Уральский государственный технический университет
Опубликован: 14.10.2009 | Доступ: свободный | Студентов: 4315 / 1438 | Оценка: 4.39 / 4.29 | Длительность: 10:28:00
ISBN: 978-5-9963-0237-6
Специальности: Менеджер
Лекция 9:

Департамент информационной безопасности и работа с персоналом

< Лекция 8 || Лекция 9: 12 || Лекция 10 >
Аннотация: В лекции описывается работа департамента информационной безопасности как основной структурной единицы, отвечающей за комплексную защиту информации на предприятии. Раскрывается внутренняя структура департамента, основные задачи и направления его деятельности, методы работы. Также раскрываются основные аспекты работы с персоналом предприятия, направленной на защиту информационных активов (как в части подбора и расстановки сотрудников, связанных с обработкой информации, так и в части текущей работы с персоналом).

Департамент информационной безопасности

Департамент информационной безопасности (далее – департамент) предприятия представляет собой самостоятельное структурное подразделение предприятия, непосредственно выполняющее ключевые функции защиты информационных ресурсов.

Его основными задачами, как правило, являются:

  • организация и координация работ по обеспечению комплексной защиты информации на предприятии;
  • контроль за выполнением установленных требований и оценка эффективности работы подразделений и персонала предприятия по обеспечению информационной безопасности;
  • выполнение отдельных административных и технических функций по обеспечению информационной безопасности, в т.ч.:
    • формирование, поддержка и документальное обеспечение политики информационной безопасности на всех уровнях;
    • внедрение различных средств защиты информации;
    • администрирование отдельных информационных систем.

Состав задач департамента и его внутренняя организационная структура в каждом конкретном случае определяется такими особенностями функционирования предприятия, как:

  • значимость информационных ресурсов в работе предприятия и характер существующих угроз;
  • отношение руководства и собственников предприятия к вопросам информационной безопасности и их управленческая квалификация;
  • функциональность и характер используемых информационных систем, их роль в бизнес-процессах;
  • организация работы и структура ИТ-службы;
  • финансовое состояние предприятия.

Таким образом, решение о составе и структуре департамента в каждом случае должно быть индивидуальным и учитывающим все основные условия.

Функции, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, могут включать в себя:

  • консультирование руководителей и собственников предприятия по вопросам разработки и совершенствования политики информационной безопасности;
  • самостоятельная разработка политики безопасности, ее согласование и представление ее руководству предприятия для утверждения, а также внесение необходимых изменений по мере изменения условий работы предприятия;
  • самостоятельная разработка политик безопасности, касающихся отдельных вопросов защиты информации (правил применения телекоммуникационных технологий, требований, обязательных для всех используемых на предприятии персональных компьютеров и т.п.);
  • формирование требований и регламента процедур пересмотра политики безопасности, отдельных правил, типовых форм и других документов;
  • анализ отдельных договоров и соглашений со сторонними организациями (поставщиками, покупателями, партнерами по проведению НИОКР и т.п.) на предмет соответствия требованиям политики информационной безопасности;
  • анализ и обобщение передового опыта и современных теорий в сфере управления информационной безопасностью с целью их практического применения на предприятии;
  • привлечение сторонних специалистов, исследователей, консультантов (консалтинговых компаний) для разработки и совершенствования политики безопасности предприятия и внедрения развитых методов управления в этой сфере;
  • управление обучением персонала компании (контроль за полнотой и правильностью материалов учебных программ, связанных с информационной безопасностью, обеспечение своевременности прохождения обучения и т.п.);
  • консультирование специалистов и руководителей подразделений предприятия по вопросам соответствия разрабатываемых внутренних документов отдельных подразделений требованиям политики безопасности предприятия;
  • контроль соответствия внутренних организационных документов предприятия (правил внутреннего распорядка, должностных инструкций, инструкций по использованию информационных систем, типовых форм договоров и т.п.) требованиям политики информационной безопасности, а также согласование таких документов при их утверждении.

