Функции руководства и подразделений предприятия в области защиты информации доклад

Обновлено: 07.07.2024

1.1. Отдел защиты информации (далее - Отдел) является структурным подразделением Департамента Смоленской области по информационным технологиям (далее – Департамент).
1.2. В своей деятельности Отдел руководствуется Конституцией Российской Федерации, законодательством Российской Федерации, Уставом Смоленской области, областными законами, указами и распоряжениями Губернатора Смоленской области, постановлениями и распоряжениями Администрации Смоленской области, иными областными правовыми актами, Положением о Департаменте и настоящим Положением, приказами начальника Департамента.
1.3. Отдел подчиняется начальнику Департамента.
1.4. Общее руководство деятельностью Отдела осуществляет начальник Департамента.
1.5. Отдел в пределах своей компетенции и в установленном порядке осуществляет взаимодействие с иными структурными подразделениями Департамента, обеспечивает взаимодействие Департамента с органами исполнительной власти Смоленской области, территориальными органами федеральных органов исполнительной власти, органами местного самоуправления муниципальных образований Смоленской области, общественными объединениями, а также с другими организациями независимо от их организационно-правовых форм.

2. Основные задачи отдела

3. Функции отдела

4. Права отдела

Для выполнения возложенных на Отдел функций в пределах своей компетенции имеет право:
4.1 Запрашивать и получать в установленном порядке необходимую информацию по вопросам, относящимся к компетенции Отдела.
4.2 Вносить в установленном порядке предложения по формированию областных целевых программ в сфере обеспечения безопасности и технической защиты информации.
4.3 Разрабатывать методические материалы и рекомендации по вопросам, входящим в компетенцию Отдела.
4.4 Участвовать в координации и контроле за деятельностью органов исполнительной власти Смоленской области по реализации государственной политики в сфере обеспечения безопасности и технической защиты информации.
4.5 Принимать участие в определении направлений и объемов финансирования областных целевых программ и мероприятий в сфере обеспечения безопасности и технической защиты информации, осуществлять контроль за эффективным и целевым расходованием средств областного бюджета, выделенных на эти цели.
4.6 Вносить предложения о привлечении на договорной основе научных и образовательных учреждений, экспертов и высококвалифицированных специалистов для консультирования и участия в решении вопросов в области обеспечения безопасности и технической защиты информации.
4.7 Использовать в своей деятельности государственные информационные ресурсы, системы связи и коммуникаций Смоленской области;
4.8 Вносить предложения по ограничению работы пользователей компьютерных и телекоммуникационных систем Администрации Смоленской области с программными средствами обработки информации и сопрягаемыми с ними программными средствами приема-передачи данных за нарушения правил их эксплуатации;
4.9 Участвовать в разработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке автоматизированных информационных систем в компьютерных и телекоммуникационных системах Администрации Смоленской области;
4.10 Участвовать в испытаниях разработанных комплексов (задач) по вопросам оценки качества реализации требований по обеспечению безопасности информации;
4.11 Контролировать деятельность сотрудников органов исполнительной власти Смоленской области по вопросам обеспечения безопасности информации;
4.12 Организовывать и проводить практические мероприятия по предотвращению несанкционированного доступа к информации, обрабатываемой, хранимой и отображаемой в компьютерных и телекоммуникационных системах Администрации Смоленской области, а также незаконного вмешательства в процесс их функционирования;
4.13 Осуществлять контроль и проверку выполнения обязанностей ответственными за информационную безопасность в органах исполнительной власти Смоленской области, а также контролировать выполнение пользователями компьютерных и телекоммуникационных систем Администрации Смоленской области необходимых мер по защите информации;
4.14 Определять обязательные к применению в компьютерных и телекоммуникационных системах Администрации Смоленской области программные и технологические средства обработки и защиты информации, а также стандарты форматов обработки, хранения и передачи данных, обеспечивающих доступ к информационным ресурсам;
4.15 Принимать участие по поручению начальника Департамента, его заместителей в заседаниях Смоленской областной Думы, комитетов и комиссий Смоленской областной Думы, участвовать в депутатских слушаниях, совещаниях, проводимых органами исполнительной власти Смоленской области.
4.16 Участвовать в подготовке проектов областных законов, указов и распоряжений Губернатора Смоленской области, постановлений и распоряжений Администрации Смоленской области, разрабатываемых Департаментом.
4.17 Участвовать в совещаниях, коллегиях, рабочих группах, конференциях, семинарах и других мероприятиях по вопросам, связанных с деятельностью Департамента.
4.18 Осуществлять иные права в соответствии с законодательством и настоящим Положением.

