- •16. Виды моделей, применяемых при построении ксзи
- •17.Архитектура моделей ксзи
- •18.Моделирование объекта защиты
- •19. Моделирование угроз безопасности информации.
- •20. Организационная модель ксзи
- •21.Структурная модель ксзи
- •22.Функции по защите информации Руководителя предприятия
- •23.Состав и функции по защите информации Cпециальных комиссий:
- •1. Совет по безопасности
- •2. Кризисная группа
- •3. Экспертная комиссия
- •4. Аттестационная комиссия
- •5. Комиссии по проведению проверочных мероприятий
- •6. Комиссии по проведению служебных расследований
- •24.Состав и функции по защите информации Структурных подразделений предприятия
- •25. Кадровое обеспечение функционирования ксзи .
- •1.Поиск и отбор персонала.
- •2.Текущая работа с персоналом.
- •26. Подбор и обучение персонала.
- •27. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •28. Материально-техническое обеспечение ксзи
- •29. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •30. Организация и особенности управления ксзи
- •31. Календарно-плановое руководство
- •32.Понятие и задачи планирования. Способы и стадии планирования
- •33. Виды и задачи контроля в ксзи
- •34. Особенности управления в случае возникновения чрезвычайных ситуаций
- •35. Основные подходы к оценке эффективности ксзи
25. Кадровое обеспечение функционирования ксзи .
1.Поиск и отбор персонала.
Специфика персонала как объекта защиты – это и источник, и носитель, т.е. самый сложный элемент при анализе и создании КСЗИ (изменяется под влиянием внешних и внутренних факторов). Методы анализа: 1.анализ при отборе на работу.
2.анализ в процессе производственной деятельности.
3.Научное направление по изучению человека, оценка индивидуума (психологические тесты и т.д.).
С точки зрения интересов организации и задач ЗИ человек может выступать в ролях:
1.Источник-создательновой И
2.Источник-обладательИ
3.Носитель(транспортное средство передачи И от обладателя к получателю).
4.Защитник– исполнитель функций по ЗИ.
5.Злоумышленник– осознанно, неосознанно. Либо возможна комбинация ролей.
2.Текущая работа с персоналом.
Текущая работа с персоналом, обладающим конфиденциальной информацией, включает в себя:
2.1.Обучение, инструктажи: изучение объектов защиты, знакомство с существующей КСЗИ.
2.2. Воспитательная работа (цель – воспитание лояльных сотрудников). Инструмент воспитания – мотивирующие факторы (материальные – з/п, штрафы, премии; моральные – ласковое слово, благодарность публичная, грамоты, выговор..; соц.-психологические – гарантия занятости, престиж организации, условия труда, рабочий климат в коллективе; социально-экономический стимул – оказание помощи в обеспечении жильем, помощь в медобслуживании, путевки, проезд, корпоративные мероприятия).
2.3. Организация контроля за выполнением персоналом требований по защите конфиденциальной информации(проверка наличия КД, проверка исполнения требований защищенного документооборота); контрольная работа по изучению степени осведомленности персонала в области конфиденциальных работ фирмы; контроль КПР и ВОР; периодическое изучение личных дел; проверка на факторы, благоприятствующие вербовке.
Формы контроля1)создание учета СУБД 2)адаптация сотрудников 3)отчеты руководителей о своих структурных подразделениях 4)соблюдение сотрудниками требования по ЗИ, проверки, комиссии 5)самоконтроль сотрудников.
Аттестация Аттестация сотрудников(наиболее эффективный способ оценки деятельности человека) – коллективная форма оценки профпригодности и соответствия занимаемой должности и возможности продвижения по службе.
Приказом руководителя создается аттестационная комиссия: представители СБ, начальник ОК
при аттестации оценивается: 1)знание нормативных документов по ЗИ 2)умение их применить 3)отсутствие нарушений по работе с КД 4)умение общения со сторонними лицами их раскр. секреты.
по результатам аттестации – указ распоряжение (рекомендации к повышению з\п, рекомендации к повышению должности\перемещению (несоответствие должности), отстранение сотрудника от тайн фирмы.
2.4.Увольнение(с соблюдением трудового законодательства). Увольнение по собственному желанию: 1)выяснить причины увольнения (беседа, сбор информации – определение недостатков предприятия) 2)выяснить будущее место работы 3)выявить мотивацию сотрудника (уровень лояльности на момент увольнения) 4)выявить объем известной КИ (с кем\чем работал) 5)устранить возможное решение (принять меры нейтрализации – разработать план в случае разглашения) 6)проведение спец.инструктажа о неразглашении + расписка, напомнить об ответственности 7)отслеживание дальнейшей судьбы уволившегося.
Увольнение по инициативе администрации: 1)некомпетентность 2)профнепригодность 3)сокращение 4)безалаберность, безответственность 5)несовместимость с коллективом 6)разногласия с руководителем\сотрудниками 7)нарушение нормативно-организационных правил 8)нарушение закона. Необходимо открытое информирование коллектива и причинах увольнения, извещение всех, что он больше не работает(предупреждение в том числе партнеров).
При увольнение необходима своевременная блокировка допуска к КИ, изъять КИ, сменить пароли, изъятие пропусков, ключей.
Методы увольнения(не противоречащих КЗОТу):
1)с недопущением к рабочему месту
2)обычное увольнение
3)перевод в другой отдел\филиал
4)перевод в другую фирму
5)контакт с рабочим после увольнения
6)компромат (распространение компрометирующих данных в профессиональное среде).
2.5. Служебное расследование.
Служебное расследование:
гласный сбор\документирование информации относящейся к событию;
осмотрслужебных помещений и рабочих мест;
опроссотрудников, знающих лиц.
Комиссия назначает председателя, планирует конкретные мероприятия (сроки, порядок)
Причины расследования:
1.утрата носителей.
2.грубое нарушение правил по ЗИ.
3.разглашение.
Проведение расследования.
В ходе следствия устанавливается:
1)имело ли место событие
2)обстоятельства события
3)наличие отрицательных последствий
4)характер и размер ущерба
5)установление виновного
6)причины и условия способствовавшие событию
7)наличие обстоятельств смягчающиъ\отягчающих ответственность виновного.
Завершение расследования:
Заключение руководителю содержит:
1)основание для разбирательства
2)должности, ФИО сотрудников проводивших расследование
3)данные лиц, на которых проводилось расследование
4)аргументированные ответы\вопросы
5)предложения (выводы)
направление результатов расследования в правоохранительные органы
прекращение расследования.
Руководитель может отправить на дорасследование.