9. Основные задачи службы безопасности
Задачами службы безопасности являются помимо чисто охранных функций:
· обеспечение безопасности информации структурных подразделений и персонала Предприятия в процессе информационной деятельности и взаимодействия между собой, а также во взаимоотношениях с внешними отечественными и заграничными организациями;
· исследование технологии обработки информации с целью выявления возможных каналов утечки и других угроз безопасности информации, формирование модели угроз, разработка политики безопасности информации, определение мероприятий, направленных на ее реализацию;
· организация и координация работ, связанных с защитой информации на Предприятии, необходимость защиты которой определяется действующим законодательством, поддержка необходимого уровня защищенности информации, ресурсов и технологий;
· разработка проектов нормативных и распорядительных документов, действующих в границах организации, предприятия, в соответствии с которыми должна обеспечиваться защита информации на Предприятии;
· организация работ по созданию и использованию КСЗИ на всех этапах жизненного цикла КС;
· участие в организации профессиональной подготовки и повышении квалификации персонала и пользователей КС по вопросам защиты информации;
· формирование у персонала и пользователей Предприятия понимания необходимости выполнения требований нормативно-правовых актов, нормативных и распорядительных документов, касающихся сферы защиты информации;
· организация обеспечения выполнения персоналом и пользователями требований нормативно-правовых актов, нормативных и распорядительных документов по защите информации Предприятии и проведение контрольных проверок их выполнения;
· обеспечение определенных политикой безопасности свойств информации (конфиденциальности, целостности, доступности) во время создания и эксплуатации КС;
· своевременное выявление и обезвреживание угроз для ресурсов КС, причин и условий, которые приводят (могут привести к) нарушениям ее функционирования и развития;
· создание механизма и условий оперативного реагирования на угрозы безопасности информации, другие проявления отрицательных тенденций в функционировании КС;
· эффективное обезвреживание (предупреждение) угроз ресурсам КС путем комплексного внедрения правовых, морально-этических, физических, организационных, технических и других мероприятий обеспечения безопасности;
· управление средствами защиты информации, управление доступом пользователей к ресурсам КС, контроль за их работой со стороны персонала Службы безопасности, оперативное извещение о попытках НСД к ресурсам КС Предприятия;
· регистрация, сбор, хранение, обработка данных о всех событиях в системе, которые имеют отношение к безопасности информации;
· создание условий для максимально возможного возмещения и локализаци убытков, которые создаются неправомерными (несанкционированными) действиями физических и юридических лиц, влиянием внешней среды и другими факторами, уменьшение отрицательного влияния последствий нарушения безопасности функционирования КС.
Служба безопасности имеет право:
- осуществлять контроль за деятельностью любого структурного подразделения Предприятия относительно выполнения им требований нормативно-правовых актов и нормативных документов по защите информации;
- подавать руководству Предприятия предложения относительно приостановления процесса обработки информации, запрета обработки, изменения режимов обработки, и т.п. в случае выявления нарушений политики безопасности или в случае возникновения реальной угрозы нарушения безопасности;
- составлять и подавать руководству Предприятия акты относительно выявленных нарушений политики безопасности, готовить рекомендации относительно их устранения;
- проводить служебные расследования в случаях выявления нарушений;
- получать доступ к работам и документам структурных подразделений Предприятия, необходимых для оценки принятых мер по защите информации и подготовки предложений относительно их дальнейшего усовершенствования;
- готовить предложения относительно привлечения на договорной основе к выполнению работ по защите информации других организаций, которые имеют лицензии на соответствующий вид деятельности;
- готовить предложения относительно обеспечения КС (КСЗИ) необходимыми техническими и программными средствами защиты информации и другой специальной техникой, разрешенной для использования на Украине с целью обеспечения защиты информации;
- выходить к руководству Предприятия с предложениями относительно представления заявлений в соответствующие государственные органы на проведение государственной экспертизы КСЗИ или сертификации отдельных средств защиты информации;
- согласовывать условия включения в состав КС новых компонентов и подавать руководству предложения относительно запрета их включения, если они нарушают принятую политику безопасности или уровень защищенности ресурсов КС;
- предоставлять выводы по вопросам, которые належат к компетенции Службы безопасности, необходимые для осуществления информационной деятельности Предприятия, в особенности технологий, доступ к которым ограничен, других проектов, которые требуют технической поддержки со стороны сотрудников Службы безопасности;
- выходить к руководству Предприятия с предложениями относительно согласования планов и регламента доступа к КС посторонним лицам;
- другие права, предоставленные Службе безопасности в соответствии с спецификой и особенностями деятельности Предприятия.
10. Состав службы безопасности
Штатное расписание и структура подразделения Службы безопасности:
Служба безопасности является штатным подразделением Предприятия непосредственно подчиненным по вопросам безопасности и защиты информации Руководителю Предприятия или Заместителю Секретаря ПРЕДПРИЯТИЯ, который отвечает за обеспечение безопасности информации.
