Кадровое Обеспечение Функционирования КСЗИ
Московский
государственный лингвистический университет
КУРСОВАЯ
РАБОТА
студента факультета экономики и права,
по специальности
«ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ
ЗАЩИТЫ ИНФОРМАЦИИ»
Жигалова Андрея
Андреевича
на тему:
«Кадровое
Обеспечение Функционирования КСЗИ»
Руководитель:
д.т.н., профессор
Иванов В.В.
Москва
2011
Оглавление
Введение
Работы
по защите информации у нас в стране
ведутся достаточно интенсивно и уже
продолжительное время. Накоплен существенный
опыт. Сейчас уже никто не думает, что достаточно
провести на предприятии ряд организационных
мероприятий, включить в состав автоматизированных
систем некоторые технические и программные
средства – и этого будет достаточно для
обеспечения безопасности.
Достижение высокого уровня безопасности
невозможно без принятия должных организационных
мер. С одной стороны, эти меры должны быть
направлены на обеспечение правильности
функционирования механизмов защиты и
выполняться администратором безопасности
системы. С другой стороны, руководство
организации, эксплуатирующей средства
автоматизации, должно регламентировать
правила автоматизированной обработки
информации, включая и правила ее защиты,
а также установить меру ответственности
за нарушение этих правил.
Главное направление поиска новых путей
защиты информации заключается не просто
в создании соответствующих механизмов,
а представляет собой реализацию регулярного
процесса, осуществляемого на всех этапах
жизненного цикла систем обработки информации
при комплексном использовании всех имеющихся
средств защиты. При этом все средства,
методы и мероприятия, используемые для
ЗИ, наиболее рациональным образом объединяются
в единый целостный механизм. Огромную
роль в этом механизме играют кадры, т.е.
люди. Но по своей природе они так же могут
являться и слабым звеном в этом механизме.
1.
Система защиты информации
1.1
Целями системы защиты
• предотвращение утечки, хищения,
утраты, искажения, подделок
• предотвращение угроз
• предотвращение
• предотвращение других форм незаконного вмешательства в информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав
граждан на сохранение лично
тайны и конфиденциальности
• сохранение, конфиденциальности документированной информации в соответствии с законодательство.
1.2 Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения:
• простота защиты;
• приемлемость защиты для пользователей;
• подконтрольность системы
• постоянный контроль за
• дробление конфиденциальной
информации на составляющие
• минимизация привилегий по доступу к информации;
• установка ловушек для
• независимость системы
• устойчивость защиты во
• глубина защиты, дублирование и перекрытие защиты;
• особая личная
• минимизация общих
1.3
Алгоритм создания системы
• Определение объектов защиты.
• Выявление угроз и оценка их вероятности.
• Оценка возможного ущерба.
• Обзор применяемых мер
• Определение адекватных мер защиты.
• Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.
• Внедрение мер защиты.
• Контроль.
• Мониторинг и корректировка
внедренных мер.
1.
Начальник службы защиты
2.
Руководитель группы, обладая соответствующей
квалификацией в этой области,
с привлечением отдельных
3.
Руководитель группы на основе
этого списка определяет и
представляет на согласование необходимые
к защите объекты (оборудование для обработки
и обращения информации, программно обеспечение,
коммуникации для передачи конфиденциальны
данных, носители информации, персонал,
допущенный к работе с использованием
коммерческой и иной тайны).
4.
Анализируются существующие
5.
Изучаются зафиксированные
6.
На основе опыта предприятия, а также
используя метод моделирования ситуаций,
группа специалистов выявляет возможные
пути несанкционированных действий по
уничтожению информации, ее копированию,
модификации, искажению, использованию
и т. п. Угрозы ранжируются по степени значимости
и классифицируется по видам воздействия.
7.
На основе собранных данных
оценивается возможный ущерб
предприятия от каждого вида угроз, который
становится определяющим фактором для
категорирования сведений в «Перечня»
по степени важности, например — для служебного
пользования, конфиденциально, строго
конфиденциально.
8.
Определяются сферы обращения
каждого вида конфиденциально
информации: по носителям, по территории
распространения, по
9.
Группа подготавливает
Для
обеспечения работоспособности
разработанной системы защиты информации
необходимо создать специальный
отдел в составе организации,
занимающийся данными вопросами – Службу
защиты информации (СЗИ).
2.
Служба защиты информации
2.1 К задачам СЗИ относятся:
• Своевременное выявление
• Выявление и максимальное перекрытие потенциально возможных каналов и методов несанкционированного доступа к информации.
