Informationssäkerhetstjänst
Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från
versionen som granskades den 22 september 2021; verifiering kräver
1 redigering .
Informationssäkerhetstjänsten är en oberoende avdelning av företaget som hanterar lösningen av informationssäkerhetsproblem i denna organisation. Informationssäkerhetstjänsten bör vara en fristående enhet och rapportera direkt till den första personen i organisationen.
Standardkrav
Standarderna för hantering av informationssäkerhet innehåller inga kriterier för att skapa en informationssäkerhetstjänst, som bestämmer dess sammansättning och kompetens.
Grundläggande informationssäkerhetsstandarder [1] [2] säger att "om nödvändigt bör en informationssäkerhetsspecialist tillhandahållas inom organisationen".
OKT 45.127-99 [ 3] definierar:
Informationssäkerhetstjänst ( Eng. Service of infosecurity ) är en organisatorisk och teknisk struktur av ett informationssäkerhetssystem som implementerar lösningen av en specifik uppgift som syftar till att motverka ett eller annat hot mot informationssäkerheten.
Den allryska klassificeringen av yrken för arbetare, anställdas positioner och lönekategorier (OK 016-94) [4] ger följande namn på informationssäkerhetsenheter (informationsskydd):
- en oberoende forskningsavdelning (laboratorium, byrå, grupp) för omfattande informationsskydd;
- en oberoende vetenskaplig och teknisk avdelning (laboratorium, byrå, grupp) för omfattande informationsskydd.
Behovet av att skapa en företagsinformationssäkerhetstjänst
För närvarande har fall av hackerattacker , epidemier av datavirus blivit vanligare, om hotet inte elimineras i tid kan detta leda till oåterkalleliga konsekvenser, såsom stöld av konfidentiell information, lösenord. Även om behovet av att skapa denna avdelning är uppenbart, försummar många organisationer det, vissa tilldelar ansvaret för att säkerställa informationssäkerheten till systemadministratören, andra köper dyr programvara . Det bör noteras att informationssäkerhet är ett komplex av organisatoriska och tekniska åtgärder, och tekniska lösningar är inte tillräckligt här.
Funktioner för Enterprise Information Security Service
- Organisation och samordning av arbete relaterat till skydd av information på företaget;
- Forskning av informationsbehandlingsteknologi för att identifiera möjliga kanaler för läckage och andra hot mot informationssäkerhet, bildande av en hotmodell, utveckling av en informationssäkerhetspolicy, fastställande av åtgärder som syftar till att genomföra den;
- Utveckling av utkast till reglerande och administrativa dokument som verkar inom organisationens, företagets gränser, i enlighet med vilka skyddet av information på företaget bör säkerställas;
- Identifiering och neutralisering av hot;
- Registrering, insamling, lagring, bearbetning av data om alla händelser i systemet som är relaterade till informationssäkerhet;
- Bildandet av en förståelse bland företagets personal och användare om behovet av att följa kraven i lagstadgade rättsakter, reglerande och administrativa dokument relaterade till informationsskyddsområdet.
Sammansättning av Enterprise Information Security Service
Strukturen och antalet Enterprise Security Service beror på storleken på organisationen, verksamhetsområde och nivån på informationens konfidentialitet. Informationssäkerhetstjänstens antal och sammansättning ska vara tillräckligt för att utföra alla säkerhets- och informationsskyddsuppgifter.
Anteckningar
- ↑ Ryska federationens nationella standard "Informationsteknik. Praktiska regler för informationssäkerhetshantering” (GOST R ISO / IEC 17799 - 2005) Arkiverad den 22 mars 2009. .
- ↑ Ryska federationens nationella standard "Metoder och medel för att säkerställa säkerhet. Del 1. Konceptet och modellerna för säkerhetshantering av informations- och telekommunikationsteknik "(GOST R ISO / IEC 13335-1 - 2006) .
- ↑ OKT 45.127-99 System för att säkerställa informationssäkerhet för Ryska federationens sammankopplade kommunikationsnätverk. Termer och definitioner.
- ↑ Dekret av Ryska federationens statliga standard av den 26 december 1994 N 367 (som ändrat den 18 juli 2007) "Om antagande och genomförande av den allryska klassificeringen av yrken för arbetare, anställdas positioner och lönekategorier OK 016-94.”>
Se även