КОНЦЕПЦИЯ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
скачать файл [doc, 127 KB]
Технические средства безопасности, что это?
Безопасность для предприятия является залогом продуктивной деятельности и процветания. Такое состояние способствует тому, что все сотрудники направляют силы на достижения новых результатов. Однако любой бизнес может подвергаться различным опасностям, таким как:
· утечка конфиденциальной информации;
· финансовые потери или банкротство;
· опасность потерять ценных сотрудников;
· опасность хищения денежных средств или ценных объектов;
· опасность для здоровья и жизни персонала.
Последние два пункта особенно беспокоят множество предпринимателей. Техническая безопасность предприятия — одна из наиболее актуальных тем, когда речь идет об устранении угроз и обеспечении условий для спокойной и эффективной работы. Больше остальных в технической защите нуждаются предприятия, где велик поток посетителей и сосредоточены ценные предметы или значительная сумма денег:
· ювелирные магазины;
· банковские отделения;
· музеи.
К техническим средствам безопасности следует отнести такие меры, которые направлены на контроль и видеонаблюдение за посетителями и на физическую защиту персонала и ценных объектов (денежных средств, музейных экспонатов).
Системы видеонаблюдения и квалифицированные охранники — первостепенная необходимость на предприятии. Эффективным способом защиты имущества и обеспечения безопасности персонала является пультовая охрана с установлением тревожной кнопки.
Когда речь идет об охране, важно не просто ее наличие – необходимо привлекать профессионалов, которые справятся с самыми дерзкими и подготовленными преступлениями злоумышленников.
Различают пассивные и активные технические средства безопасности. В первом случае меры применяются для предупреждения угрозы (видеонаблюдение, решетки на окнах, сигнализация). Активные меры направлены на задержание и нейтрализацию преступника.
Журнал «Директор по безопасности» подготовил множество материалов от профессионалов о безопасности и способах ее обеспечения. Узнать больше о технических средствах безопасности и тонкостях их использования можно в номере журнала, который убережет ваш бизнес от потрясений и вселит уверенность в завтрашний день.
Утверждаю
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР ОАО «ХХХХХХХХХХХХ»
________________________Х.ХХХХХХХХХ
«___»______________________20__ года
КОНЦЕПЦИЯ БЕЗОПАСНОСТИ ОАО «ХХХХХХ»
1. ОБЩИЕ ПОЛОЖЕНИЯ
Концепция безопасности ОАО «ХХХХХ» представляет собой систему взглядов на основные направления, условия и порядок практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции.
Под безопасностью ОАО «ХХХХХХ» понимается состояние защищенности интересов владельцев, руководства и сотрудников предприятия, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.
Обеспечение безопасности является неотъемлемой составной частью деятельности СБ ОАО «ХХХХХХХХ».
Объектами безопасности являются:
- персонал (руководство, ответственные исполнители, сотрудники);
- финансовые средства, материальные ценности, новые технологии;
- информационные ресурсы (конфиденциальная информация с ограниченным доступом, составляющая коммерческую тайну, иная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).
Субъектами правоотношений при решении проблемы безопасности являются:
- государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
- ОАО «ХХХХХХ» как юридическое лицо, являющееся собственником производственных, финансовых, а также информационных ресурсов, составляющих служебную и коммерческую тайну;
- другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования предприятия как внутри страны, так и во внешнених связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.);
- службы безопасности других коммерческих и частных охранных структур.
Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
2. ЦЕЛИ И ЗАДАЧИ СИСТЕМЫ БЕЗОПАСНОСТИ
Главной целью системы безопасности является обеспечение устойчивого функционирования предприятия и предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.
Задачами системы безопасности являются:
- прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам предприятия; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию;
- отнесение информации к категории ограниченного доступа (государственной, служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;
- создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании предприятия;
- эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей предприятия.
3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ
Организация и функционирование системы безопасности должны соответствовать следующим принципам:
1. Комплексность:
- обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;
- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;
- способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования предприятия.
