2. Организационные меры

Основными организационными мерами должны стать следующие (рисунок 2.7):

Рисунок 2.8

1. • создание на предприятии системы информационного мониторинга для согласования вопросов и доведения решений по информационной безопасности, а также координации действий подразделений и сотрудников предприятия при обеспечении информационной безопасности;

2. • определение в должностных обязанностях руководителей и сотрудников предприятия ответственности за обеспечение информационной безопасности;

3. • регламентации процессов ввода в эксплуатацию или изменения конфигурации информационной системы и ее элементов.

Создание системы информационного мониторинга позволяет обеспечить координацию взаимодействия и информированность должностных лиц, вовлеченных в процесс обеспечения безопасности. Обсуждение вопросов по информационной безопасности может проводиться в виде форумов, организованных в автоматизированной системе, тематических семинаров и совещаний.

Основные задачи, решаемые системой информационного мониторинга:

• изменения, вносимые в политику информационной безопасности и согласование списков ответственных лиц

• отслеживание и анализ изменений в структуре информационных ресурсов предприятия на предмет выявления новых угроз информационной безопасности

• изучение и анализ инцидентов с безопасностью информации

• обсуждение предложений по совершенствованию системы защиты информации

• выработка соглашений о разграничении ответственности за обеспечение информационной безопасности внутри предприятия

• разработка специальных методик по информационной безопасности для проведения анализа рисков, классификации систем и информации по уровням безопасности

• обеспечение учета вопросов информационной безопасности при планировании деятельности предприятия

• оценка адекватности принимаемых мер безопасности и координация внедрения средств обеспечения информационной безопасности в новые системы или сервисы

Для обеспечения режима информационной безопасности на предприятии необходимо:

• определить ресурсы, имеющие отношение к информационной безопасности

• для каждого ресурса (или процесса) должен быть назначен ответственный сотрудник из числа руководителей. Разграничение ответственности должно быть закреплено документально.

• должны быть определены права доступа сотрудников предприятия для каждого защищаемого ресурса с документальным закреплением этих прав в таблице разграничения доступа

Рекомендации по регламентации процессов ввода в эксплуатацию и реконфигурации информационной системы направлены на достижение непрерывности обеспечения информационной безопасности при развитии системы следующие:

• система, вводимая в эксплуатацию, или изменения, вносимые в конфигурацию существующей системы, должны соответствовать стратегии защиты информации. Изменения в политике управления пользователями должны согласовываться с руководителем, ответственным за обеспечение безопасности системы

• изменения в информационной архитектуре системы и внедряемые компоненты должны проверяться на совместимость с существующими частями системы