- •Оглавление
- •Введение
- •Лекция 1. Сущность и задачи комплексной системы защиты информации
- •1.1. Понятие комплексной системы защиты информации
- •1.2. Сущность комплексной системы защиты информации
- •1.3. Назначение комплексной системы защиты информации
- •1.4. Принципы построения комплексной системы защиты информации
- •1.5. Цели системного подхода к защите информации
- •1.6. Стратегии защиты информации
- •1.7. Разработка политики безопасности предприятия
- •1.8. Основные требования, предъявляемые к комплексной системе защиты информации
- •Лекция 2. Методологические основы комплексной системы защиты информации
- •2.1. Основные понятия теории защиты информации
- •2.2. Методология защиты информации как теоретический базис комплексной системы защиты информации
- •2.3. Основные понятия теории систем
- •2.4. Системный анализ и системный подход
- •2.5. Основные системные представления
- •Лекция 3. Определение состава защищаемой информации
- •3.1. Методика определения состава защищаемой информации
- •3.2. Классификация информации по видам тайны и степеням конфиденциальности
- •3.3. Определение объектов защиты
- •3.4. Хранилища носителей информации как объект защиты
- •3.5. Методы оценки защищенности предприятия
- •Лекция 4. Источники, способы и результаты дестабилизирующего воздействия на информацию
- •4.1. Оценка угроз безопасности информации
- •4.2. Явления, факторы и условия дестабилизирующего воздействия на защищаемую информацию
- •4.3. Источники дестабилизирующего воздействия на информацию
- •4.4. Виды и способы дестабилизирующего воздействия на информацию со стороны людей
- •4.5. Виды и способы дестабилизирующего воздействия на информацию со стороны технических средств, технологических процессов и природных явлений
- •4.6. Определение причин, обстоятельств и условий дестабилизирующего воздействия на информацию со стороны людей
- •4.7.Причины, обстоятельства и условия дестабилизирующего воздействия на информацию со стороны технических средств, технологических процессов и природных явлений
- •Виды и способы дестабилизирующего воздействия на защищаемую информацию
- •Лекция 5. Каналы и методы несанкционированного доступа к информации
- •5.1. Методика выявления каналов несанкционированного доступа к информации
- •5.2. Определение возможных методов несанкционированного доступа к защищаемой информации
- •5.3. Деловая разведка как канал несанкционированного доступа для получения информации
- •5.4. Информационный продукт как следствие реализации несанкционированных действий
- •1 1. Общее знакомство с проблемой . Общее знакомство
- •5.5. Модель потенциального нарушителя
- •Лекция 6. Моделирование процессов комплексной системы защиты информации
- •6.1. Понятие модели объекта. Моделирование как инструмент анализа объекта ксзи
- •6.2. Значение моделирования процессов ксзи
- •Концептуальные модели
- •Модели управления безопасностью
- •Модели отношений доступа и действий
- •Потоковые модели
- •6.3. Архитектурное построение комплексной системы защиты информации
- •Лекция 7. Технологическое построение комплексной системы защиты информации
- •7.1. Технологическое построение организационной системы ксзи
- •7.2. Структура организационной системы предприятия
- •1. Линейная организационная структура
- •2. Функциональная организационная структура
- •3. Линейно-функциональная структура
- •4. Линейно-штабная структура
- •5.Программно-целевая или матричная организационная структура
- •7.3. Общее содержание работ по проектированию ксзи
- •7.4. Основные стадии проектирования ксзи
- •7.5. Факторы, влияющие на выбор состава ксзи
- •1) Об организации процесса функционирования объекта. В состав этих данных входят сведения, характеризующие:
- •2) Об организации транспортных и информационных потоков. В состав этих данных входят сведения, характеризующие:
- •3) Об условиях функционирования объекта. В состав этих данных входят сведения, характеризующие:
- •7.6. Модель системы автоматизированного проектирования защиты информации
- •1. Типовая сетевая модель процесса создания сзи;
- •Лекция 8. Кадровое обеспечение комплексной системы защиты информации
- •8.1. Кадровая политика предприятия при создании ксзи
- •8.2. Этапы работы с персоналом
- •8.3. Комплексная защита информации и персонал
- •8.4. Мотивация
- •8.5. Разработка кодекса корпоративного поведения
- •Адресация кодекса корпоративного поведения
- •Лекция 9. Нормативно-методическое обеспечение ксзи
- •9.1. Значение нормативно-методического обеспечения
- •9.2. Состав нормативно-методического обеспечения
- •9.3. Порядок разработки и внедрения документов предприятия
- •Лекция 10. Управление комплексной системой защиты информации
- •10.1. Общие законы кибернетики
- •10.2. Сущность организации процессов управления ксзи
- •10.3. Технология организационного управления ксзи
- •10.4. Структуризация процессов технологии управления
- •10.5. Требования к системе управления как объекту исследования
- •10.6. Основы методологии принятия управленческого решения
- •10.7. Общие требования к принятию управленческого решения
- •Оценка сложности исследуемой проблемы
- •10.8. Роль психологической теории принятия управленческого решения
- •Лекция 11. Планирование деятельности комплексной системы защиты информации
- •11.1. Цели планирования деятельности ксзи
- •11.2. Принципы планирования
- •11.3. Способы планирования
- •11.4. Основные положения разрабатываемого плана
- •11.5. Стадии планирования
- •11.6. Контроль деятельности
- •Лекция 12. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций
- •12.1. Понятие и основные виды чрезвычайных ситуаций
- •12.2. Технология принятия решения в условиях чрезвычайной ситуации
- •12.3. Факторы, влияющие на принятие решения
- •12.4. Обеспечение управления ксзи в условиях чрезвычайных ситуаций
- •12.5. Подготовка мероприятий на случай возникновения чрезвычайной ситуации
- •Литература
8.3. Комплексная защита информации и персонал
Персонал является первостепенным и наиболее сложным элементом управления государственными и негосударственными структурами. В концепции комплексной защиты информации кадровая политика играет очень важную профилактическую роль по отношению к множеству видов угроз, исходящих от персонала, в том числе такой угрозы как неблагонадежность отдельных сотрудников.
