- •1 Аналитический раздел 5
- •2 Практический раздел 26
- •3 Экономический раздел 75
- •4 Экология и охрана труда 83
- •Введение
- •Аналитический раздел
- •Информационная безопасность. Определение, основные понятия
- •Общая характеристика платежной системы visa
- •Угрозы, характерные для финансово-кредитных организаций
- •Практический раздел
- •Мероприятия по защите информационной структуры центра авторизации платежных карт
- •Структура цапк и методы обеспечения информации
- •Мероприятия по повышению защищенности информационной системы
- •Методы защиты информации при ее передаче между удаленными рабочими местами и центральным офисом банка Ренессанс Кредит
- •- По типу используемой среды
- •- По способу реализации
- •- По назначению
- •- По типу протокола
- •- По уровню сетевого протокола
- •Система защиты информационной системы цапк
- •Организационные меры по обеспечению информационной безопасности
- •Политики безопасности
- •Организационные меры
- •Кадровая политика
- •Экономический раздел
- •Введение
- •Организация и планирование работ
- •Смета затрат на разработку
- •Расчет стоимости эксплуатации ис
- •Оценка экономической эффективности
- •Экология и охрана труда
- •Цель и решаемые задачи
- •Опасные и вредные факторы при работе с пэвм
- •Эргономические решения по организации рабочего места пользователей пэвм
- •Обеспечение электробезопасности
- •Обеспечение пожаробезопасности
- •Заключение
Кадровая политика
Наиболее неуправляемым элементом в системе защиты информации является персонал. Правильная кадровая политика и организация управления персоналом позволяют снизить риски этого фактора. Задача обеспечения информационной безопасности должна решаться на всех уровнях управления предприятием.
Необходимо включить задачи по обеспечению безопасности в должностные обязанности всех сотрудников.
При приеме на работу рекомендуется проводить:
• проверку рекомендаций
• проверку данных из резюме
• подтверждение ученых степеней и образования
• идентификацию личности
• проверку на полиграфе при добровольном согласии кандидата на должность
• включение соглашения о соблюдении режима информационной безопасности в условия трудового договора с работником
При приеме на работу новых сотрудников необходимо, чтобы они ознакомились и подписали:
• письменную формулировку их должностных обязанностей
• письменную формулировку прав доступа к ресурсам компании (в том числе и информационным)
• соглашение о конфиденциальности
• специальные соглашения о перлюстрации всех видов служебной корреспонденции (мониторинг сетевых данных, телефонных переговоров, факсов и т.д.).
Необходимо иметь систему повышения уровня технической грамотности и информированности пользователей в области информационной безопасности, а также переподготовки специалистов по защите информации. Для этого необходимо регулярное проведение тренингов для персонала и контроль готовности новых сотрудников по применению правил информационной защиты, а также периодическая переподготовка специалистов подразделений защиты информации. Особенно важно проводить тренинги при изменении конфигурации информационной системы (внедрении новых технологий и прикладных автоматизированных систем, смены оборудования, операционной системы, ключевых приложений, принятии новых правил или инструкций и т.д.)
Для организации своевременного реагирования на нарушения информационной безопасности необходимо создать систему аудита событий информационной безопасности, которая должна включать средства системного аудита для автоматизированных участков обработки информации, а также регламент представления отчетов об инцидентах в области информационной безопасности для всех сотрудников предприятия и другую информацию о состоянии системы защиты:
• отчеты об инцидентах
• отчеты о недостатках в системе безопасности
• отчеты о сбоях и неисправностях компьютерных систем
Регламент реагирования на нарушения информационной безопасности или в случае обнаружения нестандартной ситуации должен предусматривать:
• регистрацию всех симптомов проявления нарушения
• изоляцию компьютера, и если возможно приостановка его использования
• немедленный отчет о факте нарушения непосредственному руководителю и службе информационной безопасности
• запрет на принятие самостоятельных действий, не регламентированных документами или несанкционированными службой защиты информации
• изучение инцидента отчет о результатах анализа причин произошедшего
• дисциплинарные, административные или уголовные меры воздействия на нарушителей
Итак, организационные меры являются одной из основных составляющих системы информационной безопасности рассматриваемой компании. Необходимо осуществить:
- разработку общей политики безопасности и доведение ее требований до каждого сотрудника (в части касающейся);
- проведение мероприятий по работе с кадрами с целью выявления неблагонадежных сотрудников и последующего пресечения их возможной вредительской деятельности;
- создание системы мониторинга информационной безопасности, в том числе обязательной реакции на допущенные нарушения даже при незначительном или полном отсутствии ущерба.