Завдання, розв’язувані службою інформаційної безпеки

Служба інформаційної безпеки є собою підрозділом організації робіт із створення системи захисту інформації і подальшого забезпечення її функціонування. Основним завданням служби інформаційної безпеки є визначення напрямку розвитку і підтримування зусиль організації, спрямованих на захист інформації від несанкціонованого ознайомлення, зміни, руйнування чи відмови в доступу. Це досягається шляхом впровадження відповідних правил, інструкцій і настанов.

Служба інформаційної безпеки відповідає за:

- розробку та видання правил (інструкцій і настанов) із забезпечення безпеки, які відповідають загальним правилам роботи організації і вимогам до обробки інформації;

- впровадження програм забезпечення безпеки, включаючи класифікацію ступеня секретності інформації, якщо такі є, та оцінювання діяльності;

- розробка й забезпечення виконання програми навчання і ознайомлення з основами інформаційної безпеки в масштабах організації;

- розробку і супроводження переліку мінімальних вимог до процедури контролю за доступом до всіх комп’ютерних систем, незалежно від їх розміру;

- підбір, впровадження, перевірку і експлуатацію відповідних методик планування поновлення роботи для всіх підрозділів організації, які беруть участь в автоматизованій обробці найважливішої інформації;

- розробку і впровадження процедур перегляду правил забезпечення інформаційної безпеки, а також робочих програм, призначених для дотримання правил, інструкцій, стандартів і настанов організації;

- участь в описі, конструюванні, створенні й придбанні систем з метою дотримання правил безпеки під час автоматизації виробничих процесів;

- вивчення, оцінювання, вибір і впровадження апаратних та програмних засобів, функцій і методик забезпечення інформаційної безпеки, які застосовуються для комп’ютерних систем організації.

В разі необхідності на службу інформаційної безпеки покладають виконання інших обов’язків:

- формування вимог до системи захисту в процесі створення ІС;

- участь у проектуванні системи захисту, її випробуваннях та прийняття в експлуатацію;

- планування, організацію і забезпечення функціонування системи захисту інформації в процесі функціонування ІС;

- розподіл між користувачами необхідних реквізитів захисту;

- спостереження за функціонуванням системи захисту та її елементів;

- організація перевірок надійності функціонування системи захисту;

- навчання користувачів та персоналу ІС правил безпечної обробки інформації;

- контроль за дотриманням користувачами і персоналом ІС встановлених правил роботи з інформацією, яку захищають, в процесі її автоматизованої обробки;

- вжиття заходів в разі намагання НСД до інформації і за порушень правил функціонування систем захисту.

Організаційно-правовий статус служби:

- чисельність служби захисту має бути достатньою для виконання всіх вищезгаданих функцій;

- служба безпеки повинна підпорядковуватися тій особі, яка в даній установі несе персональну відповідальність за дотримання правил поводження з інформацією, яку захищають;

- штатний склад служби захисту не повинен мати інших обов’язків, пов’язаних з функціонуванням ІС;

- співробітники служби повинні мати право доступу до всіх приміщень, де встановлено апаратуру ІС, і право припиняти автоматизовану обробку інформації за умови наявності безпосередньої загрози для інформації, яка підлягає захисту;

- керівнику служби захисту треба надати право забороняти включення до числа діючих нових елементів ІС, якщо вони не відповідають вимогам захисту інформації;

- служба захисту інформації повинна мати всі умови, потрібні для виконання своїх функцій.

До структури служби безпеки можуть входити:

- директор (заступник директора) або керівник, який безпосередньо підпорядкований керівнику фірми;

- заступник начальника служби безпеки, який на деяких підприємствах керує фізичною, а іноді технічною службою безпеки;

- аналітик;

- юрист;

- спеціалісти в галузі забезпечення безпеки, економічної розвідки, промислової контррозвідки;

- технічні спеціалісти, які вміють застосовувати спеціальну техніку для захисту приміщень;

- співробітники фізичної охорони і пропускного режиму, за наймом, але підпорядковані керівнику служби безпеки.

Умовно співробітників служби інформаційної безпеки можна поділити за функціональними обов’язками.

Співробітник служби безпеки. Його обов’язками є забезпечення контролю за захистом наборів даних і програм, допомога користувачам та організація загальної підтримки груп управління захистом і менеджменту в своїй зоні відповідальності. За децентралізованого управління кожна підсистема ІС має свого співробітника групи безпеки.

Адміністратор безпеки системи. Зобов’язаний щомісячно опублікувати нововведення в галузі захисту, нових стандартів, а також контролювати за виконанням планів неперервної роботи й поновлювати, згідно з необхідністю, і зберігати резервні копії.

Адміністратор безпеки даних. Повинні здійснювати реалізацію та зміни засобів захисту даних, контроль за станом захисту наборів даних, посилювати захист в разі необхідності, а також координувати роботу з іншими адміністраторами.

Керівник групи. До його обов’язків належать розробка і підтримання ефективних заходів захисту і обробки інформації, забезпечення збереження даних, обладнання й програмного забезпечення зберігання даних; контроль за виконанням плану поновлення і загальне керівництво адміністративними групами в підсистемах ІС, за умови децентралізованого управління.

У невеликих організаціях функції керівника служби виконує або голова фірми, або його заступник.

Кількісний склад служби безпеки різний і залежить передусім, від можливостей самої фірми. Можливі різні варіанти складу такої групи. Крім того, переліки необхідних знань і навичок, а також функціональних обов’язків осіб, які входять до групи захисту інформації можуть істотно розрізнятися залежно від призначення структури і завдань, які розв’язуються в конкретній ІС. На жаль, на сьогодні надають перевагу фізичній і технічній охороні, а час «оперативників» і аналітиків тільки починається.

Служба інформаційної безпеки повинна брати участь у роботах зі створення корпоративної системи з початку її проектування до моменту введення в експлуатацію. Систему, яка вже працює, треба періодично обстежувати на предмет виявлення хиб та ризиків.

Розглянемо окремі завдання служби індивідуальної безпеки.