опоиб. Информация как объект правоотношений
Скачать 0.51 Mb.
|
18. Подразделения, обеспечивающие ИБ предприятия: основные функции, содержание деятельности, структура, обязанности сотрудников.Конечной целью создания системы ООИБ является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектом информационных отношений в результате нежелательного воздействия на информацию, ее носители и процесс обработки. В общем случае, основной задачей СЗИ является обеспечение необходимого уровня доступности, целостности и конфиденциальности ресурсов АС. Основная задача обеспечения ИБ - управление персоналом, ресурсами, средствами защиты, рисками. Неотъемлемой частью ИС являются люди. От того, каким образом они реализуют свои функции, зависит не только эффективность решения поставленных задач, но и безопасность системы. В любой АС на состояние ИБ влияют следующие субъекты: Сотрудники структурных подразделений (конечные пользователи АС), решающие свои задачи с применением средств автоматизации; Программисты, осуществляющие разработку, приобретение, адаптацию необходимых прикладных программ для автоматизации деятельности пользователей; Сотрудники подразделения внедрения и сопровождения программного обеспечения, которые обеспечивают нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ; Сотрудники подразделения эксплуатации ТС, которые обеспечивают нормальную работу и обслуживание ТС обработки и передачи информации и системного программного обеспечения; Системные администраторы штатных средств защиты; Сотрудники подразделения защиты информации, которые оценивают состояние ИБ, определяют требование к системе защиты, разрабатывают организационно-распорядительные документы по вопросам обеспечения ИБ, внедряют и администрируют специальные дополнительные средства защиты; Руководители организации, определяющие цели и задачи функционирования АС, направления ее развития, принимают стратегические решения по вопросам безопасности (концепция ИБ организаций), утверждают основные документы, которые регламентируют порядок безопасной обработки и использования защищаемой информации ограниченного распространения сотрудниками фирмы. Кроме того, на ИБ могут влиять посторонние лица и другие организации, которые предпринимают попытки вмешательства в процесс нормального функционирования АС или в попытки НСД к инфе, как локально, так и удаленно. Таким образом, персонал и пользователи – неотъемлемая часть АС - являются как источником внутренних угроз, так и компонентом системы защиты. Одним из основных направлений ИБ является регламентация действий всех пользователей и обслуживающего персонала АС. При этом цели регламентации действий заключаются в создании следующих ситуаций: Сокращение возможности реализации угроз от лиц из числа пользователей и персонала; Реализация специальных мер противодействия другим внутренним и внешним для системы угрозам (связаны с отказами, сбоями оборудования, ошибками в программах, стихийными бедствиями, а также действиями посторонних лиц, не являющихся частью АС). Для того чтобы персонал и пользователи имели возможность реализовать свои обязанности по защите, должны быть обязательно регламентированы вопросы выполнения ими дополнительных специальных обязанностей, которые связаны с усилением режима ИБ. Для защиты от действий посторонних лиц, необходимы меры, работающие на физическом, аппаратном и программном уровне. Применение таких средств требует специальной регламентации в вопросах использования конечными пользователями. Таким образом, можно сделать вывод, что к обеспечению ИБ организации должны привлекаться все сотрудники, участвующие в автоматизированной обработке защищаемой информации (и не только защищаемой). При правильной организации ИБ за формирование СЗИ, реализацию единой политики, осуществление мониторинга, аудита, координации действий всех подразделений и сотрудников должно непосредственно отвечать специальное подразделение (должностное лицо). Учитывая, что такое подразделение малочисленно, решение комплексных задач обеспечения ИБ возможно только при назначении во всех подразделениях, эксплуатирующих АС, внештатных помощников. Эффективное использование штатных и дополнительных средств защиты обеспечивается штатными специалистами по ИБ. Организационную структуру системы обеспечения ИБ АС можно представить в виде совокупности нескольких уровней: Руководство организации - формулирование стратегических задач ИБ; Подразделение обеспечения ИБ - реализация и функционирование СЗИ; Администраторы штатных и дополнительных средств защиты - обеспечение функционирование штатных и дополнительных систем защиты; Ответственные за информационную безопасность на технологических участках; Конечные пользователи и обслуживающий персонал – обеспечение ИБ на рабочих местах. Для реализации системы защиты информации необходимо выполнить определенные технологические элементы обеспечения ИБ. Требования к технологии включают следующие компоненты: Соответствие современному уровню развития ИТ; Учет особенностей построения и функционирования подсистем АС; Точная и своевременная реализация политики безопасности организации; Минимизация затрат на реализацию самой технологии обеспечения безопасности. Для успешной реализации технологии обеспечения безопасности в автоматизированных системах, необходимо наличие следующих составляющих: Наличие полной и непротиворечивой правовой базы; Распределение функций и определение порядка взаимодействия подразделений и должностных лиц организации по вопросам защиты информации на всех этапах жизненного цикла подсистем АС при обеспечении распределения полномочий и ответственности; Наличие специального органа, наделенного необходимыми полномочиями и непосредственно отвечающего за реализацию единой политики ИБ – ПИБ. Реализация технологии обеспечения ИБ предполагает проведение следующих мероприятий: Назначение и подготовка должностных лиц, отвечающих за конкретные практические защитные мероприятия; Строгий учет всех подлежащих защите ресурсов системы и определение требований к организационно-техническим мерам и средствам защиты; Разработка реально выполнимых и непротиворечивых документов по вопросам защиты; Реализация технологических процессов обработки информации, в соответствии с требованиями по обеспечению ИБ; Принятие эффективных мер сохранности и обеспечения физической целостности ТС и поддержка необходимого уровня защищенности компонентов АС; Применение физических и технических средств защиты и непрерывная административная поддержка их использования; Регламентация всех процессов обработки защищаемой информации с применением средств автоматизации, а также, действий сотрудников; Регламентация всех действий персонала, обслуживающего и модифицирующего, и модифицирующего программные ТС на основе утвержденных документов по вопросам безопасности; Четкое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС требований документов по ИБ; Персональная ответственность за действия каждого сотрудника, участвующего в обработке информации, имеющего доступ к ресурсам; Осуществление эффективного контроля за соблюдением всех требований по обеспечению ИБ; Проведение постоянного анализа эффективности и достаточности мер защиты; Разработка и реализация предложений по совершенствованию системы защиты информации. |