Опубликован: 14.10.2009 | Уровень: специалист | Доступ: свободно | ВУЗ: Уральский государственный технический университет
Лекция 9:

Департамент информационной безопасности и работа с персоналом

< Лекция 8 || Лекция 9: 12 || Лекция 10 >
Аннотация: В лекции описывается работа департамента информационной безопасности как основной структурной единицы, отвечающей за комплексную защиту информации на предприятии. Раскрывается внутренняя структура департамента, основные задачи и направления его деятельности, методы работы. Также раскрываются основные аспекты работы с персоналом предприятия, направленной на защиту информационных активов (как в части подбора и расстановки сотрудников, связанных с обработкой информации, так и в части текущей работы с персоналом).

Департамент информационной безопасности

Департамент информационной безопасности (далее – департамент) предприятия представляет собой самостоятельное структурное подразделение предприятия, непосредственно выполняющее ключевые функции защиты информационных ресурсов.

Его основными задачами, как правило, являются:

  • организация и координация работ по обеспечению комплексной защиты информации на предприятии;
  • контроль за выполнением установленных требований и оценка эффективности работы подразделений и персонала предприятия по обеспечению информационной безопасности;
  • выполнение отдельных административных и технических функций по обеспечению информационной безопасности, в т.ч.:
    • формирование, поддержка и документальное обеспечение политики информационной безопасности на всех уровнях;
    • внедрение различных средств защиты информации;
    • администрирование отдельных информационных систем.

Состав задач департамента и его внутренняя организационная структура в каждом конкретном случае определяется такими особенностями функционирования предприятия, как:

  • значимость информационных ресурсов в работе предприятия и характер существующих угроз;
  • отношение руководства и собственников предприятия к вопросам информационной безопасности и их управленческая квалификация;
  • функциональность и характер используемых информационных систем, их роль в бизнес-процессах;
  • организация работы и структура ИТ-службы;
  • финансовое состояние предприятия.

Таким образом, решение о составе и структуре департамента в каждом случае должно быть индивидуальным и учитывающим все основные условия.

Функции, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, могут включать в себя:

  • консультирование руководителей и собственников предприятия по вопросам разработки и совершенствования политики информационной безопасности;
  • самостоятельная разработка политики безопасности, ее согласование и представление ее руководству предприятия для утверждения, а также внесение необходимых изменений по мере изменения условий работы предприятия;
  • самостоятельная разработка политик безопасности, касающихся отдельных вопросов защиты информации (правил применения телекоммуникационных технологий, требований, обязательных для всех используемых на предприятии персональных компьютеров и т.п.);
  • формирование требований и регламента процедур пересмотра политики безопасности, отдельных правил, типовых форм и других документов;
  • анализ отдельных договоров и соглашений со сторонними организациями (поставщиками, покупателями, партнерами по проведению НИОКР и т.п.) на предмет соответствия требованиям политики информационной безопасности;
  • анализ и обобщение передового опыта и современных теорий в сфере управления информационной безопасностью с целью их практического применения на предприятии;
  • привлечение сторонних специалистов, исследователей, консультантов (консалтинговых компаний) для разработки и совершенствования политики безопасности предприятия и внедрения развитых методов управления в этой сфере;
  • управление обучением персонала компании (контроль за полнотой и правильностью материалов учебных программ, связанных с информационной безопасностью, обеспечение своевременности прохождения обучения и т.п.);
  • консультирование специалистов и руководителей подразделений предприятия по вопросам соответствия разрабатываемых внутренних документов отдельных подразделений требованиям политики безопасности предприятия;
  • контроль соответствия внутренних организационных документов предприятия (правил внутреннего распорядка, должностных инструкций, инструкций по использованию информационных систем, типовых форм договоров и т.п.) требованиям политики информационной безопасности, а также согласование таких документов при их утверждении.

