Служба защиты информации

Служба защиты информации

Содержание

Нормативные ссылки

Определения и сокращения

Введение

. Предпроектное обследование СлЗИ

2. Организационное проектирование СлЗИ на предприятии

.1 Анализ рисков и структуризация проблем

.2 Измерение рисков

.2.1 Оценка рисков по двум факторам

.2.2 Оценка рисков по трем факторам

.3 Выбор допустимого уровня риска

2.4 Определение каналов утечки

.5 Построение модели нарушителя

. Определение организационной структуры службы

.1 Задачи службы защиты информации

.2 Функции службы защиты информации

.3 Основные организационные вопросы

. Разработка методики определения численного состава СлЗИ

.1 Актуальность методики

.2 Что представляет из себя методика

.3 Основные положения методики

.3.1 Общие положения

4.3.2 Организация труда

.3.3 Нормативная часть

4.4 Расчет объема службы и численности персонала для охраны объекта

.4.1 Организационно-правовые основы разработки норм численности

.4.2 Исходные данные для расчета численности

4.4.3 Расчет численности различных категорий работников

охраны

5. Организация информационного обеспечения службы

. Определение взаимодействия службы с другими структурными подразделениями предприятия

. Совершенствование функционирования СлЗИ

8. Экономическая обоснованность организационного проектирования службы

. Безопасность жизнедеятельности

.1 Значение и задачи безопасности жизнедеятельности

9.2 Производственная санитария и гигиена

9.3 Техника безопасности

9.4 Безопасность жизнедеятельности в чрезвычайных ситуациях

Заключение

Список использованных источников

Приложение А Список нормативных документов службы защиты информации

Приложении Б Нормы времени на работы выполняемые СлЗИ

Иллюстрированная часть ВКР

Мультимедийная презентация 8 кадров (Дискета 3.5)

Нормативные ссылки

Федеральный закон от 9 августа 2006 г. Об информации, информационных технологиях и о защите информации

Доктрина информационной безопасности РФ от 09 сентября 2000 г.

Указ Президента Российской Федерации от 06 марта 97 г. № 188 Об утверждении перечня сведений конфиденциального характера

ГОСТ Р 50739-95 Государственный стандарт РФ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. - М.: 1995

ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения

ГОСТ Р 50922-96 Государственный стандарт РФ. Защита информации. Основные термины и определения. - М.: Госстандарт России, 1996.

ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. М.: Стандарты, 2002.

Постановление Правительства РФ от 26 июня 1995 г. № 608 О сертификации средств защиты информации.

Постановление Правительства РФ от 11 ноября 2002 г. N 804 О Правилах разработки и утверждения типовых норм труда.

Положение о сертификации средств защиты информации по требованиям безопасности информации

СанПиН 2.2.2./2.4.1340-03 Гигиенические требования к персональным ЭВМ и организации работы.

Трудовой кодекс Российской Федерации от 2001 г.

Правила устройства электроустановок (ПУЭ) от 2002 г.

Постановление Государственного комитета СССР по труду и социальным вопросам и президиума ВЦСПС от 19 июня 1986 г. № 226/П-6 Об утверждении положения об организации нормирования труда в народном хозяйстве. М.: Экономика, 1987.

Межотраслевые методические рекомендации по разработке нормативных материалов для нормирования труда в непроизводственных отраслях народного хозяйства. М: Экономика, НИИ труда Государственного комитета СССР по труду и социальным вопросам, 1988.

Положение о порядке разработки нормативных материалов для нормирования труда. М.:, Государственный комитет Совета Министров СССР по вопросам труда и заработной платы и президиум ВЦСПС, 1968.

Нормирование труда служащих. Методические указания. Издание второе исправленное. М.: НИИ труда Государственного комитета Совета Министров СССР по труду и социальным вопросам, 1976.

Методические рекомендации по анализу качества норм. М.: НИИ труда Государственного комитета совета министров СССР по вопросам труда и заработной платы, 1969.

Нормы времени на работы по документационному обеспечению управленческих структур федеральных органов исполнительной власти, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 26 марта 2002 г. № 23.

Межотраслевые типовые нормы времени на работы по сервисному обслуживанию персональных электронно-вычислительных машин и организационной техники и сопровождению программных средств, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 23 июля 1998 г. № 28.

риск защита информация подразделение

Определения и сокращения

В дипломной работе применяются термины с соответствующими определениями, приведенными в ГОСТ Р 50922-96, ГОСТ Р 50739-95, ГОСТ Р 51275-99.

АС - автоматизированная система

ГТК - Государственная Техническая Комиссия России

ЗИ - защита информации

ИБ - информационная безопасность

ИС - информационные системы

КИ - конфиденциальная информация

НСД - несанкционированный доступ

СВТ - средства вычислительной техники

СЗИ - система защиты информации

СлЗИ - служба защиты информации

ЧС - чрезвычайная ситуация

ЭВМ - электронная вычислительная машина

ЭЦП - электронно-цифровая подпись

Введение

В настоящее время большинство руководителей фирм и организаций постепенно убеждаются в том, что, как и материальные ценности, так и информация их фирмы требует защиты. От этого в значительной степени зависит и экономическое благосостояние фирмы. Поэтому в некоторых фирмах и в организациях начали создаваться фрагменты служб, отвечающие за обеспечение комплексной защиты информации.