Штатность или позаштатность Службы безопасности Предприятия определяется руководством Предприятия.
Структура Службы безопасности, ее состав и численность определяется фактическими потребностями Предприятия для выполнения требований политики безопасности информации и утверждается руководством Предприятия.
Численность и состав Службы безопасности должны быть достаточными для выполнения всех задач безопасности и защиты информации.
С целью эффективного функционирования и управления защитой информации Служба безопасности имеет штатное расписание, которое включает перечень функциональных обязанностей всех сотрудников, необходимых требований к уровню их знаний и навыков.Штат Службы безопасности комплектуется специалистами, имеющими специальное техническое образование (высшее, среднее специальное, специальные курсы повышения квалификации в области безопасности и защиты информации и т.п.) и практический опыт работы, владеют навыками по разработке, внедрению, эксплуатации комплексных систем защиты информации КСЗИ и средств защиты информации, а также реализации организационных, технических и других мероприятий по защите информации, знаниями и умением применять нормативно-правовые документы в сфере защиты информации.
Функциональные обязанности сотрудников определяются перечнем и характером задач, которые возлагаются на Службу безопасности руководством Предприятия.
В зависимости от объемов и особенностей задач Службы безопасности в ее состав могут входить специалисты (группы специалистов, подразделения и др.) разных специальностей:
· специалисты по вопросам защиты информации от утечки по техническим каналам;
· специалисты по вопросам защиты каналов связи и коммутационного оборудования, отладки и управления активным сетевым оснащением;
· специалисты по вопросам администрирования и контроля средств защиты, управления системами доступа и базами данных защиты;
· специалисты по вопросам защитных технологий обработки информации.
По должностям сотрудники Службы безопасности могут делиться на такие категории (по уровню иерархии):
· руководитель Службы безопасности;
· специалисты (инспекторы) Службы безопасности по маркетинговым исследованиям;
· администраторы защиты КС (безопасности баз данных, безопасности системы и т.п.);
· специалисты службы защиты.
11. Основные задачи организации режима и охраны
Работники режима и охраны обязаны:1.1. Знать действующие нормативные документы по вопросаморганизации охраны объектов, добросовестно выполнять служебныеобязанности, обеспечивать надежную охрануимущества собственников, установленный ими пропускной режим.1.2. Хорошо знать особенности охраняемых объектов,применяемые технические средства охраны и противопожарной защиты,постоянно совершенствовать служебное мастерство, не разглашатьсведения об организации охраны объектов, беречь вверенное оружие иимущество, содержать их в исправном состоянии.1.3. Соблюдать установленные на объектах правила техникибезопасности, производственной санитарии и пожарной безопасности.1.4. При авариях, катастрофах, пожарах, стихийных бедствиях идругих чрезвычайных событиях немедленно сообщать о случившемся в соответствующие органы(орган внутренних дел, пожарную охрану), администрацииохраняемого объекта и принимать меры по усилению охраны имущества,оказанию помощи пострадавшим.2. Работникам подразделений режима и охраны длявыполнения возложенных на них обязанностей предоставляется право:2.1. Требовать от рабочих и служащих охраняемых объектов идругих лиц соблюдения установленного пропускного режима.2.2. Задерживать лиц, пытающихся незаконно вывезти (вынести)материальные ценности с охраняемого объекта.2.3. Доставлять в служебные помещения охраны или в милициюлиц, подозреваемых в совершении правонарушений, связанных спосягательством на охраняемое имущество.2.4. Производить в установленном законодательством порядке досмотр вещей, а в исключительных случаях- личный досмотр на контрольно-пропускных пунктах, а также досмотртранспортных средств и проверку соответствия перевозимых грузовсопроводительным документам при выезде (въезде) с территорииохраняемого объекта.2.5. Использовать для обнаружения и изъятия незаконновывозимого (выносимого) имущества, а также для фиксациипротивоправных действий технические средства, не причиняющие вредажизни, здоровью граждан и окружающей среде.2.6. Применять в случаях и порядке, предусмотренныхзаконодательством, огнестрельное оружие.2.7. Требовать от должностных лиц выполнения обязательств, направленных на обеспечение сохранности материальныхценностей и создание безопасных условий труда для работников охраны.2.8. Руководители подразделений режима и охраны несут ответственность за организацию службы по охране объектов,профессиональную подготовку подчиненных, выполнение ими служебныхобязанностей, соблюдение правил внутреннего трудового распорядка,техники безопасности, состояние условий труда и дисциплины, правильноеиспользование технических средств охраны, связи, оружия, боеприпасов,оборудования, инвентаря и имущества, применение служебных собак и т. п.