Главная страница | Контакты | Случайная страница Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Создание службы компьютерной безопасности

Достижение высокого уровня безопасности невозможно без принятия организационных мер. Эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы.

Для организации (построения) и эффективного функционирования системы защиты информации в ИС может быть создана служба защиты осуществляющая:

- формирование требований к системе защиты в процессе создания ИС;

- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

- планирование, организация и обеспечение функционирования системы защиты информации;

- распределение между пользователями необходимых реквизитов защиты;

- наблюдение за функционированием системы защиты и ее элементов;

- организация проверок надежности системы защиты;

- обучение пользователей и персонала ИС правилам безопасной обработки информации;

- контроль за соблюдением пользователями и персоналом ИС правил обращения с защищаемой информацией;

- принятие мер при нарушениях системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

- численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;

- служба защиты должна подчиняться тому лицу, которое несет ответственность за соблюдение правил обращения с защищаемой информацией;

- штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием ИС;

- сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура ИС, и право прекращать информации при наличии непосредственной угрозы для защищаемой информации;

- руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новых элементов ИС, если они не отвечают требованиям защиты информации;

- службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

В службу безопасности ИС могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии).

1. Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой в своей зоне ответственности.

2. Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (если в этом возникает необходимость) и за хранением резервных копий.

3. Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.

4. Руководитель группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения, контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах ИС.