На этот момент возникает проблема, связанная с тем, что при разработке данной службы необходимо учесть множество различных факторов, которые в дальнейшем повлияют на ее функционирование. Безусловно, структура и состав таких служб зависит от финансового состояния фирмы и организации. Ведь содержание подобных служб требует немалых финансовых затрат. Как ни странно, сегодня не многие руководители предприятий осознают насущную необходимость в организации на предприятии системы защиты информации. Из числа тех, кто осознает такую необходимость, есть те, которые не знают что следует предпринять, чтобы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Многие идут только по пути оснащения предприятия техническими средствами защиты, полностью игнорируя организационно-правовые методы, в частности создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит предприятию не только сохранить и использовать с выгодой свои секреты, а в случае утечки информации явится основанием для подачи искового заявления в суд.

И ведь это понятно, в нашей стране такие службы существовали только в государственных и военных организациях, а информация о процессе разработки службы такого характера не выходила за границы данных структур, поэтому общепринятой методики по организационному проектированию службы защиты информации не существует.

Однако в определенных печатных изданиях некоторыми авторами рассматривается данный вопрос и в своих статьях они предлагают возможные варианты создания службы защиты информации. При этом они рассматривают не весь процесс разработки службы в целом, а только определенные его этапы. Поэтому данные работы не могут быть использованы для организационного проектирования службы.

Таким образом, целью данной дипломной работы является разработка организационной и функциональной защиты информации в ходе организационного проектирования службы защиты информации, а так же поиск оптимального варианта по формированию численного состава службы защиты информации исходя из специфики деятельности самой службы защиты информации.

Предполагается, что в результате полученная методика может быть использована, как методический материал, содержащий основные рекомендации по разработке службы зашиты информации на предприятии.

1. Предпроектное обследование СлЗИ

В условиях формирования общего экономического пространства перед предприятиями особо остро встает задача обеспечения информационной безопасности (ИБ). Можно сказать определенно: в период становления рынка недобросовестная конкуренция представляет собой серьезную угрозу этому процессу. Стало почти массовым процессом беззастенчивое заимствование интеллектуальной и промышленной собственности (методик, программ, знания и технологии) сотрудниками предприятий, работающими одновременно в кооперативах, малых предприятиях и других коммерческих структурах. К этому следует добавить целенаправленные действия по сманиванию или подкупу рабочих и служащих предприятий конкурента, чтобы завладеть секретами их коммерческой и производственной деятельности.

Современный промышленный шпионаж предполагает использование новейших достижений электроники, непосредственное тайное наблюдение, кражи со взломом, подкуп и шантаж. Отечественный и зарубежный опыт свидетельствует о том, что основную роль в обеспечении сохранности информации играют сами предприятия, а не государственные органы. Для защиты секретов предприятия создают собственные службы защиты информации (СлЗИ). Прежде всего, каждое предприятие для себя выделяет основные моменты в работе службы, то есть, необходимо понять, что будет защищать служба и зачем надо защищаться. Ответов на этот вопрос может быть великое множество. Все зависит от конкретного профиля предприятия. Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие главное внимание могут уделять целостности информации. Для третьих компаний на первое место поднимается задача безотказной работы информационных систем. Когда речь заходит о безопасности, в первую очередь, заботятся о физической безопасности (заборы, датчики, охрана, собаки). Но как быть, если дело доходит до информационной безопасности. Встаёт необходимость обеспечить соответствие между различными системами информационной защиты и их аналогами из мира физической защиты. Связано это с тем, что мир физической безопасности интуитивно понятен любому человеку, в том числе и руководителям предприятия. Дело в том, что специалисты по информационной безопасности и руководство компании говорят на разных языках. Первые оперируют техническими понятиями, вторые - экономическими. Основная причина, по которой тормозится обеспечение информационной безопасности - это недостаток понимания со стороны руководства ввиду непонимания вопроса. Ведь не секрет что обеспечение комплексной безопасности является необходимым условием функционирования любой компании. Эта "комплексность" заключается, прежде всего, в продуманности, сбалансированности защиты, разработке четких организационно-технических мер и обеспечении контроля над их исполнением.

После того как руководители предприятия определились с тем, стоит ли на предприятии создавать службу защиты информации, переходят к непосредственному организационному проектированию службы.

Организационное проектирование - это комплекс работ по созданию службы, формированию структуры и системы управления, обеспечению ее деятельности всем необходимым. Целью организационного проектирования является обеспечение высокого уровня организованности деятельности службы. Для обеспечения высокого уровня организованности любой деятельности необходимо, чтобы она была спроектирована, нацелена, регламентирована, нормирована, снабжена необходимыми инструкциями, информацией и ресурсами, осуществлялась по рациональной для данных условий технологии.