Комплексность достигается:
- обеспечением соответствующего режима и охраны предприятия;
- организацией конфиденциального делопроизводства с ориентацией на защиту коммерческих секретов;
- мероприятиями по подбору и расстановке кадров;
- широким использованием технических средств безопасности и защиты информации;
- развернутой информационно-аналитической деятельностью.
1. Комплексность реализуется совокупностью правовых, организационных и инженерно-технических мероприятий.
2. Своевременность - упреждающий характер мер обеспечения безопасности. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирование обстановки, угроз безопасности предприятия, а также разработку эффективных мер предупреждения посягательств на законные интересы.
3. Непрерывность – постоянное обеспечение безопасности предприятия.
4. Активность - защита интересов предприятия с достаточной степенью настойчивости, широкое использование имеющихся сил и средств обеспечения безопасности и нестандартные меры защиты.
5. Законность - разработка системы безопасности на основе законодательства РФ в области предпринимательской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности.
6. Экономическая целесообразность - сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий "эффективность - стоимость").
7. Специализация - привлечение к разработке и внедрению мер по защите интересов предприятия специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы.
8. Взаимодействие и координация - осуществление мер обеспечения безопасности на основе четкого взаимодействия подразделений и служб предприятия.
4. ОБЪЕКТЫ ЗАЩИТЫ
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
- персонал предприятия (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, ценностям, хранилищам, осведомленные в сведениях, составляющих коммерческую тайну, работники внешнеэкономических служб и другие;
- финансовые средства, ТМЦ;
- информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
- технические средства и системы охраны и защиты материальных и информационных ресурсов.
Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.
Наибольшую уязвимость представляют финансовые и ТМЦ, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.
5. ОСНОВНЫЕ ВИДЫ УГРОЗ ИНТЕРЕСАМ ПРЕДПРИЯТИЯ
В общем плане к угрозам безопасности личности относятся:
- похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
- убийства, сопровождаемые насилием, издевательствами и пытками;
- психологический террор, угрозы, запугивание, шантаж, вымогательство;
- нападение с целью завладения денежными средствами, ценностями и документами.
Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:
- взрывов;
- обстрелов из огнестрельного оружия;
- минирования, в том числе с применением дистанционного управления;
- поджогов;
- нападения, вторжения, захватов, пикетирования, блокирования;
- повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных:
- технологические аварии, пожары.
Цель подобных акций:
- нанесение серьезного морального и материального ущерба;
- срыв на длительное время нормального функционирования предприятия;
- вымогательство значительных сумм денег или каких-либо льгот
-
Угрозы финансовым и товарным ресурсам проявляются в виде:
- невозврата ссуд;
- мошенничества;
- подложных платежных документов;
- хищения финансовых средств ТМЦ
Угрозы информационным ресурсам проявляются в виде:
- разглашения конфиденциальной информации;
- утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;
- несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований.
Осуществление угроз информационным ресурсам может быть произведено:
- путем неофициального доступа и съема конфиденциальной информации;
- путем подкупа лиц, работающих на предприятии или структурах, непосредственно связанных с его деятельностью;
- путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;
- путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
- через переговорные процессы между предприятием и иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
- через отдельных сотрудников предприятия, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность.
6. ПРАВОВЫЕ ОСНОВЫ СИСТЕМЫ БЕЗОПАСНОСТИ
Правовые основы безопасности предприятия определяют соответствующие положения Конституции Российской Федерации, Закон "О безопасности" и другие нормативные акты.
Правовая защита персонала предприятия, материальных и экономических интересов организации и их клиентов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации.
Защиту имущественных и иных материальных интересов и деловой репутации предприятия призваны обеспечивать также гражданское, арбитражное и уголовное законодательство.
Обеспечение информационной безопасности в предпринимательской среде регулируется законами Российской Федерации: "О государственной тайне", "Об информации, информатизации и защите информации", Указы Президента Российской Федерации "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.93 N 644, "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.95 N 334, "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05.01.92 N 9.
