- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
13.2 Распределение функций по защите информации
13.2.1 Функции руководства предприятия
Функции руководителей предприятий по защите информации зависят от целого ряда факторов, основными из которых являются:
виды тайн, используемых на предприятии (государственная, коммерческая, служебная, персональные данные и т.д.);
форма собственности и организационно-правовая форма предприятия;
подчиненность (подведомственность) предприятия (для предприятий государственной формы собственности);
сфера деятельности.
Функции руководителей предприятий по защите информации в самом общем виде определяются в уставных и внутренних распорядительных документах организации. Вместе с тем такие функции могут быть возложены на руководителей непосредственно нормативными правовыми актами. Так, законодательством на руководителей предприятий, использующих в своей деятельности сведения, составляющие государственную тайну, возложены следующие функции (права и обязанности):
1. Законом «О государственной тайне»:
обоснования необходимости отнесения к государственной тайне сведений, полученных (разработанных) на предприятии (статья 9);
передачи в собственность государства сведений, составляющих государственную тайну, полученных (разработанных) на предприятии (статья 10);
получения разрешения на передачу сведений, составляющих государственную тайну, в другие организации, с санкции органа государственной власти, в распоряжении которого находятся сведения (статья 16);
создание условий по защите сведений, составляющих государственную тайну, полученных от других организаций (статья 16);
контроль наличия лицензий на проведение работ, связанных с использованием сведений, составляющих государственную тайну, у организаций, по отношению к которым предприятие является заказчиком работ (статья 17);
обеспечения защиты государственной тайны при изменении функций, формы собственности, ликвидации предприятия или прекращении работ, связанных с использованием сведений, составляющих государственную тайну (статья 19);
ответственности за организацию защиты государственной тайны (статья 20);
создания структурных подразделений защиты государственной тайны (статья 20);
принятия решения о допуске подчиненных лиц к государственной тайне (статья 21);
принятия решения об отказе в допуске к государственной тайне подчиненным лицам (статья 22);
обязанность и право прекращения допуска к государственной тайне подчиненных лиц в установленных законодательством случаях (статья 23);
организация доступа должностных лиц и сотрудников предприятия к государственной тайне и персональная ответственность за создание таких условий, при которых они могут ознакомиться только со сведениями, необходимыми для выполнения должностных обязанностей (статья 25);
получения лицензии на допуск к проведению работ, связанных с использованием сведений, составляющих государственную тайну, и прохождения государственной аттестации.
2. Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне, утвержденной постановлением Правительства Российской Федерации 1995 г. N 1050:
персональная ответственность за подбор лиц, допускаемых к государственной тайне (пункт 3);
контроля за соответствием формы допуска фактической степени секретности сведений, с которыми ознакамливаются работники (пункт 6);
определения перечня должностей сотрудников, подлежащих оформлению на допуск к государственной тайне (пункт 13);
прекращать допуск к государственной тайне в установленных случаях (пункт 15);
допускать к секретным сведениям без проведения проверочных мероприятий, в том числе руководителей организаций, в отношении которых предприятие является заказчиком (пункт 23);
персональная ответственность за обеспечение режима секретности допущенными ими к секретным сведениям лицами, не достигшими 16-летнего возраста (пункт 28);
обеспечение разграничения доступа к государственной тайне при приеме командированных лиц (пункт 39).
Приведенные примеры только из двух правовых актов показывают, что реализация всего комплекса функций по защите информации ограниченного доступа на предприятии (с учетом ее объемов) требует наличия специального подразделения (или подразделений, например, по видам информации ограниченного доступа). Задача руководителя предприятия в этом процессе должна заключаться в принятии управленческих решений, контролю их выполнения и, при наличии необходимости, применению управленческих воздействий, направленных на достижение поставленных в решениях задач.