ПОДРАЗДЕЛЕНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДБОР, ПОДГОТОВКА ПЕРСОНАЛА И ОБУЧЕНИЕ ПОЛЬЗОВАТЕЛЕЙ

Для эффективного функционирования системы защиты информации в организации должна быть создана специальная служба технической защиты информации, которая представляет собой систему штатных или нештатных подразделений, предназначенных для квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования во всех подразделениях.

На эти подразделения обычно возлагаются следующие основные задачи:

- реализация политики обеспечения безопасности информации и определение требований к системе защиты информации;

- организация мероприятий и координация работ всех подразделений организации по комплексной защите информации;
- контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основными функциями подразделения защиты информации являются:

- формирование требований к системе защиты при создании (совершенствовании) ИС организации;
- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
- планирование, организация и обеспечение функционирования системы защиты ИС;
- распределение между пользователями необходимых реквизитов защиты;
- наблюдение за функционированием системы защиты и ее элементов;
- проверка надежности функционирования системы защиты;
- обучение пользователей и обслуживающего персонала ИС правилам безопасной обработки информации;
- регламентация действий и контроль администраторов баз данных (БД), серверов и сетевых устройств (лиц, обеспечивающих применение ПО, систем управления БД, средств разграничения доступа и других средств защиты информации);
- взаимодействие с ответственными лицами, обеспечивающими безопасность информации в других подразделениях организации;
- контроль соблюдения пользователями и персоналом ИС установленных правил обращения с защищаемой информацией в процессе ее обработки;
- принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется:

- численностью службы защиты, необходимой для выполнения всех указанных выше функций;
- подчинением службы защиты конкретному лицу, несущему персональную ответственность за соблюдение правил обращения с защищаемой информацией;
- отсутствием у персонала службы защиты других обязанностей, связанных с функционированием ИС;
- возможностью доступа должностных лиц службы защиты во все помещения, где размещается аппаратура ИС и правом прекращения обработки защищаемой информации при возникновении непосредственной угрозы;
- правом руководителя службы защиты запрещать включение новых элементов в состав ИС, при их несоответствии требованиям защиты информации и возможности возникновения серьезных последствий для безопасности информации;
- обеспечением службы защиты информации всеми необходимыми условиями выполнения своих функций.

Должностные лица подразделений защиты информации должны иметь следующие права:

- определять необходимость и разрабатывать нормативные документы по обеспечению безопасности информации, в том числе, регламентирующие деятельность должностных лиц организации;
- получать информацию от должностных лиц подразделений по применению информационных технологий и эксплуатации ИС;
- участвовать в проработке технических решений по обеспечению безопасности информации при проектировании и разработке комплексов задач (задач);
- принимать участие в испытаниях разработанных комплексов задач (задач) для оценки качества реализации требований но обеспечению безопасности информации;
- контролировать деятельность должностных лиц подразделений по обеспечению безопасности информации.

В состав подразделения защиты информации должны быть включены должностные лица ответственные за выполнение следующих мероприятий:

- администрирование средств защиты от НСД (выбор, установка, настройка, снятие защиты, контроль журналов регистрации событий, оперативный контроль работы пользователей и реагирование на события НСД и т. и.);
- администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т. д.);
- защиту информации в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по защите информации, выбор средств и методов защиты, участие в испытаниях новых прикладных программ для проверки выполнения требований НСД к информации и т. д.);
- защиту от утечки информации по техническим каналам.

Перед допуском к эксплуатации пользователи ИС, а также отдельные лица из числа руководящего и обслуживающего персонала должны быть ознакомлены (в части их касающейся) с перечнем сведений, подлежащих засекречиванию и защите, уровнем своих полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.

Защита информации по указанным направлениям возможна только после выработки у всех пользователей организации необходимых и обязательных норм и навыков их исполнения. К этим нормам относится запрещение любых умышленных или неумышленных действий, нарушающих нормальную работу и требующих дополнительных ресурсов, нарушающих целостность хранимых и обрабатываемых данных, а также законных интересов пользователей ИС подразделения.

Все должностные лица, использующие конкретные подсистемы ИС подразделения, должны быть ознакомлены, в части их касающейся, с организационно-распорядительными документами по защите ИС подразделения, знать и неукоснительно выполнять технолог ические инструкции и обязанности по обеспечению безопасности информации при использовании ИС. Требования указанных документов до лиц, допущенных к обработке защищаемой информации, доводятся начальниками подразделений иод роспись.

Любое грубое нарушение установленного порядка и правил работы ИС должностными лицами структурных подразделений должно расследоваться, а к виновным должны применяться меры воздействия. Ответственность за действия, совершенные с нарушением установленных правил безопасной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства центральных или региональных органов ФТС России. Поэтому для установления персональной ответственности пользователей за свои действия необходимы:

- индивидуальная идентификация пользователей с закреплением за ними идентификатора, позволяющего осуществлять разграничение доступа в соответствии с принципом обоснованности;
- проверка подлинности пользователей (аутентификация) по паролям, закрытым ключам, биометрическим характеристикам личности и т. п.;
- регистрация (протоколирование) работы системы контроля доступа к ресурсам ИС с определением даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
- реакция на попытки НСД (сигнализация, блокировка и т. д.).

ПОДРАЗДЕЛЕНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДБОР, ПОДГОТОВКА ПЕРСОНАЛА И ОБУЧЕНИЕ ПОЛЬЗОВАТЕЛЕЙ

Основные концептуальные положения инженерно- технической защиты информации

Организационно-технические мероприятия и технические способы защиты информации защищаемого помещения

Методы защиты информации от утечки по техническим каналам

ЗАЩИТА ИНФОРМАЦИИ ОТ ТЕХНИЧЕСКИХ РАЗВЕДОК

Технические средства добывания и инженерно-технической защиты информации

Подбор, расстановка и обучение сотрудников службы защиты информации

Роль персонала в системе защиты информации

Структура подразделений но защите информации

Защита информации в банковских информационных системах