Управление защитой, органы управления, организационно-правовой статус службы ИБ, организация и управление службой защиты информации

     13)осуществляет изучение всех сторон производственной деятельности предприятия, открытой информации о конкурентах для своевременной корректировки перечня сведений, составляющих коммерческую тайну, и выявления и закрытия возможных каналов утечки коммерческих секретов;

     14)осуществляет контроль за соблюдением требований по защите коммерческой тайны;

15. проводит учет и анализ нарушений режимных требований; готовит список лиц, допущенных к коммерческой тайне в соответствии с разработанными прерогативами, а также проводит выделение и учет помещений, где руководителем предприятия после проведения соответствующей аттестации разрешено хранение носителей коммерческих секретов и проведение закрытых работ;
16. разрабатывает совместно с руководством разрешительной системы доступа работников и командированных лиц к носителям коммерческих секретов, аналитический анализ ее эффективности;
17. осуществляет организацию и ведение конфиденциального делопроизводства, размножение документов, содержащих коммерческие секреты, их учет, хранение исполнителями работ, а также уничтожение документов;
18. осуществляет организацию спецархива магнитных носителей информации, в том числе налаживание их строгого учета, хранения, копирования и уничтожения с целью исключения возможности утечки закрытой информации;
19. проводит разработку и осуществление мероприятий по защите информации, составляющей коммерческую тайну при ее обработке средствами вычислительной техники;

     20)обеспечивает функционирование криптографических средств защиты информации в соответствии с нормативными требованиями;

21. оказывает содействие руководителям подразделений предприятия в разработке и осуществлении защитных мер в процессе производственной и иной деятельности (рекомендуется при необходимости включать специальные условия в контракты, договора по обеспечению безопасности);
22. разрабатывает и осуществляет меры по предупреждению утечки информации при переписке с заказчиком, в том числе с иностранным, оформляет материалы, предназначенные к опубликованию в открытой печати, для использования на конференциях, выставках, в рекламной деятельности, а также при проведении собраний, совещаний;

     23)своевременно доводит до соответствующих исполнителей классифицированные документы, необходимые для производственной деятельности;

24. осуществляет подготовку приказов, распоряжений, инструкций, правил и других руководящих документов предприятия по безопасности и защите коммерческой тайны;
25. организует и участвует в расследовании случаев нарушения безопасности и разглашения коммерческой тайны и утраты секретных документов;

     26)организует обучение и проверку уровня подготовки допущенных к 
закрытым работам и опасному производству лиц по вопросам обеспечения 
безопасности;

27. организует и контролирует состояние охраны предприятия, специальных помещений, хранилищ ценностей и закрытой информации, а также пропускного и внутриобъектового режима;
28. осуществляет контроль за правильным и своевременным оформлением кадровым подразделением документов на лиц, принимаемых на работу, проводит их инструктаж по вопросам безопасности;
29. разрабатывает требования на установку технических средств охраны (ТСО), организует их монтаж, эксплуатацию и ремонт, осуществляет оценку эффективности их использования.

     Структура и штаты службы 

     Служба безопасности является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.

     Организационно служба безопасности состоит из следующих структурных единиц:

• Отдела охраны;
• Отдел по защите конфиденциальной информации:
• Сектор обработки документов с грифом "конфиденциальная информация";
• Лаборатории контроля защищенности от НСД к информации автоматизированных систем и средств вычислительной техники.
• Лаборатория комплексного контроля эффективности противодействия иностранным техническим разведкам и технической защиты информации
• Группа анализа возможности образования технических каналов утечки информации;

     В структуру службы безопасности могут входить:

• директор (заместитель директора) или руководитель, непосредственно подчиненный главе фирмы;
• заместитель начальника службы безопасности -- на некоторых предприятиях он руководит физической, а иногда и технической службами охраны;
• аналитик;
• юрист;
• специалисты в области обеспечения безопасности, экономической разведки, промышленной контрразведки;
• технические специалисты, умеющие применять специальную технику для защиты помещений;
• сотрудники физической охраны и пропускного режима (по найму), но подчиненные руководителю службы безопасности).

     Условно сотрудников службы информационной безопасности можно разделить по функциональным обязанностям:

     Сотрудник группы безопасности. В его обязанности входит обеспечение контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема имеет своего сотрудника группы безопасности.

     Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (при необходимости) и за хранением резервных копий.

     Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты набор данных, ужесточение защиты в случае необходимое, а также координирование работы с другими администраторами.

     Руководитель группы. В его обязанности вход разработка и поддержка эффективных мер защиты по обработке информации для обеспечения сохранное данных, оборудования и программного обеспечения, контроль за выполнением плана восстановления и последующее руководство административными группами в подсистемах ИС (при децентрализованном управлении)

     В небольших организациях функции руководите службы обычно выполняет либо глава фирмы, либо его заместитель.

