- •Организация и управление службой защиты информации
- •Тема 1. Концепция организационного обеспечения комплексной безопасности (оокб) предпринимательства
- •Концепция организационного обеспечения комплексной безопасности
- •1. Концепция оокб. Основные принципы оокб
- •Основными принципами создания и поддержания организационного обеспечения комплексной безопасности предпринимательства являются принципы:
- •2. Задачи организационного обеспечения комплексной безопасности предпринимательства Общими задачами организационного обеспечения комплексной безопасности предпринимательства являются:
- •3. Объекты и субъекты безопасности предприятия и их угрозы к основным объектам угроз, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
- •1. Специализированные субъекты:
- •Осуществление угроз информационным ресурсам может быть произведено:
- •Система организационного обеспечения кб
- •К основным организационным мероприятиям можно отнести:
- •Концепция безопасности предприятия
- •Механизм обеспечения безопасности:
- •Мероприятия по реализации мер безопасности:
- •6. Силы и средства защиты предприятия
- •6.1. Физическая защита
- •6.2. Техническая защита
- •Выявление и установление излучающих сигналов путем доработки самих технических средств.
- •Экранирование средств обработки информации и помещений, в которых они используются.
- •Проверки целостности информации.
- •Исключения несанкционированного доступа к ресурсам пэвм и хранящимся в ней программам и данным.
- •Исключения несанкционированного использования хранящихся в пэвм программ (т.Е. Защиты программ от копирования).
- •6.3. Специальная защита
- •6.4. Информационно-коммерческая защита
- •Состав и структура системы безопасности предприятия (фирмы).
- •Среди этих факторов наибольшее значение имеют следующие:.
- •Система безопасности действует на основе следующих организационно-правовых документов:
- •Назначение, цели, функции и основные задачи службы безопасности предприятия
- •Основными задачами службы безопасности предприятия являются:
- •9. Организационная структура службы безопасности предприятия
- •2. Специальный отдел. Структура:
- •3. Группа инженерно-технической защиты.
- •4. Группа безопасности внешней деятельности.
- •3____________ Организационная структура службы безопасности предприятия.
- •Организационная структура службы безопасности предприятия.
- •Тема 2. Организация охраны, внутри объектового и пропускного режимов на предприятиях.
- •1. Планирование. Разработка программы защиты
- •Эффективная защита обеспечивается при выполнении следующих условий:
- •Организация режима и охраны объектов предприятия
- •Основные направления охранной деятельности
- •Защита и охрана объектов предприятия осуществляются по двум направлениям:
- •Меры, обеспечивающие нормальное функционирование предприятия.
- •Меры активной защиты предприятия.
- •1. Правовые меры:
- •1. Физическое противодействие:
- •4. Использование огнестрельного оружия:
- •Привлечение сил и средств правоохранительных органов:
- •3. Организация охраны стационарных объектов
- •Стационарные объекты можно классифицировать следующим образом:
- •1. В зависимости от размера охраняемого объекта, площади его территории:
- •2. В зависимости от типа конструкции и материала, из которого изготовлен объект:
- •3. В зависимости от режима работы охраняемого стационарного объекта:
- •4. В зависимости от населенности района расположения охраняемого объекта, близости к нему других объектов (в том числе охраняемых или криминогенных):
- •5. В зависимости от технической укрепленности охраняемого объекта и наличия на нем уязвимых мест:
- •6. В зависимости от типа охраны, требующейся на объекте, используемого оружия и специальных средств:
- •К числу факторов, влияющих на выбор приемов и средств охраны, относятся:
- •Работа с представителями сторонних организаций осуществляется в следующем порядке:
- •4. Организация пропускного режима. Пропускные документы.
- •4.1.Организация пропускного режима
- •Система регулирования доступа в фирму должна предусматривать:
- •4.2. Пропускные документы
- •Образец бланка постоянного пропуска
- •3 Х 4 см отчество______________________________
- •Образец бланка разового пропуска
- •Книга учета посетителей по разовым пропускам
- •Книга учета ежедневного расхода бланков пропусков и количества действующих пропусков
- •Журнал учета разовых и материальных пропусков
- •Проверок состояния средств сигнализации и регистрации ее срабатываний
- •Журнал приема металлических пеналов с ключами от спецпомещений
- •5. Роль руководства в обеспечении охраны предприятия
- •Прерогативой руководителя фирмы по обеспечению охраны и информационной безопасности в руководимой им структуре является решение следующих вопросов:
- •Важнейшими направлениями в деятельности руководства предприятия является:
- •Разработка политики и стратегии безопасности предприятия.
