Файл: Занятие 3 организационноправовое и кадровое обеспечение системы информационной безопасности.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 09.01.2024
Просмотров: 93
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Организация работы с документами
34
3. Организация работы с конфиденциальной информацией
Организация
работы
с
документами
включает
организацию
разработки и использования документов и носителей конфиденциальной
информации, их учет, исполнение, возврат, хранение и уничтожение
Доступ
граждан к сведениям (информации), в установленном порядке,
отнесенным
к коммерческой тайне
,
осуществляется в соответствии со
статьями 7 и 10 Федерального закона РФ «О коммерческой тайне»
Организационные мероприятия, обеспечивающие защиту
документальной информации
:
-
документирование информации;
-
учет документов и организация документооборота;
-
обеспечение надежного хранения документов;
-
проверка наличия, своевременности и правильности их исполнения;
-
своевременное уничтожение документов
Организация использования
технических средств
35
4. Организация использования технических средств приема,
обработки, передачи и защиты конфиденциальной информации
Организация использования технических средств включает
:
-
организацию сбора, обработки, накопления, хранения и передачи
конфиденциальной информации;
-
использование в работе сертифицированных технических и
программных средств, установленных в аттестованных помещениях;
-
организацию регламентированного доступа пользователей к работе
со средствами компьютерной техники, связи и в хранилище (архив)
носителей конфиденциальной информации
Принципы обеспечения информационной безопасности на основе
использования технических средств
:
-
ликвидация (ослабление) канала утечки информации;
-
исключение возможности перехватывать информацию
Организация аналитической работы по оценке
состояния информационной безопасности
36
5. Организация аналитической работы по оценке состояния
информационной безопасности
Анализ состояния защиты информации
– это комплексное, органически
взаимосвязанное изучение фактов, событий, процессов, явлений, связанных с
проблемами защиты охраняемой информации; исследование данных проблем
путем обработки информации о состоянии работы по выявлению возможных
каналов утечки информации, о причинах и обстоятельствах, способствующих
утечке и нарушениям режима секретности (конфиденциальности) в ходе
повседневной деятельности предприятия
Назначение аналитической работы
– выработка эффективных мер,
предложений и рекомендаций руководству предприятия, направленных на
недопущение утечки сведений с ограниченным доступом о деятельности
предприятия и проводимых работах
Направления аналитической работы на предприятии
:
-
анализ объекта защиты;
-
анализ внутренних и внешних угроз;
-
анализ
возможных
каналов
несанкционированного
доступа
к
информации;
-
анализ системы комплексной безопасности объектов;
-
анализ имеющих место нарушений режима конфиденциальности
информации;
-
анализ предпосылок к разглашению информации, а также к утрате
носителей конфиденциальной информации и т.д.
Организация работы по проведению систематического
контроля состояния информационной безопасности
37
6. Организация работы по проведению систематического контроля
состояния информационной безопасности
Контроль
– целенаправленная деятельность руководства и
должностных лиц предприятия по проверке состояния защиты
конфиденциальной информации в ходе его повседневной деятельности
при выполнении предприятием всех видов работ
Контроль состояния информационной безопасности на предприятии
организуется и проводится с целью
определения истинного состояния
дел по вопросам защиты информации, оценки эффективности
1 2 3
принимаемых для исключения утечки информации мер, выявления
возможных каналов утечки сведений, выработки предложений и
рекомендаций
руководству
предприятия
по
совершенствованию
комплексной системы защиты информации
возможных каналов утечки сведений, выработки предложений и
рекомендаций
руководству
предприятия
по
совершенствованию
комплексной системы защиты информации
Четвертый учебный вопрос
38
КАДРОВОЕ ОБЕСПЕЧЕНИЕ
СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Кадровое обеспечение
системы информационной безопасности
39
Кадровое обеспечение СИБ
– это процесс предотвращения
нанесения ущерба предприятию, владельцам или пользователям
информации за счет рисков и угроз, связанных с персоналом, его
интеллектуальным потенциалом и трудовыми отношениями в
целом
Цель кадрового обеспечения СИБ
– полное обеспечение СИБ
работниками соответствующей квалификации, отвечающими
установленным требованиям и обеспечивающими эффективное
противодействие угрозам АИС на всех уровнях
Задачи кадрового обеспечения
системы информационной безопасности
40
Задачи кадрового обеспечения
системы информационной безопасности
:
1.
Определение, планирование и прогнозирование потребности в кадрах
СИБ
2.
Выработка требований к кадрам и объективная оценка их личных и
деловых качеств
3.
Подбор и расстановка кадров в СИБ
4.
Организация подготовки, переподготовки и повышения квалификации
кадров
5.
Совершенствование материального и морального стимулирования
кадров СИБ
Кадровое обеспечение
системы информационной безопасности
41
Система кадрового обеспечения СИБ
Подготовка кадров
Подбор кадров и работа
с кадрами
Профессиональная
этика специалиста ИБ
Система подготовки кадров:
1. Учебные заведения
2. Центры подготовки
3. Коммерческие организации,
осуществляющие подготовку и
переподготовку
4.
