Файловый архив студентов. Файловый архив студентов.
1301 вуз, 5089 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский университет «МИЭТ»
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Книга Грибунина и Чудовского.doc
Скачиваний:
1
Добавлен:
01.03.2025
Размер:
3.45 Mб
Скачать
►Содержание►

2.4 Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями

КСЗИ предполагает подчиненное единому замыслу эффективное управление всеми элементами системы обеспечения безопасности информации, анализ и адекватное противодействие внешним и внутренним угрозам, реализацию принципов защиты информации, обрабатываемой на предприятии.

Управление КСЗИ должно осуществляется специализированной организационной структурой (системой управления информационной безопасностью - СУИБ), которая должна координировать действия подразделений (служб) организации, эксплуатирующей АС, контролировать реализацию политики безопасности информации и пресекать выявленные нарушения. Рассмотрим возможную структуру СУИБ, без привязки к конкретной организационно-штатной структуре.

СУИБ строится как самостоятельная структура организации, подчиняющаяся непосредственно руководителю (заместителю руководителя) организации. В состав СУИБ входит специализированное подразделение (отдел обеспечения безопасности информации, далее – отдел ОБИ), уполномоченные сотрудники подразделений и территориально разобщенных объектов, на которых распоряжением руководителя организации, кроме основных задач, дополнительно возложено решение задач обеспечения безопасности информации (нештатные администраторы безопасности, далее – администратор БИ), которые управляют деятельностью (по вопросам обеспечения безопасности информации) и тесно взаимодействуют с администраторами АС (её сегментов) и администраторами баз данных.

Рис. 2.2. Примерная структура системы управления безопасностью информации и отдела ОБИ

Примерная структура отдела ОБИ и основные взаимодействующие подразделения приведены на рис. 2.2.

В состав отдела входят группы специалистов: главных и ведущих специалистов по защите информации, инженеров-программистов отвечающих за отдельные направления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем АС ВН и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативно-методических и организационно-распорядительных документов по вопросам обеспечения безопасности информации; за эффективное применение и администрирование штатных для операционных систем и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).

Отдел ОБИ является самостоятельным структурным подразделением организации и подчиняется заместителю руководителя организации, отвечающему за безопасность. Начальник отдела ОБИ назначается и освобождается от занимаемой должности по согласованию с руководителем организации.

Включение отдела ОБИ подразделения в состав других структурных подразделений организации или передача его функций этим подразделениям, а также возложение на него задач, не связанных с деятельностью по обеспечению безопасности информации, не допускается.

Основные направления деятельности СУИБ:

  • выработка подходов к обеспечению безопасности информации и их практическая реализация, сбор статистических данных с целью анализа и выявления источников угроз и уязвимостей;

  • составление и ведение схемы информационных потоков, проведение их анализа с целью выявления недостатков в организации КСЗИ, составление и выполнение планов по их устранению;

  • координация усилий всех подразделений по вопросам обеспечения безопасности информации на предприятии;

  • взаимодействие с подразделениями ОБИ организаций, учреждений, использующих информационные ресурсы;

  • организация и выполнение технологических операций по предоставлению прав доступа сотрудникам к информационным ресурсам и средствам их обработки в соответствии с решениями, принятыми в установленном порядке;

  • непосредственное обеспечение защиты информационных ресурсов, обрабатываемых с применением технических средств обработки, управление СЗИ;

  • обеспечение защиты информации, циркулирующей в помещениях;

  • доведение требований по обеспечению безопасности информации до сторонних организаций (партнеров), обращающихся к информационным ресурсам;

  • проведение инструктажей сотрудников по мерам обеспечения безопасности информации, обучение их работе с использованием средств защиты информации;

  • учет, хранение, и выдача носителей информации, генерация паролей, ключей пользователей, используемых в СЗИ контроль соответствия ПО АС эталонному;

  • контроль правильности выполнения сотрудниками требований безопасности информации расследование случаев их нарушения;

  • оказание консультационной и технической поддержки пользователям АС при выполнении ими обязанностей по обеспечению безопасности информации;

  • постановка и решение научно-технических задач и реализация технологических процедур в области обеспечения безопасности информации.

СУИБ, как правило, должна комплектоваться специалистами, имеющими практический опыт работы в области защиты информации и отвечающими соответствующим квалификационным требованиям для специалистов по комплексной защите информации. Их численность должна быть достаточна для обеспечения безопасности информации с учётом особенностей предприятия.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности