Организационная структура службы информационной безопасности
Первым шагом на пути создания бастиона информационной защиты является создание Службы Информационной Безопасности (СИБ). При Дирекции по безопасности и защите информации создается специальное подразделение - СИБ, которое занимается вопросами принятия решений о создании комплекса защиты информации и, в дальнейшем, эксплуатацией и контролем системы защиты информации.
Удобство и надежность такой схемы создания СИБ обусловлены тем, что защитой информации занимается подразделение специалистов, несущих непосредственно ответственность за свою работу. Эта схема используется в большинстве организаций, серьезно заботящихся о безопасности информации.
Состав службы, а также наличие и количество подразделений внутри самой СИБ зависит от масштаба предприятия, его организационной структуры и определяется штатным расписанием.
Организационно группы СИБ должны быть обособлены от всех отделов или групп, занимающихся управлением самой системой, программированием и другими относящимися к системе задачами во избежание возможного столкновения интересов.
Для обеспечения эффективной работы Службы информационной безопасности необходимо отразить основные организационные вопросы принятой политики безопасности в соответствующих Инструкциях и Распоряжениях. В них в первую очередь должны быть определены:
должностные обязанности групп пользователей;
правила доступа (разграничения доступа ) к информации;
мероприятия по обеспечению контроля и функционирования системы защиты информации;
меры реагирования на нарушение режима безопасности;
планирование и организация восстановительных работ.
Для обеспечения успешной работы СИБ необходимо определить права и обязанности Службы, а также правила ее взаимодействия с другими подразделениями по вопросам защиты информации на объекте.
Организационно-правовой статус СИБ определяется следующим образом:
численность службы должна быть достаточной для выполнения всех перечисленных выше функций;
служба должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
штатный состав службы не должен иметь других обязанностей, связанных с функционированием АС;
сотрудники службы должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
руководителю службы должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;
службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций.