- •Понятие и виды защищаемой информации.
- •Государственное регулирование вопросов, связанных с защитой и обработкой конфиденциальных документов.
- •Определение потенциальных каналов и методов несанкционированного доступа к информации.
- •Отнесение сведений к государственной тайне и их засекречивание
- •Принципы добывания и обработки информации техническими средствами.
- •Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций.
- •Лицензирование деятельности юридических лиц в области защиты государственной тайны.
- •Направления, принципы и условия организационной защиты информации.
- •Подготовка конфиденциальных дел и документов для уничтожения.
- •Понятие коммерческой тайны. Правовое обеспечение защиты коммерческой тайны. Сведения составляющие коммерческую тайну.
- •Порядок засекречивания сведений и их носителей.
- •Сущность и задачи комплексной системы защиты информации.
- •Порядок допуска и доступа к государственной тайне.
- •Защита государственной тайны
- •Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.
- •Профессиональная и служебная тайна.
- •Материально-вещественные каналы утечки информации.
- •Учет поступивших конфиденциальных документов.
- •Правовые основы защиты персональных данных.
- •Задачи, функции и ответственность ведомственного архива.
- •Виды угроз безопасности информации, защищаемой техническими средствами.
- •Правовые основы криптографической защиты информации.
- •Подготовка конфиденциальных дел и документов для архивного хранения.
- •Основные составляющие систем тсо: датчики, приборы визуального наблюдения, системы сбора и обработки информации, средства связи, питания и тревожно-вызывной сигнализации.
- •Лицензирование в области технической защиты информации.
- •Конфиденциальное электронное делопроизводство.
- •Организация охраны предприятий.
- •Виды информации, защищаемой техническими средствами.
- •Допуск и доступ к конфиденциальной информации и документам.
- •Принципы организации и этапы разработки комплексной системы защиты информации.
- •Демаскирующие признаки объектов защиты.
- •Организация внутриобъектового и пропускного режимов на предприятиях.
- •Квартальные проверки фактического наличия конфиденциальных документов и носителей.
- •Источники и носители информации, защищаемой техническими средствами.
- •Методы, силы и средства организационной защиты информации.
- •Нерегламентные проверки наличия конфиденциальных документов, дел и носителей.
- •Организация охраны предприятий.
- •Оформление и учет носителей конфиденциальных документов.
- •Виды угроз безопасности информации, защищаемой техническими средствами.
- •Организация подготовки и проведения совещаний и заседаний по конфиденциальным вопросам.
- •Создание дополнительных экземпляров конфиденциальных документов.
- •Классификация и структура технических каналов утечки информации.
- •Защита информации при публикаторской и рекламной деятельности.
- •Организация рабочих мест сотрудников службы защиты информации (рациональное размещение, оснащение оборудованием, техническими средствами).
- •Основные способы и принципы работы средств наблюдения объектов, подслушивания и перехвата сигналов.
- •Организация аналитической работы по предупреждению утечки конфиденциальной информации.
- •Допуск и доступ к конфиденциальной информации и документам.
- •Системный подход к инженерно-технической защите информации.
- •Направления и методы работы с персоналом, обладающим конфиденциальной информацией.
- •Принципы управления службой защиты информации.
- •Основные этапы проектирования системы защиты информации техническими средствами.
- •Потоки конфиденциальных документов. Понятие «Защищенный документооборот».
- •Факторы, влияющие на организацию комплексной системы защиты информации.
- •Принципы моделирования объектов защиты и технических каналов утечки информации.
- •Система доступа к конфиденциальным документам.
- •Определение объектов защиты.
- •Оптические каналы утечки информации.
- •Учет поступивших конфиденциальных документов.
- •Разработка модели комплексной системы защиты информации.
- •Радиоэлектронные каналы утечки информации.
- •Копирование конфиденциальных документов.
- •Сущность и содержание контроля функционирования комплексной системы защиты информации
- •Акустические каналы утечки информации.
- •Создание выписок из конфиденциальных документов.
- •Технологическое и организационное построение комплексной системы защиты информации.
- •Материально-вещественные каналы утечки информации.
- •Создание выписок из конфиденциальных документов.
- •Структура и содержание должностных инструкций сотрудников службы защиты информации.
