Занятие № 3

Модуль 1. Организация и структура службы защиты информации в системе защиты информации

Тема 2. Задачи, функции, структура и штаты службы защиты информации

Трудоемкость темы

3 часа.

Цель и задачи темы

Получение всеми студентами необходимых знаний о задачах, функциях, структуре и штатах службы защиты информации

Рассматриваемые вопросы:

1. Задачи, функции, права и ответственность заместителя (помощника) руководителя предприятия по безопасности в области защиты информации, его заместителей.

2. Задачи, функции, права и ответственность руководителей подразделений службы защиты информации, функции сотрудников и уполномоченных службы защиты информации.

Вопросы и задания для самостоятельной работы студента:

В период с 18.03.2014 – 05.04.2014 - Подготовить автореферат по теме в соответствии с Приложением №1, представленным далее.

Приложением №1

Для освоения материала ознакомиться следующими понятиями.

Техническое средство (ТС) – персональная электронная вычислительная машина (ПЭВМ), сервер, переносной компьютер, аппаратный терминал, сетевое и телекоммуникационное оборудование.

Коммуникационные порты - специализированные интерфейсные разъемы, размещенные на корпусе системного блока ТС (универсальные и специфические коммуникационные порты).

Универсальные коммуникационные порты - коммуникационные порты USB, IEEE1394, COM, LPT, SCSI, LAN, PCMCIA, Wi-Fi, BlueTooth, IrDA.

Специфические коммуникационные порты - коммуникационные порты VGA, DVI, PS/2, Audio, Game.

Встроенные устройства ввода-вывода информации - устройства для работы со съемными машинными носителями информации: дисководы (FDD, ZIP-drive, CD, DVD, МО), стримеры, считыватели карт памяти, устройства для подключения внешних жестких дисков (Mobile Rack), являющиеся составной частью системного блока ТС.

Внешние устройства ввода-вывода информации - подключаемые к системному блоку ТС через коммуникационные порты устройства для работы со съемными машинными носителями информации: дисководы (FDD, ZIP-drive, CD-дисковод, DVD-дисковод, МО-дисковод, HDD-дисковод), стримеры, считыватели карт памяти, устройства для подключения внешних жестких дисков (Mobile Rack).

Устройства ввода-вывода информации - совокупность встроенных и внешних устройств ввода-вывода информации.

Съемные машинные носители информации - гибкие магнитные диски (FD, ZIP), оптические диски (CD, DVD, МО), магнитные ленты (DLT, WORM, DDS), карты памяти (SD, XD, MMC, CF, MS, SC) и другие подобные носители информации.

Внешние накопители информации - USB карты памяти (USB Flash-drive), переносные накопители на жестких магнитных дисках, сети хранения данных (SAN).

Средство защиты информации от несанкционированного доступа (СЗИ) – сертифицированное аппаратное, аппаратно-программное или программное средство, позволяющее блокировать доступ к элементам ТС и предназначенное для предотвращения или существенного затруднения несанкционированного доступа к информации.

Система контроля доступа (система «Контроль-ПУ») - программное средство, обеспечивающее контроль доступа к коммуникационным портам с возможностью осуществления контроля использования устройств ввода-вывода информации, съемных машинных носителей информации и внешних накопителей информации.

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций (в соответствии с ГОСТ 34.003-90).

Пользователь ТС - работник Организации, использующий ТС для получения информации и (или) для решения различных задач в интересах Организации, включая поддержку функционирования ТС.

Зона ответственности администратора информационной безопасности (АИБ) Организации (технологического участка) - совокупность ТС, в отношении которых на АИБ возложены обязанности по обеспечению информационной безопасности при использовании указанных ТС в интересах Организации.

Локальная вычислительная сеть (ЛВС) – совокупность ТС Организации, объединенных сетевым оборудованием.

Сетевое оборудование - аппаратно-программные средства, предназначенные для организации ЛВС

Телекоммуникационное оборудование - аппаратно-программные средства, обеспечивающие передачу данных между удаленными друг от друга ЛВС.

Нештатная ситуация - любой факт, связанный с нарушением порядка доступа к коммуникационному порту, устройству ввода-вывода информации, съемному машинному носителю или внешнему накопителю информации.

Прекращение эксплуатации ТС - отключение ТС от сети и удаление всей содержащейся на ТС информации, за исключением общесистемного программного обеспечения.

Специальный защитный знак (СЗЗ) - голографическая самоклеющаяся наклейка единого образца с уникальным номером.

Нарушение целостности СЗЗ - повреждение голографического слоя, являющееся признаком возможного вскрытия (использования) ТС, опечатанного СЗЗ, его отдельных элементов или внешних устройств.

