Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия

С точки зрения административного уровня система управления информационной безопасностью в компании «Медсервис» представлена в графическом виде на рис.8.
Директор
Начальник отдела информационных технологий
Сотрудники отдела информационных технологий
Рядовые пользователи
Директор
Начальник отдела информационных технологий
Сотрудники отдела информационных технологий
Рядовые пользователи
Рис. 8 Административная иерархия организации информационной безопасности в компании «Медсервис»
При этом директор является тем лицом в компании, которое официально декларирует необходимость и важность обеспечения информационной безопасности в компании, утверждая для этого такой документ, как политика информационной безопасности компании (на момент выполнения данной работы такого документа в компании «Медсервис» нет, в ходе работы будет выполнена его разработка). Кроме того, директор компании организует обеспечение процесса защиты информации необходимыми ресурсами, как кадровыми, так и в случае необходимости техническими.
Директор компании утверждает перечень конфиденциальной информации или защищаемых активов в компании «Медсервис», утверждает списки лиц, допущенных к конфиденциальной информации (на момент выполнения данной работы такие документы уже разработаны в компании «Медсервис»).
Директор своим приказом возлагает ответственность по защите информации или ее определённых видов на некоторое должностное лицо и или группу лиц, и возлагает функции по защите информации на некоторое структурное подразделение.
Ответственность за защиту информации и обеспечение безопасности персональных данных возложена на руководителя отдела информационных технологий.
Ответственный по защите информации (персональных данных) организует процесс защиты информации в компании, анализирует нормативную и правовую базу в данной сфере, проводит оценку рисков, разрабатывает и подготавливает необходимую локальную документацию по защите информации в компании, основываясь на нормативных и правовых требованиях, положениях политики информационной безопасности и результатах оценки рисков.
Функции по защите информации возложены на сотрудников отдела информационных технологий, в части установки и администрирования средств защиты информации, выполнения работ по мониторингу за работой средств защиты информации

.
Сотрудники отдела информационных технологий руководствуются в своей работе должностными инструкциями, эксплуатационной документацией, поставляемой вместе со средствами защиты информации, положениями нормативных и правовых актов, политики информационной безопасности и иных локальных актов.
Рядовые пользователи выполняют функции по защите информации в рамках своих должностных обязанностей, руководствуясь требованиями своих должностных инструкций, в которых заложены обязанности по защите информации, и требованиями политики информационной безопасности.
В тоже время в компании планируется внедрение двух новых средств защиты, что может потребовать отражения в политике безопасности и разработки новых инструкций.
При внедрении средств защиты информации от НСД разработка отдельных инструкций для пользователя не требуется, так как система на уровне пользователя работает в фоновом режиме, а при возникновении любых не штатных ситуаций необходимо обращаться к администратору безопасности, то есть в отдел информационных технологий компании. Сотрудники же отдела информационных технологий используют эксплуатационную документацию, которая представлена в свободном доступе и достаточно подробна.
В части же использования СКЗИ после его внедрения работы по отправке зашифрованной информации между филиалами будут проводится пользователем, поэтому необходима разработка инструкции по использованию СКЗИ в компании «Медсервис».
Таким образом, на организационно- административном уровне в компании «Медсервис» необходима разработка «Политики информационной безопасности» и «Инструкции по использованию СКЗИ».
Для эффективного управления информационной безопасностью (ИБ), разрабатывается политика ИБ, утверждаемая руководством компании «Медсервис», вовлекая его тем самым в процесс обеспечения ИБ