2018-02-14
558
Организационное обеспечение – регламентация производственной деятельностей и взаимоотношение исполнителей на нормативно-правовой основе, исключающая или существенно затрудняющая неправомерное овладение конфиденциальной информацией, а также реализацию внутренних и внешних угроз.
Организационное обеспечение регламентирует:
-охрану
-режим функционирования
-работу с кадрами
-работу с документами
-порядок использования информационных технологий
-ТСПИ
-информационно-аналитическая деятельность по выявлению внутренних и внешних угроз
Создание специального подразделения по ЗИ в организации.
Типовой состав службы безопасности:
-подразделение режима и охраны
-конфиденциальное делопроизводство
-подразделение инженерно-технической безопасности
-информационно-аналитическое подразделение
Кадровое обеспечение СОИБ ХС
Важное значение для функционирования СОИБ имеет организация кадровой работы ХС. Кадровая работа и особенности ее осуществления для обеспечения ИБ должна включать отбор кандидатов для работы в качестве сотрудников ХС и определение персональной ответственности каждого сотрудника в области ИБ. При этом особое внимание необходимо обратить на подбор кандидатов для работы в качестве сотрудников СОИБ.
|
|
|
Обеспечение функционирования СОИБ непременно связано с введением в хозяйствующем субъекте комплекса ограничительных (режимных) мероприятий. Природа психологии человека такова, что он всегда негативно относится к любым попыткам ограничить его права и свободы, даже, несмотря на явную необходимость таких действий.
Поэтому, основой успеха функционирования данной системы является такая ее организация, при которой режимные меры не должны серьезно затруднять работу персонала, не должны вызывать дискомфорт на технологических участках и серьезную неприязнь.
Универсальный перечень режимных мероприятий для обеспечения информационной безопасности бизнеса:
- физическая защита сотрудников ХС, являющихся потенциальными носителями конфиденциальной информации;
- постоянный контроль и проверка персонала с целью устранения возможностей для совершения мошенничества и предотвращения возможного сговора между сотрудниками и, например, клиентами ХС;
- ограничение прав доступа сотрудников к информации, которое должно регламентироваться только характером выполняемых ими должностных обязанностей. Наиболее ценная информация разделяется на составные части, доступ к которым должен быть у разных сотрудников. При любом разглашении конфиденциальной информации должен быть достаточно четко известен (или минимизирован) круг лиц, которые могут быть причастных к инцидентам в области ИБ;
|
|
|
- налаженная и постоянно действующая система внутреннего контроля ХС, включающая проведение плановых, внезапных и скрытых контрольных проверок;
- проведение предупредительной активной политики аудита информационной безопасности ХС.
Подготовка кадров
Основными способами воздействия на сотрудников компании являются нормативные документы, устанавливающие ответственность сотрудника за выполняемые действия, и информирование сотрудников по вопросам ИБ. С целью повышения осведомленности сотрудников компании в области ИБ проводятся различные виды тренингов и обучения.
Обучение сотрудников можно выполнять в форме очных и заочных курсов с последующим тестированием.
Обучая своих сотрудников основным правилам в области ИБ, компания может значительно снизить риск нарушения ИБ (ISO 27001).
Формы подготовки специалистов по вопросам обеспечения ИБ:
- система высшего профессионального образования;
- система переподготовки на новые специальности;
- система повышения квалификации.
