- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Кадровое обеспечение функционирования ксзи: определение кадрового состава.
Понимая ведущую роль кадров в сохранении секретов, руководителям предприятия важно помнить, какие личные качества человека не способствуют сохранению доверенной ему тайны. То есть причины нарушения безопасности информации связаны с психологическими особенностями человека, его личными качествами, следовательно, и способы предотвращения перечисленных нарушений вытекают из анализа побудительных мотивов: тщательный подбор персонала, подготовка персонала, поддержание здорового рабочего климата, мотивация и стимулирование деятельности сотрудников.
При подборе кадров необходимо ориентироваться не только на отдельные характеристики психики, а на черты личности как ее системные свойства. Выделим наиболее результативные методы изучения личности:
— изучение жизненного пути личности;
— изучение мнения коллектива, в котором работает личность;
— изучение ближайшего окружения личности;
создание ситуации, наиболее подходящей для проявления профессионально важных качеств и свойств;
изучение высказывания личности о собственной роли в делах коллектива.
К качествам, соответствующим работе в таких условиях, относятся: честность, добросовестность, принципиальность (строгое следование основным правилам), исполнительность, пунктуальность, дисциплинированность, эмоциональная устойчивость (самообладание), стремление к успеху и порядку в работе, самоконтроль в поступках и действиях, правильная самооценка собственных способностей и возможностей, осторожность, умение хранить секреты, тренированное внимание и неплохая память.
Качества, не способствующие сохранению доверенной тайны: эмоциональное расстройство, неуравновешенность поведения, разочарование в себе, отчужденность от коллег по работе, недовольство своим служебным положением, ущемленное самолюбие, эгоистичные интересы, нечестность, употребление наркотиков и алкоголя, постепенно разрушающих личность.
ИЛИ
Сначала необходимо планирование отбора, затем подразделениями, где есть вакансии, составляется заявка, в которой указывается число необходимых специалистов, их должностные обязанности, квалификационные требования(опыт, образование, навыки и пр.), желательные личностные качества, описывается система стимулирования труда. Подготавливается пакет документов: должностная инструкция будущего сотрудника, перечень конфиденциальной информации, с которой будет работать сотрудник, трудовой договор с пунктами о неразглашении, опросные материалы(анкета).
После чего начинается поиск сотрудников, привлечение через рекламу различного рода(внешний поиск) либо поиск внутри предприятия.
По мере поступления кандидатов происходит предварительное собеседование, для того что бы отсеять совершенно неподходящие кандидатуры. При таком собеседовании собирается первичная информация(коммуникабельность, стремление сотрудничать и пр.). Если этот этап (первоначальное знакомство) проходит удачно – претендентам предлагается написать стандартные сведения о себе(анкету). Анализ анкетных данных позволяет выявить не только соответствие образования заявителя минимальным квалификационным требованиям, соответствие практического опыта характеру деятельности, но и некоторые психологические особенности претендента.
;принести пакет стандартных документов: паспорт, трудовую книжку, диплом об образовании, ИНН, страховой полис, пенсионное удостоверение, военный билет, мед. полис, различные сертификаты, документы, подтверждающие ученые степени, патенты и т.д. Особенностью отбора для работы с КИ – запрос автобиографии.
После чего начинается анализ полученной документации, проверка подлинности(достоверности): поиск наличия исправлений, правильность проставления печати(реквизитов), достоверность печати, проверяются все документы и сопоставляются данные для выявления возможных противоречивостей. Из тех претендентов, чьи документы прошли проверку удачно, составляется общая база данных, при этом проверяются черные списки партнеров(из тех, что не прошли ранее составляются свои черные списки, рассылаются партнерам). Проверка - минимальный состав проверочных мероприятий – опрос знающих лиц, проверка по БД МВД, проверка по БД медучреждений(психушка, наркодиспансер). Затем, для тех кто прошел проверку идет серия собеседований(со специалистами отдела кадров, с руководителем структурного подразделения, с сотрудниками службы безопасности), на них решаются вопросы, возникшие при анализе документов, специалисты инструктируют о деятельности(условия, вознаграждения, режим, ознакомление с должностной инструкцией и пр.). На этих этапах также происходит отсев неподходящих кандидатов на вакансию(по мнению специалистов, по желанию претендента).
После успешного прохождения собеседований, от отобранных желающих принимается пакет дополнительных документов: характеристика с прежнего места работы, рекомендательные письма. После получения документов наводятся справки у руководителей с предыдущих работ, проверяются отзывы и рекомендации , сбор отзывов, запросы в различные органы.