Функции, связанные с внедрением средств защиты информации могут включать в себя:

  • анализ современных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов у определенных поставщиков;
  • анализ закупаемых информационных систем (операционных систем, прикладных программ, телекоммуникационного оборудования, вычислительной техники и т.п.) на предмет их потенциальной надежности и наличия уязвимостей;
  • привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения);
  • формулирование требований (связанных с обеспечением информационной безопасности) к самостоятельно разрабатываемым программным продуктам или программному обеспечению, создаваемому на заказ сторонними разработчиками;
  • участие в проектировании новых информационных систем, а также тестировании вновь разработанных и внедряемых программных продуктов;
  • разработку технико-экономического обоснования для проектов внедрения средств защиты информации, а также привлечение для этих целей сторонних аналитиков и консультантов, специализирующихся на вопросах анализа средств защиты информации;
  • подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации (например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям.

Функции, связанные с администрированием информационных систем и систем защиты информации могут включать в себя:

  • выполнение некоторых функций по администрированию отдельных информационных систем (баз данных, систем коллективной работы с документами, почтовых систем и т.п.), а также администрирование и конфигурирование систем защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.);
  • определение требуемых типовых настроек и конфигураций рабочих станций (персональных компьютеров), имеющих отношение к информационным системам предприятия (в частности, подключенных к его локальной сети);
  • привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а также для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью (в частности, при осуществлении нападений на информационные системы предприятия);
  • установку (в том числе и совместно со специалистами ИТ-подразделения) программных и аппаратных средств защиты информации на рабочие места пользователей и в другие элементы информационных систем;
  • консультирование пользователей по возникающим вопросам, связанным с информационной безопасностью, и оперативное разрешение возникающих у них проблем;
  • реагирование на различные инциденты, связанные с нарушением информационной безопасности;
  • принятие активных встречных мер при обнаружении вторжений в информационную систему (информирование правоохранительных органов, самостоятельный поиск нападающих и т.п.);
  • генерирование паролей пользователей информационных систем и обеспечение их сохранности;
  • участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе.

Функции, связанные с контролем выполнения требований политики информационной безопасности и проведением аудитов могут включать в себя:

  • сбор и анализ сведений о нарушениях различных требований политики безопасности, поступающих из различных источников (в том числе и от администраторов информационных систем) и определение приоритетных направлений контрольной работы;
  • проверку организационной документации отдельных подразделений предприятия на предмет соответствия требованиям политики информационной безопасности (в том числе и своевременности внесения всех необходимых изменений в действующие внутренние организационные документы);
  • проверку состояния (правильности ведения) текущей хозяйственной и кадровой документации отдельных подразделений предприятия, связанной с обеспечением информационной безопасности (правильности и своевременности заполнения журналов, своевременность оформления обязательств о неразглашении сведений сотрудниками и т.п.);
  • проведение комплексных аудитов информационной безопасности на предприятии;
  • организацию контрольных проверок защищенности отдельных элементов информационных систем (серверов, сегментов сети и т.п.);
  • привлечение сторонних организаций для проведения аудитов информационной безопасности на предприятии, проверок надежности информационных систем.

Кроме перечисленных функций, непосредственно связанных с защитой информационных ресурсов, также большое значение имеет выполнение функций, связанных с охраной имущества предприятия и решением задач, которые связаны с обеспечением безопасности предприятия в более широком смысле. В частности, для обеспечения информационной безопасности имеет значение выполнение таких функций, как:

  • охрана территории и имущества предприятия, а также охрана персонала;
  • обеспечение соблюдения пропускного режима;
  • наблюдение за территорией и помещениями (в том числе при помощи видеокамер);
  • контроль за ввозом на территорию предприятия и вывозом готовой продукции, материалов, документов и другого имущества;
  • организация внутренних служебных проверок и расследований, а также взаимодействия с правоохранительными органами;
  • контроль за соблюдением временного режима работы, а также за соблюдением правил внутреннего распорядка.
< Лекция 8 || Лекция 9: 12 || Лекция 10 >
Александр Медов
Александр Медов

Здравствуйте,при покупке печатной формы сертификата,будут ли выданы обе печатные сторны?

Андрей Стрельников
Андрей Стрельников

Какой документ выдается по программе профпереподготовки Управление ИТ-инфраструктурой? В разделе Дипломы указан сертификат, аналогичный бесплатным курсам.

Валерия Карпенко
Валерия Карпенко
Россия, Тверская область