Подразделения технической защиты информации (или ответственные сотрудники за информационную безопасность)

Для непосредственной организации (построения) и эффективного функционирования системы ЗИ в Росрыболовстве должна быть создана специальная служба технической ЗИ или назначены ответственные лица из состава отдела ИТ Административного управления Росрыболовства.

Служба (или ответственные лица) технической ЗИ должна представлять собой систему штатных или нештатных подразделений, ответственных сотрудников, предназначенных для организации квалифицированной разработки (совершенствования) системы ЗИ и организационного (административного) обеспечения ее функционирования во всех подразделениях Росрыболовства.

На эти подразделения (или ответственных сотрудников за ИБ) целесообразно возложить решение следующих основных задач:

- проведение в жизнь политики обеспечения ИБ, определение требований к системе ЗИ;

- организация мероприятий и координация работ всех подразделений Росрыболовства по комплексной ЗИ;

- контроль и оценка эффективности принятых мер и применяемых средств ЗИ.

Основные функции подразделения ИБ (или сотрудников, ответственных за ИБ) заключаются в следующем:

- формирование требований к системе защиты в процессе создания (развития) ИИВС Росрыболовства;

- участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

- планирование, организация и обеспечение функционирования системы ЗИ в процессе функционирования ИИВС Росрыболовства;

- распределение между пользователями необходимых реквизитов защиты;

- наблюдение за функционированием системы защиты и ее элементов;

- организация проверок надежности функционирования системы защиты;

- обучение пользователей и персонала ИИВС Росрыболовства правилам безопасной обработки информации;

- регламентация действий и контроль за администраторами БД, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств ЗИ);

- взаимодействие с ответственными за ИБ в подразделениях Росрыболовства;

- контроль за соблюдением пользователями и персоналом ИИВС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

- принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус подразделения ИБ или ответственных сотрудников за ИБ определяется следующим образом:

- численность ответственных сотрудников за ИБ должна быть достаточной для выполнения всех перечисленных выше функций;

- подразделение ИБ (или ответственные сотрудники за ИБ) должно подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

- персонал (или ответственные сотрудники за ИБ) службы защиты не должен иметь других обязанностей, связанных с функционированием ИИВС Росрыболовства (или такие обязанности должны быть сведены к минимуму);

- ответственные сотрудники за ИБ должны иметь право доступа во все помещения, где установлена аппаратура ИИВС Росрыболовства, и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

- руководителю подразделения ИБ (или ответственному сотруднику за ИБ) должно быть предоставлено право запрещать включение в число действующих новых элементов ИИВС Росрыболовства, если они не отвечают требованиям ЗИ и это может привести к серьезным последствиям в случае реализации значимых угроз ИБ;

- подразделение ИБ (или ответственный сотрудник за ИБ) должно обеспечиваться всеми условиями, необходимыми для выполнения своих функций.

Для решения задач, возложенных на подразделение ИБ, его сотрудники должны иметь следующие права:

- определять необходимость и разрабатывать правовые документы, касающиеся вопросов обеспечения ИБ, включая документы, регламентирующие деятельность сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций;

- получать информацию от сотрудников структурных подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам применения информационных технологий и эксплуатации ИИВС;

- участвовать в проработке технических решений по вопросам обеспечения ИБ при проектировании и разработке комплексов задач;

- участвовать в испытаниях разработанных комплексов задач по вопросам оценки качества реализации требований по обеспечению ИБ;

- контролировать деятельность сотрудников подразделений Росрыболовства, его территориальных органов и подведомственных организаций по вопросам обеспечения ИБ.

В состав подразделения ИБ (или уполномоченных сотрудников по ИБ) ЗИ должны входить следующие специалисты:

- ответственные за администрирование средств защиты от НСД (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и т.п.);

- ответственные за администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.);

- ответственные за решение вопросов ЗИ в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по вопросам ЗИ, выбор средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по ЗИ и т.д.);

- специалисты по защите от утечки информации по техническим каналам.