При практическом решении задач обеспечения безопасности предпринимательской деятельности необходимо опираться также и на следующие правовые нормативные акты:
- постановление Правительства РСФСР от 05.12.91 N 35 "О перечне сведений, которые не могут составлять коммерческую тайну";
- "Положение о сертификации средств защиты информации", утвержденное постанов-лением Правительства Российской Федерации от 26.06.95 N 608 "О сертификации средств защиты информации";
- Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам, утвержденное постановлением Правительства РФ от 15.09.93 N 912-51;
- "Положение о государственном лицензировании деятельности в области защиты информации", утвержденное совместным решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27.04.94 N 10.
Успешное и эффективное решение задач обеспечения безопасности ОАО «ХХХХХХ» достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников структурных подразделений и служб, в том числе и Службы безопасности.
7. ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Техническое обеспечение безопасности должно базироваться:
- на системе стандартизации и унификации;
- на системе лицензирования деятельности;
- на системах сертификации средств защиты;
- на системе сертификации ТС и ПС объектов информатизации;
- на системе аттестации защищенных объектов информатизацией.
Основными составляющими обеспечения безопасности ресурсов предприятия являются:
- система физической защиты объектов предприятия и его финансовых ресурсов;
- система безопасности информационных ресурсов.
Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:
- систему инженерно-технических и организационных мер охраны;
- систему контроля и регулирования доступа;
- систему мер (режима) выявления и контроль за вероятными каналами утечки информации;
- систему мер возврата материальных ценностей (или компенсации).
Система охранных мер должна предусматривать:
- несколько рубежей построения охраны (территории, здания, помещения) по нарастающей;
- комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
- надежную инженерно-техническую защиту вероятных путей несанкционированного проникновения на охраняемые объекты;
- устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
- высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителям;
Система контроля и регулирования доступа должна предусматривать:
- объективное определение "надежности" лиц, допускаемых к работе;
- максимальное ограничение количества лиц, допускаемых на объекты;
- установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
- четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;
- определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;
- оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;
- высокую подготовленность и защищенность персонала (нарядов) контрольно- пропускных пунктов.
Система мер (режим) сохранности ценностей и контроля должна предусматривать:
- строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения ТМЦ);
- максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
- максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
- организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;
- организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;
- обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
- соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
- организацию тщательного контроля на каналах возможной утечки информации;
- оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.
На объектовую службу безопасности возлагается:
- обнаружение факта незаконного изъятия ТМЦ из обращения или хранения;
- оперативное информирование правоохранительных органов о событиях и критических ситуациях;
- возможность установления субъекта и время акции;
- проведение поиска возможного места хранения утраченных средств в районе объекта.
Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности.
Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.
При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:
- защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;
- защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН);
- В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:
- реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
- ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
- разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
- учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;
- криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
- снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
- снижение уровня акустических излучений;
- электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
- активное зашумление в различных диапазонах;
- противодействие оптическим и лазерным средствам наблюдения;
- проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
- предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.
Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
- обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
- персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
- надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
- разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
- контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;
- очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;
- целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.
Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Положение о персональной ответственности сотрудников реализуется с помощью:
- росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
- индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
- проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).
Условие надежности хранения реализуется с помощью:
- хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
- выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
- использования криптографического преобразования информации в автоматизированных системах.
Правило разграничения информации по уровню конфиденциальности реализуется с помощью:
- предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.
Система контроля за действиями исполнителей реализуется с помощью:
- организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
- регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
- сигнализации о несанкционированных действиях пользователей.
Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).
Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.
Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВМ в "защищенном исполнении", а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.
Второй способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и специальной системы антенн.
Защита информации в линиях связи.
К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио и радиорелейные, тропосферные и космические линии связи. При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование крипто-логического преобразования информации, а на небольших расстояниях, кроме того, использование защищенных волоконно-оптических линий связи.
Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.
Безопасное использование технических средств информатизации.
В целях противодействия такому методу воздействия на объекты информатики, для технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специальных установок и оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.