- •Способы и принципы работы средств защиты информации от наблюдения, подслушивания и перехвата.
- •Прием, предварительное рассмотрение поступивших конфиденциальных документов.
- •Правовые основы использования организационных и технических средств защиты информации.
- •Основные составляющие систем тсо: датчики, приборы визуального наблюдения, системы сбора и обработки информации, средства связи, питания и тревожно-вызывной сигнализации.
- •Формирование конфиденциальных дел.
- •Понятие сертификации по российскому законодательству
- •Отрасли права, обеспечивающие правовое регулирование в сфере защиты информации и охраны интеллектуальной собственности.
- •Оформление конфиденциальных дел.
- •Организация аналитической работы по предупреждению утечки конфиденциальной информации.
- •Способы и принципы работы средств защиты информации от наблюдения, подслушивания и перехвата.
- •Составление и оформление номенклатуры конфиденциальных дел.
- •Задачи и функции службы защиты информации.
- •Технология отправки конфиденциальных документов.
- •Методы, силы и средства организационной защиты информации.
- •Порядок создания службы защиты информации. Организация взаимодействия службы защиты информации и подразделений предприятия и соподчиненных внешних служб защиты информации.
- •Назначение, виды и принципы проведения проверок наличия конфиденциальных документов, дел и носителей конфиденциальной информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Общие и специфические требования, предъявляемые к сотрудникам службы защиты информации. Методы получения информации о кандидатурах на должности.
- •Источники и носители информации, защищаемой техническими средствами.
Определение и нормативное закрепление состава защищаемой информации.
Определение состава защищаемой информации требует, по крайней мере, решения трех задач.
Задача 1. Определение состава информации, ограничение доступа к которой запрещено законодательством, и соответственно вычленение ее из состава защищаемой информации.
Задача 2. Определение состава используемой (полученной) информации, необходимость защиты которой обусловлена причинами, не зависящими от предприятия. Такая информация включает:
государственную тайну;
коммерческую тайну контрагентов;
служебную информацию ограниченного распространения, полученную от органов государственной власти или других организаций;
персональные данные;
различные виды профессиональных тайн (врачебную, нотариальную, адвокатскую и т.п.);
Задача 3. Определение состава информации, необходимость защиты которой обусловлена интересами предприятия. Такая информация включает:
коммерческую тайну предприятия;
служебную информацию ограниченного распространения, обладателем которой является предприятие.
В соответствии со ст. 4 Федерального закона «О коммерческой тайне» «Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации...».
Таким образом, исходя из положений закона и формы собственности предприятия, Перечень утверждается и вводится в действие собственником предприятия (частным предпринимателем, собранием акционеров и т.п.). Перечень доводится до сотрудников предприятия в полном объеме либо в виде выписки. Руководитель предприятия организует проведение систематической работы по анализу и обобщению практики применения Перечня.
По мере необходимости Перечень должен пересматриваться, изменяться и дополняться. В нем может указываться срок, на который те или иные сведения отнесены к коммерческой тайне. Пересмотр Перечня производится при выявлении новых объектов защиты или в связи с наступлением обстоятельств, при которых дальнейшая защита КТ нецелесообразна (появление нового образца, утечка информации и т.п.), в порядке, предусмотренном для формирования Перечня.
Билет № 30
Общие и специфические требования, предъявляемые к сотрудникам службы защиты информации. Методы получения информации о кандидатурах на должности.
Основные требования, предъявляемые к специалисту службы защиты информации
Должен знать:
• законы и нормы РФ, ГТК РФ, ФСТЭК по вопросам защиты информации
• перспективы развития средств защиты информации, методы и средства контроля охраняемых сведений, выявление каналов утечки информации;
• основы криптографии, современные методы систем криптографической защиты информации;
• подсистемы ИБ эксплуатируемой в организации;
• устройство и порядок работ с программными и программно-аппаратными средствами защиты информации;
• перечень сведений ограниченного распространения;
• современные средства вычислительной техники и защиты информации;
• основы менеджмента и основы делопроизводства.