Как таковой, чёткой методики по организационному проектированию службы защиты информации нет. Однако есть методики, предлагаемые авторами в различных печатных изданиях. Проанализировав методики предложенные другими авторами, в данной работе я сформирую этапы организационного проектирования службы защиты информации. Алгоритм организационного проектирования службы должен состоять из следующих этапов:

анализ рисков и структуризация проблем;

определение организационной структуры службы;

определение необходимого персонала и его подбор

организация информационного обеспечения службы;

определение взаимодействия службы с другими структурными подразделениями фирмы;

экономическая обоснованность проектируемой службы.

2. Организационное проектирование СлЗИ на предприятии

2.1 Анализ рисков и структуризация проблем

Анализ рисков, по сути, является одним из самых главных этапов алгоритма организационного проектирования СлЗИ. От того, насколько полно и правильно будет проанализировано состояние защищенности информационных ресурсов, зависит эффективность всех последующих мероприятий. На данном этапе необходимо рассмотреть все возможные угрозы и оценить размеры возможного ущерба.

Под угрозой (риском) следует понимать реальные или возможные действия или условия, приводящие к хищению, искажению, изменению или уничтожению информации в информационной системе, а также к прямым материальным убыткам за счет воздействия на материальные ресурсы. Анализируемые виды угроз следует выбирать из соображения здравого смысла, но в пределах выбранных видов провести максимально полное рассмотрение. Для этого необходимо определить, что именно подлежит защите на предприятии, воздействию каких угроз это подвержено.

Анализ рисков производится исходя из непосредственных целей и задач по защите конкретного вида информации. Одной из важнейших задач в рамках защиты информации является обеспечение ее целостности и доступности. Часто забывается, что нарушение целостности может произойти не только вследствие преднамеренных действий, но и по ряду других причин: сбоев оборудования, ведущих к потере или искажению информации; физических воздействий, в том числе в результате стихийных бедствий; ошибок в программном обеспечении (в том числе недокументированных возможностей).

При анализе рисков на предприятии можно выделить 6 этапов. Каждый из 6 этапов анализа риска должен быть конкретизирован. На первом и втором этапах определяются сведения, представляющие для предприятия какую-либо ценность, которые предстоит защищать. Понятно, что такие сведения хранятся в определенных местах и на конкретных носителях, передаются по каналам связи и обрабатываются в соответствии с определенным регламентом.

Третий этап анализа риска - построение схем каналов доступа, утечки или воздействия на информационные ресурсы. Каждый канал доступа характеризуется множеством точек, с которых можно “снять” информацию. Именно они и представляют уязвимости и требуют применения средств недопущения нежелательных воздействий на информацию.

Анализ способов защиты всех возможных точек атак соответствует целям защиты и его результатом должна быть характеристика возможных брешей в обороне, в том числе за счет неблагоприятного стечения обстоятельств (4-й этап).

На пятом этапе исходя из известных на данный момент способов и средств преодоления оборонительных рубежей определяются вероятности реализации угроз по каждой из возможных точек атак.

На заключительном этапе производится оценка ущерба организации в случае реализации каждой из атак, который вместе с оценками уязвимости позволяет получить ранжированный список угроз информационным ресурсам.

Как правило, для оценки угроз и уязвимостей используются различные методы, в основе которых могут лежать:

экспертные оценки;

статистические данные;

учет факторов, влияющих на уровни угроз и уязвимостей.

Один из возможных подходов к разработке подобных методик - накопление статистических данных о реально случившихся происшествиях, анализ и классификация их причин, выявление факторов, от которых они зависят. На основе этой информации можно оценить угрозы и уязвимости в других информационных системах.

Практические сложности в реализации этого подхода следующие:

Во-первых, должен быть собран весьма обширный материал о происшествиях в этой области.

Во-вторых, применение этого подхода оправдано далеко не всегда. Если информационная система достаточно крупная (содержит много элементов, расположена на обширной территории), имеет давнюю историю, то подобный подход, скорее всего, применим. Если система сравнительно невелика, использует новейшие элементы технологии (для которых пока нет достоверной статистики), оценки угроз и уязвимостей могут оказаться недостоверными.

Наиболее распространенным в настоящее время является подход, основанный на учете различных факторов, влияющих на уровни угроз и уязвимостей. Такой подход позволяет абстрагироваться от малосущественных технических деталей, учесть не только программно-технические, но и иные аспекты.

После того как был выбран метод для оценки угроз и уязвимостей непосредственно переходят к измерению рисков.

