- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
Взаимодействие между персоналом предприятия и службой защиты информации может быть обеспечено путем определения персоналу предприятия соответствующих обязанностей, а службе защиты информации – предоставления соответствующих полномочий.
Полномочия службы защиты информации могут быть закреплены в должностных обязанностях персонала, а также в положении о службе защиты информации (или разделе положения о службе безопасности предприятия). Наиболее важными из этих полномочий являются:
подчиненность сотрудников службы защиты информации строго определенным должностным лицам (как правило, руководителю предприятия, его заместителю по безопасности и должностным лицам службы защиты информации – по подчиненности);
предоставление права проверять наличие и порядок обращения с материалами, содержащими информацию ограниченного доступа, у всего персонала предприятия;
в обязанности персонала выполнять требования представителей службы защиты информации, связанные с соблюдением установленного порядка разработки, обращения, хранения, передачи (пересылки), уничтожения и т.п. носителей информации ограниченного доступа;
в предоставлении службе защиты информации права проводить служебные расследования по фактам нарушений установленного порядка разработки, обращения, хранения, передачи (пересылки), уничтожения и т.п. носителей информации ограниченного доступа разработки;
в обязанности персонала давать объяснения представителям службы защиты информации по вопросам, связанным с нарушением установленного порядка разработки, обращения, хранения, передачи (пересылки), уничтожения и т.п. носителей информации ограниченного доступа.
Кроме того, руководством предприятия могут быть использованы возможности негласного контроля за действиями персонала, предоставляемые в этой области Законом Российской Федерации 1992 г. «О частной детективной и охранной деятельности в Российской Федерации». В этих целях в установленных случаях должна быть получена лицензия на частную детективную деятельность, а уставом (положением) о службе безопасности предприятия, согласованным с органами внутренних дел, предусмотрены следующие виды деятельности (приведен пример из действующего устава службы безопасности одной из коммерческих фирм):
сбор сведений по гражданским делам;
изучение рынка, сбор информации для деловых переговоров, выявление некредитоспособных или ненадежных деловых партнеров;
установление обстоятельств неправомерного использования в предпринимательской деятельности фирменных знаков и наименований, недобросовестной конкуренции, а также разглашения сведений, составляющих коммерческую тайну;
выяснение биографических и других характеризующих личность данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов;
поиск утраченного имущества;
сбор сведений по уголовным делам;
защита жизни и здоровья граждан;
охрана имущества собственников, в т.ч. при его транспортировке;
проектирование, монтаж и эксплуатационное обслуживание средств охранно-пожарной сигнализации;
консультирование и подготовка рекомендаций клиентам по вопросам правомерной защиты от противоправных посягательств;
изучение деятельности фирмы, открытой информации о конкурирующих фирмах, для своевременного внесения предложений по разработке и корректировке перечня сведений, составляющих коммерческую тайну; после утверждения руководителем этого перечня незамедлительное ознакомление с ним исполнителей закрытых работ в части, касающейся их;
осуществление контроля за правильностью засекречивания и рассекречивания работ, документов, изданий, материалов;
оценка классифицированных документов с точки зрения предотвращения включения в них излишних данных;
подготовка списка лиц, имеющих право классифицировать информацию;
составление плана размещения и ведение учета помещений, в которых руководителем после соответствующей аттестации разрешено постоянное или временное хранение носителя коммерческой тайны, а также проведение закрытых работ;
составление и корректировка списка лиц, которые могут быть допущены к закрытым сведениям, необходимым им для выполнения служебных обязанностей;
разработка разрешительной системы доступа сотрудников и командированных к носителям охраняемых сведений и определение места выполнения работ с ними, анализ эффективности этой системы;
принятие мер, исключающих разглашение охраняемой информации фирмы, в процессе контроля оформления документов, предназначенных для передачи заказчику, отправки и вывоза за границу, переписки с инофирмами;
организация и ведение закрытого делопроизводства, размножение документов, содержащих экономические секреты, их учет, хранение, выдача исполнителям работ, уничтожение;
участие в разработке мер по обеспечению безопасности при обработке сведений, составляющих коммерческую тайну, различными техническими средствами и системами, при пользовании ЭВМ;
планирование и осуществление режимных мероприятий при проведении всех видов работ, в которых используется закрытая информация, классифицированные носители;
содействие руководителям подразделений фирмы в разработке и осуществлении мер защиты сведений в процессе научной, конструкторской, производственной, коммерческой и иной деятельности;
организация и проведение защитных мероприятий при испытаниях, хранении, транспортировке, уничтожении продукции, содержащей коммерческую тайну;
разработка и осуществление мер по предупреждению утечки информации при оформлении материалов, предназначенных к опубликованию в открытой печати, для использования на конференциях, выставках, в рекламной деятельности, а также при проведении совещаний, конференций, выставок на территории объекта и вне его;
систематический контроль за соблюдением правил обращения с носителями коммерческой тайны на рабочих (выделенных) местах, их движением, возвратом, размножением и уничтожением;
разработка положений, инструкций, правил и т.п. по обеспечению местах, их режима работы для исполнителей закрытых работ, специалистов своей службы безопасности;
осуществление комплекса профилактических мероприятий по предупреждению правонарушений (уголовных, административных и гражданских) на территории фирмы;
организация обучения лиц, допущенных к закрытым работам, проверки их уровня режимной подготовки;
организация работ по повышению квалификации сотрудников службы безопасности (в т.ч. с привлечением приглашенных специалистов);
организация и контроль состояния пропускного и внутри-объектового режима;
участие в подборе лиц, планируемых для работы с представителями инофирм, проведение их инструктажа.