Структура службы защиты информации предприятия.
Рисунок 1 - структура службы защиты информации предприятия
Цели Системы Защиты Информации.
Рисунок 2 -цели Системы Защиты Информации
Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения:
- простота защиты;
- приемлемость защиты для пользователей;
- подконтрольность системы защиты;
- постоянный контроль за наиболее важной информацией;
- дробление конфиденциальной информации на составляющие элементы, доступ к которым имеют разные пользователи;
- минимизация привилегий по доступу к информации;
- установка ловушек для провоцирования несанкционированных действий;
- независимость системы управления для пользователей;
- устойчивость защиты во времени и при неблагоприятных обстоятельствах;
- глубина защиты, дублирование и перекрытие защиты;
- особая личная ответственность лиц, обеспечивающих безопасность информации;
- минимизация общих механизмов защиты.
- К задачам СЗИ относятся:
- Своевременное выявление угроз защищаемой информации компании, причин и условий их возникновения и реализации.
- Выявление и максимальное перекрытие потенциально возможных каналов и методов несанкционированного доступа к информации.
- Отработка механизмов оперативного реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании.
- Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации.
Начальник СЗИ- является новой штатной единицей. В большинстве случае, если установлено скрытое видеонаблюдение, он единственный должен об этом знать, не учитывая непосредственное руководство. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование ихорошее знание законодательных актов в этой области, принципов планирования защиты.
Руководитель СЗИ должен выполнять следующие функции:
1. вырабатывать политику обеспечения защиты информации и обеспечивать ее реализацию;
2. отвечать за функционирование СЗИ и обеспечение защиты конфиденциальной информации;
3. осуществлять планирование и непосредственное руководство работой СЗИ, нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка;
4. принимать личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании;
5. разрабатывать планы действий в чрезвычайных ситуациях, проводить регулярную учебу с подчиненными;
6. руководить проведением служебных расследований;
7. организовывать взаимодействие СлЗИ с другими подразделениями;
8. разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую;
9. организовывать разработку рекомендаций по совершенствованию функционирования СЗИ;
10. осуществлять руководство отделом охраны;
- кроме того, выполнять функции юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации;
- в случае необходимости, периодически проводить поиск жучков.