- •1. Содержание и особенности комплексного подхода к построению сзи
- •2. Системный подход и его роль в создании ксзи
- •3. Концептуальная модель ксзи
- •4.Принципы организации ксзи
- •5. Основные требования, предъявляемые к ксзи Общие требования
- •Вопрос 6. Содержательная характеристика этапов разработки ксзи.
- •7. Факторы, влияющие на организацию ксзи.
- •Вопрос 8. Этапы работы по формированию перечня.
- •9.Структура перечня сведений, составляющих коммерческую тайну и нормативное закрепление состава защищаемой информации
- •10. Определение состава носителей защищаемой информации.
- •11. Классификация угроз и источников дестабилизирующего воздействия на информацию и способы воздействий
- •Вопрос 12. Оценки потенциального ущерба от дестабилизирующего воздействия на и.
- •13. Потенциальные каналы утечки информации и уязвимости
- •Вопрос 14. Выявление каналов нсд к и.
- •Вопрос 15. Понятие и классификация моделей нарушителя.
- •16.Оценка степени уязвимости информации в зависимости от категорий нарушителей.
- •17. Анализ рисков, сущность и основные понятия.
- •Вопрос 18. Основные факторы риска и шкалы для их измерения.
- •19.Двух и трехфакторный анализ рисков
- •20. Моделирование как инструмент анализа сложных систем.
- •21. Виды моделей, применяемых при построении ксзи
- •22.Моделирование объекта защиты
- •Вопрос 23. Моделирование угроз безопасности и.
- •24. Функциональная модель ксзи
- •25. Организационная модель ксзи
- •26.Структурная модель ксзи
- •29.Распределение функций по защите информации между персоналом предприятия и службой защиты информации
- •Вопрос 30. Кадровое обеспечение функционирования ксзи .
- •Вопрос 31. Подбор и обучение персонала.
- •32. Нормативные документы, регламентирующие деятельность персонала по защите информации
- •33. Материально-техническое обеспечение ксзи
- •34. Нормативно-методические документы, обеспечивающие функционирование ксзи
- •35. Организация и особенности управления ксзи
- •37. Календарно-плановое руководство
- •37.Понятие и задачи планирования. Способы и стадии планирования
- •38. Понятие, цели и виды контроля, задачи контроля в ксзи
- •39. Особенности управления в случае возникновения чрезвычайных ситуаций
- •40. Основные подходы к оценке эффективности ксзи
Вопрос 30. Кадровое обеспечение функционирования ксзи .
1.Поиск и отбор персонала. Специфика персонала как объекта защиты – это и источник, и носитель, т.е. самый сложный элемент при анализе и создании СЗИ(изменяется под влиянием внешних и внутренних факторов). Методы анализа: 1.анализ при отборе на работу. 2.анализ в процессе производственной деятельности. 3.Научное направление по изучению человека, оценка индивидуума(психологические и т.д.). С точки зрения интересов организации и задач ЗИ человек может выступать в ролях: 1.источник(создатель новой И). 2. Источник(обладатель И). 3.Носитель(транспортное средство передачи И от обладателя к получателю). 4.Защитник – исполнитель функций по ЗИ. 5. Злоумышленник – осознанно, неосознанно. Либо возможна комбинация ролей.
2.Текущая работа с персоналом. Текущая работа с персоналом, обладающим конфиденциальной информацией, включает в себя:
2.1.Обучение, инструктажи: изучение О защиты, знакомство с существующей СЗИ.
2.2. Воспитательная работа(цель – воспитание лояльных сотрудников). Инструмент воспитания – мотивирующие факторы(материальные – з/п, штрафы, премии; моральные – ласковое слово, благодарность публичная, грамоты, выговор..; соц.-психологические – гарантия занятости, престиж организации, условия труда, рабочий климат в коллективе; социально-экономический стимул – оказание помощи в обеспечении жильем, помощь в медобслуживании, путевки, проезд, корпоративные мероприятия).