2.2 Измерение рисков

2.2.1 Оценка рисков по двум факторам

В простейшем случае измерения рисков используется оценка двух факторов: вероятность происшествия и тяжесть возможных последствий. Обычно считается, что риск тем больше, чем больше вероятность происшествия и тяжесть последствий. Общая идея может быть выражена формулой:

 = Pпр * V, (2.1)

где U - риск,

Pпр - вероятность что событие произойдет, %;

V - стоимость потери.

Если в данной формуле используемые переменные являются количественными величинами − риск это оценка математического ожидания потерь. Если переменные являются качественными величинами, то метрическая операция умножения не определена. Таким образом, в явном виде эта формула использоваться не должна. По этому рассмотрим вариант использования качественных величин (наиболее часто встречающаяся ситуация).

Для начала необходимо определить шкалы.

Во-первых определятся субъективная шкала вероятностей событий, пример такой шкалы:- Событие практически никогда не происходит;- Событие случается редко;- Вероятность события за рассматриваемый промежуток времени - около 0.5;- Скорее всего, событие произойдет;- Событие почти обязательно произойдет.

Во-вторых, определяется субъективная шкала серьезности происшествий, например:- Воздействием можно пренебречь- Незначительное происшествие: последствия легко устранимы, затраты на ликвидацию последствий не велики, воздействие на информационную технологию - незначительно.- Происшествие с умеренными результатами: ликвидация последствий не связана с крупными затратами, воздействие на информационную технологию не велико и не затрагивает критически важные задачи.- Происшествие с серьезными последствиями: ликвидация последствий связана со значительными затратами, воздействие на информационные технологии ощутимо, воздействует на выполнение критически важных задач.- Происшествие приводит к невозможности решения критически важных задач.

Для оценки самих рисков определяется шкала из трех значений:

низкий риск, средний риск, высокий риск

Риск, связанный с определенным событием, зависит от двух факторов и может быть определен так, как это представлено в таблице 1. В современной литературе подобный подход к оценке рисков достаточно распространен. При разработке (использовании) методик оценивания рисков необходимо учитывать следующие особенности:

Значения шкал должны быть четко определены (словесное описание) и пониматься одинаково всеми участниками процедуры экспертной оценки. Требуются обоснования выбранной таблицы. Необходимо убедиться, что разные инциденты, характеризующиеся одинаковыми сочетаниями факторов риска, имеют с точки зрения экспертов одинаковый уровень рисков.

Таблица 1 − Определение риска в зависимости от двух факторов

2.2.2 Оценка рисков по трем факторам

В зарубежных методиках, рассчитанных на более высокие требования, чем базовый уровень, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

Угрозу и уязвимость определим следующим образом:

Угроза - совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности, конфиденциальности информации.

Уязвимость - слабость в системе защиты, которая делает возможным реализацию угрозы.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей:

Рпр = Ру * Руязв, (2.2)

где Pпр - вероятность что событие произойдет, %;

Pу - вероятность угрозы, %;

Pуязв- вероятность уязвимости, %.

Подставим формулу 2.2 в формулу 2.1, получим:

 = Pу * Руязв * V (2.3)

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи, если хотя бы одна из шкал - качественная.

2.3 Выбор допустимого уровня риска

Выбор допустимого уровня риска связан с затратами на реализацию подсистемы информационной безопасности. Как минимум существует два подхода к выбору допустимого уровня рисков.

Первый подход типичен для базового уровня безопасности. Уровень остаточных рисков не принимается во внимание. Затраты на программно-технические средства защиты и организационные мероприятия, необходимые для соответствия информационной системы спецификациям базового уровня являются обязательными, их целесообразность не обсуждается.
Дополнительные затраты должны находиться в разумных пределах и не превышать 5-15% средств, которые тратятся на поддержание работы информационной системы.

Второй подход применяется при обеспечении повышенного уровня безопасности. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. В зависимости от уровня зрелости организации, характера основной деятельности, обоснование выбора допустимого уровня риска может проводиться разными способами. Наиболее распространенным является анализ отношения стоимости к эффективности различных вариантов защиты, на пример:

стоимость подсистемы безопасности должна составлять не более 20% от стоимости информационной системы. Найти вариант контрмер, максимально снижающих уровень интегральный рисков. Уровень рисков по всем классам должен не превышать «очень низкий уровень». Найти вариант контрмер с минимальной стоимостью. В случае постановок оптимизационных задач важно правильно выбрать комплекс контрмер (перечислить возможные варианты) и оценить его эффективность.

2.4 Определение каналов утечки

Следующим шагом на пути анализа уязвимости является моделирование каналов утечки информации и НСД. Любые технические средства по своей природе потенциально обладают каналами утечки информации.

Под каналом утечки информации будем понимать физический путь от источника защищаемой информации, по которому возможна утечка охраняемых сведений, к злоумышленнику. Для возникновения (образования, установления) канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства приема и фиксации информации на стороне злоумышленника.

Объектом защиты является, прежде всего, служебная информация предприятия. Характер этой информации достаточно широк - от стратегических планов развития, характеристик новых, перспективных товаров до кадрового состава и режима охраны объекта.