5. Организация деятельности отдела

Структура, численность и состав подразделения (службы) по защите информации на предприятии определяются реальными потребностями (степенью влияния угроз безопасности информации на показатели работы).

Комплексная безопасность предприятия и защита информации может быть реализована следующими тремя путями:

- абонементное обслуживание силами специальных организаций;

- создание собственного подразделения;

В первом случаеспециализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с организацией защиты и поддержание состояния защищенности на должном уровне. Поскольку для получения лицензии для подобного рода деятельности требуются квалифицированные кадры, дорогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия - гарантия качества защиты. При этом услуги такого рода достаточно дороги и специалисты не могут постоянно находиться на объекте.

Во втором случае создается собственное подразделение, имеющее, в общем виде структуру, представленную на рис. 6.

Рис.6. Примерная структура службы защиты информации предприятия

Для решения задач защиты информации на подобное подразделение могут быть возложены следующие функции:

- организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещениях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;

- руководить работами по правовому и организационному регулированию отношений по защите коммерческой тайны;

- участвовать в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора, Правил внутреннего трудового распорядка, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

- изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, вести учет и анализ нарушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;

- организовывать эксплуатацию систем безопасности, средств защиты информации, поддерживать их в работоспособном и актуальном состоянии;

- организовывать и проводить служебные расследования по фактам разглашения сведений, утрат документов и других нарушений режима безопасности предприятия;

- обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;

- организовывать и регулярно проводить обучение сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны;

- вести учет носителей информации, сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;

- вести учет выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

- поддерживать контакты с правоохранительными органами по вопросам обеспечения безопасности предприятия и, при необходимости – при проведении служебных проверок по фактам утраты информации.

Для предприятий, в которых создание подобных подразделений является экономически нецелесообразным данные виды работ выполняются либо руководителем предприятия, либо специально назначенным сотрудником.

Комплексная безопасность предприятия и защита информации может быть реализована следующими тремя путями:

- абонементное обслуживание силами специальных организаций;

- создание собственного подразделения;

Рис.6. Примерная структура службы защиты информации предприятия

Для решения задач защиты информации на подобное подразделение могут быть возложены следующие функции:

- обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;

Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

противодействия иностранным техническим разведкам на территории Российской Федерации;

обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;

защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

осуществления экспортного контроля.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.

ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.

Основными задачами ФСБ России в области защиты информации являются:

обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.

Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:

ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);

ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).

Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.

2. Нормативно-правовая база защиты информации

Основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646.

Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:

персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);

Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.

Защита сведений, отнесенных к государственной тайне, осуществляется в соответствии с законом РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) "О государственной тайне" и инструкцией по обеспечению режима секретности в РФ от 05.01.2004 3-1.

Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

3. Требования по защите информации

Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:

защита информации при обработке сведений, составляющих государственную тайну;

защита конфиденциальной информации (в т.ч. персональных данных);

защита информации в ключевых системах информационной инфраструктуры.

Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.

При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.

4. Аттестация объектов информатизации

Основной единицей в терминах защиты информации принято считать объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (если упрощенно, объекты информатизации – это автоматизированные системы, на которых обрабатывается защищаемая информация и защищаемые помещения, в которых ведутся конфиденциальные переговоры).

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится органом по аттестации (организация, имеющая лицензии ФСТЭК России).

