Организационное направление обеспечения информационной безопасности

Организационное направление обеспечения ИБ включает в себя:

- регламентацию взаимоотношения субъектов ИБ на нормативно-правовой основе;

- разработку и выполнение программ обучения и повышения компетентности сотрудников организации связи в вопросах ИБ;

- реализацию мероприятий по обеспечению ИБ;

- выполнение организационных требований безопасности.

8.2.1 Регламентация взаимоотношений субъектов ИБ предполагает:

а) определение в должностных инструкциях обязанностей и ролей сотрудников организации связи по вопросам выполнения требований ИБ. Роль в организации связи представляет заранее определенную совокупность правил, устанавливающих допустимое взаимодействие между субъектами и объектами в организации связи.

Примечание - К субъектам относятся лица из числа руководства организации связи, ее сотрудники, пользователи услугами связи или инициируемые от их имени процессы по выполнению действий над объектами;

б) установление мер ответственности сотрудников организации связи за нарушение ИБ;

в) определение ограничений в деятельности сотрудников организации связи и конечных пользователей, определяемых факторами обеспечения ИБ и другими условиями.

8.2.2 Программа обучения сотрудников организации связи вопросам ИБ предназначается для персонала, имеющего в своих функциональных обязанностях положения, касающиеся выполнения требований ИБ, и предполагает необходимость специального обучения для этой категории сотрудников.

Глубина этого обучения зависит от степени важности ИБ для организации и должна варьироваться согласно требованиям безопасности к выполняемой работе. Программа обучения сотрудников ИБ должна быть разработана так, чтобы охватить все потребности в мерах безопасности, относящихся к сетям электросвязи. В случае необходимости может быть использовано обучение на уровне специальных курсов.

В организации связи должен быть составлен список сотрудников, для которых необходимо специальное обучение ИБ и список должностей, на которых должны использоваться сотрудники, получившие специализированное обучение на курсах или имеющие высшее образование в области ИБ.

Необходимость специального обучения ИБ должна быть определена для текущих и запланированных задач, проектов и т.д. Каждый новый проект со специальными требованиями к ИБ должен сопровождаться соответствующей программой обучения, разработанной до начала проекта.

8.2.3 Программа повышения компетентности сотрудников организации связи в вопросах ИБ относится к каждому сотруднику организации и должна гарантировать, что персонал имеет достаточный уровень знаний об основах обеспечения ИБ.

8.2.4 Реализация мероприятий по обеспечению ИБ должна предусматривать:

а) регулирование функционирования службы ИБ (см. раздел 13);

б) издание приказов и распоряжений по обеспечению ИБ, основными из которых являются:

1) о создании ПДК по ИБ;

2) о назначении комиссии по категорированию, классификации и аттестации объектов связи и информационных систем по требованиям к ИБ;

3) о допуске сотрудников к работе со средствами связи;

4) о назначении администратора ИБ и лиц, ответственных за обеспечение ИБ в подразделениях организации связи;

в) ограничение доступа к техническому, программному и аппаратно-программному оборудованию, кроссам, распределительным щитам, незащищенным линиям и каналам связи для предупреждения несанкционированного доступа к ним;

г) осуществление физической и инженерно-технической защиты объектов организации связи;

д) планирование действий по управлению инцидентами ИБ;

е) планирование действий в ЧС;

ж) включение в должностные инструкции сотрудников организации связи обязательства о неразглашении и сохранности сведений ограниченного доступа;

и) оборудование служебных помещений сейфами, шкафами для хранения бумажных, магнитных носителей информации и др.

8.2.5 Выполнение организационных требований безопасности, предполагает:

- определение и внедрение организационных мер обеспечения безопасности;

- выполнение организационных мер, осуществляемое через процедуры, определяющие мероприятия и порядок действий по их осуществлению, описание которых не является однозначным и в настоящем стандарте не рассматривается;

- контроль выполнения организационных мер безопасности.