Організація розроблення системи захисту інформації

5.1. На підставі матеріалів обстеження та окремої моделі загроз необхідно визначити головні задачі захисту інформації і скласти технічне завдання (ТЗ) на розроблення системи захисту інформації.

5.2. ТЗ повинно включати основні розділи:

- вимоги до системи захисту інформації;

- вимоги до складу проектної та експлуатаційної документації;

- етапи виконання робіт;

- порядок внесення змін і доповнень до розділів ТЗ;

- вимоги до порядку проведення випробування системи захисту.

5.3. Основою функціювання системи захисту інформації є план ТЗІ, що повинен містити такі документи:

- перелік розпорядчих, організаційно-методичних, нормативних документів з ТЗІ, а також вказівки щодо їхнього застосування;

- інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;

- інструкції, що встановлюють обов`язки, права та відповідальність персоналу;

- календарний план ТЗІ.

5.4. ТЗ і план ТЗІ розробляють спеціалісти з ТЗІ, узгоджують із зацікавленими підрозділами (організаціями). Затверджує їх керівник підприємства.

Реалізація організаційних заходів захисту

6.1. Організаційні заходи захисту інформації - комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціювання засобів (систем) забезпечення ІД та засобів (систем) забезпечення ТЗІ.

6.2. У процесі розроблення і реалізації організаційних заходів потрібно:

- визначити окремі задачі захисту ІзОД;

- обгрунтувати структуру і технологію функціювання системи захисту інформації;

- розробити і впровадити правила реалізації заходів ТЗІ;

- визначити і встановити права та обов`язки підрозділів та осіб, що беруть участь в обробленні ІзОД;

- придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство;

- установити порядок упровадження захищених засобів оброблення інформації, програмних і технічних засобів захисту інформації, а також засобів контролю ТЗІ;

- установити порядок контролю функціювання системи захисту інформації та її якісних характеристик;

- визначити зони безпеки інформації;

- установити порядок проведення атестації системи захисту інформаціїі, її елементів і розробити програми атестаційного випробування;

- забезпечити керування системою захисту інформації.

6.3. Оперативне вирішення задач ТЗІ досягається організацією керування системою захисту інформації, для чого необхідно:

- вивчати й аналізувати технологію проходження ІзОД у процесі ІД;

- оцінювати схильність ІзОД до впливу загроз у конкретний момент часу;

- оцінювати очікувану ефективність застосування засобів забезпечення ТЗІ;

- визначати (за необхідності) додаткову потребу в засобах забезпечення ТЗІ;

- здійснювати збирання, оброблення та реєстрацію даних, які відносяться до ТЗІ;

- розробляти і реалізовувати пропозиції щодо коригування плану ТЗІ в цілому або окремих його елементів.