УТВЕРЖДАЮ
Ректор университета
_________________А.В.Лагерев
«________»_____________2007г.
организационная защита информации
Тема: «изучение Устава (положения) службы безопасности фирмы (организации)»
Методические указания
к выполнению лабораторной работы №2
для студентов очной формы обучения специальности
090103 – "Организация и технология защиты информации"
Брянск 2007
УДК 621.391
Организационная защита информации. Изучение Устава (положения) службы безопасности фирмы (организации): методические указания к выполнению лабораторной работы №2 для студентов очной формы обучения специальности 090103 «Организация и технология защиты информации». – Брянск: БГТУ, 2006. - 11 с.
Разработали:
М.Ю. Рытов
канд. техн. наук, доц.,
Г.В. Кондрашин, асс.
Рекомендовано кафедрой
“Компьютерные технологии и системы” БГТУ
(протокол № 1 от 06.09.06)
Введение
Основным подразделением, обеспечивающим информационную безопасность фирмы, организации или учреждения, является служба безопасности.
Служба безопасности фирмы — самостоятельное структурное подразделение. Она решает задачи по непосредственному обеспечению защиты жизненно важных интересов фирмы в условиях коммерческого и производственного риска, конкурентной борьбы.
Организационная структура службы безопасности может быть самой разнообразной и зависит от вида конкретного предприятия, его масштабов, форм собственности и т.п. Создавать её необходимо осознанно и рационально, максимально используя опыт специалистов в сфере безопасности бизнеса.
Основным документом, регламентирующим деятельность службы безопасности, является устав (положение).
Цель работы: изучить типовой Устав (положение) службы безопасности фирмы.
Продолжительность работы - 4 часа.
1.Порядок выполнения работы
В качестве примера организации службы безопасности следует рассматривать рекомендуемую типовую схему.
Как правило, в состав службы безопасности фирмы входят:
отдел охраны;
отдел режима;
отдел работы с кадрами;
отдел специального документооборота (отдел документов с грифом коммерческая тайна);
отдел контрразведки и информационно-аналитической деятельности.
Примерная структура службы безопасности фирмы приведена на рис. 1.
Рис. 1. Организационная структура службы безопасности предприятия
прежде чем приступить к созданию службы безопасности (СБ), необходимо определить объекты защиты, чье уничтожение, модификация и несанкционированное использование может привести к уменьшению прибыли. Определив объекты защиты, следует выявить их условия существования и возможные формы. Данный анализ позволяет определить множество угроз безопасности защищаемых объектов.
Определившись в формах и методах защиты своей информации, концепции информационной безопасности, администрация предприятия может приступить к составлению Устава (Положения), которое в последствии будет являться основным руководящим документом для деятельности службы безопасности в структуре предприятия.
Как официальный документ Устав (Положение) должен отвечать определенным требованиям:
краткость и компактность изложения официального материала в текстовой части Положения;
точность в определении формулировок, однозначность и единообразие в написании терминов, определений и понятий;
последовательность использования технических и синтаксических приемов.
При разработке Устава (Положения) также необходимо соблюдать ряд требований, обеспечивающих ему юридическую силу, в том числе выполнение следующих правил написания текстовой части Положения:
законность, объективность, достоверность описания и изложения информации, исключение ее двойного толкования;
структурирование текста, деление его на правильные смысловые части;
использование трафаретных и типовых текстов при описании повторяющихся управленческих ситуаций.
При написании и составлении Устава (Положения) на предприятии его составитель должен руководствоваться:
ГОСТом Р 6.30-2003. «Унифицированные системы документации (УСД). Унифицированная система организационно-распорядительной документации. Требования к оформлению документов»;
ГОСТом 1.5-85 "Государственная система стандартизации, построение и изложение, оформление и содержание стандартов";
другими официальными и методическими документами.
При разработке Положения также должны использоваться:
концепция защиты информации от недобросовестных конкурентов, принятая на предприятии;
нормы противодействия техническим и другим средствам конкурентов, установленные на государственном и коммерческом уровне;
нормы эффективности защиты информации предприятия.
Текст Устава (Положения) должен содержать следующие основные разделы.
Общие положения. Определяется правовой статус отдела, его подчиненность, порядок назначения и освобождения от должности его руководителя, квалификационные требования, предъявляемые к руководителю и его сотрудникам, а также порядок замещения руководителя в период его отсутствия. В разделе также перечисляются правовые акты и нормативные документы, которыми должен руководствоваться отдел в своей деятельности.
