17. Организация контроля и мотивации выполнения персоналом требований нормативно-методических и организационно-распорядительных документов по защите информации на предприятии.

Правовая регуляция на предприятии необходима для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления заданий и правомочия отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организации.

Правовые мероприятия обеспечения безопасности и защиты информации являются основой порядка деятельности и поведения сотрудников предприятия и определяют меру их ответственности за нарушение установленных норм.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, поскольку возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями и небрежностью пользователей или персонала. Именно люди являются главной угрозой, поэтому "человеческий фактор" заслуживает особого внимания. Угрозы информационной безопасности, связанные с людьми, практически невозможно предотвратить с помощью технических мероприятий. Для этого необходима совокупность организационно-правовых и органиационно-технических мероприятий, которые исключали бы (или сводили к минимуму) возможность возникновения опасности утечки конфиденциальной информации.

В следующих документах указана необходимость назначения ответственных за АС и выполнения им соответствующих требований:

1. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения

2. ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования.

3.Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации» 4. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». 5. Федеральный закон РФ от 29 июля 2004 г № 98-ФЗ «О коммерческой тайне».

Основным документом по информационной безопасности современного коммерческого предприятия является документ под названием "Политика информационной безопасности предприятия (компании, организации и т.д.)".

"Политика безопасности" включает в себя комплекс превентивных мер позащите информации на предприятии и содержит требования в адрес персонала,менеджеров и технических служб. Данный документ регламентирован международными стандартами по информационной безопасности ISO 27001 и ISO 27002. Стандарт ISO 27002 определяет, что политика информационной безопасности должна быть одобрена руководством компании, опубликована и доведена до сведения всех сотрудников и заинтересованных сторонних организаций. На основе разработанной политики безопасности определяется модель разграничения доступа, которая будет являться базой формирования правил разграничения доступа и выбора конкретных средств защиты информации.

Руководящие документы Гостехкомиссии РФ определяют необходимость реализации избирательного (дискреционного) управления доступом для информационных систем начального уровня безопасности и применения мандатного (полномочного) управления доступом для систем высших уровней безопасности.

Выбор модели должен основываться на сформулированной политике безопасности и возможностях, предоставляемых выбранным способом построения информационной системы и применяемыми программно-аппаратными средствами.

В матрице конкретно определяются допустимые действия каждого пользователя (строка) к каждому ресурсу системы (столбец).

Для описания управления доступом в терминах мандатной модели каждому пользователю присваивается атрибут, называемый, например уровнем доступа (допуска), а каждому ресурсу — уровень важности (секретности). Разрешение на выполнение операции с ресурсом описывается в виде набора правил, который регулирует отношения между процессом и ресурсом (файлом). Процесс представляет собой программу, выполняемую от имени какого-либо пользователя.

Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отображаются в совокупности учредительных, организационных и функциональных документов

Особое место в деятельности руководства организации и руководителей структурных подразделений по работе с персоналом занимают методы мотивации сотрудников,направленные на эффективное и качественное выполнение возложенных на них задач на фоне строгого соблюдения норм и правил защиты конфиденциальной информации.

   Мотивация действий сотрудников предприятия является основой общей организаторской и управленческой функции руководителя любого уровня.

 При отсутствии мотивации любая организационная, планирующая, координирующая и иная управленческая работа теряет всякий смысл. В самом общем виде мотивация — это процесс побуждения сотрудника организации (фирмы) к деятельности во имя достижения определенных целей с помощью внутриличностных и внешних факторов.  В основе побуждения лежит совокупность потребностей, интересов, желаний, целевых установок, ценностных ориентации, ожиданий сотрудника.   Основные факторы, обусловливающие результативность труда персонала, —  готовность, возможность и условия для результативной деятельности.   Готовность к добросовестному выполнению должностных обязанностей определяется тем, насколько сотрудник склонен их выполнять. Она основывается на мотивационных составляющих личности сотрудника, а именно: на уровне потребностей и нтересов;целевых установках;ценностных ориентациях;желаниях;удовлетворенности работой;ожидании вознаграждения в зависимости от результатов труда и т. п.

18. Организация контроля эффективности выполнения персоналом, ответственным за ИБ, своих функциональных обязанностей.

ГОСТ Р 51624-2000. Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования. ГОСТ Р 51583-2000. Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите и информации» Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Федеральный закон РФ от 29 июля 2004 г № 98-ФЗ «О коммерческой тайне».

Достижение некоторого уровня информационной безопасности возможно только при выработке у персонала и пользователей АС определенной дисциплины по соблюдению установленных ограничений и правил использования ресурсов и обслуживания компонент АС.

Эта дисциплина немыслима без персональной ответственности всех сотрудников, допущенных к работе с АС, за нарушения установленного порядка (регламента) безопасной обработки информации, правил хранения и использования находящихся в их распоряжении защищаемых ресурсов системы.

Регламентация работы сотрудников предполагает определение для каждой категории пользователей и обслуживающего персонала:

• обязательных знаний, действий и процедур, необходимых для ОИБ при автоматизированной обработке информации и обслуживании компонент АС;

• запрещенных действий, которые могут привести к нарушению нормальной работы АС, вызвать непроизводительные затраты ресурсов, нарушить конфиденциальность или целостность хранимой и обрабатываемой информации, нарушить интересы других пользователей;

• ответственности за нарушение установленных требований и ограничений.

- за формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам ИБ должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения информационной безопасности); - в силу малочисленности данного подразделения решение им многих процедурных вопросов и эффективный контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение информационной безопасности.

Контроль эффективности выполнения персоналом функциональных обязанностей осуществляется с помощью: -Средств контроля эффективности выполнения персоналом политики разграничением доступа

- Проведения аудитов ИБ, проверок, устного тестирования.

Средства контроля эффективности выполнения персоналом политики разграничением доступа

Анализатор уязвимостей «Ревизор1,2» - средство автоматизации проверки соответствия полномочий, предоставляемых пользователям системой защиты информации аттестуемой АС по доступу к объектам доступа (ресурсам файловой системы ОС и периферийным устройствам, а также к ресурсам АС), полномочиям пользователей, указанным в модели системы разграничения доступа (СРД), разработанной средством моделирования «Анализатор уязвимостей «Ревизор1».

"Ревизор 2 ХР" – программа контроля полномочий доступа к информационным ресурсам.

Реализуемые функции:

• отображение всей информации, содержащейся в ПРД (возможен только просмотр);

• сравнение структуры ресурсов АРМ, описанной в ПРД, с реальной структурой ресурсов;

• создание отчета по результатам сравнения;

• построение плана тестирования объектов АРМ;

• проверка реальных прав доступа пользователей к объектам доступа;

• создание отчета по результатам тестирования.

Ключевые показатели эффективности могут быть измерены при помощи, например, ARIS Process Performance Manager, а затем интегрированы в систему управления рисками. Также на этой стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты данного процесса могут использоваться в целях аудита для подготовки компании к сертификации по стандарту ISO/IEC 27001:2005.