- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
Служба безпеки
На службу безпеки підприємства (СБ) (фірми, організації) покладаються такі функції:
організація і забезпечення охорони персоналу, матеріальних і фінансових цінностей і захисту конфіденційної інформації;
забезпечення пропускного і внутріоб'єктового режиму на території, у будинках і приміщеннях, контроль за дотриманням вимог режиму
співробітниками, суміжниками, партнерами і відвідувачами;
керівництво роботами з правового й організаційного регулювання заходів із захисту інформації;
участь у розробці основних документів з метою закріплення в них вимог забезпечення безпеки і захисту інформації, а також положень про підрозділи, трудових договорів, угод, підрядів, посадових інструкцій і обов'язків керівництва, фахівців, робітників та службовців;
розробка і здійснення разом з іншими підрозділами заходів щодо забезпечення роботи з документами, шо містять конфіденційні відомості, під час виконання всіх видів робіт;
вивчення всіх сторін виробничої, комерційної, фінансової й іншої діяльності для виявлення і наступної протидії будь-яким спробам нанесення збитку, ведення обліку й аналізу порушень режиму безпеки. нагромадження й аналіз даних про злочинні спроби конкурентних та інших організацій, про діяльність підприємства і його клієнтів, партнерів, суміжників;
організація і проведення службових розслідувань за фактами розголошення відомостей, втрат документів, витоку конфіденційної інформації й інших порушень безпеки підприємства;
розробка, ведення, відновлення і поповнення “Переліку відомостей конфіденційного характеру” та інших нормативних актів, що регламентують порядок забезпечення безпеки і захисту інформації;
забезпечення строгого виконання вимог нормативних документів із захисту виробничих секретів підприємства;
здійснення керівництва службами і підрозділами безпеки підвідомчих підприємств, організацій, установ і інших структур у частині умов, застережених у договорах;
організація і регулярне проведення обліку співробітників підприємства і служби безпеки в усіх напрямках захисту інформації і забезпечення безпеки виробничої діяльності;
ведення обліку і строгого контролю виділених для конфіденційної роботи приміщень, технічних засобів у них, що мають потенційні
канали витоку інформації і канали проникнення до джерел охоронюваних секретів;
забезпечення проведення всіх необхідних заходів щодо припинення спроб нанесення морального і матеріального збитку з боку внутрішніх і зовнішніх загроз;
підтримання контактів із правоохоронними органами і службами безпеки сусідніх підприємств в інтересах вивчення криміногенної обстановки в районі (зоні) і надання взаємної допомоги в кризових ситуаціях.
Така багатоплановість діяльності визначає складність структури служби.
Залежно від прийнятої концепції безпеки особовий склад служби безпеки може бути як постійною, так і змінною частиною персоналу компанії. Постійною частиною вона вважається в тому випадку, якщо співробітники служби безпеки є одночасно співробітниками компанії. Змінною - якщо співробітники служби безпеки є відрядженими до фірми співробітниками якого-небудь приватного охоронного підприємства.
Політика фірми стосовно служби безпеки може реалізовуватися в одній з таких форм:
для виконання охоронних функцій запрошується охоронна фірма;
охоронні функції покладають на охоронну фірму, а питання внутрішньої безпеки та захисту інформації забезпечуються силами власної служби безпеки;
всі питання корпоративної безпеки вирішуються силами власної служби безпеки.
Кожний із запропонованих варіантів має свої сильні й слабкі сторони.
У першому варіанті, віддавши функції охорони професіоналам, керівництво фірми позбувається необхідності вирішувати питання забезпечення цілісності й недоторканності власних об'єктів. Але, купуючи послуги охоронних фірм, варто враховувати, що при цьому втрачаються функції контролю за якістю підбору виконавців, їхньою кваліфікацією й професійною надійністю. Поза зоною уваги залишається велике коло питань, що мають істотне значення для створення комплексної системи безпеки, тому що ці питання носять глибоко інтимний характер для фірми і їх не можна довіряти стороннім.
Другий варіант кращий, тому що він припускає подіті функцій. Рутинна робота з фізичної охорони об'єктів покладається на охоронну фірму, а питання забезпечення внутрішньої безпеки, захисту інформаційних потоків, маркетингової розвідки є компетенцією власної служби безпеки.
Одним з недоліків цього варіанта є необхідність координації дій між двома фактично самостійними й незалежними структурами, що працюють на одну мету.
Третій варіант фактично позбавлений недоліків двох інших, але, вибираючи його, керівництво фірми змушене брати на себе вирішення питань щодо розробки власної концепції та власної політики корпоративної безпеки.
Структура, чисельність і завдання служби корпоративної безпеки розробляються на підставі результатів експертизи, поданої у формі розгорнутого висновку.
Повнокровна служба безпеки складається з таких підрозділів:
підрозділ режиму й охорони;
спеціальний підрозділ обробки документів конфіденційного характеру;
інженерно-технічний підрозділ;
інформаційно-аналітичний підрозділ.
Таку службу безпеки може собі дозволити тільки досить багата фірма, що має численний персонал.
Більшість середніх і малих комерційних фірм обмежуються службою безпеки, орієнтованою, насамперед, на виконання охоронних функцій.
Займаючись виконанням своїх функціональних завдань, співробітники служби безпеки також повинні вирішувати специфічні проблеми, до яких належать:
• профілактика спроб здійснення протиправних дій відносно керівництва й співробітників фірми;
• попереднє розслідування надзвичайних подій, фактів використання наркотиків, шахрайства, злодійства серед співробітників компанії;
• розробка й підтримка системи охоронних заходів щодо захисту службовців, власності, клієнтів і гостей фірми;
• створення й підтримка системи інформаційної безпеки;
• взаємодія з місцевою владою та правоохоронними органами у ви-падку проведення різних розслідувань та ін.;
• проведення й координація розслідувань негативних явищ, особливо випадків присвоєння грошей службовцями, конфліктів інтересів і інших серйозних випадків, що загрожують корпоративній безпеці;
• забезпечення технічної та професійної підтримки всім членам правління у випадку висування обвинувачень проти них або проведення дізнання за підозрою в здійсненні протиправних діянь;
• періодична перевірка всіх приміщень компанії на відповідність вимогам безпеки;
• здійснення спецперевірки кандидатів на роботу.