Подготовка в организации
1. Государственные
образовательные стандарты
2. Компетенции специалиста ИБ
3. Учебные планы
4. Учебные программы
5. Профессорско-
преподавательский состав
6. Учебная и методическая
литература
7. Программы повышения
осведомленности
8. Системы дистанционного
обучения
9. E-learning
системы
Система подбора кадров:
1. Руководство организации
2
. Служба безопасности организации
3
. Кадровый орган организации
4
. Кадровые агентства (рекрутинг)
Система формирования
профессиональной этики:
1. Руководство организации
2
. Служба безопасности
организации
3
. Сотрудники организации,
занимающиеся обеспечением ИБ
1. Методики подбора специалистов
в области ИБ
2. Методики тестирования
3. Методики оценки уровня
профессиональной пригодности
1. Морально-этические нормы
человека и гражданина
2. Морально-этические нормы
специалиста в области ИБ
3. Кодекс профессиональной этики
специалиста в области ИБ
Н А П Р А В Л Е Н И Я
С И Л Ы
С Р Е Д С Т В А
E-learning
системы – системыобучения при помощи информационных и электронных технологий
Уровни подготовки кадров
42
Уровни подготовки кадров
:
-
подготовка молодых специалистов на базе школьного образования
(срок обучения – 5 - 5,5 лет);
-
подготовка специалистов на базе среднетехнического образования
через колледж на базе 9 классов (срок обучения – 2 - 2,5 года);
-
подготовка специалистов по информационной безопасности на базе
высшего технического образования (срок обучения – 4 - 5 лет);
-
переподготовка кадров на краткосрочных курсах повышения
квалификации специалистов и руководителей подразделений (срок
обучения – 2 - 4 недели);
-
подготовка специалистов высшей квалификации через аспирантуру и
защита диссертационных работ в специализированных советах
Организация обучения сотрудников по вопросам
защиты коммерческой тайны
43
Обучение
– практическая подготовка, тренировка или учеба по
вопросам защиты коммерческой тайны и обеспечения безопасности
фирмы, позволяющее достичь следующей
цели
-
работники фирмы
становятся более грамотными и умелыми в этом вопросе, что помогает
решить
задачи
:
-
предотвратить утечку информации по причине небрежности;
-
эффективно выполнять текущие задачи;
-
решать новые и более сложные задачи;
-
противостоять фактам промышленного шпионажа и др.
Формы подготовки, переподготовки или повышения
квалификации по вопросам обеспечения ИБ
44
Обучение без отрыва от производства
(обучение с использованием
внутренних ресурсов)
Методы обучения: инструктаж, ротация, ученичество и наставничество
Обучение с отрывом от работы в специализированных учебных
заведениях
,
центрах подготовки кадров (обучение с использованием
внешних ресурсов)
Методы обучения: лекции, семинары, практические занятия, деловые
игры, тренинги, самообучение
Основными
формами
повышения
квалификации
являются:
производственно-технические курсы, школы по изучению передовых
методов труда, курсы по овладению вторыми и совмещаемыми
профессиями и специальностями, институты и факультеты
повышения квалификации и др.
Основными
формами переподготовки
являются:
-
семинары (вебинары);
-
краткосрочные учебные курсы продолжительностью до 1-2 месяцев;
-
среднесрочные учебные курсы продолжительностью от 6 месяцев до
1-2
лет
Подбор кадров и работа с кадрами
45
Отбор
– это процесс, с помощью которого организация выбирает из
ряда заявителей одного или нескольких, наилучшим образом
подходящих под критерии отбора на вакантное место
Критерии
отбора
устанавливает
менеджер
соответствующего
профиля
Для работников производства критерии отбора определяет начальник
соответствующего профиля
Группы требований для подбора сотрудников
:
-
образовательные;
-
профессиональные;
-
организационные;
-
личностные
Подбор кадров и работа с кадрами
Организационные мероприятия
кадровой работы
46
-
тестирование кандидатов;
-
принятие на работу по рекомендациям;
-
заключение с сотрудником договора о сохранении коммерческой
тайны;
-
формирование
и
поддержании
оптимального
социально-
психологического климата в коллективе;
-
повышение квалификации сотрудников;
-
обязательное ознакомление сотрудников под роспись с правилами и
процедурами работы с конфиденциальной информацией в организации;
-
разработка и внедрение программы обучения сотрудников
психологически правильным и грамотным действиям во внештатных
ситуациях (пожар, стихийное бедствие и др.);
-
материальное и моральное стимулирование работы сотрудников;
-
создание и поддержание в коллективе атмосферы персональной
ответственности за совершенные поступки и неотвратимости наказания за
нарушения режима и требований информационной безопасности;
-
повышение правовой грамотности персонала
Организационные мероприятия
кадровой работы
Пятый учебный вопрос
47
ПРОФЕССИОНАЛЬНАЯ ЭТИКА
Профессиональная этика
48
Профессиональная этика
– понятие, которое определяет
некоторые нормы поведения специалиста при осуществлении им
своих служебных обязанностей
Профессиональную этику обычно принято рассматривать как
конкретизацию общих норм нравственности к специфическим
условиям того или иного вида деятельности
Кодекс профессиональной этики специалиста
в области информационной безопасности
49
1.
Ориентир на «лучшие этики»
:
Поддерживать внедрение и поощрять соблюдение соответствующих
стандартов и процедур для эффективной работы руководства и
управления
корпоративными
информационными
системами
и
технологиями, включающими: аудит, контроль, безопасность и управление
рисками
2.
Обеспечение объективной и качественной работы
:
Выполнять свои обязанности ответственно, с должной аккуратностью
и профессиональным вниманием, в соответствии с профессиональными
стандартами
3.
Предоставление
необходимой
информации
руководству
организации, обеспечение профессиональной этики
:
Законным образом служить интересам защиты конфиденциальной
информации, сохраняя при этом высокие стандарты социальной и
профессиональной этики
4.
Обеспечение конфиденциальности информации
:
Сохранять
целостность
и
конфиденциальность
информации,
полученной в ходе профессиональной деятельности, за исключением
случаев, когда раскрытие конфиденциальной информации определено
действующим законодательством