- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
13.2.2 Функции службы защиты информации
Учитывая разнообразие видов тайн, специфику нормативных требований по защите каждой из них, под службой ЗИ в общем виде будем понимать структурные подразделения предприятия, специально созданные для выполнения задач защиты информации (независимо от ее вида).
Функции службы ЗИ (изложены в общем виде, без привязки к виду защищаемой информации):
организация планирования, разработки и проведения мероприятий по защите информации ограниченного доступа при проведении работ с ее носителями;
координация деятельности структурных подразделений предприятия по вопросам защиты информации ограниченного доступа, контроль выполнения ими нормативных документов по защите такой информации;
анализ деятельности предприятия по защите информации ограниченного доступа, выявление возможных каналов ее утечки и подготовка предложений по их закрытию;
учет и анализ нарушений режима обеспечения сохранности информации ограниченного доступа;
участие в работе по отнесению сведений к различным категориям информации ограниченного доступа, разработке перечней такой информации, нормативно-методических документов по обеспечению ее защиты;
участие в проведении служебных расследований в случае утраты либо хищения носителей информации ограниченного доступа, других нарушений режима обеспечения сохранности такой информации, а также по фактам разглашения информации ограниченного доступа;
организация проведения профилактической работы с работниками предприятия по соблюдению режима обеспечения сохранности информации ограниченного доступа;
разработка перечней должностей работников, подлежащих допуску к информации ограниченного доступа;
контроль разработки и осуществление мероприятий по защите информации ограниченного доступа;
осуществление мероприятий, обеспечивающих доступ к информации ограниченного доступа только тех работников, которым она необходима для выполнения должностных обязанностей;
проведение инструктажа работников, допущенных к информации ограниченного доступа, контроль знания ими требований нормативных документов по режиму обеспечения ее сохранности;
ведение учета осведомленности работников в информации ограниченного доступа;
участие в обеспечении пропускного режима, охраны предприятия и режимных территорий, контроле несения службы охраной;
участие в определении эффективности инженерно-технических средств охраны и разработке предложений по их совершенствованию;
организация и ведение учета носителей информации ограниченного доступа;
контроль соблюдение установленного порядка работы с носителями информации ограниченного доступа.
13.2.3 Функции специальных комиссий
Использование различных видов информации ограниченного доступа в управленческой и производственной деятельности предприятия является сложным процессом, тонкости которого не могут быть в полном объеме известны специалистам службы защиты информации, ввиду необходимости узко-специальных знаний, технической сложности и разнообразия производственных процессов. Вместе с тем, знание таких «тонкостей» является важнейшим условием принятия эффективных решений по защите информации ограниченного доступа, начиная со стадии отнесения информации к таковой и заканчивая внедрением сложных технических средств защиты информации.
Учитывая изложенное, рядом нормативных документов, а также исходя из практики деятельности по защите информации, на предприятиях предусматривается создание целого ряда комиссий, являющихся нештатными рабочими органами руководителя предприятия, призванными обеспечить принятие эффективных решений по защите информации.
К таким специальным комиссиям относятся:
а) в области защиты государственной тайны – экспертные комиссии, предусмотренные статьей 14 закона «О государственной тайне», постановлением Правительства РФ от 04.09.1995 N 870, а также постоянно действующие технические комиссии предприятий по защите государственной тайны, создаваемые в соответствии с Положением, утвержденным совместным приказом Гостехкомиссии России и ФСБ России 2001 года № 309/405.
б) экспертные комиссии, создаваемые в соответствии с Основными правилами работы архивов организаций, одобренными Коллегией Росархива от 06.02.2002 г., «Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения» (утв. Росархивом 06.10.2000), Типовой инструкцией по делопроизводству в федеральных органах исполнительной власти (приказ Минкультуры РФ от 08.11.2005 N 536, зарегистрирован в Минюсте РФ 27.01.2006 N 7418);
в) внутренние проверочные комиссии, назначаемые руководителем предприятия для проверки наличия носителей информации ограниченного доступа, соблюдения порядка обращения с ними. Аналогичные комиссии, назначаемые для проверок в подчиненных организациях (дочерних, филиалах и т.п.), ликвидационные комиссии.
В последнее время в практике работы предприятий используются так называемые «советы по безопасности», в числе прочих задач выполняющие функции консультативных органов по защите информации ограниченного доступа при руководителе предприятия. В состав советов, как правило, включаются:
специалисты подразделений предприятия, использующих в своей работе информацию ограниченного доступа;
специалисты службы безопасности (по вопросам охраны, физической защиты объектов и т.п.)
специалисты подразделений по защите информации;
представители организаций-заказчиков.
Основной задачей советов безопасности в области защиты информации является выработка рекомендаций руководству предприятия по защите информации ограниченного доступа при решении следующих вопросов:
отнесении сведений к различным видам информации ограниченного доступа, определении степени ее конфиденциальности;
организации методического обеспечения и проведения аналитической работы по предупреждению несанкционированного распространения информации ограниченного доступа;
разработке, создании, испытаниях объектов информатизации и производстве продукции, содержащей информацию ограниченного доступа;
разработке нормативных, научно-технических и методических документов по вопросам выявления и закрытия возможных каналов утечки информации ограниченного доступа, технической защите информации, совершенствованию физической защиты объектов;
обеспечению охраны объекта, организации пропускного и внутриобъектового режима, выборе средств автоматизации этих процессов;
рассмотрении проектов договоров и технических заданий на проведение работ, конструкторской, технологической и отчетной документации по ним с целью определения достаточности мероприятий по обеспечению режима сохранности информации ограниченного доступа, используемой при проведении работ;
рассмотрении вопроса о величине ущерба в случае разглашения информации ограниченного доступа, возможности снятия ограничений на распространение информации ограниченного доступа и др.