Чем выше степень доверия к человеку, тем выше степень развития страны! © Александр Дьяков 1049 - | 830 - или читать все...
Обратная связь Пожаловаться на материал

Технологическая последовательность мероприятий по формированию и внедрению системы информационной безопасности


⇐ ПредыдущаяСтр 25 из 31Следующая ⇒

№№ п.п. Мероприятие Содержание мероприятия
1. Разработка общей концепции информационной безопасности организации, определяющей:   Ø принципы ранжирования конфиденциальной информации по степени ее важности для организации, следовательно, по требованиям к эффективности защиты; Ø подходы к обеспечению системы специальными программными продуктами (самостоятельная разработка или заказ у специализированных подрядчиков); Ø подходы к распределению ответственности за обеспечение информационной безопасности между уполномоченными штабными службами организациями (безопасности, персонала, маркетинга, информационных технологий) и производственными подразделениями; Ø подходы к выбору методов пресечения выявленных угроз; Ø подходы к выделению ресурсов, необходимых для профилактики и пресечения возможных угроз (фиксированный процент от общей суммы собственных расходов организации, выделение средств под представленные сметы и целевые программы и т.п.); Ø критерии оценки эффективности защиты конфиденциальной информации
2. Разработка внутренней нормативной базы в составе:   Ø общих для всей организации регламентов (например, «Положение о правилах обеспечения информационной безопасности», «Правила проведения конфиденциальных переговоров», «Правила работы с закрытыми базами данных», «Перечень сведений, составляющих коммерческую и клиентскую тайну» и т.п.),  Ø внутренних регламентов службы безопасности, включая должностные инструкции ее сотрудников, специализирующихся в этой области; Ø правил обеспечения информационной безопасности, фиксируемых в регламентах конкретных структурных подразделений и должностных инструкциях их сотрудников
3. Расчет и выделение финансовых ресурсов необходимых:   Ø для приобретения (самостоятельной разработки), эксплуатации и обновления программных средств и средств инженерно-технической защиты; Ø для проведения соответствующих организационных мероприятий; Ø службе безопасности для осуществления специальных профилактических и контрольных мероприятий
4. Обучение правилам обеспечения информационной безопасности следующих категорий сотрудников организации: Ø сотрудников самой службы безопасности; Ø новых сотрудников организации в режиме первичного обучения; Ø прочих сотрудников организации в режиме повышения квалификации
5. Разработка и внедрение методики оценки эффективности: Ø функционирования системы в целом; Ø соответствующего направления работы службы безопасности; Ø соответствующего направления работы руководителей структурных подразделений организации

 

У правление персоналом организации в целях обеспечения

Ее информационной безопасности

Обучение сотрудников организации правилам обеспечения информационной безопасности работодателя.

ПРИМЕЧАНИЕ: Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

 

Общие методические требования к организации подготовки:

Ø распространение подготовки на все категории персонала организации, с дифференциацией ее форм и методов по должностным категориям обучаемых;

Ø непрерывность подготовки, что обеспечивается регулярным проведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес организации;

Ø привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений, обычно имеющих в глазах своих подчиненных больший авторитет; 

Ø использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своей и сторонних организаций;

Ø использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи, демонстрация некоторых технических средств защиты и т.п.

ПРИМЕЧАНИЕ: Следует учитывать, что в силу действия психологических факторов в глазах сотрудников эта подготовка, в отличие от профессионального обучения и повышения квалификации, всегда будет носить вторичный по значимости характер. Для большинства же высококвалифицированных специалистов, особенно руководителей среднего и высшего звена, она чаще всего будет вызывать плохо скрываемое раздражение (по крайней мере, до момента первого серьезного столкновения с реальными угрозами).

Организация подготовки новых сотрудников организации является необходимым элементом первичного обучения и адаптации зачисленного в штат сотрудника и дифференцирована по двум категориям:

Ø молодые специалисты;

Ø работники, уже имеющих опыт практической деятельности.

Для молодых специалистов рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о проблемах безопасности работодателя.

ПРИМЕЧАНИЕ: Следует учитывать, что в нашей стране дисциплина «Обеспечение безопасности предпринимательской деятельности» (в том числе – по конкретным ее направлениям) включена в учебные планы относительно небольшого числа практико-ориентированных вузов. Выпускники остальных учреждений профессионального образования подобных профессиональных компетенций не получают. 

 

Кроме того, молодые специалисты в силу своего возраста более легкомысленны, излишне амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектов угроз.

Обучение рассматриваемой категории новых сотрудников организации осуществляется в два этапа. Первый этап предполагает специальный инструктаж, осуществляемый специалистом службы безопасности, которой должен разъяснить обучаемым:

Ø общие понятия и направления обеспечения безопасности предпринимательской деятельности;

Ø отраслевую специфику обеспечения безопасности в соответствующем секторе экономики;

Ø дополнительные требования в этой области, действующие в конкретной организации.

При этом должны быть решены две связанные друг с другом задачи. Во-первых, обучаемые должны осознать необходимость строгого соблюдения правил обеспечения безопасности, установленных работодателем. Во-вторых, и это является более сложной задачей, обучаемых необходимо убедить в целесообразностисотрудничества со службой безопасности как залога их собственного благополучия. Практика показывает, что большинство Работников любой российской организации крайне неохотно идут на подобное сотрудничество, считая аморальным информирование службы безопасности о соответствующих нарушениях со стороны коллег по работе. Именно поэтому молодым работникам следует в предельно доходчивой форме объяснить возможные последствия этих нарушений для них лично.

