Služba informační bezpečnosti

Služba informační bezpečnosti  je samostatnou divizí podniku, která se zabývá řešením problémů informační bezpečnosti této organizace. Služba informační bezpečnosti by měla být nezávislou jednotkou a podléhat přímo první osobě v organizaci.

Standardní požadavky

Standardy řízení bezpečnosti informací neobsahují kritéria pro vytvoření služby bezpečnosti informací, stanovení jejího složení a působnosti.

Základní standardy informační bezpečnosti [1] [2] uvádějí, že „v případě potřeby by měl být v rámci organizace poskytnut specialista na informační bezpečnost“.

OCT 45.127-99 [ 3] definuje:

Služba informační bezpečnosti ( angl.  Service of infosecurity ) je organizační a technická struktura systému informační bezpečnosti, která realizuje řešení konkrétního úkolu zaměřeného na odvrácení té či oné hrozby pro informační bezpečnost.

Všeruský klasifikátor profesí pro dělníky, pozice zaměstnanců a mzdové kategorie (OK 016-94) [4] uvádí následující názvy útvarů informační bezpečnosti (ochrana informací):

• samostatné výzkumné oddělení (laboratoř, kancelář, skupina) pro komplexní ochranu informací;
• samostatné vědecké a technické oddělení (laboratoř, kancelář, skupina) pro komplexní ochranu informací.

Potřeba vytvořit službu zabezpečení podnikových informací

V současné době jsou případy hackerských útoků , epidemií počítačových virů stále častější, pokud není hrozba včas odstraněna, může to vést k nevratným důsledkům, jako je krádež důvěrných informací, hesel. I když je potřeba vytvořit toto oddělení zřejmá, řada organizací to zanedbává, některé svěřují odpovědnost za zajištění bezpečnosti informací správci systému, jiné nakupují drahý software . Je třeba poznamenat, že informační bezpečnost je komplex organizačních a technických opatření a samotná technická řešení zde nestačí.

Funkce Enterprise Information Security Service

• Organizace a koordinace prací souvisejících s ochranou informací v podniku;
• Výzkum technologie zpracování informací za účelem identifikace možných kanálů úniku a dalších hrozeb pro informační bezpečnost, tvorba modelu hrozeb, rozvoj politiky informační bezpečnosti, stanovení opatření směřujících k její implementaci;
• Vypracování návrhů regulačních a administrativních dokumentů působících v rámci organizace, podniku, v souladu s nimiž by měla být zajištěna ochrana informací v podniku;
• Identifikace a neutralizace hrozeb;
• Registrace, sběr, uchovávání, zpracování údajů o všech událostech v systému, které souvisejí s bezpečností informací;
• Vytvoření porozumění mezi zaměstnanci a uživateli podniku o potřebě dodržovat požadavky regulačních právních aktů, regulačních a administrativních dokumentů souvisejících s oblastí ochrany informací.

Složení Enterprise Information Security Service

Struktura a počet Enterprise Security Service závisí na velikosti organizace, oblasti činnosti a úrovni důvěrnosti informací. Počet a složení Služby informační bezpečnosti musí být dostatečné pro plnění všech úkolů v oblasti bezpečnosti a ochrany informací.

Poznámky

1. ↑ Národní standard Ruské federace „Informační technologie. Praktická pravidla pro řízení bezpečnosti informací“ (GOST R ISO / IEC 17799 - 2005) Archivováno 22. března 2009. .
2. ↑ Národní standard Ruské federace „Metody a prostředky k zajištění bezpečnosti. Část 1. Koncepce a modely řízení bezpečnosti informačních a telekomunikačních technologií "(GOST R ISO/IEC 13335-1 - 2006) .
3. ↑ OCT 45.127-99 Systém pro zajištění informační bezpečnosti Propojené komunikační sítě Ruské federace. Termíny a definice.
4. ↑ Výnos Státní normy Ruské federace ze dne 26. prosince 1994 N 367 (ve znění ze dne 18. července 2007) „O přijetí a zavedení celoruského klasifikátoru profesí pro dělníky, pozice zaměstnanců a mzdové kategorie OK 016-94.">

Viz také

• Informační bezpečnost