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители.

Для проведения аттестации объектов информатизации, на которых обрабатывается:

информация, содержащая сведения, составляющие государственную тайну, требуется лицензия ФСТЭК России на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны (в части технической защиты информации);

конфиденциальная информация требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.

5. Сертификация средств защиты информации

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

На аттестованных объектах информатизации должны применяться сертифицированные по требованиям безопасности информации средства защиты информации. Сертификация средств защиты осуществляется испытательными лабораториями.

Федеральными органами по сертификации являются ФСТЭК России и ФСБ России в части:

разработки и производства средств защиты информации, составляющей государственную тайну;

разработки и производства средств защиты конфиденциальной информации.

6. Построение системы защиты информации в организации

Вопросы создания и непосредственного руководства подразделениями по защите информации в органах государственной власти возлагаются на руководителей органов государственной власти или их заместителей.

Для организации и проведения работ по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

7. Контроль состояния защиты информации

Контроль состояния защиты информации (далее - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

Контроль организуется ФСТЭК России, ФСБ России, другими органами государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

ФСТЭК России организует контроль силами центрального аппарата и территориальных Управлений ФСТЭК России.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю.

Территориальные управления ФСТЭК России, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих управлений.

Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайнам, осуществляется органами государственной власти, ФСТЭК России, ФСБ России и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Учитывая разнообразие видов тайн, специфику нормативных требований по защите каждой из них, изложим примерный базовый набор функций СлЗИ в общем виде, без привязки к виду защищаемой информации, а также без учета масштабов и других особенностей предприятия:
1) организация планирования, разработки и проведения мероприятий по защите информации ограниченного доступа при проведении работ с ее носителями;
2) координация деятельности структурных подразделений предприятия по вопросам защиты информации ограниченного доступа, контроль выполнения ими нормативных документов по защите такой информации;
3) анализ деятельности предприятия по защите информации ограниченного доступа, выявление возможных каналов ее утечки и подготовка предложений по их закрытию;
4) учет и анализ нарушений режима обеспечения сохранности информации ограниченного доступа;
5) участие в работе по отнесению сведений к различным категориям информации ограниченного доступа, разработке перечней такой информации, нормативно-методических документов по обеспечению ее защиты;
6) участие в проведении служебных расследований в случае утраты либо хищения носителей информации ограниченного доступа, других нарушений режима обеспечения сохранности такой информации, а также по фактам ее разглашения;
7) организация проведения профилактической работы с работниками предприятия по соблюдению режима обеспечения сохранности информации ограниченного доступа;
8) разработка перечней должностей работников, подлежащих допуску к информации ограниченного доступа;
9) контроль разработки и осуществление мероприятий по защите информации ограниченного доступа;
10) осуществление мероприятий, обеспечивающих доступ к информа-ции ограниченного доступа только тех работников, которым она необходима для выполнения должностных обязанностей;
11) проведение инструктажа работников, допущенных к информации ограниченного доступа, контроль знания ими требований нормативных документов по режиму обеспечения ее сохранности;
12) ведение учета осведомленности работников в информации ограниченного доступа;
13) участие в обеспечении пропускного режима, охраны предприятия и режимных территорий, контроле несения службы охраной;
14) участие в определении эффективности инженерно-технических средств охраны и разработке предложений по их совершенствованию;
16) организация и ведение учета носителей информации ограниченного доступа;
17) контроль соблюдения установленного порядка работы с носителями информации ограниченного доступа.