Так же большой интерес для злоумышленника представляют не только люди, которые имеют доступ к указанной информации, но и само место, где эта информация “циркулирует”.

Таким местом, как правило, являются:

кабинеты руководства;

другие служебные помещения, где проводятся конфиденциальные переговоры;

помещения, где сосредоточены, средства оргтехники;

информация, включая компьютерные серверы;

помещения мини - АТС;

хранилища;

помещения службы охраны.

Наконец, нельзя забывать комнаты и зоны отдыха, где в неформальной обстановке зачастую обсуждаются важные деловые вопросы и принимаются ответственные решения. В общем случае информация, интересующая злоумышленника, может содержаться в некотором произносимом вслух предложении или в той же фразе, но нанесенной на некоторый носитель - бумагу, магнитную ленту, дискету, электронную карту памяти и т.д.

Наконец, носителем информации является линия связи, по которой эта информация передается: электромагнитная волна, излучаемая передатчиком радиостанции, включая популярные ныне сотовые телефоны, проводная (телефонная) линия, волоконно-оптический кабель и т.п.

Особую опасность представляют так называемые побочные излучения технических средств, на которых обрабатываются конфиденциальная информация. Прежде всего, к ним относятся: компьютеры, использующие мониторы с электронно-лучевыми трубками.

В зависимости от целей, которые поставил себе злоумышленник, значительный интерес для него могут представлять даже такие сведения, как:

кадровый состав фирмы;

распорядок работы сотрудников;

характер и привычки ответственных работников и сотрудников охраны;

точка маршрута их передвижения.

Применительно к практике с учетом физической природы образования каналы утечки информации можно разделить на следующие группы:

визуально-оптические;

акустические (включая и акустико-преобразовательные);

электромагнитные (включая магнитные и электрические);

материально-вещественные (бумага, фото, магнитные носители, производственные отходы различного вида).

На рисунке 1 представлены основные каналы утечки информации на предприятии:

Рисунок 1 - Каналы утечки информации

Утечка информации может происходить естественными и искусственно созданными путями. В последнем случае возможна ситуация, когда параметры естественного канала утечки информации специальным образом дорабатываются (усиливаются) для повышения эффективности передачи информации.

Основная задача моделирования каналов утечки информации и соответствующих способов несанкционированного доступа к источникам конфиденциальной информации на конкретном объекте защиты - выявление особенностей, характеристик, условий возникновения каналов и в результате получение новых знаний, необходимых для разработки службы и построения систем защиты информации.

Основное требование к модели - адекватность, то есть степень соответствия разработанной модели реально протекающим процессам. Любая модель канала утечки информации должна показывать не только сам путь, но и возможность (вероятность) установления информационного контакта.

2.5 Построение модели нарушителя

Для анализа уязвимости информационных ресурсов необходимо не только выявить каналы утечки информации, но и хорошо представлять облик нарушителя, вероятные способы его действий, намерения, а так же возможности технических средств получения информации по различным каналам. Только совокупность этих знаний позволит адекватно среагировать на возможные угрозы и, в конце концов, выбрать соответствующие средства защиты. Сами же действия нарушителя во многом определяются надежностью системы защиты информации, так как для достижения своих целей он должен приложить некоторые усилия, затратить определенные ресурсы.

Модель нарушителя представляет собой некое описание типов злоумышленников, которые намеренно или случайно, действием или бездействием способны нанести ущерб информационной системе. Так по глобальному признаку модели нарушителя ранжируются на внешних и внутренних нарушителей (соответственно, категории A и B). Однако такое деление не является достаточным. Поэтому ранжирование проводится с диверсификацией указанных категорий на подкатегории.

Разнообразие источников КИ, способов несанкционированного доступа к ним и средств реализации НСД в конкретных условиях требует разработки частных моделей каждого варианта информационного контакта и оценки вероятности его возникновения. Имея определенные методики, можно рассчитать возможность такого контакта в конкретных условиях. Главная ценность подобных методик заключается в возможности варьирования аргументами функции (мощность излучения, высота и коэффициент концентрации антенны и т.п.) в интересах достижения минимальных значений вероятности установления информационного контакта, а значит, и в поиске совокупности способов снижения ее значений.

В целях овладения конфиденциальной информацией нарушители широко используют современные технические средства, обеспечивающие реализацию рассмотренных способов НСД к объектам и источникам охраняемых сведений. По технической оснащенности и используемым методам и средствам нарушители подразделяются на:

применяющих пассивные средства (средства перехвата без модификации компонентов системы);

использующих только штатные средства и недостатки системы защиты для ее преодоления (несанкционированные действия с использованием разрешенных средств);

применяющих методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

Приведенная классификация предусматривает, прежде всего, постоянное обновление информации о характеристиках технических и программных средств ведения разведки и обеспечения доступа к информации.