- •Определение задач по обеспечению безопасности предприятия в целом.
- •Определение объектов и субъектов безопасности предприятия.
- •Ориентированные на устранение существующих или предотвращение возникновения возможных угроз.
- •Нацеленные на предотвращение воздействия существующих или возможных угроз на предмет безопасности.
- •Направленные на восстановление (компенсацию) наносимого ущерба.
- •6. Действия руководства и службы безопасности по обеспечению безопасности предприятия
- •6.1.Обеспечение безопасности объекта и сохранности материально-технических ценностей
- •Эффективность различных видов охраны:
- •6.2.Действия предприятия в критических обстоятельствах
- •1.Управление в чрезвычайной обстановке
- •2. Действия службы безопасности в случае нападения на предприятие
- •Тема 3. Блок 5. Организация аналитической работы по предупреждению утечки конфиденциальной информации.
- •Содержание
- •1. Понятие, функции, задачи и принципы деятельности информационно-аналитического подразделения службы безопасности банка, фирмы
- •Функции информационно-аналитического подразделения службы безопасности банка, фирмы:
- •Задачи информационно-аналитического подразделения службы безопасности банка, фирмы:
- •Принципы деятельности информационно-аналитического подразделения службы безопасности банка, фирмы:
- •2. Направления аналитической работы
- •Аналитическая работа с источником угрозы конфиденциальной информации предусматривает:
- •3. Этапы аналитической работы
- •4. Методы аналитической работы
- •5. Организация информационно-аналитической работы службы безопасности банка, фирмы
- •5.1. Изучение конкурентов и конкурентной среды
- •5.2. Использование баз данных для изучения партнеров
- •Управление безопасностью предпринимательства
- •Тема 4. Блок 6. Аудит комплексной безопасности предприятия
- •Общие положения по организации и проведению аудита
- •1. Подготовка к проведению аудита безопасности:
- •2. Проведение аудита:
- •3. Завершение аудита:
- •2. Принципы проведения аудита
- •3. Подготовка предприятия к аудиту комплексной безопасности
- •4. Особенности аудита безопасности
- •1. Комплексный анализ ис предприятия и подсистемы информационной безопасности на методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков.
- •4. Экспертиза решений и проектов.
- •5. Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации.
- •6. Работы, поддерживающие практическую реализацию плана защиты.
- •7. Повышение квалификации и переподготовка специалистов.
- •8. Сопровождение системы информационной безопасности после проведенного комплексного анализа или анализа элементов системы иб предприятия.
- •9. Ежегодная переоценка состояния иб.
- •Матрица комплексной оценки состояния безопасности
- •1Направление
- •2 Направление
- •3 Направление
- •Аудит выделенных помещений
- •Аудит автоматизированных систем
- •8.Аудит безопасности информационных технологий
- •Предварительный анализ корпоративной сети
- •Анализ и оценка возможностей реализации угроз на исследуемый объект
- •9.Аудит кадровых процессов
- •Шкала профессионального развития
- •Коммуникация для взаимодействия
- •Коммуникации для трансляции
- •Неочевидные показатели управленческих процессов
3. Подготовка предприятия к аудиту комплексной безопасности
С чего следует начать ревизию комплексной безопасности (ИБ) фирмы. Нам предстоит с помощью своих или привлеченных специалистов дать безжалостную оценку ИБ. В свете растущего числа различных угроз для деятельности современных фирм и компаний планирование аудита их комплексной безопасности является весьма важной задачей. Аудит в области комплексной безопасности предприятия не имеет никакого отношения к финансовому аудиту.
Однако использование проверенных способов защиты гарантирует сохранность финансовой отчетности фирмы.
Различают внешний и внутренний аудит.
Внешний аудит, как правило, разовое явление в отличие от внутреннего, проводимого постоянно.
Цели проведения внешнего аудита безопасности следующие:
проанализировать возможные риски;
оценить реальное положение дел с КБ;
локализовать проблемные места в КБ фирмы
проверить на соответствие стандартам в области КБ информационную систему;
предложить мероприятия по внедрению новых и повышению эффективности действующих механизмов безопасности всех объектов предприятия.
