Задачами службы безопасности являются помимо чисто охранных функций:

· обеспечение безопасности информации структурных подразделений и персонала Предприятия в процессе информационной деятельности и взаимодействия между собой, а также во взаимоотношениях с внешними отечественными и заграничными организациями;

· исследование технологии обработки информации с целью выявления возможных каналов утечки и других угроз безопасности информации, формирование модели угроз, разработка политики безопасности информации, определение мероприятий, направленных на ее реализацию;

· организация и координация работ, связанных с защитой информации на Предприятии, необходимость защиты которой определяется действующим законодательством, поддержка необходимого уровня защищенности информации, ресурсов и технологий;

· разработка проектов нормативных и распорядительных документов, действующих в границах организации, предприятия, в соответствии с которыми должна обеспечиваться защита информации на Предприятии;

· организация работ по созданию и использованию КСЗИ на всех этапах жизненного цикла КС;

· участие в организации профессиональной подготовки и повышении квалификации персонала и пользователей КС по вопросам защиты информации;

· формирование у персонала и пользователей Предприятия понимания необходимости выполнения требований нормативно-правовых актов, нормативных и распорядительных документов, касающихся сферы защиты информации;

· организация обеспечения выполнения персоналом и пользователями требований нормативно-правовых актов, нормативных и распорядительных документов по защите информации Предприятии и проведение контрольных проверок их выполнения;

· обеспечение определенных политикой безопасности свойств информации (конфиденциальности, целостности, доступности) во время создания и эксплуатации КС;

· своевременное выявление и обезвреживание угроз для ресурсов КС, причин и условий, которые приводят (могут привести к) нарушениям ее функционирования и развития;

· создание механизма и условий оперативного реагирования на угрозы безопасности информации, другие проявления отрицательных тенденций в функционировании КС;

· эффективное обезвреживание (предупреждение) угроз ресурсам КС путем комплексного внедрения правовых, морально-этических, физических, организационных, технических и других мероприятий обеспечения безопасности;

· управление средствами защиты информации, управление доступом пользователей к ресурсам КС, контроль за их работой со стороны персонала Службы безопасности, оперативное извещение о попытках НСД к ресурсам КС Предприятия;

· регистрация, сбор, хранение, обработка данных о всех событиях в системе, которые имеют отношение к безопасности информации;

· создание условий для максимально возможного возмещения и локализаци убытков, которые создаются неправомерными (несанкционированными) действиями физических и юридических лиц, влиянием внешней среды и другими факторами, уменьшение отрицательного влияния последствий нарушения безопасности функционирования КС.

Служба безопасности имеет право:

- осуществлять контроль за деятельностью любого структурного подразделения Предприятия относительно выполнения им требований нормативно-правовых актов и нормативных документов по защите информации;

- подавать руководству Предприятия предложения относительно приостановления процесса обработки информации, запрета обработки, изменения режимов обработки, и т.п. в случае выявления нарушений политики безопасности или в случае возникновения реальной угрозы нарушения безопасности;

- составлять и подавать руководству Предприятия акты относительно выявленных нарушений политики безопасности, готовить рекомендации относительно их устранения;

- проводить служебные расследования в случаях выявления нарушений;

- получать доступ к работам и документам структурных подразделений Предприятия, необходимых для оценки принятых мер по защите информации и подготовки предложений относительно их дальнейшего усовершенствования;

- готовить предложения относительно привлечения на договорной основе к выполнению работ по защите информации других организаций, которые имеют лицензии на соответствующий вид деятельности;

- готовить предложения относительно обеспечения КС (КСЗИ) необходимыми техническими и программными средствами защиты информации и другой специальной техникой, разрешенной для использования на Украине с целью обеспечения защиты информации;

- выходить к руководству Предприятия с предложениями относительно представления заявлений в соответствующие государственные органы на проведение государственной экспертизы КСЗИ или сертификации отдельных средств защиты информации;

- согласовывать условия включения в состав КС новых компонентов и подавать руководству предложения относительно запрета их включения, если они нарушают принятую политику безопасности или уровень защищенности ресурсов КС;

- предоставлять выводы по вопросам, которые належат к компетенции Службы безопасности, необходимые для осуществления информационной деятельности Предприятия, в особенности технологий, доступ к которым ограничен, других проектов, которые требуют технической поддержки со стороны сотрудников Службы безопасности;

- выходить к руководству Предприятия с предложениями относительно согласования планов и регламента доступа к КС посторонним лицам;

- другие права, предоставленные Службе безопасности в соответствии с спецификой и особенностями деятельности Предприятия.

Состав службы безопасности

Штатное расписание и структура подразделения Службы безопасности:

Служба безопасности является штатным подразделением Предприятия непосредственно подчиненным по вопросам безопасности и защиты информации Руководителю Предприятия или Заместителю Секретаря ПРЕДПРИЯТИЯ, который отвечает за обеспечение безопасности информации.

Штатность или позаштатность Службы безопасности Предприятия определяется руководством Предприятия.

Структура Службы безопасности, ее состав и численность определяется фактическими потребностями Предприятия для выполнения требований политики безопасности информации и утверждается руководством Предприятия.

Численность и состав Службы безопасности должны быть достаточными для выполнения всех задач безопасности и защиты информации.

С целью эффективного функционирования и управления защитой информации Служба безопасности имеет штатное расписание, которое включает перечень функциональных обязанностей всех сотрудников, необходимых требований к уровню их знаний и навыков. Штат Службы безопасности комплектуется специалистами, имеющими специальное техническое образование (высшее, среднее специальное, специальные курсы повышения квалификации в области безопасности и защиты информации и т.п.) и практический опыт работы, владеют навыками по разработке, внедрению, эксплуатации комплексных систем защиты информации КСЗИ и средств защиты информации, а также реализации организационных, технических и других мероприятий по защите информации, знаниями и умением применять нормативно-правовые документы в сфере защиты информации.

Функциональные обязанности сотрудников определяются перечнем и характером задач, которые возлагаются на Службу безопасности руководством Предприятия.

В зависимости от объемов и особенностей задач Службы безопасности в ее состав могут входить специалисты (группы специалистов, подразделения и др.) разных специальностей:

· специалисты по вопросам защиты информации от утечки по техническим каналам;

· специалисты по вопросам защиты каналов связи и коммутационного оборудования, отладки и управления активным сетевым оснащением;

· специалисты по вопросам администрирования и контроля средств защиты, управления системами доступа и базами данных защиты;

· специалисты по вопросам защитных технологий обработки информации.

По должностям сотрудники Службы безопасности могут делиться на такие категории (по уровню иерархии):

· руководитель Службы безопасности;

· специалисты (инспекторы) Службы безопасности по маркетинговым исследованиям;

· администраторы защиты КС (безопасности баз данных, безопасности системы и т.п.);

· специалисты службы защиты.