Služba informační bezpečnosti
Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od
verze recenzované 22. září 2021; ověření vyžaduje
1 úpravu .
Služba informační bezpečnosti je samostatnou divizí podniku, která se zabývá řešením problémů informační bezpečnosti této organizace. Služba informační bezpečnosti by měla být nezávislou jednotkou a podléhat přímo první osobě v organizaci.
Standardní požadavky
Standardy řízení bezpečnosti informací neobsahují kritéria pro vytvoření služby bezpečnosti informací, stanovení jejího složení a působnosti.
Základní standardy informační bezpečnosti [1] [2] uvádějí, že „v případě potřeby by měl být v rámci organizace poskytnut specialista na informační bezpečnost“.
OCT 45.127-99 [ 3] definuje:
Služba informační bezpečnosti ( angl. Service of infosecurity ) je organizační a technická struktura systému informační bezpečnosti, která realizuje řešení konkrétního úkolu zaměřeného na odvrácení té či oné hrozby pro informační bezpečnost.
Všeruský klasifikátor profesí pro dělníky, pozice zaměstnanců a mzdové kategorie (OK 016-94) [4] uvádí následující názvy útvarů informační bezpečnosti (ochrana informací):
- samostatné výzkumné oddělení (laboratoř, kancelář, skupina) pro komplexní ochranu informací;
- samostatné vědecké a technické oddělení (laboratoř, kancelář, skupina) pro komplexní ochranu informací.
Potřeba vytvořit službu zabezpečení podnikových informací
V současné době jsou případy hackerských útoků , epidemií počítačových virů stále častější, pokud není hrozba včas odstraněna, může to vést k nevratným důsledkům, jako je krádež důvěrných informací, hesel. I když je potřeba vytvořit toto oddělení zřejmá, řada organizací to zanedbává, některé svěřují odpovědnost za zajištění bezpečnosti informací správci systému, jiné nakupují drahý software . Je třeba poznamenat, že informační bezpečnost je komplex organizačních a technických opatření a samotná technická řešení zde nestačí.
Funkce Enterprise Information Security Service
- Organizace a koordinace prací souvisejících s ochranou informací v podniku;
- Výzkum technologie zpracování informací za účelem identifikace možných kanálů úniku a dalších hrozeb pro informační bezpečnost, tvorba modelu hrozeb, rozvoj politiky informační bezpečnosti, stanovení opatření směřujících k její implementaci;
- Vypracování návrhů regulačních a administrativních dokumentů působících v rámci organizace, podniku, v souladu s nimiž by měla být zajištěna ochrana informací v podniku;
- Identifikace a neutralizace hrozeb;
- Registrace, sběr, uchovávání, zpracování údajů o všech událostech v systému, které souvisejí s bezpečností informací;
- Vytvoření porozumění mezi zaměstnanci a uživateli podniku o potřebě dodržovat požadavky regulačních právních aktů, regulačních a administrativních dokumentů souvisejících s oblastí ochrany informací.
Složení Enterprise Information Security Service
Struktura a počet Enterprise Security Service závisí na velikosti organizace, oblasti činnosti a úrovni důvěrnosti informací. Počet a složení Služby informační bezpečnosti musí být dostatečné pro plnění všech úkolů v oblasti bezpečnosti a ochrany informací.
Poznámky
- ↑ Národní standard Ruské federace „Informační technologie. Praktická pravidla pro řízení bezpečnosti informací“ (GOST R ISO / IEC 17799 - 2005) Archivováno 22. března 2009. .
- ↑ Národní standard Ruské federace „Metody a prostředky k zajištění bezpečnosti. Část 1. Koncepce a modely řízení bezpečnosti informačních a telekomunikačních technologií "(GOST R ISO/IEC 13335-1 - 2006) .
- ↑ OCT 45.127-99 Systém pro zajištění informační bezpečnosti Propojené komunikační sítě Ruské federace. Termíny a definice.
- ↑ Výnos Státní normy Ruské federace ze dne 26. prosince 1994 N 367 (ve znění ze dne 18. července 2007) „O přijetí a zavedení celoruského klasifikátoru profesí pro dělníky, pozice zaměstnanců a mzdové kategorie OK 016-94.">
Viz také