Функции, связанные с внедрением средств защиты информации могут включать в себя:

  • анализ современных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов у определенных поставщиков;
  • анализ закупаемых информационных систем (операционных систем, прикладных программ, телекоммуникационного оборудования, вычислительной техники и т.п.) на предмет их потенциальной надежности и наличия уязвимостей;
  • привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения);
  • формулирование требований (связанных с обеспечением информационной безопасности) к самостоятельно разрабатываемым программным продуктам или программному обеспечению, создаваемому на заказ сторонними разработчиками;
  • участие в проектировании новых информационных систем, а также тестировании вновь разработанных и внедряемых программных продуктов;
  • разработку технико-экономического обоснования для проектов внедрения средств защиты информации, а также привлечение для этих целей сторонних аналитиков и консультантов, специализирующихся на вопросах анализа средств защиты информации;
  • подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации (например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям.

Функции, связанные с администрированием информационных систем и систем защиты информации могут включать в себя:

  • выполнение некоторых функций по администрированию отдельных информационных систем (баз данных, систем коллективной работы с документами, почтовых систем и т.п.), а также администрирование и конфигурирование систем защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.);
  • определение требуемых типовых настроек и конфигураций рабочих станций (персональных компьютеров), имеющих отношение к информационным системам предприятия (в частности, подключенных к его локальной сети);
  • привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а также для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью (в частности, при осуществлении нападений на информационные системы предприятия);
  • установку (в том числе и совместно со специалистами ИТ-подразделения) программных и аппаратных средств защиты информации на рабочие места пользователей и в другие элементы информационных систем;
  • консультирование пользователей по возникающим вопросам, связанным с информационной безопасностью, и оперативное разрешение возникающих у них проблем;
  • реагирование на различные инциденты, связанные с нарушением информационной безопасности;
  • принятие активных встречных мер при обнаружении вторжений в информационную систему (информирование правоохранительных органов, самостоятельный поиск нападающих и т.п.);
  • генерирование паролей пользователей информационных систем и обеспечение их сохранности;
  • участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе.

Функции, связанные с контролем выполнения требований политики информационной безопасности и проведением аудитов могут включать в себя:

  • сбор и анализ сведений о нарушениях различных требований политики безопасности, поступающих из различных источников (в том числе и от администраторов информационных систем) и определение приоритетных направлений контрольной работы;
  • проверку организационной документации отдельных подразделений предприятия на предмет соответствия требованиям политики информационной безопасности (в том числе и своевременности внесения всех необходимых изменений в действующие внутренние организационные документы);
  • проверку состояния (правильности ведения) текущей хозяйственной и кадровой документации отдельных подразделений предприятия, связанной с обеспечением информационной безопасности (правильности и своевременности заполнения журналов, своевременность оформления обязательств о неразглашении сведений сотрудниками и т.п.);
  • проведение комплексных аудитов информационной безопасности на предприятии;
  • организацию контрольных проверок защищенности отдельных элементов информационных систем (серверов, сегментов сети и т.п.);
  • привлечение сторонних организаций для проведения аудитов информационной безопасности на предприятии, проверок надежности информационных систем.

Кроме перечисленных функций, непосредственно связанных с защитой информационных ресурсов, также большое значение имеет выполнение функций, связанных с охраной имущества предприятия и решением задач, которые связаны с обеспечением безопасности предприятия в более широком смысле. В частности, для обеспечения информационной безопасности имеет значение выполнение таких функций, как:

  • охрана территории и имущества предприятия, а также охрана персонала;
  • обеспечение соблюдения пропускного режима;
  • наблюдение за территорией и помещениями (в том числе при помощи видеокамер);
  • контроль за ввозом на территорию предприятия и вывозом готовой продукции, материалов, документов и другого имущества;
  • организация внутренних служебных проверок и расследований, а также взаимодействия с правоохранительными органами;
  • контроль за соблюдением временного режима работы, а также за соблюдением правил внутреннего распорядка.
< Лекция 8 || Лекция 9: 12 || Лекция 10 >
Андрей Стрельников
Андрей Стрельников

Какой документ выдается по программе профпереподготовки Управление ИТ-инфраструктурой? В разделе Дипломы указан сертификат, аналогичный бесплатным курсам.

Алексей Емельянов
Алексей Емельянов
Александр Санчиров
Александр Санчиров
Россия, Москва
Александр Климов
Александр Климов
Россия, Московское высшее техническое училище им. Н. Э. Баумана, 1989