Задачи и функции обеспечения информационной безопасности.

Для непосредственной организации (построения) и эффективного функционирования комплексной системы защиты информации в АС может быть (а на государственных предприятиях и при больших объемах защищаемой информации - должна быть) создана специальная служба обеспечения безопасности информации (служба компьютерной безопасности).

 Служба компьютерной безопасности представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее нормального функционирования.

 На это подразделение целесообразно возложить решение след.основных задач:

 определение требований к системе защиты информации, ее носителей и процессов обработки, разработка политики безопасности;

 организация мероприятий по реализации принятой политики безопасности, оказание методической помощи и координация работ по созданию и развитию комплексной системы защиты;

 контроль за соблюдением установленных правил безопасной работы в АС, оценка эффективности и достаточности принятых мер и применяемых средств защиты.

 Основные функции службы заключаются в следующем:

 формирование требований к системе защиты при создании и развитии АС;

 участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

 планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

 обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС;

 распределение между пользователями необходимых реквизитов доступа к ресурсам АС;

 контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

 взаимодействие с ответственными за безопасность информации в подразделениях;

 регламентация действий и контроль за администраторами баз данных,

 серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);

 • принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты;

 • наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.

 Организационно-правовой статус службы обеспечения безопасности информации опред.следующим образом:

 • служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

 • сотрудники службы должны иметь право доступа во все помещения, где установлены технические средства АС, и право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации;

 • руководителю службы защиты должно быть предоставлено право ' запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности;

 • численность службы должна быть достаточной для выполнения всех перечисленных выше функций;

 • штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС;

 • сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.

 Для решения задач, возложенных на подразделение обеспечения безопасности информации, его сотрудники должны иметь следующие права:

 • определять необходимость, разрабатывать представлять на согласование и утверждение руководством нормативные и организационно-распорядительные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников других подразделений;

 • получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ОИБ;

 • участвовать в проработке технических решений по вопросам ОИБ при проектировании и разработке новых подсистем и комплексов задач (задач);

 • участвовать в испытаниях разработанных подсистем и комплексов задач (задач) по вопросам оценки качества реализации требований по ОИБ;

 • контролировать деятельность сотрудников других подразделений организации по вопросам ОИБ.

 Естественно, все эти задачи не под силу одному человеку, особенно в крупной организации (компании, банке и т.п.). Более того, в службу компьютерной безопасности могут входить сотрудники с разными функциональными обязанностями. В состав такого подразделения должны входить следующие специалисты:

 • руководитель, непосредственно отвечающий за состояние информационной безопасности и организацию работ по созданию комплексных систем защиты информации в АС;

 • аналитики по вопросам компьютерной безопасности, отвечающие за анализ состояния информационной безопасности, определение требований к защищенности различных подсистем АС и путей обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам защиты информации;

 • администраторы средств защиты, контроля и управления, отвечающие за сопровождение и администрирование конкретных средств защиты информации и средств анализа защищенности подсистем АС;

 • администраторы криптографических средств защиты, ответственные за установку, настройку, снятие СКЗИ, генерацию и распределение ключей и т.п.;

 • ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участвующие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участвующие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите и т.д.);

 • специалисты по защите информации от утечки по техническим каналам;

 • ответственные за организацию конфиденциального (секретного) делопроизводства