При отборе персонала одной из главных частью является проведение проверочных мероприятий, необходимо учитывать, что при выборе претендентов для работы с конфиденциальной информацией, важно оценить не только интеллектуальные способности, но и личные качества. Для этого проводят ряд мероприятий с разными специалистами.
После таких проверочных мероприятий остается, как правило, небольшое количество претендентов на должность. Собирается комиссия для вынесения решения. Комиссия состоит из разных специалистов для более детальной оценки, объективного решения. После того, как кандидат выбран, с ним проводят заключительное собеседование, где оговариваются порядок работ, проводится инструктаж, более детальное ознакомление с деятельностью. Особенность при отборе на работу с КИ – знакомство с Перечнем. Обсуждается, составляется, подписывается трудовой договор с испытательным сроком, обязательно подписывается обязательство о неразглашении(либо пункт в договоре, отдельный договор, обязательство).Составляется/подписывается приказ о приеме на работу нового сотрудника. Работник знакомится с приказом; нового сотрудника вносят в табель учета, штатное расписание, рассчитывают з/п. Заполняется личная карточка, трудовая книжка работниками отдела кадров, выдается сотруднику пропуск. В дальнейшем проходит адаптация(изучение НПД по ЗИ, правил по ЗИ) и, если работник полностью удовлетворяет требования, после испытательного срока переводят на постоянную работу.
Текущая работа с персоналом.
Перечень проверочных мероприятий сопутствующих данным этапам отбора кандидатов:
Первичная проверка подлинности предоставленных документов на предмет фальсификации;
Проверка достоверности предоставленной в документах информации путем наведения справок в соответствующих учреждениях;
Тщательная проверка документов: анализ соответствия в документах и выявление исправлений, попыток замены листов и иных незаверенных изменений;
Опрос авторитетных лиц, лично знающих или имеющих представление о кандидате;
Сбор информации о кандидате посредством детективного агенства.
Проверка кандидата по линии МВД (выявление судимостей, компрометирующих связей);
Оценка здоровья кандидата (рассмотрение медицинской книжки, наведение справок в медицинских учреждениях);
Серия собеседований (выявление злоумышленных намерений, выявление реальной причины трудоустройства, косвенная оценка кандидата);
Тестирование (IQ, лояльность, профпригодность и пр.);
Опросники (определение эмоциональной устойчивости, уровня коммуникабельности и других личностных качеств);
Деловая игра (групповые методы отбора, имитация рабочей ситуации);
Полиграф;
Испытательный срок (наблюдение за кандидатом, оценка и анализ его работы).
Обучение персонала:
Обучение персонала -- это развитие профессиональных знаний, умений и навыков сотрудников с учетом целей соответствующих подразделений, которые в свою очередь определяются стратегией компании.
В зависимости от целей и возможностей конкретной организации обучение может быть узкоспециальным (профессиональным) и корпоративным, проходить в форме лекций, семинаров, тренингов. Сейчас модным стало дистанционное обучение через Интернет: обучаемые выполняют задания и проходят тестирование на сайте обучающей организации, после чего получают по почте официальный документ о квалификации. Организовать учебный процесс можно по-разному: привлечь специалистов и менеджеров фирмы, пригласить внешних преподавателей, тренеров, экспертов. Компании обычно используют смешанные формы обучения, а крупные организации создают собственные учебные центры и корпоративные университеты.
Методы обучения персонала - способы, при которых достигается овладение знаниями, умениями, навыками обучающихся.
Профессиональное обучение - процесс формирования у сотрудников организации специфических профессиональных навыков постредством специальных методов обучения.
Активные методы обучения включают в себя любые способы, приемы, инструменты разработки, проведения и совершенствования процесса обучения чему-либо.
Причины необходимости обучения персонала предприятия заключаются в следующих тезисах.
Повышение квалификации. Вооруженный новыми знаниями сотрудник может генерировать новые идеи и легко справится со многими проблемами.
Мотивация. Получая дополнительные знания за счет компании, работник чувствует заботу руководства о своей персоне. Понимая, что в него вкладывают деньги, он начинает стремиться к максимальной производительности на своем рабочем месте.
Специфика профессии. Сотрудники медицинских учреждений, программисты, бухгалтеры и ряд других специалистов по статусу обязаны идти в ногу с прогрессом в своей области. Иначе они потеряют квалификацию.
Соответствие стандартам. В некоторых случаях, например, для прохождения сертификации международной системы качества, предприятие должно включать в свою структуру, наряду с другими обязательными условиями, и постоянно действующую систему обучения персонала.