Периферийные устройства (ПУ) – устройства, подключаемые к коммуникационным портам компьютера.

«Белый список» ПУ, съемных машинных носителей информации и внешних накопителей информации - выделенная группа ПУ, съемных машинных носителей информации и внешних накопителей информации, разрешенных для постоянного использования на подконтрольных объектах на основе их идентификационных номеров.

Рассмотрим структуру обеспечения информационной безопасности Организации

Руководитель организации
Заместители руководителя организации		Руководитель службы безопасности организации
Подразделение 1 Руководитель подразделения 1 Ответисполнители	АИБ подразделения 1
Отдел 1 Руководитель отдела	АИБ отдела 1	Организации и отделы службы безопасности АИБы подразделений и служб
Отдел 2 Руководитель отдела	АИБ отдела 2
…
Подразделение 2 Руководитель подразделения 2	АИБ подразделения 2
Отдел 3 Руководитель отдела	АИБ отдела 3
Отдел 4 Руководитель отдела	АИБ отдела 4
…

Рис.1. Структура подчиненности подразделений по ИБ

Руководитель службы безопасности организации

1. Основными задачами руководителя службы безопасности Организации являются:

• организация работы Организации, планирование, распределение, координация и контроль исполнения работ, оценка исполнительской деятельности и мотивация персонала;

• организация и проведение работ по обеспечению информационной безопасности, обеспечивающего функционирование систем;

• организация и обеспечение функционирования подсистемы информационной безопасности (ПИБ);

• организация контроля выполнения Организации, задействованными в функционировании (обеспечении функционирования), требований нормативных документов Организации по обеспечению информационной безопасности;

• организация проведения и контроля выполнения Организации работ по обеспечению информационной безопасности автоматизированных информационных систем.

1. Руководитель службы безопасности при осуществлении своих полномочий руководствуется законодательством РФ, нормативными актами, иными документами по направлению обеспечения информационной безопасности, Положением об Организации.

2. Руководитель службы безопасности Организации непосредственно подчиняется руководителю Организации. Руководителю службы безопасности подчиняются сотрудники, в соответствии со штатным расписанием.

ОБЯЗАННОСТИ

Руководитель службы безопасности Организации обязан:

• организовывать работу Организации, обеспечивать необходимые организационные, материально-технические условия работы, выполнение правил и норм охраны труда;

• анализировать существующие методы построения комплексной системы защиты информации и готовить предложения по их использованию;

• изучать новые методы, системы и средства защиты информации и готовить предложения по их внедрению в Организации;

• организовать работы по внедрению, эксплуатации и развитию автоматизированных систем, информационных технологий, программно-технических комплексов по обеспечению информационной безопасности Организации;

• организовывать разработку и проведение совместно с другими Организациями и другими структурными подразделениями мероприятий по обеспечению информационной безопасности;

• организовывать разработку предложений по созданию подсистем информационной безопасности;

• участвовать в работах по внедрению средств и систем защиты информации в типовых программных комплексах;

• организовать работы по обеспечению антивирусной безопасности;

• организовывать разработку проектов инструкций, методических и нормативных материалов по информационной безопасности Организации, правил эксплуатации СКЗИ и обращения с ключевыми документами;

• участвовать в работе комиссий по приемке внедряемых в технологии систем новых решений в части обеспечения информационной безопасности Организации;

• участвовать в проверках соответствия требованиям нормативно-методических документов фактического уровня информационной безопасности Организации;

• участвовать в служебных расследованиях по фактам нарушения требований нормативных документов по обеспечению информационной безопасности Организации;

• обеспечивать разработку организационно-технических мероприятий по обеспечению информационной безопасности автоматизированных информационных (неплатежных) систем Организации, осуществлять координацию и контроль их выполнения в Организации;

• координировать взаимодействие со всеми эксплуатирующими Организациями по вопросам обеспечения информационной безопасности автоматизированных информационных (неплатежных) систем;

• организовывать оказание методической и практической помощи Организациям по обеспечению информационной безопасности;

• участвовать в работе комиссий по расследованию нештатных ситуаций в системах, анализировать причины их возникновения и подготавливать предложения по результатам расследования;

• организовать работы по формированию заявок на приобретение технических и программных средств защиты информации;

• организовывать работы по обучению и повышению квалификации специалистов по направлению «обеспечение информационной безопасности»;

• определять потребности в материальных, трудовых и финансовых ресурсах, необходимых для обеспечения выполнения работ по обеспечению информационной безопасности Организации;

• организовать работы по подготовке, оформлению и ведению договоров по направлению «обеспечение информационной безопасности» и контроль их исполнения;

• изучать кандидатов на замещение в подразделении вакантных должностей, готовить заключение об их профессиональной пригодности;

Обязанности АИБ