- •Лекция
- •Состав участников по защите информации
- •Совет (Техническая комиссия) министерства, ведомства органа государственной власти субъекта РФ
- •Основные задачи Совета:
- •Подразделение по защите информации в министерствах и ведомствах, в органах государственной власти субъектов
- •Основные функции подразделения по защите информации:
- •Подразделение по защите информации на предприятии (в учреждении, организации)
- •Основные функции подразделения по ЗИ:
- •Основные функции службы безопасности
- •6.Изучение всех сторон коммерческой, производственной, финансовой и другой деятельности для выявления и закрытия
- •10.Организация и регулярное проведение учебы сотрудников предприятия и службы безопасности по всем направлениям
- •Основные задачи службы безопасности
- •Основные этапы построения службы безопасности
- •Типовая структура службы безопасности
- •Совет по безопасности фирмы
- •Вариант структуры совета по безопасности
- •Требования к уровню подготовки руководителя службы безопасности
- •Подготовленный специалист обязан:
- •Вариант структуры СБ организации
- •Отдел (группа) режима и охраны
- •Отдел (группа) защиты информации
- •Функции руководителя отдела ЗИ
- •Вариант структуры отдела ЗИ
- •Подразделение инженерно-технической ЗИ
- •Подразделение программно-аппаратной защиты информации
- •Информационно-аналитическое подразделение
- •Инженерно-техническая группа
- •Группа безопасности внешней деятельности
- •Режимы деятельности системы безопасности
- •Нештатные структуры СБ
- •Система контроля деятельности организаций по вопросам ЗИ
- •Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты
- •Инспекционный контроль за сертифицированными средствами защиты информации осуществляют органы,
- •Государственный контроль и надзор, инспекционный контроль за проведением аттестации объектов информатизации проводится ФСТЭК
- •Государственный контроль и надзор за соблюдением правил аттестации включает
- •В случае грубых нарушений органом по аттестации требований стандартов или иных НМД по
- •Решение о приостановлении или аннулировании действия «Аттестата соответствия» принимается в случае, когда в
- •Сцелью своевременного выявления и предотвращения утечки информации по техническим каналам, исключения или существенного
- •ПЕРИОДИЧНОСТЬ ПРОВЕДЕНИЯ РАБОТ
- •Типовые нарушения по организации защиты информации
Отдел (группа) защиты информации
Для организации и обеспечения эффективного функционирования системы ЗИ.
Основные задачи:
организация работ по защите документальных материалов;
разработка и организация защиты автоматизированных системы обработки информации и электронного документооборота;
распределение между пользователями необходимых реквизитов защиты;
обучение пользователей автоматизированных систем правилам безопасной обработки информации;
принятие мер реагирования на попытки НСД и нарушения правил функционирования системы защиты;
тестирование системы защиты и контроль за ее функционированием;
устранение слабостей в системе защиты и совершенствование механизмов обеспечения безопасности;
аудит.
Функции руководителя отдела ЗИ
выработка политики обеспечения защиты информации и обеспечение ее реализации;
ответственность за функционирование службы защиты информации и обеспечение защиты конфиденциальной информации;
осуществление планирования и непосредственное руководство работой ОЗИ, нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка;
личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании;
разработка планов действий в чрезвычайных ситуациях, проведение регулярной учебы с подчиненными;
руководство проведением служебных расследований;
организация взаимодействия ОЗИ с другими подразделениями;
разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую;
организация разработки рекомендаций по совершенствованию функционирования системы защиты информации;
выполнение функции юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации.
Вариант структуры отдела ЗИ
Подразделение конфиденциального делопроизводства
Обработка (получение, классификация, учет, рассылка ) и хранение конфиденциальных документов.
Контроль системы конфиденциального документооборота
Подразделение инженерно-технической ЗИ
Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здания и помещения.
Установка и эксплуатация средств защиты технических каналов утечки информации при работе ЭВМ, средств связи, других приборов и офисного оборудования, при проведении совещаний, беседах с посетителями и сотрудниками.
Установка и эксплуатация средств защиты помещений от визуальных способов технической разведки.
Установка и эксплуатация средств обеспечения охраны территорий, зданий, помещений.
