Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4612 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет им. М.В. Ломоносова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Принципи управл_ння службою безпеки п_дприємств...doc
Скачиваний:
0
Добавлен:
17.09.2019
Размер:
64 Кб
Скачать
►Содержание►

6

Текст лекції

з дисципліни: «Організація та управління службою захисту інформації»

Тема «Принципи управління службою безпеки підприємства»

Лекція «Принципи управління службою безпеки підприємства»

План проведення заняття

Навчальні питання і розподіл часу

Вступ

1. Система керування

(найменування першого питання)

2. Функція планування

(найменування другого питання)

3. Функція організації

(найменування третього питання)

Контрольні запитання.

  1. Система керування

Така система складається із суб'єкта, об'єкта керування, їх прямих і зворотній зв'язках. Суб'єктом керування службою безпеки виступають керівник підприємства, рада безпеки підприємства і начальник служби безпеки. Успішно виконувати свої завдання ці суб'єкти можуть тільки в тому випадку, якщо компетенція кожного з них буде строго визначена в правових актах таким чином, щоб уникати не підпорядкування та дублювання функцій і повноважень. Якщо ці моменти в повному обсязі враховано, то можна говорити про сформовану підсистему керування.

Об'єктом керування (керованою підсистемою) у службі безпеки виступають її окремі співробітники й підрозділи. Оптимальним є розподіл служби безпеки на три підрозділи: підрозділ безпеки зовнішньої діяльності, охорона та захист інформації.

Об'єкт керування з'єднанується із суб'єктом керування каналами прямого і зворотного зв'язку. По каналу прямого зв'язку інформація у вигляді управлінських рішень надходить від суб'єкта керування до об'єкта, а по каналах зворотного зв'язку - у зворотному напрямку, сигналізуючи про стан об'єкта керування, його реакцію на управлінські директиви.

Сам управлінський вплив, у свою чергу, реалізується у формі таких функцій керування, як прогнозування, планування, організація, регулювання, мотивація й контроль. У системі керування всі ці функції об'єднані в цілісний процес, але з методичних міркувань доцільно розглядати їх окремо. Розглянемо вищевказані функції з урахуванням специфіки діяльності служби безпеки.

Прогнозування припускає складання висновку (прогнозу) про майбутню подію, тенденцію розвитку служби безпеки. Прогнозні оцінки бувають оперативними (з попередженням події не більше одного місяця), короткостроковими (від 1 місяця до 1 року), середньостроковими (від 1 року до 5 років). Складаються вони як залученими сторонніми спеціалістами, так і співробітниками служби безпеки.

  1. Функція планування

Планування припускає визначення цілей, завдань служб безпеки на майбутній період діяльності, засобів і часу на їх досягнення. Найпоширенішими в діяльності служб безпеки є комплексні й спеціальні плани.

Комплексні плани охоплюють всі сфери діяльності служби безпеки і містять у собі, як правило, такі розділи, як організаційні питання, забезпечення всіх видів безпеки підприємства (у рамках компетенції служби безпеки), робота з кадрами, ресурсне забезпечення, контроль і т.ін.

Комплексний план включає у себе:

  1. Завдання служби безпеки.

  2. Оцінку обстановки:

    1. положення на ринку послуг;

    2. основні угруповання сил конкурентів, злочинних елементів (їхня побудова, методи дій, можливості);

    3. основна загроза фірмі;

    4. сили СБ підприємства, її склад та можливості;

    5. особливості ситуації в країні, місті (місцях дислокації фірми) і її вплив на ринок послуг.

  3. Завдання, що вирішують служби безпеки сусідніх підприємств в інтересах фірми.

  4. Вказівки щодо взаємодії із МВС та іншими правоохоронними органами.

  5. Організація розгортання й посилення сил СБ підприємства, технічне й матеріальне забезпечення їхньої діяльності.

  6. Вказівка (план) по організації керування силами СБ підприємства в екстремальних ситуаціях.

  7. Строки готовності сил до виконання функціональних обов'язків у повному обсязі.

Спеціальні плани розробляються на випадок виникнення надзвичайних подій і надзвичайних ситуацій (нападу на об'єкт, загроза вибуху бомби, захват заручників, повінь, пожежа й т.ін.).

Зрозуміло , структура таких планів повинна бути різною за умови адекватного реагування на ці події.

Перелічені об'єктивні фактори або мета інформаційної безпеки забезпечуються за рахунок виконання наступних механізмів та принципів:

  • політика – набір формальних (офіційно затверджених або традиційно складених) правил, які регламентують функціонування механізму інформаційної безпеки;

  • ідентифікація – визначення (розпізнавання) кожного учасника процесу інформаційної взаємодії перед тим, як до нього будуть застосовані всілякі поняття інформаційної безпеки;

  • аутентифікація – забезпечення впевненості в тому, що учасника процесу обміну інформацією ідентифіковано вірно, а саме дійсно є тим, чий ідентифікатор він пред’явив;

  • контроль доступу – створення та підтримка пакета правил, які визначають для кожного учасника процесу інформаційного обміну дозвіл на доступ до ресурсів та рівень цього доступу;

  • авторизація – формування профілю прав для конкретного учасника процесу інформаційного обміну ( аутентифікованого або анонімного) із пакета правил контролю доступу;

  • аудит та моніторинг – регулярне відслідкування подій, що проходять в процесі обміну інформацією з регістрацією та аналізом передбачених значимих або підозрілих подій. Поняття “аудит” і “моніторинг” при цьому декілька відрізняються одне від одного, оскільки перше припускає аналіз подій постфактум, а друге наближено до режиму реального часу;

  • реагування на інциденти - сукупність процедур та міроприємств, які виконуються при порушенні або підозрі на порушення інформаційної безпеки;

  • управління конфігурацією – створення та підтримання функціонування середовища інформаційного обміну в працездатному стані і в відповідності до вимог інформаційної безпеки;

  • управління користувачами – забезпечення умов роботи користувача в середовищі інформаційного обміну у відповідності до вимог інформаційної безпеки. У даному випадку під користувача підпадають всі, хто використовує задане інформаційне середовище, у тому числі і адміністратори;

  • управління ризиками – забезпечення відповідності можливих втрат від порушення інформаційної безпеки потужності захисних засобів (тобто затрати на їх побудову);

  • забезпечення стійкості – підтримка середовища інформаційного обміну в мінімально припустимому працездатному стані відповідно вимог інформаційної безпеки в умовах деструктивних зовнішніх або внутрішніх впливів.

Таким чином перелічені принципи за рахунок яких досягається мета інформаційної безпеки. В деяких джерелах перелічені принципи, наприклад, аутентифікація, переноситься до мети. Разом з тим, аутентифікація сама по собі не може бути метою інформаційної безпеки, оскільки вона є лише методом визначення учасника інформаційного обміну для того, щоб надалі визначити, яка, наприклад, політика у відношенні конфіденційності або доступності повинна бути застосована для конкретного учасника.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности