11. Система менеджмента информационной безопасности предназначена для создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы защиты информации в органах власти и учреждениях при выполнении своих функций.
12. Основные принципы системы менеджмента информационной безопасности:
1) понимание необходимости системы информационной безопасности;
2) назначение ответственности за информационную безопасность;
3) создание административных обязанностей работников органов власти и учреждений, ответственных за обеспечение информационной безопасности;
4) оценка риска, определяющая соответствующие меры и средства контроля и управления информационной безопасностью;
5) обеспечение комплексного подхода к менеджменту информационной безопасности;
6) выявление и предупреждение инцидентов информационной безопасности;
7) непрерывная переоценка и соответствующая модификация системы информационной безопасности.
13. Для непосредственной организации и эффективного функционирования системы менеджмента информационной безопасности, исключающей возможные конфликты интересов, в органах власти целесообразно создать подразделение или назначить лицо, ответственное за обеспечение информационной безопасности, и возложить на него решение следующих основных задач:
1) реализация политики информационной безопасности, определение требований к системе защиты информации;
2) анализ текущего состояния обеспечения информационной безопасности;
3) организация мероприятий и координация работ по защите информации всех подразделений органов власти и учреждений;
4) контроль и оценка эффективности применяемых мер и средств защиты информации.
14. Основными функциями подразделений (лиц), ответственных за обеспечение информационной безопасности органов власти и учреждений, являются:
1) формирование требований к системам защиты в процессе создания и дальнейшего развития существующих объектов защиты;
2) подготовка решений по обеспечению конфиденциальности, целостности, доступности объектов защиты;
3) участие в проектировании систем защиты, их испытаниях и приемке в эксплуатацию;
4) обеспечение функционирования установленных систем защиты информации, включая управление криптографическими системами;
5) разграничение доступа пользователей к объектам защиты;
6) наблюдение за функционированием системы защиты и ее элементов;
7) проверка надежности функционирования системы защиты;
8) разработка мер нейтрализации моделей возможных атак;
9) обучение работников правилам безопасной обработки информации;
10) контроль соответствия действий администраторов и пользователей установленным правилам обращения с информацией;
11) участие по указанию руководства в служебной проверке по фактам нарушения правил обращения с информацией и оборудованием в учреждениях в соответствии с законодательством Российской Федерации;
12) сбор, накопление, систематизация и обработка информации по вопросам информационной безопасности.