В соответствии с задачами служба защиты информации выполняет следующие общие функции:
организация и обеспечение режима ограничения доступа к источникам и носителям защищаемой информации;
организационно-правовое и методическое обеспечение работ по регулированию отношений, связанных с использованием сведений ограниченного доступа;
обследование производственной и административной деятельности предприятия для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведение учета и анализ нарушений режима безопасности информации;
организация и проведение служебных расследований по фактам нарушения правил функционирования системы технической защиты информации;
обеспечение строгого выполнения требований нормативных документов по защите информации;
осуществление руководства и контроля за деятельностью подразделений защиты информации в структурных подразделениях предприятия при их наличии;
регулярное проведение учебы сотрудников предприятия и СлЗИ по всем направлениям защиты информации;
ведение учета технических средств ИС предприятия и СЗИ, в том числе специальных хранилищ, средств вычислительной техники, используемых для работы с конфиденциальной информацией;
разработка совместно с руководителями структурных подразделений организационно-распорядительных документов по вопросам защиты информации на предприятии, обеспечение их утверждения в установленном порядке;
проведение профилактической работы с сотрудниками структурных подразделений на предприятии по соблюдению требований ЗИ ограниченного доступа;
создание специального информационно-справочного фонда по вопросам защиты информации;
сбор и анализ сведений по различным аспектам защиты информации для использования в работе;
обеспечение своевременного выявления недостатков и совершенствование комплекса мероприятий по реализации политики защиты информации на предприятии.
сбор, аналитическая обработка и оценка сведений о потенциальных и реальных нарушителях БИ предприятия, в том числе зарубежных, с целью выявления возможных противоправных действий по добыванию ими охраняемых сведений и перекрытия каналов утечки информации.

Основными функциями службы защиты информации по организации подготовки, издания, хранения и использования документов с ограниченным доступом являются:
обеспечение на предприятии ведения делопроизводства конфиден-циального характера;
организация проведения служебных расследований по фактам разглашения конфиденциальных сведений, а также утраты документов, содержащих такие сведения;
контроль за соблюдением установленного порядка изменения условных и открытых наименований тем, работ, специзделий и т. п.;
контроль за соблюдением исполнителями правил обращения с конфиденциальными документами.

Основными функциями службы защиты информации по организации и обеспечению режима ограничения доступа являются:
1) разработка совместно с руководителями структурных подразделений номенклатуры должностей работников, подлежащих оформлению на допуск к сведениям конфиденциального характера;
2) ограничение по режиму допуска и доступа к сведениям конфиденциального характера;
3) ведение учета специзделий, организация контроля за обеспечением требований режима конфиденциальности уполномоченными лицами в структурных подразделениях, проведение проверок наличия специзделий;
4) участие в проведении мероприятий по соблюдению режима конфиденциальности при осуществлении прямых связей с зарубежными странами.
5) участие в подготовке приказов и распоряжений по вопросам обеспечения режима конфиденциальности проводимых работ.

Служба защиты информации участвует в выполнении практически всех приведенных ниже основных организационно-технических мероприятий по ЗИ:
- разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности;
- внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов ИС и действиям в случае возникновения кризисных ситуаций;
- оформление юридических документов (договора, приказы и распоряжения руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением электронной подписи;
- создание научно-технических и методологических основ защиты ИС;
- исключение возможности тайного проникновения в помещения, установки прослушивающей аппаратуры и т.п.;
- проверка и сертификация используемых в ИС технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок;
- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
- разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием ИС, а также используемых при их решении режимов обработки и доступа к данным;
- определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в ИС;
- выявление наиболее вероятных угроз для данной ИС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней;
- оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;
- организация надежного пропускного режима;
- определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;
- организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
- организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации;
- определение перечня необходимых мер по обеспечению непрерывной работы ИС в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т.п.;
- контроль функционирования и управление используемыми средствами защиты;
- явный и скрытый контроль за работой персонала системы;
- контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования ИС;
- периодический анализ состояния и оценка эффективности мер защиты информации;
- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
- анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;
- составление правил разграничения доступа пользователей к информации;
- периодическое с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На осовее полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;
- рассмотрение и утверждение всех изменений в оборудовании ИС, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.;
- проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.

Лекция, реферат. 6. Функции службы защиты информации предприятия - понятие и виды. Классификация, сущность и особенности. 2021.

Читайте также: