Створення підрозділу захисту інформації

Метою створення підрозділу захисту інформації (ПЗІ) є організаційне забезпечення завдань керування комплексною системою захисту інформації (КСЗІ) в Підприємстві та здійснення контролю за її функціонуванням.

На ПЗІ покладається виконання робіт з визначення вимог з захисту інформації в автоматизованій інформаційній системі Підприємства (КС), проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в КС.
Правову основу для створення і діяльності ПЗІ становлять Закон України “Про державну таємницю”, Закон України “Про захист інформації в автоматизованих системах”, Положення про технічний захист інформації в Україні, Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах, інші нормативно-правові акти з питань захисту інформації, державні і галузевими стандарти, розпорядчі та інші документи.
ПЗІ здійснює діяльність відповідно до “Плану захисту інформації”, календарних, перспективних та інших планів робіт, затверджених керівником (заступником керівника) Підприємства.
Для проведення окремих заходів з захисту інформації в КС, які пов’язані з напрямком діяльності інших підрозділів Підприємства, керівник Підприємства своїм наказом визначає перелік, строки виконання та підрозділи для виконання цих робіт.
У своїй роботі ПЗІ взаємодіє з підрозділами Підприємства (РСО, службою охорони, та ін.), а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації.
У разі потреби, до виконання робіт можуть залучатися зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері захисту інформації.
Завдання підрозділу захисту інформації
Завданнями ПЗІ є:

забезпечення безпеки інформації структурних підрозділів та персоналу Підприємства в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах з зовнішніми вітчизняними і закордонними організаціями;
дослідження технології обробки інформації з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;
організація та координація робіт, пов’язаних з захистом інформації в Підприємстві, необхідність захисту якої визначається чинним законодавством, підтримка необхідного рівня захищеності інформації, ресурсів і технологій;
розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими повинен забезпечуватися захист інформації в Підприємстві;
організація робіт зі створення і використання КСЗІ на всіх етапах життєвого циклу КС;
участь в організації професійної підготовки і підвищенні кваліфікації персоналу та користувачів КС з питань захисту інформації;
формування у персоналу і користувачів Підприємства розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, що стосуються сфери захисту інформації;
організація забезпечення виконання персоналом і користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів з захисту інформації Підприємстві та проведення контрольних перевірок їх виконання
забезпечення визначених політикою безпеки властивостей інформації (конфіденційності, цілісності, доступності) під час створення та експлуатації КС;
своєчасне виявлення та знешкодження загроз для ресурсів КС, причин та умов, які спричиняють (можуть привести до) порушення її функціонування та розвитку;
створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні КС;
ефективне знешкодження (попередження) загроз для ресурсів КС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;
керування засобами захисту інформації, керування доступом користувачів до ресурсів КС, контроль за їхньою роботою з боку персоналу ПЗІ, оперативне сповіщення про спроби НСД до ресурсів КС Підприємства;
реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;
створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування КС.
Функції ПЗІ під час створення комплексної системи захисту інформації:
До функцій ПЗІ під час створення КСЗІ Підприємства належать:

визначення переліків відомостей, які підлягають захисту в процесі обробки, інших об’єктів захисту в КС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в КС;
розробка та коригування моделі загроз і моделі захисту інформації в КС, політики безпеки інформації в КС;
визначення і формування вимог до КСЗІ;
організація і координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах з створення КСЗІ;
підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;
організація робіт і участь у випробуваннях КСЗІ, проведенні її експертизи;
вибір організацій-виконавців робіт з створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт з захисту інформації, у взаємодії з РСО, службою охорони Підприємства погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.);
участь у розробці нормативних документів, чинних у межах Підприємства і КС, які встановлюють дисциплінарну відповідальність за порушення вимог з безпеки інформації та встановлених правил експлуатації КСЗІ;
участь у розробці нормативних документів, чинних у межах Підприємства і КС, які встановлюють правила доступу користувачів до ресурсів КС, визначають порядок, норми, правила з захисту інформації та здійснення контролю за їх дотриманням (інструкцій, положень, наказів, рекомендацій та ін.).
Функції ПЗІ під час експлуатації комплексної системи захисту інформації:

організація процесу керування КСЗІ;
розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;
вжиття заходів у разі виявлення спроб НСД до ресурсів КС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;
забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;
організація керування доступом до ресурсів КС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.);
супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);
спостереження (реєстрація і аудит подій в КС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;
підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в КС, впровадження нових технологій захисту і модернізації КСЗІ;
організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій КС або КСЗІ;
участь в роботах з модернізації КС - узгодженні пропозицій з введення до складу КС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;
забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;
проведення аналітичної оцінки поточного стану безпеки інформації в КС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);
інформування власників інформації про технічні можливості захисту інформації в КС і типові правила, встановлені для персоналу і користувачів КС;
негайне втручання в процес роботи КС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;
регулярне подання звітів керівництву Підприємства-власника (розпорядника) КС про виконання користувачами КС вимог з захисту інформації;
аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обґрунтування пропозицій щодо придбання засобів для Підприємства;
контроль за виконанням персоналом і користувачами КС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності у разі обробки в КС інформації, що становить державну таємницю;
контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;
розробка і реалізація спільно з РСО Підприємства комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів та ін., здійснення їхнього технічного та інформаційного забезпечення.
Повноваження та відповідальність підрозділу захисту інформації
ПЗІ має право:

здійснювати контроль за діяльністю будь-якого структурного підрозділу Підприємства (КС) щодо виконання ним вимог нормативно-правових актів і нормативних документів з захисту інформації;
подавати керівництву Підприємства пропозиції щодо призупинення процесу обробки інформації, заборони обробки, зміни режимів обробки, тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки;
складати і подавати керівництву Підприємства акти щодо виявлених порушень політики безпеки, готувати рекомендації щодо їхнього усунення;
проводити службові розслідування у випадках виявлення порушень;
отримувати доступ до робіт та документів структурних підрозділів Підприємства (КС), необхідних для оцінки вжитих заходів з захисту інформації та підготовки пропозицій щодо їхнього подальшого удосконалення;
готувати пропозиції щодо залучення на договірній основі до виконання робіт з захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;
готувати пропозиції щодо забезпечення КС (КСЗІ) необхідними технічними і програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;
виходити до керівництва Підприємства з пропозиціями щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;
узгоджувати умови включення до складу КС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів КС;
надавати висновки з питань, що належать до компетенції ПЗІ, які необхідні для здійснення інформаційної діяльності Підприємства, особливо технологій, доступ до яких обмежено, інших проектів, що потребують технічної підтримки з боку співробітників ПЗІ;
виходити до керівництва Підприємства з пропозиціями щодо узгодження планів і регламенту відвідування КС сторонніми особами;
інші права, які надані ПЗІ у відповідності з специфікою та особливостями діяльності Підприємства (КС).
ПЗІ зобов’язаний:

організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів з захисту інформації в КС;
вчасно і в повному обсязі доводити до користувачів і персоналу КС інформацію про зміни в галузі захисту інформації, які їх стосуються;
перевіряти відповідність прийнятих в Підприємства правил, інструкцій щодо обробки інформації, здійснювати контроль за виконанням цих вимог;
здійснювати контрольні перевірки стану захищеності інформації в КС;
забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в Підприємстві;
сприяти і, у разі необхідності, брати безпосередню участь у проведенні вищими органами перевірок стану захищеності інформації в КС;
сприяти (технічними та організаційними заходами) створенню і дотриманню умов збереження інформації, отриманої організацією на договірних, контрактних або інших підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб;
періодично, не рідше одного разу на місяць (інший термін), подавати керівництву Підприємства звіт про стан захищеності інформації в КС і дотримання користувачами та персоналом КС встановленого порядку і правил захисту інформації;
негайно повідомляти керівництво КС (Підприємства) про виявлені атаки та викритих порушників;
Інші обов’язки, покладені на керівника та співробітників ПЗІ у відповідності з специфікою та особливостями діяльності КС (Підприємства).
Відповідальність ПЗІ
Керівництво та співробітники ПЗІ за невиконання або неналежне виконання службових обов’язків, допущені ними порушення встановленого порядку захисту інформації в КС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України.
Персональна відповідальність керівника та співробітників ПЗІ визначається посадовими (функціональними) інструкціями.
Відповідальність за діяльність ПЗІ покладається на її керівника.

