Департамент информационной безопасности и работа с персоналом

Департамент информационной безопасности

Департамент информационной безопасности (далее – департамент) предприятия представляет собой самостоятельное структурное подразделение предприятия, непосредственно выполняющее ключевые функции защиты информационных ресурсов.

Его основными задачами, как правило, являются:

• организация и координация работ по обеспечению комплексной защиты информации на предприятии;
• контроль за выполнением установленных требований и оценка эффективности работы подразделений и персонала предприятия по обеспечению информационной безопасности;
• выполнение отдельных административных и технических функций по обеспечению информационной безопасности, в т.ч.:
  • формирование, поддержка и документальное обеспечение политики информационной безопасности на всех уровнях;
  • внедрение различных средств защиты информации;
  • администрирование отдельных информационных систем.

Состав задач департамента и его внутренняя организационная структура в каждом конкретном случае определяется такими особенностями функционирования предприятия, как:

• значимость информационных ресурсов в работе предприятия и характер существующих угроз;
• отношение руководства и собственников предприятия к вопросам информационной безопасности и их управленческая квалификация;
• функциональность и характер используемых информационных систем, их роль в бизнес-процессах;
• организация работы и структура ИТ-службы;
• финансовое состояние предприятия.

Таким образом, решение о составе и структуре департамента в каждом случае должно быть индивидуальным и учитывающим все основные условия.

Функции, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия, могут включать в себя:

• консультирование руководителей и собственников предприятия по вопросам разработки и совершенствования политики информационной безопасности;
• самостоятельная разработка политики безопасности, ее согласование и представление ее руководству предприятия для утверждения, а также внесение необходимых изменений по мере изменения условий работы предприятия;
• самостоятельная разработка политик безопасности, касающихся отдельных вопросов защиты информации (правил применения телекоммуникационных технологий, требований, обязательных для всех используемых на предприятии персональных компьютеров и т.п.);
• формирование требований и регламента процедур пересмотра политики безопасности, отдельных правил, типовых форм и других документов;
• анализ отдельных договоров и соглашений со сторонними организациями (поставщиками, покупателями, партнерами по проведению НИОКР и т.п.) на предмет соответствия требованиям политики информационной безопасности;
• анализ и обобщение передового опыта и современных теорий в сфере управления информационной безопасностью с целью их практического применения на предприятии;
• привлечение сторонних специалистов, исследователей, консультантов (консалтинговых компаний) для разработки и совершенствования политики безопасности предприятия и внедрения развитых методов управления в этой сфере;
• управление обучением персонала компании (контроль за полнотой и правильностью материалов учебных программ, связанных с информационной безопасностью, обеспечение своевременности прохождения обучения и т.п.);
• консультирование специалистов и руководителей подразделений предприятия по вопросам соответствия разрабатываемых внутренних документов отдельных подразделений требованиям политики безопасности предприятия;
• контроль соответствия внутренних организационных документов предприятия (правил внутреннего распорядка, должностных инструкций, инструкций по использованию информационных систем, типовых форм договоров и т.п.) требованиям политики информационной безопасности, а также согласование таких документов при их утверждении.

Функции, связанные с внедрением средств защиты информации могут включать в себя:

• анализ современных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов у определенных поставщиков;
• анализ закупаемых информационных систем (операционных систем, прикладных программ, телекоммуникационного оборудования, вычислительной техники и т.п.) на предмет их потенциальной надежности и наличия уязвимостей;
• привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения);
• формулирование требований (связанных с обеспечением информационной безопасности) к самостоятельно разрабатываемым программным продуктам или программному обеспечению, создаваемому на заказ сторонними разработчиками;
• участие в проектировании новых информационных систем, а также тестировании вновь разработанных и внедряемых программных продуктов;
• разработку технико-экономического обоснования для проектов внедрения средств защиты информации, а также привлечение для этих целей сторонних аналитиков и консультантов, специализирующихся на вопросах анализа средств защиты информации;
• подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации (например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям.

Функции, связанные с администрированием информационных систем и систем защиты информации могут включать в себя:

• выполнение некоторых функций по администрированию отдельных информационных систем (баз данных, систем коллективной работы с документами, почтовых систем и т.п.), а также администрирование и конфигурирование систем защиты информации (межсетевых экранов, систем обнаружения вторжений и т.п.);
• определение требуемых типовых настроек и конфигураций рабочих станций (персональных компьютеров), имеющих отношение к информационным системам предприятия (в частности, подключенных к его локальной сети);
• привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а также для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью (в частности, при осуществлении нападений на информационные системы предприятия);
• установку (в том числе и совместно со специалистами ИТ-подразделения) программных и аппаратных средств защиты информации на рабочие места пользователей и в другие элементы информационных систем;
• консультирование пользователей по возникающим вопросам, связанным с информационной безопасностью, и оперативное разрешение возникающих у них проблем;
• реагирование на различные инциденты, связанные с нарушением информационной безопасности;
• принятие активных встречных мер при обнаружении вторжений в информационную систему (информирование правоохранительных органов, самостоятельный поиск нападающих и т.п.);
• генерирование паролей пользователей информационных систем и обеспечение их сохранности;
• участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе.

Функции, связанные с контролем выполнения требований политики информационной безопасности и проведением аудитов могут включать в себя:

• сбор и анализ сведений о нарушениях различных требований политики безопасности, поступающих из различных источников (в том числе и от администраторов информационных систем) и определение приоритетных направлений контрольной работы;
• проверку организационной документации отдельных подразделений предприятия на предмет соответствия требованиям политики информационной безопасности (в том числе и своевременности внесения всех необходимых изменений в действующие внутренние организационные документы);
• проверку состояния (правильности ведения) текущей хозяйственной и кадровой документации отдельных подразделений предприятия, связанной с обеспечением информационной безопасности (правильности и своевременности заполнения журналов, своевременность оформления обязательств о неразглашении сведений сотрудниками и т.п.);
• проведение комплексных аудитов информационной безопасности на предприятии;
• организацию контрольных проверок защищенности отдельных элементов информационных систем (серверов, сегментов сети и т.п.);
• привлечение сторонних организаций для проведения аудитов информационной безопасности на предприятии, проверок надежности информационных систем.

Кроме перечисленных функций, непосредственно связанных с защитой информационных ресурсов, также большое значение имеет выполнение функций, связанных с охраной имущества предприятия и решением задач, которые связаны с обеспечением безопасности предприятия в более широком смысле. В частности, для обеспечения информационной безопасности имеет значение выполнение таких функций, как:

• охрана территории и имущества предприятия, а также охрана персонала;
• обеспечение соблюдения пропускного режима;
• наблюдение за территорией и помещениями (в том числе при помощи видеокамер);
• контроль за ввозом на территорию предприятия и вывозом готовой продукции, материалов, документов и другого имущества;
• организация внутренних служебных проверок и расследований, а также взаимодействия с правоохранительными органами;
• контроль за соблюдением временного режима работы, а также за соблюдением правил внутреннего распорядка.