- •Введение
- •1 Основные понятия
- •2 Структура службы безопасности
- •2.1 Принципы организации службы безопасности организации
- •2.2 Основные функции и особенности службы безопасности
- •2.3 Типовая структура службы безопасности организации
- •3 Правовые основы деятельности службы безопасности
- •3.1 Концепция разработки службы безопасности организации
- •3.2 Обязанности сотрудников системы безопасности
- •3.3 Ответственность сотрудников системы безопасности
- •Заключение
- •Список использованных источников
2 Структура службы безопасности
В интересах решения вопросов защиты информации на предприятии создается комплексная система защиты информации (КСЗИ).
Основной целью КСЗИ считается обеспечение постоянной деятельности и стабильного функционирования коммерческого предприятия, а также предотвращения угроз его безопасности.
КСЗИ направлена:
– на защиту законных интересов компании от противоправных посягательств;
– на охрану жизни и здоровья сотрудников;
– не допускать: хищения финансовых и материально-технических средств; устранение собственности и ценностей; разглашения, утечки, потери и несанкционированного доступа к служебной информации; нарушения работы технических средств и автоматизированных систем обеспечения производственной деятельности, в том числе информационные технологии.
Отталкиваясь от цели и направлений КСЗИ, можно определить задачи. К ним относится:
– прогнозирование, своевременное обнаружение и предотвращение угроз безопасности сотрудникам и ресурсам коммерческой организации, причин и обстоятельств, которые могут содействовать нанесению его нормального функционирования и развития вреда;
– отнесение информации к категории ограниченного доступа (служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов – к разным степеням уязвимости, подлежащих сохранению;
– формирование механизма и условий своевременного реагирования на угрозы безопасности проявления отрицательных направленностей в функционировании организации;
– результативное пресечение угроз сотрудникам и посягательств на средства на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
– развитие обстоятельств с целью наибольшего возможного возмещения и локализации наносимого вреда противозаконными действиями физических и юридических лиц, снижение негативного воздействия последствий нарушения безопасности компании [3].
2.1 Принципы организации службы безопасности организации
Обеспечение безопасности предприятия должно опираться на последующих ключевых принципах: системности; комплексности; своевременности; непрерывности защиты; разумной достаточности; гибкости; специализации; взаимодействия и координации – должно осуществляться планирование; совершенствования; централизации и управления; активности; экономической эффективности; несложности используемых защитных мер и средств.
Подробнее о более значимых принципах построения КСЗИ.
Принцип системности требует использования системного подхода в качестве методологической основы при анализе и синтезе комплексной системы защиты информации. Главная цель системного подхода — формализация вербальных описаний и формирование методов работы.
При создании системы защиты следует принимать во внимание все слабые, наиболее уязвимые зоны компании, а также характер, возможные объекты и направления атак на КСЗИ со стороны нарушителей (в особенности высококвалифицированных злоумышленников), пути вторжения и НСД к информации. Система защиты обязана выстраиваться с учетом не только всех известных каналов вторжения и НСД к информации, но также с учетом возможности возникновения принципиально новых линий осуществлении угроз безопасности.
Принцип комплексности подразумевает, то что система защиты организации обязана содержать совокупность объектов защиты, сил и средств, принимаемых мер, проводимых мероприятий и операций согласно обеспечению безопасности сотрудников, материальных и финансовых средств от вероятных угроз всеми легкодоступными законными средствами, способами и мероприятиями. В распоряжении специалистов по безопасности существует обширный диапазон мер, способов и средств защиты. Комплексность системы защиты информации достигается охватом абсолютно всех вероятных угроз и согласованием между собой неоднородных способов и средств, которые обеспечивают защиту всех составляющих организации.
Принцип своевременности обозначает, что мероприятия по защите не должны «запаздывать». К примеру, напрасно выводить охранную сигнализацию на пульт дежурного, который будет способен явиться в случае тревоги на объект охраны только лишь через полчаса.
Принцип непрерывности подразумевает постоянный направленный процесс, предполагающий утверждение определенных мер на всех этапах жизненного цикла систем организации, включая наиболее ранние стадии проектирования, но никак не только лишь в стадии их эксплуатации.
Принцип разумной достаточности принимает во внимание тот факт, что сформировать совершенно непреодолимую систему защиты принципиально невозможно. Важно грамотно подобрать тот достаточный уровень защиты, при котором затраты, риск и объем вероятного ущерба были бы приемлемыми (задача рассмотрения риска).
Принцип простоты использования заключается в том, что методы защиты должны быть подсознательно понятны и элементарны в применении. Использование средств защиты не должно быть сопряжено со знанием специальных языков либо с выполнением действий, требующих существенных дополнительных трудозатрат при обычной работе законных пользователей [4].
Важными критериями обеспечения безопасности считаются законность, достаточность, выполнения баланса интересов личности и организации, высокая компетентность представителей службы безопасности, подготовка пользователей средств вычислительной техники и выполнения ими абсолютно всех установленных правил сохранения конфиденциальности, обоюдная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.