Слайд 1ЛЕКЦІЯ №04
з навчальної дисципліни
„ОРГАНІЗАЦІЙНЕ ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ”
Змістовний модуль № 1.
Організація діяльності служби захисту інформації
Заняття № 5. Штатний розклад та
структура служби захисту інформації
Навчальна мета:
Вивчити варіанти організаційної структури СЗІ.
Слайд 2Навчальні питання:
1. Місце служби захисту інформації в штатній структурі організації.
2.
Організація робіт служби захисту інформації.
Слайд 3Питання, що опрацьовуються самостійно:
1. Відпрацювання питань лекції №4
2. Фінансування служби
захисту інформації
3. Реорганізація та ліквідація служби захисту інформації
Слайд 4Література
1. Закон України «Про інформацію».
2. Закон України «Про державну таємницю».
3. НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації
в автоматизованій системі. Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від “ 04 ” грудня 2000 р. № 53.
4. Домарев В.В. Безопасность информационных технологий. Учебник:.-ТИД Диа Софт, 2002.-688 с.
Слайд 5СЗІ є штатним підрозділом організації безпосередньо підпорядкованим керівнику організації або
його заступнику, що відповідає за забезпечення безпеки інформації.
Або:
СЗІ є
структурною (штатною або позаштатною) одиницею підрозділу ТЗІ (служби безпеки) організації.
Питання 1. Місце служби захисту інформації в штатній структурі організації
Слайд 6Штатність чи позаштатність СЗІ в організації визначається рішенням загальних зборів
акціонерів або керівництвом організації.
Структура СЗІ, її склад і чисельність визначається
фактичними потребами АС для виконання вимог політики безпеки інформації та затверджується керівництвом організації. Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань з захисту інформації в АС.
З метою ефективного функціонування і керування захистом інформації в АС СЗІ має штатний розклад, який включає перелік функціональних обов’язків усіх співробітників, необхідних вимог до рівня їхніх знань та навичок.
Слайд 7Безпосереднє керівництво роботою СЗІ здійснює її керівник. У випадку, коли
СЗІ є структурною одиницею підрозділу ТЗІ (служби безпеки організації) –
керівник цього підрозділу (заступник керівника). Призначення і звільнення з посади керівника СЗІ здійснюється керівництвом організації за узгодженням з особами, що відповідають за забезпечення безпеки інформації (керівник підрозділу ТЗІ, керівник служби безпеки та ін.).
На час відсутності керівника СЗІ (у зв’язку з відпусткою, службовим відрядженням, хворобою тощо) його обов’язки тимчасово виконує заступник керівника СЗІ, а у разі відсутності такої посади – керівник одного з підрозділів або інший кваліфікований співробітник СЗІ. Призначення на цю посаду позаштатних або тимчасово працюючих співробітників забороняється.
Слайд 8Штат СЗІ комплектується спеціалістами, які мають спеціальну технічну освіту (вищу,
середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо)
та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також реалізації організаційних, технічних та інших заходів з захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.
Функціональні обов’язки співробітників визначаються переліком і характером завдань, які покладаються на СЗІ керівництвом АС (організації).
Слайд 9В залежності від обсягів і особливостей завдань СЗІ до її
складу можуть входити спеціалісти (групи спеціалістів, підрозділи та ін.) різного
фаху:
Слайд 10За посадами співробітники СЗІ поділяються на такі категорії (за рівнем
ієрархії):
КерівникСЗІ
Адміністратори захисту АРМ
Спеціалісти служби захисту
Слайд 11Трудові відносини в СЗІ будуються на основі законодавства України з
урахуванням положень статуту організації, правил внутрішнього трудового розпорядку та встановлених
в організації норм техніки безпеки праці, гігієни і санітарії, інших розпорядчих документів організації.
СЗІ здійснює свою роботу з реалізації основних організаційних та організаційно-технічних заходів з створення і забезпечення функціонування КСЗІ у відповідності з планами робіт.
Підставою для розроблення планів робіт є “План захисту інформації в АС”
Питання 2. Організація робіт служби захисту інформації
Слайд 12 До планів включаться наступні основні заходи:
разові (одноразово виконувані, необхідність
у повторенні яких виникає за умови повного перегляду прийнятих рішень
з захисту інформації);
постійно виконувані (заходи, що потребують виконання неперервно або дискретно у випадковий чи заданий час);
періодично виконувані (з заданим інтервалом часу);
виконувані за необхідності (заходи, що потребують виконання під час здійснення або виникнення певних змін в АС чи зовнішньому середовищі).
Слайд 13Основними видами планів робіт СЗІ можуть бути:
календарний план робіт (щодо
реалізації заходів з проектування, реалізації, оцінювання, впровадження, технічного обслуговування, експлуатації
КСЗІ та інших питань);
план заходів з оперативного реагування на непередбачені ситуації (в тому числі надзвичайні та аварійні) та поновлення функціонування АС;
поточний план робіт (на місяць, квартал, рік);
перспективний план розвитку та удосконалення діяльності СЗІ з питань захисту інформації (до 5 років);
план заходів з забезпечення безпеки інформації під час виконання окремих важливих робіт, при проведенні нарад, укладенні договорів, угод тощо;
бізнес-план створення і функціонування СЗІ.
Слайд 14 Плани робіт складаються керівником СЗІ після обговорення на виробничій
нараді СЗІ організаційно-технічних питань, що належать до її компетенції, і
затверджуються керівником організації або керівником підрозділу, до складу якого входить СЗІ.
Реорганізація або ліквідація СЗІ здійснюється за рішенням загальних зборів акціонерів або керівництва організації. Реорганізаційна або ліквідаційна процедура здійснюється відповідною комісією, яка створюється за наказом (розпорядженням) керівника організації.
Слайд 15З метою забезпечення конфіденційності робіт, які виконуються співробітниками СЗІ, при
прийомі на роботу (звільненні з роботи) вони дають письмові зобов’язання
щодо нерозголошення відомостей, що становлять службову, комерційну або іншу таємницю, і які стали їм відомими в період роботи в організації.
Матеріально-технічну базу для забезпечення діяльності СЗІ складають належні їй на правах власності (оперативного управління, повного господарського відання) засоби захисту інформації, ПЗ, технічне і інженерне обладнання, засоби вимірювань і контролю, відповідна документація, а також інші засоби і обладнання, які необхідні для виконання СЗІ покладених на неї завдань.
Слайд 16 Співробітники СЗІ відповідають за збереження майна, що є власністю
або знаходиться у розпорядженні служби.
Засоби захисту інформації та
захищені засоби, що використовуються співробітниками СЗІ при виконанні своїх службових обов’язків, повинні мати, одержаний у встановленому порядку документ, що засвідчує їхню відповідність вимогам нормативних документів.
Матеріально–технічне та інше спеціальне забезпечення СЗІ здійснюється відповідними підрозділами організації у встановленому порядку.
Слайд 17Фінансування служби захисту інформації
СЗІ фінансується за рахунок:
коштів, що виділяються
в організації на утримання органів управління;
прибутку організації (АС) та інших
коштів за рішенням керівництва організації або рішенням загальних зборів акціонерів;
коштів, отриманих за виконання СЗІ договірних робіт та надання послуг;
інших джерел фінансування, не заборонених законодавством.