2.3. Организация контроля за выполнением персоналом требований по защите конфиденциальной информации(проверка наличия КД, проверка исполнения требований защищенного документооборота); контрольная работа по изучению степени осведомленности персонала в области конфиденциальных работ фирмы; контроль КПР и ВОР; периодическое изучение личных дел; проверка на факторы, благоприятствующие вербовке. Формы контроля 1)создание учета СУБД 2)адаптация сотрудников 3)отчеты руководителей о своих структурных подразделениях 4)соблюдение сотрудниками требования по ЗИ, проверки, комиссии 5)самоконтроль сотрудников.
Аттестация Аттестация сотрудников (наиболее эффективный способ оценки деятельности человека) – коллективная форма оценки профпригодности и соответствия занимаемой должности и возможности продвижения по службе.
Приказом руководителя создается аттестационная комиссия: представители СБ, начальник ОК
при аттестации оценивается: 1)знание нормативных документов по ЗИ 2)умение их применить 3)отсутствие нарушений по работе с КД 4)умение общения со сторонними лицами их раскр. секреты.
по результатам аттестации – указ распоряжение (рекомендации к повышению з\п, рекомендации к повышению должности\перемещению (несоответствие должности), отстранение сотрудника от тайн фирмы.
2.4.Увольнение(с соблюдением трудового законодательства). Увольнение по собственному желанию: 1)выяснить причины увольнения (беседа, сбор информации – определение недостатков предприятия) 2)выяснить будущее место работы 3)выявить мотивацию сотрудника (уровень лояльности на момент увольнения) 4)выявить объем известной КИ (с кем\чем работал) 5)устранить возможное решение (принять меры нейтрализации – разработать план в случае разглашения) 6)проведение спец.инструктажа о неразглашении + расписка, напомнить об ответственности 7)отслеживание дальнейшей судьбы уволившегося.
Увольнение по инициативе администрации: 1)некомпетентность 2)профнепригодность 3)сокращение 4)безалаберность, безответственность 5)несовместимость с коллективом 6)разногласия с руководителем\сотрудниками 7)нарушение нормативно-организационных правил 8)нарушение закона. Необходимо открытое информирование коллектива и причинах увольнения, извещение всех, что он больше не работает(предупреждение в том числе партнеров).
При увольнение необходима своевременная блокировка допуска к КИ, изъять КИ, сменить пароли, изъятие пропусков, ключей.
Методы увольнения (не противоречащих КЗОТу): 1)с недопущением к рабочему месту 2)обычное увольнение 3)перевод в другой отдел\филиал 4)перевод в другую фирму 5)контакт с рабочим после увольнения 6)компромат (распространение компрометирующих данных в профессиональное среде).
2.5. Служебное расследование.
Служебное расследование – гласный сбор\документирование информации относящегося к событию: а)осмотр служебных помещений в)опрос сотрудников, знающих лиц. Комиссия назначает председателя, планирует конкретные мероприятия (сроки, порядок)
Причины: 1.утрата носителей. 2.грубое нарушение правил по ЗИ. 3.разглашение.
Проведение разбирательства. В ходе следствия устанавливается: 1)имело ли место событие 2)обстоятельства события 3)наличие отрицательных последствий 4)характер и размер ущерба 5)установление виновного 6)причины и условия способствовавшие событию 6)наличие обстоятельств смягчающиъ\отягчающих ответственность виновного.
Завершение разбирательства: Заключение руководителю содержит: 1)основание для разбирательства 2)должности, ФИО сотрудников проводивших разбирательство 3)данные лиц, на которых проводилось разбирательство 4)аргументированные ответы\вопросы 5)предложения (выводы) 6)направление разбирательства в правоохранительные органы 7)прекращение разбирательства. Руководитель может отправить на дорасследование.
2.6. совершенствование методики текущей работы с персоналом.