Правильная эксплуатация средств противопожарной охраны.
Установка и эксплуатация технических средств и проведение мероприятий, предотвращающих вынос персоналом из помещений документов, дискет, дисков и других носителей информации.
Подразделение программно-аппаратной защиты информации
Предотвращение несанкционированного доступа (НСД) к информации.
Предотвращение утечки информации за счет ПЭМИН.
Защита информации от компьютерных вирусов.
Защита информации от сбоев в системе питания.
Защита от копирования.
Программная защита каналов передачи данных.
Информационно-аналитическое подразделение
сбор и оперативное использование информации по гражданскому, уголовному и хозяйственному законодательству;
подготовка и анализ заключаемых договоров, а также подготовка рекомендаций по вопросам правовой защиты от противоправных действий;
сбор, накопление, обработка, анализ и выдача информации о возможных клиентах и партнерах, перспективах сотрудничества;
работа с вкладчиками, акционерами, финансовыми брокерами и дилерами с использованием методов экономической разведки;
подготовка и проведение рекламных кампаний;
сбор и анализ коммерческой информации, в явном или неявном виде присутствующей в средствах массовой информации;
сбор информации по конкурирующим фирмам, а также составление психологических портретов их лидеров;
разработка концепции стратегического развития организации, подготовка, экспертиза и реализация отдельных организационно-финансовых проектов и технологий;
сбор информации о процессах, происходящих в криминальных структурах, о криминогенной обстановке в районе деятельности фирмы;
выработка рекомендаций и мер противодействия преступным посягательствам, направленным против банка (фирмы) и их сотрудников.
Инженерно-техническая группа
Основная задача обеспечение безопасности деятельности предприятия с помощью технических средств защиты.
Аименно:
определение границ охраняемой (контролируемой) территории (зоны) с учетом возможностей технических средств;
определение номенклатуры технических средств, используемых для передачи, приема и обработки конфиденциальной информации в пределах охраняемой (контролируемой) территории (зоны);
обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;
выявление и оценки степени опасности технических каналов утечки информации;
разработка мероприятий по ликвидации (локализации) установленных каналов утечки информации организационными, организационно-техническими или техническими мерами, используя для этого физические, аппаратные и программные средства и математические методы защиты.
Группа безопасности внешней деятельности
Сотрудники группы безопасности внешней деятельности разрабатывают и проводят специальные мероприятия по изучению окружения объекта (конкуренты, посетители, клиенты и т.д.).
Основные задачи:
изучают торгово-конъюнктурные ситуации в сфере деятельности учредителей, партнеров, клиентов и потенциально возможных конкурентов;
проводят ситуационный анализ текущего состояния финансово-торговой деятельности с точки зрения прогнозирования возможных последствий, могущих привести к неправомерным действиям со стороны конкурирующих организаций и предприятий;
собирают и обрабатывают сведения о деятельности потенциальных и реальных конкурентов для выявления возможных злонамеренных действий по добыванию охраняемых сведений;
определяют возможные направления и характер противоправных действий со стороны специальных служб, промышленного шпионажа против предприятия, его партнеров и клиентов;
ведут учет и анализ попыток несанкционированного получения коммерческих секретов конкурентами;
определяют платежеспособность юридических и физических лиц, их возможности по своевременному выполнению платежных обязательств.
Режимы деятельности системы безопасности
Нештатные структуры СБ
С целью более широкого охвата и качественного исполнения требований защиты коммерческой тайны решением руководства и службы безопасности могут создаваться отдельные комиссии, выполняющие определенные контрольно-ревизионные функции на временной или постоянной основе, в том числе:
квартальные или годовые комиссии по проверке наличия, состояния и учета документов (материалов, сведений, ценностей);
комиссия по оценке возможностей публикации периодических документов, объявлений, проспектов, интервью и других выступлений в печати, на радио и телевидении, семинарах, симпозиумах, конференциях и т.п.;
периодические проверочные комиссии для проверки знаний и умения выполнять требования нормативных документов по защите банковской тайны, а также для оценки эффективности и надежности защитных мероприятий по обеспечению безопасности;
специальные группы по аудиту безопасности организации.