2. Организационно-административные методы защиты информации.

Организационно-административные мероприятия:

- выделение специального защищенного помещения для обработки информации секретного характера

- выделение специального АРМ

- организация хранения защищаемой информации

- использование соответствующих технических и программных средств, имеющих сертификаты

- организация специального делопроизводства для обработки конфиденциальной информации

- организация регламентированного доступа субъектов к тем объектам, которые содержат защищенную информацию

- запрет использования открытых телекоммуникационных каналов

- разработка организационно-распорядительных документов (ОРД) по организации защиты

- организация контроля за установленными требованиями по защите информации

3. Структура системы информационной безопасности предприятия.

3. Задачи службы информационной безопасности.

- Администрирование имеющихся средств безопасности

- Разработка моделей ЗИ

- Контроль работы субъектов с информационными объектами

- Контроль внешнего доступа

3. Варианты организации работы сиб.

При создании СБ необходимо обратить внимание на:

- Помещение, где будет располагаться СБ

- Взаимодействие СБ с другими штатными подразделениями (особенно охраной)

- Кому должна подчиняться СБ

Варианты работы СБ:

1. ИТ подразделение занимается администрированием, распределением ресурсов и т.д. СБ- контролирует работу, приобретение оборудования, админ. средства ЗИ.

2. СБ занимается администрированием ресурсов, сама настраивает политики безопасности.

11. Требования к специалистам по защите информации.

Сотрудник СБ должен знать:

1. Системы контроля доступа и методы их создания

2. Телекоммуникации и сетевая связь

3. Практическое управление безопасностью (настройка, отладка, модернизация и т.д.)

4. Безопасность разработки приложений систем

5. Криптография

6. Архитектура и модель безопасности

7. Планирование продолжения бизнес-процесса после аварии и сбоев

8. Методика проведения расследований и вопросов корпоративной этики

9. Вопросы физической защиты ИС

12. Методика подбора кадров сиб.

Если кадровая служба подбирает сотрудников без участия СБ, необходимо ознакомиться с документами представленные в кадровую службу, загружать сотрудника работой на испытательном сроке и возможно провести анкетирование с целью определения понимания задачи.

Основные принципы кадровой политики:

- сохранение кадрового потенциала (беречь людей)

- эффективная мотивация

- взаимозаменяемость сотрудников

- создание команды единомышленников

Психологические особенности ИТ-специалиста:

- стремление к развитию

- интерес к выполнению поставленных задач

- креативное мышление

- не лидеры

- не клиентоориетированы

- свобода и независимость

12. Общий характер инвентаризации информационных систем.

Инвентаризация является одной из составляющих анализа рисков. Объект инвентаризации – что-то осязаемое. Субъект инвентаризации – то, что влияет на объект.

Инвентаризация – составление списка систем (объектов) и субъектов, которые задействованы в ИС и влияющих на СЗИ.

План проведения инвентаризации:

1. Издание приказа об инвентаризации (плановый или неплановый)

2. В приложении к приказу определяются объекты инвентаризации, субъекты, объем необходимой информации, форма представления отчёта, сроки, ответственные лица.

3. Общее знакомство с системой в ходе которого определяется расположение объектов, их составляющих.

4. Предварительная беседа с ключевыми субъектами(TOP-менеджерами, руководителями подразделений, администрация ИС). Выясняется общее функционирование системы, её задачи.

5. Изучение документации по ИС.

6. Общее описание системы с точки зрения её безопасности.

7. Внешний небольшой аудит.

Составляющие для инвентаризации:

1. Аппаратные составляющие («железо»)

2. Системное ПО, СУБД

3. Прикладное ПО

4. Сетевая инфраструктура

5. Организационное обеспечение – перечень пользователей и их функциональные обязанности.

6. Нормативное обеспечение – вся текущая и рабочая документация по работе системы

7. Данные