• Отработка механизмов
• Организация специального
Начальник
СЗИ является новой штатной единицей.
В большинстве случае, если установлено
скрытое видеонаблюдение, он единственный
должен об этом знать, не учитывая непосредственное
руководство. На эту должность необходимо
взять профессионала и специалиста в области
защиты информации, а также хорошо знающего
юридическую сторону этой проблемы, имеющего
опыт руководства и координации работы
подобных служб. Требования – высшее профессиональное
образование и стаж работы в области защиты
информации не менее 5 лет, хорошее знание
законодательных актов в этой области,
принципов планирования защиты.
2.2 Функции руководителя СЗИ:
• вырабатывать политику
• отвечать за
• осуществлять планирование
и непосредственное
• принимать личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании;
• разрабатывать планы
• руководить проведением
• организовывать
• разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую;
• организовывать разработку рекомендаций по совершенствованию функционирования СЗИ;
• осуществлять руководство
• кроме того, выполнять функции юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации;
• в случае необходимости,
периодически проводить поиск
жучков.
3.
Основные подразделения
ЗИ на предприятии
Подразделение программно-аппаратной защиты информации.
Целями защиты информации, обрабатываемой и хранимой в ПЭВМ, являются:
1.
Предотвращение потери и
2.
Обеспечение целостности
Задачи подразделения:
• Предотвращение
• Предотвращение утечки
• Защита информации от
• Защита информации от сбоев в системе питания.
• Защита от копирования.
• Программная защита каналов передачи данных.
•
Подразделение инженерно-технической защиты информации.
Инженерно-техническая защита информации предназначена для активно-пассивных противодействий средствам технической разведки и формирования рубежей охраны территории, зданий, помещений, оборудования с помощью комплексов технических средств и включает себя:
• Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здания и помещения.
• Средства защиты технических каналов утечки информации при работе ЭВМ, средств связи, других приборов и офисного оборудования, при проведении совещаний, беседах с посетителями и сотрудниками.
• Средства защиты помещений
от визуальных способов
• Средства обеспечения охраны территорий, зданий, помещений.
• Средства противопожарной
• Технические средства и
Подразделение
конфиденциального
Задачи:
• обработка и хранение
• контроль системы
В не очень больших организациях целесообразно организовать Службу защиты информации в следующем составе:
• Руководитель СЗИ,
• сотрудник, занимающийся
• сотрудник, занимающийся
Функции конфиденциального делопроизводства возложить на уже имеющихся сотрудников, занимающихся в данное время созданием и обработкой документов, содержащих конфиденциальную информацию.
Для работы СЗИ необходимо подготовить ряд нормативных документов:
• Положение о СЗИ;
• Инструкцию по безопасности конфиденциальной информации.
• Перечень сведений
• Инструкцию по работе с конфиденциальной информацией.
• Должностные инструкции
• Инструкцию по обеспечению пропускного режима в компании.
• Памятку работнику (
Для
обеспечения полноценной
• Положение о конфиденциальной информации предприятия;
• Перечень документов
• Инструкция по защите
• Предложения по внесению изменений в Устав предприятия;
• Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
• Соглашение о неразглашении
конфиденциальной информации
• Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
• Предложения о внесении
• Предложения о внесении изменений в должностное (штатно) расписание предприятия (штат Службы защиты информации);
• Предложения о внесении
• Ведомость ознакомления
• План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
• Предложения о внесении
• Предложения о внесении
Эти документы играют важную роль в обеспечении безопасности предприятия.
Документационное обеспечение защиты должно начинаться с внесения дополнений в Устав предприятия: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Общество имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений предприятия на основании договоров, контрактов и других документов».
Для разработки всех документов, затрагивающих вопросы работы с конфиденциальной информацией необходимо в первую очередь разработать «Положение о конфиденциальной информации». Формат всех документов, регулирующих защиту конфиденциально информации, утверждается приказом руководителя. Положение же является основным документом предприятия, регламентирующим вопросы оборота конфиденциальной информации. Все базовые моменты, связанные с этим процессом, закладываются именно здесь.
Положение содержит основные обязанности сотрудников по обеспечению сохранности конфиденциальной информации. Для усиления этой составляющей системы защиты необходимо обязанности персонала доводить также в форме включения в должностные инструкции и дополнительно выдавать специальные памятках. Все это должно происходить строго под роспись.
Неотъемлемым
приложением к Положению
В качестве основы для установления контроля над доступом к информации компании берется классификация информации по уровню конфиденциальности, в зависимости от содержания и возможных последствий в случае утраты информации или злоупотреблений.
