- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
13 Кадровое обеспечение функционирования комплексной системы защиты информации
13.1 Специфика персонала предприятия как объекта защиты
Персонал предприятия является одним из наиболее важных объектов защиты, так как является не только носителем информации с ограниченным доступом, но и источником создания такой информации. Сложность персонала как объекта защиты, заключается не только в отсутствии возможности постоянного контроля его действий, особенно в неслужебное (нерабочее) время, но и в уязвимости с точки зрения возможного подкупа, преследования им корыстных целей, воздействия на него и членов семей с целью шантажа, похищение и т.п. Сложность реализации мер защиты в отношении персонала предприятия обуславливает необходимость постоянного внимания этой задаче.
Основными направлениями работы с персоналом с точки зрения защиты информации с ограниченным доступом являются:
Подбор и расстановка кадров. Осуществляется из двух источников – внутренних перестановок и за счет найма на рынке труда.
Основные методы изучения и отбора персонала:
тестирование;
изучение личных документов, документов об образовании, трудовой деятельности по предыдущим местам работы, рекомендаций, характеристик. Проверка подлинности личных документов и документов об образовании. Изучение и подтверждение полноты и точности сведений, изложенных в анкетных материалах и автобиографии;
проведение конкурсов на замещение вакансий;
аттестование сотрудников предприятия, в целях подтверждения профессиональной квалификации, возможного выдвижения на более высокие должности, для создания резерва кандидатов на продвижение по службе;
проверка с использованием баз учета органов внутренних дел (наличие судимости, нахождение под следствием, в розыске и т.п.);
проверка финансового состояния и кредитной истории.
К основным группам качеств для сравнения кандидатов относятся: профессиональные, образовательные, организационные и личные. Основным требованием при отборе является тщательное изучение деловых, моральных и этических данных каждого кандидата путем глубокого изучения трудового прошлого кандидата.
Юридическое обеспечение. Заключение контракта и получение у сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой и др. тайн, в том числе:
обязанности сохранять в тайне информацию ограниченного доступа, полученную в ходе трудовой деятельности и после прекращения трудовых отношений;
права собственности предприятия на результаты интеллектуальной деятельности работника, созданные в рамках выполнения трудового договора;
обязанности работника возвратить полученные в ходе трудовой деятельности носители информации ограниченного доступа;
обязанность не использовать сведения, составляющие коммерческую тайну предприятия, после смены места работы в ходе трудовой деятельности на других предприятиях;
обязанности выполнять требования по защите информации ограниченного доступа как установленные законодательством, так внутренними правилами и инструкциями предприятия;
обязанности использовать технические средства обработки информации и средства связи (телекоммуникации), принадлежащие предприятию, только в служебных целях.
Договорные (контрактные) обязательства по вопросам защиты государственной тайны определяются в соответствии с Инструкцией, утвержденной постановлением Правительства Российской Федерации 1995 г. № 1050.
Изучение персонала службой безопасности. Осуществляется в рамках закона Российской Федерации от 11 марта 1992 года N 2487-1 «О частной детективной и охранной деятельности в Российской Федерации», а также с учетом конституционных прав и свобод граждан.
Обучение. Осуществляется по двум направлениям – обучение персонала обеспечивающего защиту информации с ограниченным доступом и обучение персонала, использующего в своей работе такую информацию. Основные формы обучения первой группы персонала – вечерняя и заочная в учебных заведениях высшего и среднего профессионального образования, на курсах подготовки, переподготовки и повышения квалификации, на рабочем месте под руководством более опытного работника, стажировки в однопрофильных организациях, инструктажи, конференции и т.п. Основная форма обучения второй группы персонала – проведение занятий, инструктажи – вводный, на рабочем месте, по отдельным вопросам, при выявлении нарушений.
Стимулирование труда. Применяется для поощрения добросовестности и бдительности персонала при выполнении обязанностей по защите информации ограниченного доступа. Основные формы поощрения: материальное, финансовое, моральное, продвижение по службе.
Применение мер дисциплинарной, административной и материальной ответственности. Основные формы: дисциплинарные взыскания, административные штрафы, возмещение материального ущерба, увольнение.
Контроль. Контроль действий персонала по подчиненности, периодический и внезапный контроль подразделением защиты информации, в том числе через доверенных лиц, контроль переговоров по служебным средствам связи, с использованием средств контроля доступа, администрирования, видеонаблюдения. Контроль обученности персонала вопросам защиты информации.
Оценка деятельности. Тесно связана с контролем, стимулированием труда и применением дисциплинарных, административных и других мер воздействия.
Организационно-правовое обеспечение. Разработка внутренних нормативных актов по защите информации ограниченного доступа и изучение ее с персоналом. Анализ и оценка эффективности и достаточности принимаемых мер защиты информации.
Обмен информацией о кадрах с близкими по профилю организациями и контрагентами. Осуществляется службой безопасности предприятия с санкции его руководителя и с учетом законодательства о персональных данных. Сотрудники должны быть убеждены, что при наличии нарушений информация о них может быть направлена по новому месту работы.
Материально-техническое обеспечение персонала по вопросам защиты информации. Заключается в обеспеченности персонала техническими средствами обработки и хранения информации, соответствующими установленным требованиям, наличии необходимого оборудования, расходных материалов, защищенных средств связи и т.п.
Ротация кадров. Является необходимым условием уменьшения рисков, связанных со сговорами и круговой порукой, могущими привести к хищению информации ограниченного доступа или сокрытию фактов ее утраты.
Безопасность персонала. Принятие мер по защите наиболее привлекательных с точки зрения противоправных акций сотрудников предприятия (руководителей и их заместителей, лиц с широкими правами доступа на объекты защиты и к информации, осуществляющих хранение информации и т.п.). Может осуществляться как службой безопасности предприятия (в рамках закона Российской Федерации от 11 марта 1992 года N 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»), так и специализированными охранными фирмами.