Должен уметь:
• анализировать состояние и перспективы систем защиты информации;
• готовить проекты распорядительных документов (приказы, указания), положений, инструкций, актов и справок, ответов на запросы;
• работать со спецаппаратурой контроля утечки информации;
• работать с программными и программно-аппаратными средствам и защиты информации;
• использовать адекватные способы ведения деловых отношений;
• пользоваться универсальными компьютерными программами.
Цели собеседования с кандидатами на должность:
Выявить реальную причину желания работать в данной фирме;
Выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут провоцировать преступные действия;
Убедиться, что кандидат не намерен использовать в работе секреты фирмы, в которой он раньше работал;
Убедиться в добровольном согласии кандидата соблюдать корпоративные правила защиты информации и иметь определенные ограничения в профессиональной и личной жизни.
С точки зрения безопасности отбор преследует следующие цели:
Выявление имевших ранее места судимостей, преступных связей, криминальных наклонностей;
Определение возможных преступных склонностей, предрасположенности кандидата к совершению противоправных действий, дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;
Установление факторов, свидетельствующих о морально-психологической ненадежности, неустойчивости, уязвимости кандидата и т.д.
Предварительное собеседование
В этой фазе осуществляется предварительная беседа, которая реализуется в нескольких вариантах и может носить как поверхностный, так и углубленный характер. В первом случае в основном ограничиваются уточнением отдельных, наиболее значимых сведений и постановкой нескольких, совершенно конкретных вопросов. Такое собеседование проводится, как правило, в случаях массового отбора кандидатов.
При углубленном же собеседовании выясняется более широкий круг вопросов, в первую очередь, уточняются некоторые личностные особенности, мотивация перехода кандидата на работу именно в данную коммерческую структуру, его профессиональная ориентация и некоторые другие.
Сбор и оценка информации о кандидатах.
На этой стадии формируется первичная, но достаточно углубленная оценка личных и деловых качеств кандидата на работу. При этом для служб безопасности представляется наиболее важным добывание сведений установочно-биографического характера не только на конкретное проверяемое лицо, но и его родственников, а также выявление дружеских и, особенно, конфиденциальных служебных и родственных связей, скрываемых, порой, кандидатом от окружения, или подлинный характер которых искусственно маскируется какими-либо официальными способами и причинами. Подобный подход позволяет резко повысить режим безопасности коммерческой структуры, но только при условии регулярности и тщательности проверок.
В ходе этого этапа на основе анализа документов, представленных кандидатом, а также данных полученных через отдел кадров и службу безопасности (анкета, автобиография, заявление о приеме на работу, листки по учету кадров, рекомендательные письма, сведения о месте проживания и пр.) и результатов предварительного собеседования появляется возможность отсечь те кандидатуры, которые по формальным признакам явно не соответствуют требованиям, предъявляемым к будущим сотрудникам.
Тестовые процедуры и методики проверки кандидатов.
Эта ступень характеризуется, как правило, комплексными психологическими тестированиями. В последнее время значительную популярность приобретают многочисленные методы и процедуры тестирования, поскольку характеризуются быстротой реализации и высокой эффективностью. Каждый из этих методов имеет, конечно, свои ограничения, нарушения которых способны серьезно исказить полученные результаты. Следует при этом особо отметить, что многие тесты, рекомендуемые даже известными научными центрами, составлены все же весьма кустарно и не выдерживают критики. Кроме того, далеко не все методики могут быть рекомендованы к использованию лицами, не имеющими специальной подготовки.
Исследование результатов тестирований.
В этой фазе осуществляется обработка, интерпретация и комплексный анализ результатов тестирований. В работе кадровых подразделений и служб безопасности коммерческих структур данный этап является наиболее ответственным, поскольку именно от него зависит успех всей предшествующей работы. В настоящее время в ведущих московских коммерческих банках обработка подобных материалов осуществляется в основном на ЭВМ, что существенно ускоряет этот процесс и позволяет избегать ошибок и неточностей, снижает вероятность субъективных оценок.
Заключительное собеседование.