Основные цели и задачи. Излагаются целевые установки и направления деятельности отдела по решению возложенных задач.
Основные функции. Перечисляются конкретные виды организационно-технических, производственно-хозяйственных функций, необходимых для организации работы отдела, а также порядок планирования контрольно-проверочных и других специальных функций. Основными функциями являются:
административно-распорядительная - подготовка решений по поддержанию режимов безопасности и конфиденциальности; определению положений, прав, обязанностей и ответственности должностных лиц по вопросам защиты информации, а также по осуществлению представительских функций предприятия в данной области ее деятельности;
хозяйственно-распорядительная - определение (совместно со службой безопасности или режимно-секретным органом) ресурсов, необходимых для решения задач по обеспечению информационной безопасности предприятия, подготовка и проведение мероприятий организационно-технического и правового характера, направленных на сохранность его интеллектуальной собственности;
учетно-контрольная – определение критически важных направлений финансово-экономической, производственно-коммерческой и другой деятельности, подлежащих защите, а также возможных каналов утечки информации и других угроз финансовой стабильности и устойчивости предприятия, оценка источников их возникновения; налаживание действенного и качественного контроля;
организационно-техническая – создание организационной структуры подразделения защиты информации, а также других временных структур по отдельным направлениям работы; организация взаимосвязи между отдельными структурными подразделениями предприятия, способствующими достижению заданных программных целей концепции безопасности;
планово-производственная – разработка комплексных программ и отдельных целевых планов обеспечения информационной безопасности предприятия, подготовка и проведение мероприятий по защите информации;
материально-техническая – материально-техническое и технологическое обеспечение деятельности отдела, оснащение его специальной техникой;
научно-методическая – накопление и распределение передового опыта в области защиты информации, информационных ресурсов, систем и технологий, а также информатики; организация обучения штатных контрагентов предприятия; научная разработка проблем, возникающих в сфере информационной безопасности, и способов их решения на предприятиях;
информационно-аналитическая – целенаправленный сбор, накопление и обработка данных (сведений), относящихся к сфере информационной безопасности, создание и использование необходимых для этого технических и методических средств.
Права и обязанности. На законном основании указываются права руководителя и других должностных лиц отдела, необходимые им для выполнения производственных и контрольных функций по отношению к структурным подразделениям предприятия, а также сторонним организациям, поставщикам, посредникам, клиентам и держателям частной собственности.
Взаимодействия и связи. Определяются служебные, производственные и другие специфические вопросы взаимодействия со структурными подразделениями службы безопасности или режимно-секретных органов предприятия, а также особенности установления договорных связей со сторонними и взаимодействующими организациями.
Имущество и средства. Устанавливается порядок использования средств, оборудования, техники и имущества, переданных отделу на правах собственности, а также распоряжения и присвоения полученной за счет этого прибыли.
Трудовые отношения. Определяются порядок и особенности организации и оплаты труда, вопросы социального и бытового характера.
Организация работы. Определяется порядок организации производственной, хозяйственной и иной деятельности отдела, контроля и проверок, порядок реорганизации или ликвидации отдела.
Структура и штатная численность (штатное расписание). Устанавливается структура, штатная численность или штатное расписание отдела, а также порядок внесения в них изменений и дополнений.
Финансирование работ. Определяются средства и порядок финансирования отдела, оговариваются условия выплаты материального поощрения и других надбавок.
При разработке и составлении Устава (Положения) допускается написание и других разделов, законодательно необходимых для функционирования отдела. К таким разделам относятся "Материально-техническое обеспечение", "Меры поощрения и дисциплинарные взыскания", "Рассмотрение трудовых споров" и др. К Положению при необходимости прилагаются нормативные руководящие документы, таблицы, схемы, графики, методические и другие справочные данные, необходимые для оценки обстановки и определения мероприятий по защите информации.
Кроме того, в виде приложений в него могут входить планы объектов защиты с указанием рабочих мест и установленных на них технических средств передачи, приема, хранения, обработки конфиденциальной информации.
После написания Устав (Положение) подлежит обязательному визированию у юрисконсульта предприятия, согласованию с основными заместителями руководителя предприятия и при необходимости обсуждается на учредительном (общем) собрании. По окончании обсуждения Устав (Положение) вводится в действие приказом по предприятию.
Все существенные изменения и дополнения вносятся в Положение на основании приказа, издаваемого на предприятии по решению руководителя или его заместителя.