Обслуживающий персонал и пользователи, как неотъемлемая часть АС, сами являются источником внутренних угроз безопасности ИТ организации и одновременно могут являться частью системы защиты АС. Поэтому одним из основных направлений обеспечения безопасности ИТ является регламентация действий всех пользователей и обслуживающего персонала АС, целями которой являются:
o сокращение возможностей лиц из числа пользователей и персонала по совершению нарушений (как неумышленных, так и преднамеренных);
o реализацию специальных мер противодействия другим внутренним и внешним для системы угрозам (связанным с отказами и сбоями оборудования, ошибками в программах, стихийными бедствиями и действиями посторонних лиц, не являющихся частью АС).
Регламентация предусматривает введение таких ограничений и внедрение таких приёмов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности совершения ими случайных или преднамеренных нарушений (например, наделение каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих обязанностей полномочиями по доступу к ресурсам АС).
Кроме того, чтобы персонал и пользователи как часть системы безопасности АС реализовали свои «защитные возможности», регламентации подлежат вопросы исполнения ими дополнительных специальных обязанностей (функций), связанных с усилением режима безопасности ИТ. Так, для защиты от действий посторонних лиц и «подкрепления» вводимых ограничений на действия своих сотрудников на компьютерах АС могут применяться средства защиты, работающие на физическом, аппаратном или программном уровне. Применение таких средств защиты требует регламентации вопросов их использования конечными пользователями и процессов их администрирования сотрудниками подразделений автоматизации и обеспечения безопасности ИТ.
С учётом вышеизложенного, можно сделать вывод:
1. К обеспечению безопасности информационных технологий организации (и в определённой степени к управлению её безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала (все кроме посторонних).
2. Роли и функции различных категорий сотрудников и подразделений организации в обеспечении безопасности ИТ существенно различаются (большинство сотрудников должны лишь исполнять установленные в организации регламенты и правилабезопасной работы в АС).
3. Создание (построение, развитие) и эффективное функционирование системы безопасности ИТ может быть обеспечено только при наличии:
o правильно разработанной системы организационно-распорядительных и нормативно-методических документов, определяющих политику безопасности ИТ (регламенты по вопросам безопасности АС для всех категорий сотрудников организации);
o специальных технических средств защиты и контроля эффективности принятых мер защиты;
o специального подразделения (например, отдела технической защиты информации - ОТЗИ).
За формирование системы защиты и реализацию единой политики безопасности ИТ организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам обеспечения безопасности ИТ должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения безопасности ИТ).
В силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по обеспечению безопасности ИТ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение безопасности ИТ.
Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты. Системные администраторы обычно входят в штат подразделений автоматизации (информатизации). Администраторы дополнительных средств защиты, как правило, являются сотрудниками подразделения защиты информации.
Таким образом, организационную структуру системы обеспечения безопасности ИТ организации можно представить в виде совокупности следующих уровней:
o уровень 1 — Руководство организации;
o уровень 2 - Аналитики подразделения обеспечения безопасности ИТ;
o уровень 3 - Администраторы штатных и дополнительных средств защиты;
o уровень 4 - Ответственные за обеспечение безопасности ИТ в подразделениях (на технологических участках);
o уровень 5 - Конечные пользователи и обслуживающий персонал.