Внутренний аудит позволяет оценить:
соблюдение законодательных требований по безопасности;
выполнение требований стандартов и норм по безопасности;
наличие узких мест в системе безопасности фирмы и спланировать работу по их устранению;
состояние культуры безопасности в среде специалистов и сотрудников фирмы;
возможные экономические потери и нанесение ущерба в любой сфере деятельности
При проведении внутреннего аудита к целям дополнительно можно отнести:
разработку мероприятий по защите объектов безопасности предприятия;
постановку задач персоналу по защите объектов комплексной безопасности (КБ) предприятия;
обучение остального персонала навыкам работы в области КБ;
участие в служебных расследованиях, связанных с нарушением КБ.
Результатом является составленный план проведения аудита, после чего необходимо согласовать его с внутренними и внешними требованиями Гостехкомиссии России, а также с требованиями международных стандартов.
Основные составляющие обеспечения КБ предприятия
актуальность обеспечения безопасности;
основные понятия и определения;
политика безопасности фирмы;
управление информационными ресурсами;
физическая безопасность;
администрирование безопасности;
управление доступом;
требования безопасности;
управление безопасностью;
внутренний аудит безопасности.
Предприятию для проведения аудита комплексной безопасности предприятия следует подготовить все необходимые сведения о собственной структуре, бизнесе, деятельности, текущих проектах и т.д. Кроме того, потребуются документально оформленные Концепция и Политика безопасности фирмы, список используемого системного и прикладного программного обеспечения, описание технологии обработки данных, состав и структура системы защиты информации, а также общая карта компьютерной сети.
Выделим четыре стадии планирования проведения аудита КБ.
Обоснование актуальности проведения аудита КБ (начальник СБ готовит аналитическую записку на имя генерального директора для выделения необходимых средств).
Уточнение и детализация состава мероприятий аудита (начальник СБ совместно со сторонней организацией, проводящей аудит).
Расчет стоимости и трудоемкости аудита (фирма-аудитор, начальник СБ осуществляет ценовой контроль за фирмой-аудитором с учетом цен на подобные услуги в каждом конкретном регионе страны).
Документирование процедуры проведения аудита (фирма-аудитор, начальник СБ в силу своей компетентности в данном вопросе следит за полнотой отражения информации в итоговом документе, как правило, заключении по результатам проверки информационной защищенности фирмы).
Примечание: начальник СБ фирмы должен иметь в виду следующее- никакая фирма-аудитор не укажет на каналы утечки информации до тех пор, пока не выяснит, кто их организовал (спецслужбы, правоохранительные органы и т.д.), в противном случае аудитору грозят серьезные неприятности, например лишение лицензии по линии Гостехкомиссии, ФСБ.
Отсюда следует вывод:
Желательно иметь свою службу безопасности, а начальнику СБ овладеть вышеуказанной методикой проведения аудита и иметь необходимую аппаратуру в своем распоряжении.
Этап планирования завершается документированием всех процедур аудита и составлением плана аудита, включающего в себя следующие разделы.
1. Введение. Обосновывается актуальность аудита КБ фирмы порядок его проведения, характеристика объектов информатизации фирмы, рамки проведения, требования по фиксации его результатов. Кроме того, приводятся сведения о категорировании корпоративной информации, основных целях аудита, решаемых задачах, ограничениях.
2. Распределение обязанностей. Определяются штат и функциональные обязанности группы специалистов, которые будут проводить аудит КБ. Указывается перечень мероприятий по проверке КБ фирмы на всех уровнях ее обеспечения: административно-организационном, информационно-технологическом, программно-техническом.
3. Требования КБ. Осуществляется обоснование и выбор требований ИБ фирмы, определяются критерии и показатели ее количественного оценивания.
4. Формализация оценок уровня КБ фирмы. Определяются качественные и количественные параметры для получения объективных оценок уровня КБ фирмы. Перечисляются задачи, выполняемые при проведении базового и детального анализа информационных рисков. Состав задач зависит от того, на каком этапе жизненного цикла находится исследуемая корпоративная информационная система, например: на этапе проектирования или на этапе эксплуатации.
5. План-график работ. Определяются сроки, календарный план выполняемых работ, сроки окончания работ, формы отчетных документов, требования по приему-сдаче работы и пр.
6. Поддержка и сопровождение. Перечисляются требования к административной, технологической и технической поддержке аудита КБ.
7. Отчетные документы. Основными отчетными документами являются Отчет по результатам аудита комплексной безопасности, Концепция и Политика КБ, План защиты фирмы.
8. Приложения. В них приводятся протоколы проверок, а также данные о методиках и инструментарии проведения аудита комплексной безопасности, выявленные проблемы, рекомендации.
Таким образом, мы вплотную подошли к непосредственному воплощению технических и организационных решений в целях обеспечения безопасности фирмы.