке, создании, испытаниях объектов информатизации и производстве продукции, содержащей информацию ограниченного доступа;
разработке нормативных, научно-технических и методических документов по вопросам выявления и закрытия возможных каналов утечки информации ограниченного доступа, технической защите информации, совершенствованию физической защиты объектов;
обеспечению охраны объекта, организации пропускного и внутриобъектового режимов, выборе средств автоматизации этих процессов;
рассмотрении проектов договоров и технических заданий на проведение работ, конструкторской, технологической и отчетной документации по ним с целью определения достаточности мероприятий по обеспечению режима сохранности информации ограниченного доступа, используемой при проведении работ;
рассмотрении вопроса о величине ущерба в случае разглашения информации ограниченного доступа, возможности снятия ограничений на распространение информации ограниченного доступа и др.
 



Лекция, реферат. 6. Функции службы защиты информации предприятия - понятие и виды. Классификация, сущность и особенности. 2018-2019.



« назад Оглавление вперед »
5. Задачи службы защиты информации предприятия « | » Разработка документации организационных процессов при проектировании службы защиты информации






 

Похожие работы:

Воспользоваться поиском

 

Учебники по данной дисциплине

БЖД. Безопасность жизнедеятельности. Шпаргалка.
Основы ОБЖ
ЭКСТРЕННАЯ МЕДИЦИНСКАЯ ПОМОЩЬ ПРИ ХИМИЧЕСКИХ, БИОЛОГИЧЕСКИХ И РАДИАЦИОННЫХ ПОРАЖЕНИЯХ В УСЛОВИЯХ ЧРЕЗВЫЧАЙНЫХ СИТУАЦИЙ
Обеспечение безопасности зданий и сооружений
Основы экономической безопасности учебник