Незаконные действия нарушитель может осуществлять:

в разное время (в процессе функционирования АС, во время работы компонентов системы, во время плановых перерывов в работе АС, в нерабочее время, в перерывы для обслуживания и ремонта и т.п.);

с разных мест (из-за пределов контролируемой зоны АС; внутри контролируемой зоны АС, но без доступа в выделенные для размещения компонентов АС помещения; внутри выделенных помещений, но без доступа к техническим средствам АС; с доступом к техническим средствам АС и с рабочих мест конечных пользователей; с доступом в зону данных, архивов ит.п.; с доступом в зону управления средствами обеспечения безопасности АС).

Учет места и времени действий злоумышленника также позволит конкретизировать его возможности и учесть их для повышения качества разработке службы защиты информации. Определение значений возможных характеристик нарушителей в значительной степени субъективно. Модель нарушителя, построенная с учетом особенностей конкретной предметной области и технологии обработки информации, может быть представлена перечислением нескольких вариантов его облика.

Наличие совокупности моделей действий нарушителя может быть полезной с точки зрения прогнозирования возможных событий во всем разнообразии складывающихся ситуаций, предотвращения действий нарушителя, построения надежной системы защиты информации, использования современных средств интеллектуальной поддержки для управления системой защиты. Теперь в руках исследователя есть все исходные данные для оценки потерь (возможного ущерба). Желательно, чтобы эта оценка была количественной. Для оценки потерь могут быть использованы как точные методы современной математики, так и методы экспертных оценок, которые весьма широко используются при решении подобных задач. Оценивая тяжесть ущерба, необходимо иметь в виду:

непосредственные расходы на замену оборудования, анализ и исследование причин и величины ущерба, восстановление информации и функций АС по ее обработке;

косвенные потери, связанные со снижением банковского доверия, потерей клиентуры, подрывом репутации, ослаблением позиций на рынке.

Естественно, информационные потери требуют расходов на их восстановление, что приводит к временным задержкам, вызывающим соответствующие претензии пользователей, потерю интересов, а иногда и финансовые санкции.

Таким образом, в данном разделе был рассмотрен первый шаг алгоритма организационного проектирования СлЗИ. На данном этапе были рассмотрены технологии анализа рисков, методы измерения рисков, а так же некоторые подходы по выбору допустимого уровня риска. Далее был рассмотрен характер каналов утечки информации, а так же определён круг лиц, взаимодействующий с этой информацией. После чего была рассмотрена модель возможного нарушителя, а так же основные способы несанкционированного получения информации нарушителем.

Следующим шагом в алгоритме организационного проектирования СлЗИ является непосредственное определение организационной структуры службы.

3. Определение организационной структуры службы

Для непосредственной организации и эффективного функционирования системы защиты информации (СЗИ) в автоматизированной системе (АС) может быть (при больших объемах защищаемой информации - должна) создана штатная СлЗИ.

СлЗИ представляет собой штатное или нештатное подразделение, создаваемой для организации квалифицированной разработки системы ЗИ и обеспечении ее функционирования.

Разработка структуры службы защиты информации является важным этапом при проектировании.

СлЗИ является самостоятельной организационной единицей, подчиняющейся непосредственно руководителю фирмы.

Возглавляет службу защиты информации начальник службы в должности заместителя руководителя предприятия по безопасности. При этом руководитель службы защиты информации должен обладать максимально возможным кругом полномочий, позволяющим ему влиять на другие подразделения и различные области деятельности предприятия, если этого требуют интересы безопасности.

Итак, на предприятии имеется некое множество угроз направленных на защищаемую информацию. В связи с этим формируются задачи СлЗИ, далее исходя из задач, формируются функции службы для решения конкретных проблем. Каждая функция, осуществляемая службой, имеет некоторую норму времени на её выполнение. Отсюда следует, что нормирование выполняемых работ СлЗИ является неотъемлемой частью организации службы.

3.1 Задачи службы защиты информации

Задачи службы защиты информации формируются исходя из проведенного прежде анализа существующих уязвимостей на фирме. И конкретно на каждом предприятии список задач будет различаться. Необходимо что бы поставленные задачи полностью соответствовали требуемому уровню безопасности, в то же время нет необходимости ставить задачи, в выполнении которых в данный момент фирма не нуждается, иначе фирма может понести необоснованные убытки, что плохо скажется на утверждении данного организационного проекта руководителем фирмы. Так как, исходя из задач, будут формироваться функции, то на основании полученного списка задач и функций службы будет создаваться организационная структура службы и подбираться необходимый персонал. Рассмотрим основные задачи службы защиты информации предприятия:

обеспечение безопасности производственно-торговой деятельности и защиты информации и сведений, являющихся коммерческой тайной;

организация работы по правовой, организационной и инженерно-технической (физической, аппаратной, программной и математической) защите коммерческой тайны;

организация специального делопроизводства, исключающего несанкционированное получение сведений, являющихся коммерческой тайной;

предотвращение необоснованного допуска и доступа к сведениям и работам, составляющим коммерческую тайну;

выявление и локализации возможных каналов утечки конфиденциальной информации в процессе повседневной производственной деятельности и в экстремальных (аварийных, пожарных и др.) ситуациях;

обеспечение режима безопасности при проведении всех видов деятельности, включая различные встречи, переговоры, совещания, заседания, связанные с деловым сотрудничеством, как на национальном, так и на международном уровне;

обеспечение охраны зданий, помещений, оборудования, продукции и технических средств обеспечения производственной деятельности;

обеспечение личной безопасности руководства и ведущих сотрудников и специалистов;

оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов.

