Виды, задачи, функции, полномочия, построение организационных структур, которые реализуют функции системы обеспечения информационной безопасности и защиты информации

Для организации защиты информации в организации могут создаваться:

1. служба безопасности;

2. отдел защиты информации;

3. служба конфиденциального делопроизводства.

1. Основные задачи, решаемые службой безопасности предприятия следующие:

- организация и обеспечение пропускного и внутри объектового режима в зданиях и помещениях, контроль соблюдения требований режима сотрудниками и посетителями; руководство работами по организационному регулированию отношений по защите конфиденциальной информации;

- участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации, в частности, Устава, Коллективного договора, Правил внутреннего трудового распорядка, Положений о подразделениях, а также трудовых договоров, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

- разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной;

- изучение всех сторон коммерческой и производственной деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, ведение учета и анализа нарушений режима безопасности;

- организация и проведение служебных расследований по фактам разглашения сведений, утрат документов и других нарушений информационной безопасности предприятия;

- разработка, ведение, обновление перечня сведений, составляющих коммерческую тайну и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;

- обеспечение строгого выполнения требований нормативных документов по защите конфиденциальной информации;

- организация и регулярное проведение учебы сотрудников предприятия по всем направлениям защиты конфиденциальной информации;

- ведение учета выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации;

- проверка работников на предмет соблюдения правил обеспечения экономической, информационной и физической безопасности;

- оказание содействия отделу кадров по работе с персоналом в вопросах подбора, расстановки, служебного перемещения и обучения персонала1.

2. Подразделение конфиденциального делопроизводства либо наделение сотрудников службы документационного обеспечения управления функциями, аналогичными функциям подразделения конфиденциального делопроизводства.

Основные задачами по защите информации:

- предупреждение несанкционированного доступа любого лица к документу, его частям, вариантам, черновикам и т.д.;

- обеспечение физической сохранности документов;

- обеспечение сохранности информации, содержащейся в них.

Выполнение этих задач позволит не только избежать утраты или подмены документов ограниченного доступа, но и предотвратить нарушение режима их

конфиденциальности в результате разглашения охраняемых сведений, т.е. несанкционированного распространения данной информации среди третьих лиц, не входящих в круг лиц, имеющих доступ к ней. При этом не следует забывать, что утечка конфиденциальной информации может произойти не только по вине посторонних лиц, непосредственно не работающих в организации, но и по вине сотрудников самой организации, поэтому одним из главных направлений в создании и эффективной деятельности организации и защите сведений, составляющих коммерческую тайну, является правильный подбор сотрудников службы конфиденциального делопроизводства и всесторонний контроль их деятельности.

3. Отдел защиты информации – основная задача комплексная защита информации на предприятии.

Функции:

- Разработка и внедрение организационных и технических мероприятий по комплексной защите информации на предприятии по работам, содержание которых составляет государственную или коммерческую тайну.

- Обеспечение соблюдения режима проводимых работ и сохранения конфиденциальности документированной информации.

- Обеспечение конфиденциальности переговоров, бесед и совещаний закрытого характера.

- Разработка проектов текущих и перспективных планов работы.

- Организация, координация и выполнение работ по защите информации, разработка технических средств контроля.

- Заключение договоров на работы по защите информации.

- Определение целей и постановка задач по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации.

- Проведение специальных исследований и контрольных проверок по выявлению демаскирующих признаков, возможных каналов утечки информации, в том числе по техническим каналам, и разработка мер по их устранению и предотвращению.

- Составление актов и другой технической документации о степени защищенности технических средств и помещений.

- Контроль за соблюдением нормативных требований по защите информации.

- Обеспечение комплексного использования технических средств, методов и организационных мероприятий.

- Рассмотрение применяемых и предлагаемых методов защиты информации, промежуточных и конечных результатов исследований и разработок.

- Разработка и реализация мер по устранению выявленных недостатков по защите информации.

- Проведение аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.

- Разработка регламента допуска сотрудников предприятия к отдельным каналам информации, плана защиты информации, положений об определении степени защищенности ресурсов автоматизированных систем.

- Выбор, установка, настройка и эксплуатация систем защиты в соответствии с организационно-распорядительными документами.

- Формирование Перечня сведений, составляющих коммерческую тайну, а также Перечня сведений, отнесенных к государственной тайне.

- Получение в установленном порядке лицензий на выполнение работ в сфере защиты информации.

Отдел по защите информации имеет право:

- Осуществлять контроль за деятельностью структурных подразделений предприятия по выполнению ими требований информационной безопасности.

- Давать структурным подразделениям предприятия и отдельным специалистам обязательные для исполнения указания по вопросам, входящим в компетенцию отдела.

- Запрашивать и получать от структурных подразделений сведения, справочные и другие материалы, необходимые для осуществления деятельности отдела.

- Принимать меры при обнаружении несанкционированного доступа к информации как внутри предприятия, так и извне и докладывать о принятых мерах руководителю предприятия с представлением информации о субъектах, нарушивших режим доступа.