Международное сотрудничество. Наличие определенного количества дипломов сертификатов у сотрудников может иметь существенное значение в некоторых видах бизнеса (например, ИТ). Это является обязательным условием для получения статуса партнера (а вместе с ним и ряда преимуществ) крупной международной корпорации.
Отсутствие специалистов. Зачастую необходимость обучения работников фирмы обусловлена отсутствием на рынке уже готовых специалистов. Тут уж без переквалификации никак не обойтись
К принципам выбора метода обучения персонала чаще всего относят: объективность, надежность, достоверность, доступность, а также принцип соответствия общей кадровой политике организации.
1. Принцип объективности требует, чтобы профессиональное обучение персонала проводилось вне зависимости от чьего-то мнения или отдельных суждений.
2. Принцип надежности предполагает работу системы обучения вне зависимости от влияния ситуативных факторов (настроения, погоды, прошлых успехов и неудач).
3. Принцип достоверности определяет, насколько успешно человек на практике применяет знания и навыки, полученные в процессе обучения.
4. Принцип доступности провозглашает, что процесс обучения и критерии оценки должны быть доступны и понятны как обучающим, так и самим обучаемым.
Также методы обучения персонала можно разделить на две группы:
обучение на рабочем месте: метод усложняющихся заданий, смена рабочего места, направленное приобретение опыта, производственный инструктаж, метод делегирования ответственности и другие методы;
обучение вне рабочего места: чтение лекций, проведение деловых игр, разбор конкретных производственных ситуаций, проведение конференций и семинаров, формирование групп по обмену опытом, создание кружков качества и другие метод.
Традиционные методы обучения персонала: - Лекция является традиционным и одним из самых древних методов профессионального обучения. - Семинары предполагают большую активность участников и используются для совместного обсуждения проблемы, выработки общих решений или поиска новых идей. - Самостоятельное обучение является наиболее простым видом обучения - для него не требуется ни инструктор, ни специальное помещение, ни определенное время - обучающийся учится там, тогда и так как ему удобно.
Активные методы обучения персонала:
Инструктаж представляет собой разъяснение и демонстрацию приемов работы непосредственно на рабочем месте и может проводиться как сотрудником, давно выполняющим данные функции, так и специально подготовленным инструктором. Ротация представляет собой метод самостоятельного обучения, при котором сотрудник временно перемещается на другую должность с целью приобретения новых навыков.
Наставничество является традиционным методом обучения, особенно распространенным там, где практический опыт играет исключительную роль в подготовке специалистов.
Деловые игры представляют собой метод обучения, наиболее близкий к реальной профессиональной деятельности обучающихся.
Тренинг - это активная форма обучения с использованием практических упражнений. Тренинги призваны развивать определенные управленческие и коммерческие навыки -- управление исполнением, планирование, делегирование, мотивирование, тайм-менеджмент, эффективные продажи, переговоры, презентацию.
Методы могут быть скомбинированы.
Кадровое обеспечение функционирования КСЗИ: распределение функций по защите информации между должностными лицами.
1.Поиск и отбор персонала. Специфика персонала как объекта защиты – это и источник, и носитель, т.е. самый сложный элемент при анализе и создании СЗИ(изменяется под влиянием внешних и внутренних факторов). Методы анализа: 1.анализ при отборе на работу. 2.анализ в процессе производственной деятельности. 3.Научное направление по изучению человека, оценка индивидуума(психологические и т.д.). С точки зрения интересов организации и задач ЗИ человек может выступать в ролях: 1.источник(создатель новой И). 2. Источник(обладатель И). 3.Носитель(транспортное средство передачи И от обладателя к получателю). 4.Защитник – исполнитель функций по ЗИ. 5. Злоумышленник – осознанно, неосознанно. Либо возможна комбинация ролей.
Перераспределение задач и функций между существующими должностными лицами, как это делается……….
Кадровое обеспечение функционирования КСЗИ: разработка нормативных документов, регламентирующих деятельность персонала по защите информации.
Состав и содержание основных нормативных документов. Должностная инструкция. Перечень сведений, составляющих КИ. Подписка о неразглашении, договор о неразглашении, трудовой договор. Приказы и распоряжения о допуске и доступе к КИ. Положение о защите КИ. Различные акты проверок( исполнения персоналом мер по защите информации, поддержания работоспособности системы, нарушения в работе системы ЗИ и т.д), учебные программы и методики для персонала. Правила работы с посетителями предприятия
приказы, распоряжения, инструкции и т.д. стратегия, концепция, политика, технический регламент- международный подход.