Лекция Структура службы информационной безопасности 3 Лекция Функции основных групп службы безопасности 6
 Скачать 0.77 Mb.
|
 Курс лекций по дисциплине: МДК 01.03 Организация работ подразделений защиты информации для групп специальности 10.02.01 Организация и технология защиты информации Разработчик: Плаксо В.А., преподаватель спец.дисциплин ГБПОУ Колледж связи №54 имени П.М. Вострухина Москва, 2016 СОДЕРЖАНИЕ Лекция № 1. Структура службы информационной безопасности 3 Лекция № 2. Функции основных групп службы безопасности 6 Лекция № 3. Минимальный штатный состав СБ и обязанности сотрудников 11 Лекция № 4. Цели и задачи СБИ 18 Лекция № 5. Функции службы защиты информации 20 Лекция № 6. Организация деятельности службы безопасности 22 Лекция № 7. Организационные основы и принципы деятельности службы 24 Лекция № 8. Пакет документов для СИБ 27 Лекция № 9. Лицензирование видов деятельности службы безопасности предприятия 30 Лекция № 10. Управление службой защиты информации. Методы управления 33 Лекция № 11. Управление СЗИ. Функции процессов управления 35 Лекция № 12. Управление СЗИ Принципы управления 40 Лекция № 13. Организация информационно-аналитической работы. Цели 43 Лекция № 14. Организация информационно-аналитической работы. Этапы 48 Лекция № 15. Организация работы с персоналом предприятия 52 Лекция № 16. Организация работы с персоналом предприятия 56 Лекция № 1. Структура службы информационной безопасностиПлан Общая структурная схема службы защиты информации Основные направления деятельности СУИБ Общая структурная схема службы защиты информацииУправление КСЗИ должно осуществляться специализированной организационной структурой (системой управления информационной безопасностью — СУИБ), которая будет координировать действия подразделений (служб) организации, эксплуатирующей АС, контролировать реализацию политики безопасности информации и пресекать выявленные нарушения. Рассмотрим возможную структуру СУИБ без привязки к конкретной организационно-штатной структуре (Рис. 1. СУИБ). СУИБ строится как самостоятельная структура организации, подчиняющаяся непосредственно руководителю (заместителю руководителя) организации. В состав СУИБ обычно входит специализированное подразделение (отдел обеспечения безопасности информации, далее — отдел ОБИ), уполномоченные сотрудники подразделений и территориально разобщенных объектов, на которых распоряжением руководителя организации кроме основных задач дополнительно возложено решение задач по обеспечению безопасности информации (нештатные администраторы опасности, далее — администратор БИ); они управляют деятельностью (по вопросам обеспечения безопасности информации) и тесно взаимодействуют с администраторами АС (ее сегментов) и администраторами баз данных. Примерная структура отдела ОБИ и основные взаимодействующие подразделения приведены на рис. 2.2. В состав отдела входят группы специалистов: главных и ведущих специалистов по защите информации, инженеров-программистов, отвечающих за отдельные направления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем АС и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативнометодических и организационно-распорядительных документов по вопросам обеспечения безопасности информации; за эффективное применение и администрирование штатных для операционных и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем). Отдел ОБИ является самостоятельным структурным подраздением организации и подчиняется заместителю руководителя организации, отвечающему за безопасность. Начальник отдела ОБИ назначается и освобождается от занимаемой должности по согласованию с руководителем организации. Основные направления деятельности СУИБК основные направления деятельности СУИБ относится: выработка подходов к обеспечению безопасности информации и их практическая реализация, сбор статистических данных с целью анализа и выявления источников угроз и уязвимостей; составление и ведение схемы информационных потоков, проведение их анализа с целью выявления недостатков в организации КСЗИ, составление и выполнение планов по их устранению. координация усилий всех подразделений по вопросам обеспечения безопасности информации на предприятии; взаимодействие с подразделениями ОБИ организаций, yчреждений, использующих информационные ресурсы; организация и выполнение технологических операций по предоставлению прав доступа сотрудникам к информационным ресурсам и средствам их обработки в соответствии с решениями, принятыми в установленном порядке; непосредственное обеспечение защиты информационных ресурсов, обрабатываемых с применением технических средств обработки, управление СЗИ; обеспечение защиты информации, циркулирующей в помЕщениях; доведение требований по обеспечению безопасности информации до сторонних организаций (партнеров), обращающися к информационным ресурсам; проведение инструктажей сотрудников по мерам обеснечения безопасности информации, обучение их работе с использованием средств защиты информации; учет, хранение и выдача носителей информации, генерация паролей, ключей пользователей, используемых в СЗИ, контроль соответствия ПО АС эталонному; контроль правильности выполнения сотрудниками требований безопасности информации и расследование случаев их нарушения; оказание консультационной и технической поддержки пользо вателям АС при выполнении ими обязанностей по обеспечению безопасности информации; постановка и решение научно-технических задач и реализация технологических процедур в области обеспечения безопасности информации. Для проведения соответствующих мероприятий по защите объекта должна быть создана специальная служба безопасности. Задачи службы безопасности Задачи службы безопасности крупного объекта заключаются в следующем: определение основных направлений работы по обеспечению безопасности деятельности объекта и его персонала, а также сохранности материальных ценностей и информации; организация работы системы защиты объекта, разработка системы защиты на предпроектной стадии, участие в разработке технического проекта и его реализации, прикатил всех элементов системы защиты, поддержание системы защиты в работоспособном состоянии; разработка нормативов работы с информацией всех категорий, контроль за соблюдением правил обработки, хранения и пересылки конфиденциальной информации; разработка мер безопасности и правил обработки, хранения и транспортировки материальных ценностей и ценных бумаг, контроль за выполнением соответствующих нормативов; организация обучения персонала объекта правилам соблюдения и поддержания режима безопасности деятельности объекта, проведение ежегодных квалификационных тестов; организация и проведение (совместно с другими подразделениями объекта) мероприятий по защите; взаимодействие с правоохранительными органами по вопросам безопасности персонала и имущества объекта.  Рис. 1. Отдел информационной безопасности На схеме рис.2 показана структура службы безопасности и ее место в составе крупного объекта. Численный состав службы зависит от размеров объекта и может составлять десятки и сотни человек.  Рис. 1. Структура службы безопасности Возможны два принципиальных подхода к созданию службы безопасности. Первый - обратиться в специализированную фирму, обладающую по Закону "О частной детективной и охранной деятельности" правом оказывать такие услуги. Но это небезопасно. Предприниматель доверяется посторонней фирме. Второй - создать собственную службу безопасности, При этом следует учитывать, что для небольшой фирмы вовсе не обязательно иметь свои подразделения для реализации всех шести функций. Иногда достаточно трех-четырех квалифицированных специалистов, которые смогут взять на себя обязанность СБ с привлечением на абонентской основе необходимых специалистов |