ПРИМЕР: Так, в процессе инструктажа сотрудником службы безопасности может быть рассмотрена ситуация по следующей упрощенной схеме. Нелояльный сотрудник передает конкуренту конфиденциальную информацию. Его коллега случайно узнает об этом, но из соображений ложной солидарности скрывает данный факт. Через какое то время виновный сотрудник увольняется из организации, предварительно получив от конкурента соответствующее вознаграждение. Разглашение информации приводит к ухудшению конкурентных позиций работодателя на соответствующем рынке, следствием которого является вынужденное сокращение штата профильного подразделения. Традиционной группой попадающих под сокращение сотрудников в современных условиях являются именно молодые специалисты. В результате, проявивший «солидарность» сотрудник теряет работу со всеми вытекающими для него последствиями.

 

В заключение инструктажа новому сотруднику вручают специальную «памятку», которая, выступая элементом внутреннего нормативно-методического обеспечения системы, содержит:

Ø общие правила обеспечения безопасности организации;

Ø ответственность сотрудника за соблюдение установленных правил;

Ø перечень полномочий службы безопасности по контролю и прямому функциональному руководству соответствующим направлением деятельности персонала;

Ø рекомендации по предотвращению ситуаций, способных сделать работника объектом вербовки и шантажа;

Ø рекомендации по поведению в случае попытки вербовки и шантажа.

На втором этапе первичного обучения занятия с молодыми специалистами проводит их непосредственные руководители в структурных подразделениях. Их задачей является доведение до обучаемых правил обеспечения безопасности на конкретных рабочих местах. Прежде всего, обучение касается правил работы с конфиденциальной информацией, включая закрытые базы данных. По некоторым рабочим местам оно может включать изучение особых правил работы с соответствующими клиентами, дополнительных элементов технологий проведения операций.

Первичная подготовка сотрудников, уже имеющих опыт работы, проводится по сокращенной программе. Она осуществляется на рабочих местах и включает изучение лишь специфических правил обеспечения безопасности в рамках исполняемых служебных обязанностей. Для работников категорий «руководители» и «эксперты» подготовку завершает оформление индивидуального допуска к конфиденциальной информации.

Организация последующей подготовки сотрудников осуществляется службой безопасности в режиме повышения профессиональной квалификации персонала. Формы соответствующей подготовки дифференцируются по следующим его категориям:

Ø для топ-менеджмента она проводится в форме ознакомления со специальными информационно-аналитическими обзорами, ежеквартально направляемыми им за подписью руководителя службы безопасности;

Ø для руководителей структурных подразделений она проводится в форме ежеквартальных встреч с руководителем службы безопасности;

Ø для остального персонала она проводится в форме специального инструктажа, который не реже одного раза в полгода проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.

            

контроль над сотрудниками организации  должен иметь комплексный и непрерывный характер.

Его субъектами вступают:

Ø руководители структурных подразделений;

Ø специалисты службы безопасности и ее внештатные сотрудники в структурных подразделениях;

Ø специалисты частных детективных агентств, приглашенные для проведения служебных расследований.

Объектами контроля являются два аспекта деятельности сотрудников организации:

Ø исполнение ими установленных правил обеспечения информационной безопасности работодателя;

Ø общая лояльность работодателю.

Профилактический контроль (оперативный мониторинг)соблюдения правил обеспечения безопасности работодателя проводится с использованием следующих методов:

Ø плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты;

Ø мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений;

Ø мониторинга ситуации с использованием специальных технических средств наблюдения (например, камер видеонаблюдения).

Сегодня камеры видеонаблюдения стали привычным элементом интерьера любой финансово благополучной компании, уделяющей должное внимание проблеме собственной безопасности. Наряду с контролем над собственными сотрудниками они позволяют защититься и от внешних угроз (акты вандализма со стороны прохожих, проникновение клиентов в закрытые для стороннего доступа помещения, попытки краж и ограблений). Законодательными ограничениями при использовании камер видеонаблюдения выступают:

Ø оповещение об этом сотрудников и посетителей организации (позиции трудовых договоров, таблички на стенах и т.п.);

Ø запрет на использование объективов с диаметром значка менее 0,8 мм;

Ø лицензирование используемого оборудования Гостехкомиссией.

В зависимости от возможностей конкретной организации могут использоваться следующие подходы к использованию рассматриваемого метода защиты:

Ø установка нескольких камер видеонаблюдения в особо защищаемых помещениях;

Ø монтаж системы глобального видеоконтроля, не использующей современных сетевых технологий;

Ø монтаж системы глобального видеоконтроля, использующей видеосервер (т.е. построенной на базе сетевых технологий).

ПРИМЕР: Образцами таких систем являются система DVRagent, разработанная ЗАО «Электронные системы – КО»; цифровая система видеонаблюдения Ewclid;  видеосистема, построенная на основе видеосервера  DIVIKOM LIVE PRO 24

 

Контроль личной лояльности персонала осуществляется службой безопасности в индивидуальном режиме в отношении двух категорий сотрудников.

К первой из них относятся менеджеры, эксперты и рядовые исполнители, занимающие ключевые рабочие места, обеспечивающие доступ к особо конфиденциальной информации. Контроль их лояльности осуществляется в постоянном режиме с использованием уже рассмотренных ранее методов и процедур. Для повышения общей эффективности контроля сотрудников организации, занимающих соответствующие рабочие места необходимо ранжировать по группам риска. В представленной ниже таблице содержится пример подобного ранжирования, применительно к сотрудникам, допущенным к конфиденциальной информации на электронных носителях.

Таблица 21

Дата добавления: 2019-09-13; просмотров: 506; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая20212223242526272829Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.031)