Керівник ПЗІ відповідає за:

організацію робіт з захисту інформації в КС, ефективність захисту інформації відповідно до діючих нормативно-правових актів;
своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”;
якісне виконання співробітниками ПЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівником Підприємства;
координацію планів діяльності підрозділів та служб КС (Підприємства) з питань захисту інформації;
створення системи навчання співробітників, користувачів, персоналу КС з питань захисту інформації;
виконання особисто та співробітниками ПЗІ розпоряджень керівника Підприємства, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.
Співробітники ПЗІ відповідають за:

додержання вимог нормативних документів, що визначають порядок організації робіт з захисту інформації, інформаційних ресурсів та технологій;
повноту та якість розроблення і впровадження організаційно-технічних заходів з захисту інформації в КС, точність та достовірність отриманих результатів і висновків з питань, що належать до компетенції ПЗІ;
дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації в КС, які включені до плану робіт ПЗІ;
якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ, документального оформлення результатів перевірок;
інші питання персональної відповідальності, які покладені на керівника та співробітників ПЗІ у відповідності з специфікою та особливостями діяльності Підприємства.
Взаємодія підрозділу захисту інформації з іншими підрозділами ПІДПРИЄМСТВА та зовнішніми організаціями
ПЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, що займаються питаннями захисту інформації.
Заходи з захисту інформації в КС повинні бути узгоджені ПЗІ з заходами охоронної та режимно-секретної діяльності інших підрозділів Підприємства.
ПЗІ взаємодіє, узгоджує свою діяльність та встановлює зв’язки з:

РСО Підприємства;
адміністрацією КС та іншими підрозділами Підприємства, діяльність яких пов’язана з захистом інформації або її автоматизованою обробкою;
службою охорони Підприємства;
зовнішніми організаціями, які є партнерами, користувачами, постачальниками, виконавцями робіт;
підрозділами служб безпеки іноземних фірм (що є для Підприємства партнерами, користувачами, постачальниками, виконавцями робіт), їхніми представництвами (на договірних або інших засадах);
іншими суб’єктами діяльності у сфері захисту інформації.

Керівники відповідних підрозділів Підприємства повинні своєчасно інформувати ПЗІ про пересування та зміни в складі технічних засобів ОІД де обробляться ІзОД.
Взаємодію з іншими підрозділами Підприємства з питань, що безпосередньо не пов’язані з захистом інформації, ПЗІ здійснює у відповідності з наказами та (або) розпорядженнями керівника Підприємства.
Штатний розклад та структура підрозділу захисту інформації
ПЗІ є штатним підрозділом Підприємства безпосередньо підпорядкованим з питань ТЗІ Керівнику Підприємства або Заступнику Секретаря ПІДПРИЄМСТВА, що відповідає за забезпечення безпеки інформації.
Штатність чи позаштатність ПЗІ в Підприємства визначається керівництвом Підприємства.
Структура ПЗІ, її склад і чисельність визначається фактичними потребами Підприємства для виконання вимог політики безпеки інформації та затверджується керівництвом Підприємства.
Чисельність і склад ПЗІ мають бути достатніми для виконання усіх завдань з захисту інформації.
З метою ефективного функціонування і керування захистом інформації ПЗІ має штатний розклад, який включає перелік функціональних обов’язків усіх співробітників, необхідних вимог до рівня їхніх знань та навичок.
Штат ПЗІ комплектується спеціалістами, які мають спеціальну технічну освіту (вищу, середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо) та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також реалізації організаційних, технічних та інших заходів з захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.
Функціональні обов’язки співробітників визначаються переліком і характером завдань, які покладаються на ПЗІ керівництвом Підприємства.
В залежності від обсягів і особливостей завдань ПЗІ до її складу можуть входити спеціалісти (групи спеціалістів, підрозділи та ін.) різного фаху:

спеціалісти з питань захисту інформації від витоку технічними каналами;
спеціалісти з питань захисту каналів зв’язку і комутаційного обладнання, налагодження і керування активним мережевим обладнанням;
спеціалісти з питань адміністрування та контролю засобів захисту, керування системами доступу та базами даних захисту;
спеціалісти з питань захищених технологій обробки інформації.
За посадами співробітники ПЗІ можуть поділятися на такі категорії (за рівнем ієрархії):

керівник ПЗІ;
адміністратори захисту КС (безпеки баз даних, безпеки системи тощо);
спеціалісти служби захисту.