Организация системы защиты информации

Служба защиты информации должна представлять собой систему штатных или нештатных подразделений, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и обеспечения ее функционирования во всех подразделениях ОАО «СИБИРЬТЕЛЕКОМ».

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации ОАО «СИБИРЬТЕЛЕКОМ» создан отдел информационной безопасности департамента безопасности Генеральной дирекции ОАО «Сибирьтелеком» (специальная служба защиты информации), а в составе филиалов Общества – соответствующие подразделения (отделы, группы) по защите информации.

Основными задачами отдела информационной безопасности департамента безопасности Генеральной дирекции ОАО «СИБИРЬТЕЛЕКОМ» является:

  • формирование нормативной (правовой) базы по вопросам безопасности;
  • формирование предложений по разделению сфер ответственности, подчиненности и взаимодействия между различными структурными подразделениями ОАО «СИБИРЬТЕЛЕКОМ» по вопросам защиты информации;
  • определение, коллегиально с другими подразделениями ОАО «СИБИРЬТЕЛЕКОМ» необходимых ресурсов (материальные, персонал и т.п.) которые могут быть затрачены для защиты определенного вида информации;
  • формирование общих требований к элементам ККС с позиции защиты информации;
  • определение и проведение в жизнь политики обеспечения безопасности информации;
  • определение технических мер и средств защиты информации.
  • контроль за выполнением требований политики обеспечения безопасности информации в филиалах.

На подразделения безопасности филиалов возлагаются решения следующих основных задач:

  • проведение в жизнь политики обеспечения безопасности информации;
  • организация мероприятий и координация работ подразделений филиала по комплексной защите информации;
  • контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основные функции отдела информационной безопасности департамента безопасности Генеральной дирекции ОАО «Сибирьтелеком» заключаются в следующем:

  • участие в проектировании системы защиты ККС на этапах выработки требований, поиска решений;
  • участие в проектировании и внедрении информационных систем (в рамках вопросов по защите) на этапах выработки требований, поиска решений.

Основные функции подразделений безопасности филиалов заключаются в следующем:

  • формирование требований к отдельным элементам ККС с позиции защиты информации;
  • участие в проектировании системы защиты ККС на этапах выработки требований, испытаний и приемке в эксплуатацию;
  • планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования ККС;
  • наблюдение за функционированием системы защиты и ее элементов;
  • организация проверок надежности функционирования системы защиты;
  • обучение пользователей и персонала ККС правилам безопасной обработки информации;
  • регламентация действий и контроль над администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);
  • взаимодействие с сотрудниками, ответственными за безопасность информации в отделе информационной безопасности департамента безопасности Генеральной дирекции ОАО «СИБИРЬТЕЛЕКОМ»;
  • контроль соблюдения пользователями и персоналом ККС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;
  • выявление уязвимостей ККС, обнаружение и пресечение атак, аномальной активности, принятие мер при нарушениях политики информационной безопасности Общества.

Организационно-правовой статус отдела информационной безопасности департамента безопасности Генеральной дирекции ОАО «СИБИРЬТЕЛЕКОМ» определяется следующим образом:

  • численность отдела информационной безопасности должна быть достаточной для выполнения всех перечисленных выше функций;
  • отдел информационной безопасности должен подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
  • персонал отдела информационной безопасности не должен иметь других обязанностей, связанных с функционированием ККС;
  • начальнику отдела информационной безопасности предоставлено право поднимать вопрос о запрете эксплуатации элементов ККС ОАО «СИБИРЬТЕЛЕКОМ», если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности информации;
  • сотрудники отдела информационной безопасности должны иметь право доступа во все помещения, где установлены компоненты ККС ОАО «СИБИРЬТЕЛЕКОМ» и механизмы для прекращения автоматизированной обработки информации (с помощью специалистов департамента информационных технологий) при наличии непосредственной угрозы для защищаемой информации или ККС в целом;
  • подразделениям отдела информационной безопасности должны обеспечиваться все условия, необходимые для выполнения своих функций.

Для решения задач, возложенных на отдел информационной безопасности департамента безопасности Генеральной дирекции ОАО «СИБИРЬТЕЛЕКОМ», его сотрудники должны иметь следующие права:

  • получать информацию от сотрудников подразделений ОАО «СИБИРЬТЕЛЕКОМ» по вопросам применения информационных технологий и эксплуатации ККС, технологий работы с конфиденциальной информацией и информаций, составляющей коммерческую тайну;
  • определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников подразделений ОАО «СИБИРЬТЕЛЕКОМ»;
  • участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке компонент ККС и ее архитектуры в целом;
  • участвовать в испытаниях разработанных комплексов, в рамках задач по оценке качества реализации требований по обеспечению безопасности информации;
  • контролировать деятельность сотрудников подразделений ОАО «СИБИРЬТЕЛЕКОМ» по вопросам обеспечения защиты информации.

В состав подразделений, обеспечивающих информационную безопасность, (дирекций филиалов и Генеральной дирекции) должны входить следующие специалисты:

Должностные обязанности

Численность (чел)

Руководитель подразделения Для Генеральной дирекции

Один

Для дирекции филиала

Один

Ответственный за управление средствами контроля состояния системы безопасности ККС (просмотр журналов регистрации событий, оперативный контроль работы пользователей и реагирование атаки и т.п.) Для Генеральной дирекции

Один

Для дирекции филиала

не менее одного

Ответственный за поддержание криптографических средств защиты (генерация, распределение и защита ключей и т.д.) Для Генеральной дирекции

Два сотрудника

Для дирекции филиала

Один на 1 тыс. человек, но не менее одного на дирекцию филиала

Ответственный за решение вопросов защиты информации в разрабатываемых и внедряемых прикладных программах (участие в разработке технических заданий по вопросам защиты информации, в выборе средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите информации и т.д.) Для Генеральной дирекции

Один сотрудник, на каждую информационную систему

Для дирекции филиала

Один сотрудник, на каждую информационную систему

Ссылка на основную публикацию
Adblock detector