Типове положення про службу захисту інформації в автоматизованій системі

Версія від 09:40, 21 квітня 2011, створена Zahir (обговореннявнесок)
(різн.) ← Попередня версія • Поточна версія (різн.) • Новіша версія → (різн.)
Прізвище Ковальчук
Ім'я Лариса
По-батькові Ярославівна
Факультет ФІС
Група СН-41
Залікова книжка ПК-07-010


НД ТЗІ 1.4-001-2000 Типове подоження про службу захисту інформації в автоматизованій системі (затверджено наказом ДСТСЗІ СБ України від 04.12.2000 № 53) - це нормативний документ організації, який визначає завдання, функції, штатну структуру служби захисту інформації (СЗІ), повноваження та відповідальність її співробітників, взаємодію з іншими підрозділами та із зовнішніми організаціями.

Структура документу

Виконання вимог Положення є обов'язковим для всіх організацій державної форми власності України, а також для недержавних організацій, діяльність яких пов'язана з передаванням, обробленням та накопиченням інформації, що належить державі. В організаціях, де штатним розкладом не передбачено створення СЗІ, заходи щодо забезпечення захисту інформації в АС здійснюють призначені наказом керівника організації працівники. У цьому випадку положення про посадові (функціональні) обов'язки цих працівників має містити пункти, які б передбачали виконання ними вимог, що висувають до СЗІ. У загальному випадку Типове положення про службу захисту інформації в автоматизованій системі складається з таких розділів:

  1. Загальні положення.
  2. Завдання СЗІ.
  3. Функції СЗІ.
  4. Повноваження і відповідальність СЗІ.
  5. Взаємодія СЗІ з іншими підрозділами організації та зовнішніми підприємствами, установами, рганізаціями.
  6. Штатний розклад і структура СЗІ.
  7. Організація робіт СЗІ.
  8. Фінансування СЗІ.

Залежно від конкретних завдань і умов функціонування окремі розділи Положення можна поєднувати, додавати нові або вилучати неактуальні.

Завдання служби захисту інформації

Основними завданнями СЗІ є:

  • Організація заходів із створення і використання комплексної системи захисту інформації (КСЗІ) на всіх етапах життєвого циклу автоматизованої системи (АС).
  • Захист законних прав щодо безпеки інформації в організації, окремих її структурних підрозділах, персоналу під час обміну інформацією між собою та із зовнішніми вітчизняними та закордонними організаціями.
  • Організація та координація заходів, пов'язаних із захистом інформації в АС та підтримка належного рівня захищеності інформації, ресурсів і технологій.
  • Дослідження технології оброблення інформації в АС задля виявлення ймовірних каналів її витоку та інших загроз безпеці інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію.
  • Розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими має підтримуватися певний рівень захисту інформації в АС.
  • Робота з персоналом.
  • Виконання відповідних функцій під час експлуатації КСЗІ.
  • Виконання певних функцій під час створення КСЗІ.

Структура служби захисту інформації

Структуру СЗІ, її склад і чисельність визначають на підставі фактичних потреб АС із забезпечення вимог політики безпеки інформації. Чисельність і склад СЗІ мають бути достатніми для виконання всіх завдань із захисту інформації в АС. Умовно співробітників СЗІ за функціональними обов'язками можна розділити на:

  • Співробітник групи безпеки
  • Адміністратор безпеки системи
  • Адміністратор безпеки даних
  • Керівник групи

Функції служби захисту інформації

СЗІ має виконувати такі функції:

  • забезпечувати якісне виконання організаційно-технічних заходів із захисту інформації в АС;
  • перевіряти відповідність прийнятих в організації правил, інструкцій щодо оброблення інформації, здійснювати контроль за виконанням цих вимог;
  • здійснювати контрольні перевірки стану захищеності інформації в АС;
  • забезпечувати конфіденційність заходів із монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в АС (організації);
  • сприяти (технічними та організаційними заходами) створенню і дотриманню умов зберігання інформації, отриманої організацією на договірних, контрактних або інших основах від організацій-партнерів, постачальників, клієнтів та приватних осіб;
  • періодично надавати керівництву організації звіт про стан захищеності інформації в АС і про дотримання користувачами та персоналом АС встановленого порядку і правил захисту інформації;
  • негайно повідомляти керівництво АС (організації) про виявлені атаки та викритих порушників.

Обов'язки керівника служби захисту інформації

Відповідальність за діяльність СЗІ покладено на її керівника, який зобов'язаний:

  • Організовувати заходи із захисту інформації в АС, забезпечувати ефективність захисту інформації відповідно до діючих нормативно-правових актів.
  • Забезпечувати своєчасне розроблення і виконання «Плану захисту інформації в автоматизованій системі».
  • Координувати плани діяльності підрозділів та служб АС (організації) з питань захисту інформації.
  • Контролювати виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у Положенні, посадових інструкціях, а також планових заходів із захисту інформації, затверджених керівником організації, організовувати навчання співробітників, користувачів, персоналу АС щодо питань захисту інформації.
  • Виконувати особисто правила внутрішнього трудового розпорядку, встановленого режиму, правила охорони праці та протипожежної охорони, а також контролювати виконання всіх цих правил співробітниками СЗІ.

Список літературних джерел

  • Грайворонський М. В., Новіков О. М. Г14 Безпека інформаційно-комунікаційних систем. — К.: Видавнича група ВНУ, 2009. — 608 с.

Посилання

Отримано з https://wiki.tntu.edu.ua/index.php?title=Типове_положення_про_службу_захисту_інформації_в_автоматизованій_системі&oldid=5503