Основным “производителем” и “держателем” защищаемой информации является человек. Этот первичный канал как возникновения, так и утраты любого объекта информации. Исходя из этого основное внимание должно быть уделено сотрудникам предприятия, начиная от момента их поступления на работу.
Миграция специалистов, особенно имеющих дело с защищаемой информацией, самый основной и трудно контролируемый канал утечки информации. Так, практика разного рода совместительства сотрудников, прежде всего научно-исследовательских организаций, где они используют свои профессиональные знания и навыки, приобретенные по основному месту работы, т.е. фактически интеллектуальный продукт организации, только должным образом не оформленный в ее собственность, является одним из наиболее вероятных каналов утечки служебной информации.
Вторым по значимости с каналом утечки конфиденциальной информации являются
всевозможные публикации в печати, депонированные рукописи, монографии, отчеты по НИОКР, а так же научно-технические семинары, конференции, симпозиумы и т.п., являются одним из существенно значимых факторов, способствующих утечке коммерчески значимой для предприятия и организации информации.
Угрозы защите информации со стороны, например, конкурентов, реализуемые через ее персонал, могут принимать такие формы, как:
а) переманивание сотрудников, владеющих конфиденциальной информацией;
б) ложные предложения работы сотрудникам предприятия с целью выведения информации;
в) выведывание конфиденциальных сведений у сотрудников предприятия в такой форме, что последние не догадываются о цели вопросов;
г) прямой подкуп сотрудников предприятий - конкурентов;
д) засылка агентов на предприятие;
е) тайное наблюдение за сотрудниками предприятия.
Одним из основных принципов создания комплексной системы защиты информации является удобство работы сотрудников. Поэтому в методологию КСЗИ предприятия закладываются средства защиты не конкретных сотрудников, а локализованных замкнутых групп пользователей, внутри которых информационный обмен не формализован, а передача информации наружу контролируется средствами защиты.
Например, к функциям программно-аппаратных средств защиты информации можно отнести:
1. разграничение (ограничение) доступа сотрудников в различные подразделения
2. выделение сильно защищенных сотрудников, обрабатывающих строго конфиденциальную информацию;
3. защиту каналов связи между различными офисами организации, между отдельными подразделения или сотрудниками;
4. защиту рабочих станций пользователей от непосредственного доступа к ним других сотрудников;
5. строгое разграничение доступа к архивам документов, рабочей информации;
6. протоколирование и аудит действий сотрудников предприятия с конфиденциальной информацией;
резервное копирование архивов документов и др.
Среди актуальных проблем, касающихся комплексной защиты информации предприятия - проблема хранения паролей и парольной защиты в целом.
Появились технологии, способствующие эффективному решению данной проблемы, это технологии биометрической аутентификации пользователей (пользователь для получения доступа к персональному компьютеру, сетевому ресурсу или архиву документов предъявляет системе, например, свой отпечаток пальца, тем самым избавляя себя от необходимости запоминать пароли и хранить их).
В условиях же преобладания бумажного документооборота многие предприятия не могут отслеживать четкие маршруты прохождения документов, не могут ранжировать поступающие документы по степени конфиденциальности. Конфиденциальный документ, проходя согласование, визирование у многих руководителей и во многих подразделениях, оказывается в руках большого числа посторонних людей - секретарей, заместителей, помощников руководителей, не имеющих к нему прямого отношения.
Складывается ситуация, когда «все занимаются всем». Следовательно, все сотрудники потенциально имеют доступ ко всей информации, проходящей через подразделение. А через некоторые подразделения, как, например, бухгалтерия, проходит вообще вся коммерческая информация. В этом случае при утечке информации очень трудно выяснить, где она произошла.
Секретари-референты многих некрупных фирм, предпринимательских структур в малом и среднем бизнесе одновременно с выполнением функции документационного обеспечения деятельности предприятия и функции обеспечения защиты информации, т.е. информационной безопасности выполняют комплекс операций, свойственных обычно службе персонала. Вопросы документирования трудовых правоотношений, ведения личных дел и учетно-справочного аппарата, составления отчетности по кадрам, как правило, в достаточной степени известны секретарям-референтам. Вместе с тем, при выполнении работы, связанной с персоналом, секретари-референты всегда должны учитывать, что деятельность любого предприятия связана с использованием определенного объема конфиденциальной информации и то, что персонал владеет этими сведениями. Утрата их по вине персонала может нанести ущерб интересам и престижу предприятия, успеху в бизнесе.
Подобное обстоятельство требует от секретаря-референта знания тех особенностей, которые необходимо соблюдать при подборе, отборе и приеме на работу или переводе на должность, увольнении сотрудников предприятия, деятельность которых связана с оперированием конфиденциальными сведениями, т.е. с защитой коммерческой информации предприятия.