Відмінності між версіями «Типове положення про службу захисту інформації в автоматизованій системі»

НД ТЗІ 1.4-001-2000 Типове подоження про службу захисту інформації в автоматизованій системі (затверджено наказом ДСТСЗІ СБ України від 04.12.2000 № 53) - це нормативний документ організації, який визначає завдання, функції, штатну структуру служби захисту інформації (СЗІ), повноваження та відповідальність її співробітників, взаємодію з іншими підрозділами та із зовнішніми організаціями.

Структура документу

У загальному випадку Типове положення про службу захисту інформації в автоматизованій системі складається з таких розділів:

1. Загальні положення.
2. Завдання СЗІ.
3. Функції СЗІ.
4. Повноваження і відповідальність СЗІ.
5. Взаємодія СЗІ з іншими підрозділами організації та зовнішніми підприємствами, установами, рганізаціями.
6. Штатний розклад і структура СЗІ.
7. Організація робіт СЗІ.
8. Фінансування СЗІ.

Залежно від конкретних завдань і умов функціонування окремі розділи Положення можна поєднувати, додавати нові або вилучати неактуальні.

Завдання служби захисту інформації

Основними завданнями СЗІ є:

1. Організація заходів із створення і використання комплексної системи захисту інформації (КСЗІ) на всіх етапах життєвого циклу автоматизованої системи (АС).
2. Захист законних прав щодо безпеки інформації в організації, окремих її структурних підрозділах, персоналу під час обміну інформацією між собою та із зовнішніми вітчизняними та закордонними організаціями.
3. Організація та координація заходів, пов'язаних із захистом інформації в АС та підтримка належного рівня захищеності інформації, ресурсів і технологій.
4. Дослідження технології оброблення інформації в АС задля виявлення ймовірних каналів її витоку та інших загроз безпеці інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію.
5. Розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими має підтримуватися певний рівень захисту інформації в АС.
6. Робота з персоналом.
7. Виконання відповідних функцій під час експлуатації КСЗІ.
8. Виконання певних функцій під час створення КСЗІ.

Структура служби захисту інформації

Структуру СЗІ, її склад і чисельність визначають на підставі фактичних потреб АС із забезпечення вимог політики безпеки інформації. Чисельність і склад СЗІ мають бути достатніми для виконання всіх завдань із захисту інформації в АС. Умовно співробітників СЗІ за функціональними обов'язками можна розділити на:

• Співробітник групи безпеки
• Адміністратор безпеки системи
• Адміністратор безпеки даних
• Керівник групи

Функції служби захисту інформації

СЗІ має виконувати такі функції:

• забезпечувати якісне виконання організаційно-технічних заходів із захисту інформації в АС;
• перевіряти відповідність прийнятих в організації правил, інструкцій щодо оброблення інформації, здійснювати контроль за виконанням цих вимог;
• здійснювати контрольні перевірки стану захищеності інформації в АС;
• забезпечувати конфіденційність заходів із монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС (організації);
• сприяти (технічними та організаційними заходами) створенню і дотриманню умов зберігання інформації, отриманої організацією на договірних, контрактних або інших основах від організацій-партнерів, постачальників, клієнтів та приватних осіб;
• періодично надавати керівництву організації звіт про стан захищеності інформації в АС і про дотримання користувачами та персоналом АС встановленого порядку і правил захисту інформації;
• негайно повідомляти керівництво АС (організації) про виявлені атаки та викритих порушників.