По категориям конфиденциальности основные виды информации распределяются примерно следующим образом.
Самый низкий гриф конфиденциальности «ДСП» (для служебного пользования) ставится на телефонные справочники, в которых указываются отдельные данные о кадровом составе или партнерах. Также этот гриф ставится на журналы регистрации, документы, регламентирующие деятельность, служебную переписку (заявления, распоряжения, приказы, докладные и т.д.).
К категории документов с грифом “КОНФИДЕНЦИАЛЬНО” относится информация об отдельных аспектах деловых сделок за короткий промежуток времени; развернутые сведения о персонале компании; текущие документы, отражающие финансовую деятельность; документы, содержащие данные о клиентах, не предоставляемые третьим лицам.
Гриф “СТРОГО КОНФИДЕНЦИАЛЬНО” присваивается документам, содержащим данные о деловых сделках с партнерами или клиентами фирмы, об итогах деятельности за продолжительный период времени. Кроме этого, подобный гриф присваивается документам, содержащим важнейшие аспекты коммерческой деятельности компании, стратегии деятельности, документам, содержащим детальную информацию о финансовом положении.
Классификации по уровню конфиденциальности подлежат все документы в соответствии с планом мероприятий по обеспечению безопасности компании. Вопрос о присвоении грифа решается разработчиком документа при участии руководителя СЗИ. В случае, когда ценность информации по каким-либо причинам снижается, снижается и гриф документа.
Отдельного упоминания заслуживает вопрос о сроках действия грифов конфиденциальности. Срок секретности определяется создателем документа, исполнителем, лицом, подписывающим или утверждающим документ по согласованию руководителем СЗИ. Срок может указываться в виде периода грифа, в виде даты окончания грифа, наступления определенного события, на которое сориентирован документ, или надписи «бессрочно». В иных случаях решение вопроса о снятии грифа остается за руководителем СЗИ.
Следующий
документ, входящий в состав документации
внедрения — Соглашение с сотрудником
(обязательство сотрудника) о неразглашении
конфиденциальной информации предприятия,
подписываемое сотрудником при приеме
на работу. В нем должно содержаться следующее:
• Обязательство о сохранении конфиденциальной информации;
• Право сотрудника на
• Ответственность сотрудника
за нарушение данного
Перед
подписанием обязательства
Продолжением обязанностей сотрудника по неразглашению информации является документ, декларирующий подтверждение сотрудником данных обязательств при увольнении, а именно «Заявление о подтверждении обязательств неразглашения конфиденциальной информации предприятия при увольнении».
Документ не является бесспорным с юридической точки зрения, так как после увольнения трудовые отношения, в рамках которых действуют обязательства сотрудника, прекращаются. Однако целесообразно предлагать увольняющимся такое заявление к подписанию, и по реакции бывшего сотрудника можно будет оценить реальную значимость для конкретного человека данных им обещаний. В то же время, в случае нанесения ущерба предприятию разглашением конфиденциальных сведений уволенным, такое обязательство, скорее всего, будет принято судом как дополнительно доказательство его вины. Кроме того, об этом можно будет без зазрения совести сообщить его новому работодателю.
Отношение контрагентов и партнеров к тайне организации необходимо устанавливать самой организации. Для этого необходимо внести во все стандартные формы договорной документации разделов конфиденциальности:
1.
Каждая из сторон согласилась
считать текст настоящего
2. Стороны принимают на себя обязательство никаким образом не разглашать (делать доступной любым третьим лицам, кроме случаев наличия у третьих лиц соответствующих полномочий в силу прямого указания федерального закона, либо случаев, когда другая сторона в письменной форме даст согласие на предоставление конфиденциальной информации, определяемой в соответствии с п. 1 настоящего договора, третьим лицам) конфиденциальную информацию другой стороны, к которой она получила доступ при заключении настоящего договора и в ходе исполнения обязательств, возникающих из него.

- Кадровое обеспичение
- Кадровое планирование
- Кадровое планирование
- Кадровое планирование
- Кадровое планирование
- Кадровое планирование
- Кадровое планирование
- Кадровое обеспечение системы управления персоналом
- Кадровое обеспечение системы управления персоналом
- Кадровое обеспечение системы управления персоналом
- Кадровое обеспечение стратегий социально-экономического развития территории
- Кадровое обеспечение таможенной службы
- Кадровое обеспечение таможенных органов
- Кадровое обеспечение туризма