- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
Руководитель предприятия выполняет следующие функции по защите информации:
1) утверждает стратегию (политику) и концепцию защиты объекта;
2) утверждает планы работы по обеспечению информационной безопасности;
3) утверждает состав специальных комиссий, участвующих в работе по защите информации;
4) утверждает Перечень сведений, составляющих КИ;
5) разрешает проведение конфиденциальных переговоров;
6) утверждает НПД и НМД по защите информации;
7) выделяет ресурсы для создания и функционирования системы защиты информации;
8) подписывает приказы, договора, контракты, локальные нормативные акты предприятия по защите информации.
Руководитель несет ответственность за:
- за организацию работы по защите информации на предприятии;
- допуск и доступ к конфиденциальной информации;
- неразглашение конфиденциальной информации.
Cпециальные комиссии:
1. Совет по безопасности
Совет по безопасности является коллегиальным органом при руководителе предприятия. Совет предназначен для выработки решений по жизненно важным вопросам обеспечения экономической безопасности предприятия. В состав совета входит высшее руководство предприятия и ведущие специалисты по различным направлениям обеспечения безопасности.
Совет выполняет консультативные функции, а его предложения носят рекомендательный характер для первого лица. Все члены совета назначаются первым лицом по предложению руководителя по безопасности.
Основными задачами совета являются:
- выработка основных направлений деятельности фирмы по обеспечению экономической безопасности;
- разработка перспективных программ и планов работ подразделений в части совершенствования системы безопасности;
- разработка предложений о содержании и характере взаимодействия с административными, силовыми структурами, контрагентами (и их службами безопасности) по вопросам обеспечения безопасности
Задачей совета, в частности, является разработка стратегии (политики) защиты информации и контроль за выполнением программ и планов работ по защите информации.
2. Кризисная группа
Для решения задач предупреждения, нейтрализации (локализации) и ликвидации последствий ЧС на предприятии создаются специальные структуры - кризисные группы, штабы, оперативные бригады. Круг лиц, входящих в состав данных групп, определяется с учетом направленности деятельности предприятия, наличия или отсутствия филиалов, географией размещения служебных, производственных, складских, транспортных помещений и других факторов. В числе постоянных представителей подобных структур выступают руководители предприятия и службы безопасности, руководители функциональных и специально выделенные сотрудники функциональных подразделений.
В обязанности рассматриваемой структуры (штаб, кризисная группа) входит:
выявление тенденций развития ЧС;
оценка масштабов ее негативного воздействия и последствий;
расчет времени и ресурсов, необходимых для локализации и ликвидации, определение приоритетов при разработке и осуществлении основных мероприятий;
сбор, обработка и предоставление необходимой информации для руководителей, принимающих решения в условиях протекания ЧС, предупреждение о внезапных изменениях в зонах действия ЧС.
3. Экспертная комиссия
Экспертная комиссия является коллегиальным органом при руководителе предприятия и назначается первым лицом по предложению руководителя по безопасности. В отличие от Совета по безопасности, являющегося прежде всего думным органом по основным аспектам обеспечения безопасности, экспертная комиссия является исполнительным органом по вопросам защиты информации. В состав совета входят руководители и ведущие специалисты подразделений, работающих с конфиденциальной информацией.
Основные функции экспертной комиссии:
- анализ предварительного и формирование окончательного Перечня сведений, составляющих КИ;
- периодическое обновление Перечня;
- экспертиза документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, являющихся конфиденциальными. Экспертная комиссия является постоянно действующим органом.
4. Аттестационная комиссия
Аттестационные комиссии является коллегиальными органами и создаются при структурных подразделениях предприятия. В состав комиссии входят руководитель структурного подразделения, ведущий сотрудник подразделения по конкретному направлению деятельности, представитель отдела кадров, представитель службы безопасности (защиты информации). Целью аттестационной комиссии является аттестация сотрудников фирмы на соответствие занимаемой должности. Непосредственными задачами комиссии является:
- аттестация вновь принятых сотрудников по окончании испытательного срока;
- периодическая аттестация сотрудников на соответствие занимаемой должности;
- аттестация сотрудников для повышения в должности.
В ходе аттестации комиссия оценивает профессиональные качества сотрудника, его вклад в производственную деятельность предприятия, выполнение аттестуемым требований по защите информации, другие аспекты его работы, а также характеристики личности. По результатам проведения аттестации комиссия выносит решение о соответствии или несоответствии занимаемой должности, повышении вознаграждения, повышения в должности. Решения комиссии являются рекомендательными для руководителя предприятия. Аттестации должны проводиться по утвержденным первым лицом предприятия планам работы и являются постоянно действующим органом.
5. Комиссии по проведению проверочных мероприятий
Специально создаваемые службой безопасности комиссии для контроля выполнения планов работ по защите информации, выполнения требований нормативных документов по защите информации, сохранности носителей с конфиденциальной информацией, проведения специальных проверочных мероприятий в отношении персонала предприятия. Состав комиссий утверждается руководителем предприятия.
6. Комиссии по проведению служебных расследований
Данные комиссии создаются для проведения расследований по фактам разглашения КИ, утраты носителей, грубых нарушений требований по защите информации. Члены комиссии назначаются первым лицом по предложению руководителя по безопасности. По результатам расследования комиссия подготавливает заключение, в котором излагаются обстоятельства происшествия, причины, по которым оно стало возможным, причастные к нему лица и степень их виновности, предложения по недопущению аналогичных ситуаций впредь и наказанию для виновных. Заключение носит рекомендательный характер для руководителя фирмы. Комиссии не являются постоянно действующим органом и создаются по мере появления необходимости.
Все перечисленные комиссии, за исключением последней, являются постоянно действующими и должны работать по утвержденным руководителем фирмы планам.
Деятельность всех экспертных комиссий должна осуществляться на основе соответствующих Положений, утвержденных руководителем предприятия.
Структурные подразделения предприятия
Юридический отдел обеспечивает, совместно с СБ, правовую защиту информации на предприятии.
Отдел кадров планирует и организует работу по отбору и приему персонала, совместно с СБ осуществляет проверочные мероприятия в ходе отбора.
Отдел охраны осуществляет режим охраны объекта, контрольно-пропускной и внутриобъектовый режимы.
Отдел ИТ осуществляет защиту электронных систем сбора, обработки, хранения и передачи информации.
Другие структурные подразделения осуществляют мероприятия по защите информации в пределах выполняемых ими функций в соответствии с положениями и НД по защите.
Руководители структурных подразделений участвуют в:
- формировании Перечня
- разработке НПД, НТД и НМД по защите информации (начиная с должностных инструкций);
- работе по подбору, расстановке, обучению и воспитанию кадров;
- работе по контролю публикаторской , рекламной и выставочной деятельности;
- работе специальных комиссий;
- работе по совершенствованию СЗИ.
Руководители подразделений несут персональную ответственность за:
- за организацию работы по защите информации наподразделении;
- правильность выдачи разрешений на доступ к КИ;
- неразглашение конфиденциальной информации.
Персонал предприятия
Выполняет в массовом порядке практическую работу по защите информации в процессе повседневной производственной деятельности, опираясь на должностные инструкции и действующие нормативные документы по защите информации. Именно персонал в процессе производственной деятельности и выполняет основную массу работы по реальной защите информации.