3.2 Функции службы защиты информации

Исходя из сформированного выше списка задач, можно привести примерный список функций, которые должна выполнять службы защиты информации для решения поставленных задач:

формирование требований к СЗИ в процессе создания автоматизированной системы;

участие в проектировании системы защиты, ее испытаниях и приемки в эксплуатацию;

планирование и организация, обеспечение функционирования системы ЗИ в процессе функционирования АС;

распределение между пользователями необходимых реквизитов защиты (порядок доступа к системе, в помещение);

наблюдение за функционированием СЗИ и ее элементов;

организация проверок надежности функционирования системы защиты (соответствие параметров установленным требованиям, выяснение, сама служба делает или плановые проверки: нарушения, защита от атак, нанимается фирма для атак);

обучение пользователей и персонала АС правилам безопасной обработки информации;

контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

принятие мер при попытках НСД к информации и нарушение правил функционирования систем защиты.

Для обеспечения эффективной работы СлЗИ необходимо отразить основные организационные вопросы принятой политики безопасности в соответствующих Инструкциях и Распоряжениях. В них в первую очередь должны быть определены:

• должностные обязанности групп пользователей;

• правила доступа (разграничения доступа) к информации;

• мероприятия по обеспечению контроля и функционирования системы защиты информации;

• меры реагирования на нарушение режима безопасности;

• планирование и организация восстановительных работ.

Для обеспечения успешной работы СлЗИ необходимо определить права и обязанности службы, а также правила ее взаимодействия с другими подразделениями по вопросам защиты информации на объекте:

• численность службы должна быть достаточной для выполнения всех перечисленных выше функций;

• служба должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

• штатный состав службы не должен иметь других обязанностей, связанных с функционированием АС;

• сотрудники службы должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

• руководителю службы должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;

• службе информационной безопасности должны быть обеспечены все условия, необходимые для выполнения своих функций.

Так же для распределения полномочий между подразделениями предприятия приведу список мероприятий выполняемых персоналом СлЗИ которые включают:

¾ разовые - однократно проводимые и повторяемые только при полном пересмотре принятых решений;

¾        мероприятий, проводимые при осуществлении или возникновении изменений в самой СЗИ или в АС или внешней среде (мероприятия по необходимости);

¾        периодически проводимые мероприятия;

¾        постоянно проводимые мероприятия.

К разовым мероприятиям относятся:

общесистемные мероприятия по созданию научно-технических и методологических основ защиты АС;

мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и др. объектов автоматизированной системы;

мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка, сертификация технических и программных средств, документирования осуществляемых работ);

проведение спецпроверок всех применяемых в АС средств, вычислительной техники и проведение мероприятия по защите информации от утечки по каналам побочных излучений и наводок (фильтры, зашумление);

разработка и утверждение функциональных обязанностей должностных лиц;

оформление юридических документов (договора, приказы, распоряжения) по вопросам регламентации отношений с пользователями/клиентами, работающими в автоматизированной системе, а также между участниками информационного обмена о правилах разрешение споров, связанных с применением ЭЦП;

определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к системе (ее ресурсам);

мероприятия по созданию системы защиты и созданию инфраструктуры;

мероприятия по разработке правил управления доступом к ресурсам системы (каналы НСД, методы);

организация надежного пропускного режима;

определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации;

определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы;

создание отделов СлЗИ, которые осуществляют внедрение, контроль, эксплуатацию системы защиты;

определение перечня необходимых, регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и персонала, стихийных бедствий.

К периодически проводимым мероприятиям относятся:

определение реквизитов разграничения доступа (паролей, ключей шифрования);

анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

периодические с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты, на основе полученной в результате такого анализа информации принимать необходимые меры по совершению системы защиты;

мероприятия по пересмотру состава и построения СлЗИ.

Мероприятия, проводимые по необходимости:

мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

мероприятия, осуществляемые при ремонте и модификации оборудования и программного обеспечения (строго санкционированные действия, документирование, контроль требований);

мероприятия по подбору и расстановке кадров (проверка, ознакомление с инструкцией, правилами, последствиями нарушения требований).

Постоянно проводимые мероприятия:

по обеспечению достаточного уровня защиты всех компонентов (пожар, охрана помещения, доступ, сохранность техники, носителей);

по непрерывной поддержке функционирования и управления, используемыми программными средствами;

явный и скрытый контроль за работой персонала системы;

контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС.

