Читайте также:
|
|
Достижение высокого уровня безопасности невозможно без принятия организационных мер. Эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы.
Для организации (построения) и эффективного функционирования системы защиты информации в ИС может быть создана служба защиты осуществляющая:
- формирование требований к системе защиты в процессе создания ИС;
- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
- планирование, организация и обеспечение функционирования системы защиты информации;
- распределение между пользователями необходимых реквизитов защиты;
- наблюдение за функционированием системы защиты и ее элементов;
- организация проверок надежности системы защиты;
- обучение пользователей и персонала ИС правилам безопасной обработки информации;
- контроль за соблюдением пользователями и персоналом ИС правил обращения с защищаемой информацией;
- принятие мер при нарушениях системы защиты.
Организационно-правовой статус службы защиты определяется следующим образом:
- численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;
- служба защиты должна подчиняться тому лицу, которое несет ответственность за соблюдение правил обращения с защищаемой информацией;
- штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием ИС;
- сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура ИС, и право прекращать информации при наличии непосредственной угрозы для защищаемой информации;
- руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новых элементов ИС, если они не отвечают требованиям защиты информации;
- службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.
В службу безопасности ИС могут входить сотрудники с разными функциональными обязанностями. Обычно выделяют четыре группы сотрудников (по возрастанию иерархии).
1. Сотрудник группы безопасности. В его обязанности входит обеспечение должного контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой в своей зоне ответственности.
2. Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (если в этом возникает необходимость) и за хранением резервных копий.
3. Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты наборов данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.
4. Руководитель группы по управлению обработкой информации и защитой. В его обязанности входит разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и программного обеспечения, контроль за выполнением плана восстановления и общее руководство административными группами в подсистемах ИС.
Дата добавления: 2014-12-20; просмотров: 22 | Поможем написать вашу работу | Нарушение авторских прав |