8. УПРАВЛЕНИЕ СИСТЕМОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ
Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности предприятия, целесообразно выделить следующие основные направления деятельности по обеспечению его безопасности:
- информационно-аналитических исследований и прогнозных оценок безопасности, в том числе экономической;
- безопасности персонала;
- сохранности и физической защиты финансовых средств и объектов;
- безопасности информационных ресурсов.
Основными задачами направления информационно-аналитических исследований и прогностических оценок безопасности являются:
- организация работ по выявлению конфиденциальной информации, обоснованию уровня ее конфиденциальности и документальному оформлению в виде перечней сведений, подлежащих защите;
- сбор экономической и научно-технической информации для обеспечения эффективности деловых сношений с зарубежными и отечественными партнерами, выявление в их числе несостоятельных, ненадежных предпринимателей, а также лиц, связанных с криминальными структурами;
- учет официальных претензий правоохранительных и контролирующих органов к возможным партнерам на рынке, фирмам, банкам и т.п.;
- изучение, анализ и оценка криминальной обстановки, в том числе состояния экономической преступности в производственной сфере по стране и в регионе;
- выявление и прогнозирование уязвимых мест в деятельности, реальных и потенциальных угроз безопасности предприятия, разработка и осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;
- анализ и прогнозирование негативных тенденций социально-экономического развития предприятия с точки зрения влияния на ее безопасность;
- информационное обеспечение руководства предприятия в области безопасности;
- координация деятельности подразделений Службы безопасности и обеспечения взаимодействия со всеми структурными подразделениями предприятия в решении проблемы безопасности.
Одним из основных направлений работы Службы безопасности является охрана сотрудников и клиентов банка от любых противоправных посягательств на их жизнь, материальные ценности и личную информацию.
Основными задачами Службы безопасности в плане сохранности материальных ценностей и физической защиты объектов являются:
- установление режима охраны производственных объектов и объектов жизнедеятельности;
- осуществление допускного и пропускного режимов;
- обеспечение защищенного хранения ценностей и документов (носителей информации), оснащение современными инженерно-техническими средствами охраны;
- организация физической защиты ценностей в процессе их внутриобъектовой транспортировки;
- организация личной безопасности определенной категории руководящего состава и ведущих специалистов из так называемой группы повышенного риска;
- обеспечение взаимодействия всех структур, участвующих в обеспечении физической защиты.
Основными задачами Службы безопасности в плане обеспечения безопасности информационных ресурсов являются:
- организация и осуществление разрешительной системы допуска исполнителей к работе с документами и сведениями ограниченного доступа;
- организация хранения и обращения с конфиденциальными документами (носителями информации);
- осуществление закрытой переписки и шифрованной связи;
- организация и координация работ по защите информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи;
- обеспечение безопасности в процессе проведения конфиденциальных совещаний, переговоров;
- осуществление контроля за сохранностью конфиденциальных документов (носителей информации), за обеспечением защиты информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.
Основными задачами Службы безопасности в работе с персоналом являются:
- Набор персонала: создание резерва потенциальных кандидатов по всем должностям. Набор персонала, как правило, проводится из внутренних (перемещение и продвижение по службе своих сотрудников) и внешних (найм по объявлениям и по личным рекомендациям) источников. Основным требованием при этом должны стать объективная оценка не только поступающего на работу сотрудника, но и предлагаемой ему работы.
- Отбор кандидатов. К основным группам качеств для сравнения кандидатов относятся: профессиональные, образовательные, организационные и личные. Основным требованием при отборе является тщательное изучение деловых, моральных и этических данных каждого кандидата путем глубокого изучения трудового прошлого кандидата.
Заключение контракта и получение у сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой тайны.
- Обучение кандидатов перед допуском к работе предусматривает введение в должность, обучение установленным правилом выполнения порученного дела, обеспечения безопасности и защиты информации.
- Текущий контроль (мониторинг) за деятельностью сотрудника по повышению его бдительности в отношении угроз безопасности предприятия.
- Своевременное выявление и устранение конфликтных ситуаций в работе с персоналом.
Начальник Службы безопасности YYYYYYY Y.Y.
Статьи журнала "Директор по безопасности"
Все статьи