Итоговое собеседование является основным содержанием заключительной фазы работы с кандидатом. Как показывает опыт, именно на данном этапе, как это ни удивительно, сотрудники кадровых аппаратов и даже руководители коммерческих структур допускают наибольшее количество ошибок. Их главная причина кроется в том, что к самому факту собеседования относятся, как правило, формально. Имеется в виду то особое обстоятельство, что к данному моменту решение либо уже в целом принято, либо сформировано примерно на 90 процентов. Именно поэтому заключительная беседа с кандидатом сводится зачастую к уточнению лишь некоторых второстепенных вопросов и, порой, к окончательному согласованию отдельных пунктов трудового договора (контракта).
Годовая проверка наличия конфиденциальных дел.
Годовая проверка наличия дел должна проводиться после подшивки в дела истекшего года всех поступивших и изданных за этот год документов и после закрытия дел (просчета листов, составления заверительной надписи дела, его прошивки и опечатывания). Если отдельные документы требуют длительного исполнения и поэтому не могут быть подшиты в дела, то их следует перерегистрировать в журнал учета документов следующего года с целью закрытия соответствующего дела за истекший год, однако по документам постоянного срока хранения такая перерегистрация может допускаться как исключение. Для проверки наличия всех дел, зарегистрированных в истекшем и предыдущих годах, привлекаются дела и номенклатуры дел за соответствующие годы. На обложке дела и в номенклатуре проверяется соответствие индекса (номера) дела, номера тома дела, количества листов в томе. Кроме того, в делах, зарегистрированных в истекшем году, проверяется соответствие данных о количестве листов на обложке дела и в заверительной надписи. Для проверки наличия всех документов выделенного хранения, зарегистрированных в истекшем и предыдущих годах, привлекаются документы и журнал учета документов выделенного хранения. В документе и журнале проверяется соответствие учетного номера, номеров экземпляров, количества листов в экземпляре (в документе количество листов - по заверительной надписи, если не проставлено на обложке, если проставлено, то по заверительной надписи только в документах, зарегистрированных в истекшем году). Годовая проверка наличия учетных журналов (картотек) должна проводиться после выверки и закрытия журналов (картотек) учета носителей (при погодном их учете), изданных и поступивших за истекший год документов. В ходе выверки осуществляется проверка наличия округлений (закрытия) всех регистрационных номеров (снятия носителей и документов с учета по данным регистрационным номерам) и проверка наличия карточек в картотеке отработанных документов. При этом если отдельные документы и носители перерегистрированы в журналы учета следующего года, то в журналах учета документов (носителей) текущего и следующего годов проверяется соответствие учетных данных, а на документе (носителе) - наличие нового учетного номера. Правильность отметок о перерегистрации в журнале текущего года заверяется подписями проверяющих, а в журнале следующего года рядом с номером документа (носителя) проставляется отметка о проверке правильности регистрационных данных. В закрываемых учетных формах после последнего регистрационного номера в журнале или на отдельной карточке, помещаемой в конце картотеки, производится запись: "Все учетные номера журнала (картотеки) закрыты и проверены", заверяемая подписями проверявших с проставлением даты. При наличии незакрытых учетных номеров выявляются причины и принимаются меры по закрытию. Для проверки наличия всех учетных журналов (картотек), заведенных в истекшем и предыдущих годах, привлекаются журналы (картотеки) и номенклатура дел. В журнале и номенклатуре проверяется соответствие учетного номера, номера тома (при наличии двух и более томов), количества листов (в журнале - по заверительной надписи). В картотеке и номенклатуре проверяется соответствие учетного номера, количества карточек (в картотеке по последнему номеру карточки). Даты проверок проставляются в номенклатуре дел рядом с индексом (номером) дела (журнала, картотеки), в журнале учета документов выделенного хранения - рядом с номером документа. Выявление отсутствующих дел, документов и журналов производится путем выверки дат проверок и подписей о снятии их с учета. По результатам годовой проверки составляется акт по следующей форме: наименование предприятия, наименование должности руководителя предприятия, инициалы рук-ля, дата, номер акта, год, Дата проведения проверки.
- фактического наличия всех дел и документов выделенного хранения, зарегистрированных в истекшем и предыдущих годах (без просчета листов); - фактического наличия учетных журналов (картотек), зарегистрированных в истекшем и предыдущих годах (без просчета листов, карточек); - закрытия всех регистрационных номеров в журналах (картотеках) учета изданных, поступивших документов и носителей, зарегистрированных в истекшем году.