     Количественный состав службы безопасности ограничен и зависит, прежде всего, от возможностей сам фирмы. Возможны различные варианты состава так группы. Кроме того, перечень необходимых знаний навыков, а также функциональных обязанностей входящих в группу защиты информации может существенно отличаться в зависимости от назначения структуры и задач, решаемых в конкретной ИС.

     К сожалению, на современном этапе отдается предпочтение физической и технической охране, время "оперативников" и аналитиков только начинается. 

     Организационные основы и принципы деятельности службы 

     Основные положения, состав и организация службы безопасности имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах предприятия.

     В основу деятельности службы безопасности положены:

• деятельности и сохранность коммерческой тайны;
• Закон о предприятиях и предпринимательской деятельности;
• Кодекс законов о труде (КЗОТ);
• Устав предприятия, коллективный договор, трудовые договоры, правила внутреннего трудового распорядка сотрудников, должностные обязанности руководителей, специалистов, рабочих и служащих.

     Принципы организации Службы безопасности

     Принципы организации СБ выражают основополагающие требования к стратегии и тактике, организации и осуществлению мероприятий по защите жизненно важных интересов предприятия, концентрируют опыт успешного решения задач в этой сфере деятельности.

     Законность. Меры безопасности предприятия разрабатываются на основе норм права в пределах определенной данным типовым положением компетенции с применением всех дозволенных Законом методов обнаружения и пресечения правонарушений в сфере безопасности.

     Самостоятельность и ответственность. СБ располагают всеми необходимыми для своей деятельности видами ресурсов, при использовании которых обеспечивается строгое соответствие производимых затрат и достигаемых результатов, материальная ответственность инициаторов и исполнителей соответствующих мероприятий за результаты своей деятельности.

     Экономическая целесообразность и прибыльность. Мероприятия по обеспечению безопасности предприятия не должны приводить к ухудшению экономических показателей деятельности предприятия, а стабильность его прибылей является главным критерием оценки качества работы СБ, определения размеров материального вознаграждения их сотрудников.

     Специализация и профессионализм. Кадровый состав подразделений безопасности специализируются по направлениям комплексного обеспечения безопасности предприятия. Профессиональная подготовка сотрудников СБ предприятия должна позволять широко использовать научные достижения и передовой опыт организации работ обеспечению безопасности объектов. В противном случае противодействия ЗЛ становятся проблематичными.

     Программно-целевое планирование. Деятельность СБ предприятия по обеспечению безопасности осуществляется на основании комплексной программы и разрабатываемых на ее основе планов работ и отдельных мероприятий.

     Взаимодействие и координация. Меры безопасности осуществляются на основе взаимодействия скоординированности усилий всех заинтересованных подразделений предприятия, а также установления необходимых связей с внешними организациями (органами государственного управления, правоохранительными органами, другими предприятиями и фирмами). Деятельность в сфере безопасности не должна нарушать нормальных условий работы предприятия на других направлениях.

     Гласность в сочетании с необходимой конспирацией. Руководящие органы предприятия регулярно «формируют своих сотрудников о мероприятиях по обеспечению безопасности. В оправданных ситуациях меры безопасности могут носить конспиративный характер. Конспиративность мер безопасности предполагает специальную организацию контроля руководящих органов СБ предприятия за их применением, соблюдением необходимых правил-процедур. 

     Гарантии безопасности объектов защиты 

     Деятельность СБ заключается в создании нормативных, организационных и материальных гарантий безопасности объектов защиты, которые включают в себя выявление, предупреждение и пресечение посягательств на сотрудников предприятия, на порядок управления и законные права предприятия, его имущество, интеллектуальную соб-ственность, благоприятную финансово-коммерческую конъюнктуру, устойчивость хозяйственно-коммерческих связей, социально-психологическую обстановку, на производственную и технологическую дисциплину, научно-технологические лидерство и достижения и охраняемую информацию.

     Нормативные гарантии заключаются в разработке, толковании и реализации норм права, установлении пределов их действия, в формировании необходимых правоотношений, определении и обеспечении правомерного поведения подразделений и работников предприятия по поводу его безопасности, использовании мер государственного и административного принуждения, применении санкций к физическим и юридическим лицам, посягающим на законные интересы предприятия, постоянном совершенствовании юридической технологии деятельности СБ.

     Организационные гарантии формируются путем разработки, построения и поддержания высокой работоспособности общей организационной структуры управления процессом выявления и подавления угроз деятельности предприятия, использования эффективного механизма ее оптимального функционирования, соответствующей подготовки кадров, а также принятия мер по гармонизации интересов и консолидации усилий сотрудников предприятия на достижение целей обеспечения его безопасности.