Постоянно силами СлЗИ осуществляется анализ состояния и оценка эффективности мер и применяемых средств защиты.

3.3 Основные организационные вопросы

Для обеспечения эффективной работы службы защиты информации необходимо отразить основные организационные вопросы в соответствующих инструкциях и распоряжениях. В них в первую очередь должны быть определены:

должностные обязанности сотрудников службы защиты информации, их права и меру ответственности;

правила взаимодействия сотрудников службы с другими подразделениями предприятия;

правила доступа и разграничения доступа к информации и материальным объектам;

мероприятия по обеспечению контроля и функционирования системы безопасности объекта;

меры реагирования на нарушение режима безопасности;

планирование и организация восстановительных работ.

Приведенная структура службы безопасности не универсальна и должна корректироваться под определенную организацию. Как правило, формирование или реформирование структуры службы защиты информации осуществляется по мере понимания задач, которые должны ею решаться на текущий момент. В большинстве случаев это происходит после проведения аналитических исследований степени защищенности объекта.

Основные положения, состав и организация службы защиты информации имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах предприятия. Служба защиты информации в ходе своей деятельности должна руководствоваться определенными нормативными документами (см. Приложение А).

Таким образом, на данном этапе организационного проектирования определяется тип организационной структуры службы. Выбор которой во многом зависит от размера самой фирмы. Кроме этого рассмотрены основные задачи службы защиты информации и их функции. Сформирован список нормативных документов, которыми служба защиты информации будет руководствоваться в ходе своей деятельности.

4. Разработка методики определения численного состава СлЗИ

.1 Актуальность методики

Для защиты коммерческих секретов фирма нуждается в собственной службе защиты информации (СлЗИ). На этот момент возникает проблема связанная с тем, что при разработке данной службы необходимо учесть множество различных факторов, которые в дальнейшем повлияют на ее функционирование. Но так как до определенного момента в нашей стране такие службы существовали только в государственных и военных структурах, и информация о процессе разработки службы такого характера не выходила за границы данных структур, то общепринятой методики не существует.

На сегодняшний день, на предприятии многие решения в области защиты информации часто принимаются на интуитивно-понятийном уровне, без каких-либо экономических расчетов и обоснований. В результате только те начальники СлЗИ, которые за счет своей “энергетики” смогли заявить и отстоять потребность в защите информации могли как-то повлиять на планирование бюджета компании на ЗИ. Однако современные требования бизнеса, предъявляемые к организации режима ЗИ предприятия, диктуют настоятельную необходимость использовать в своей работе более обоснованные технико-экономические методы и средства, позволяющие количественно измерять уровень защищенности компании, а также оценивать экономическую эффективность затрат на ЗИ.

Актуальность разработки методики определения численного состава СЗИ заключается в том, что предприятиям, независимо от форм собственности, предоставлены права самостоятельного решения вопросов по организации, нормированию и оплате труда работников СлЗИ. Работа по совершенствованию нормирования труда возлагается на руководителей и работодателей, ибо они заинтересованы в рациональном использовании рабочей силы. В то же время и сами работники заинтересованы в объективной оценке их труда. Однако многие руководители предприятий и органы управления экономикой стали вообще отвергать целесообразность нормирования труда в условиях рынка и уменьшают значимость организации труда и заработной платы. По этому для решения поставленных задач в области защиты информации перед предприятием, а именно достижение максимальной защищенности информации при заданных расходах на защиту и/или достижение заданной защищенности информации при минимальных расходах на защиту, одну из первых ролей играет численность СлЗИ.

В деятельности некоторых предприятий получила распространение практика маневрирования ресурсами. Например, в случае нехватки финансовых средств и с целью удержания на необходимом уровне количества работников СлЗИ, их труд на некоторое время становится мало оплачиваемым. Наоборот, если финансовых средств у предприятия хватает, то за счет внедрения новых систем защиты информации и других технических средств, происходит снижение (уменьшение) числа работников. Подобные комбинации в распределении ресурсов могут помочь СлЗИ на некоторое время (поскольку носят вынужденный характер), однако признать их оптимальными нельзя.

4.2 Что представляет из себя методика

Нормирование труда - процесс непрерывный. Это подтверждается опытом зарубежных стран с развитой рыночной экономикой, в частности, США, ФРГ и др., где нормирование труда осуществляется работой по выявлению резервов снижения производственных затрат и разработки на их основе графиков производства продукции и загрузки оборудования, решения задач гуманизации труда.

Общеизвестно, что любое оргструктурное формирование создается для реализации определенных функций. Применительно к СлЗИ различных предприятий эти функции будут различаться. Разумеется, количество работающих в них сотрудников будет различаться и это носит объективный характер. Среди причин, определяющих неравномерное количество сотрудников СлЗИ различных предприятий, можно назвать финансовые возможности предприятия, наличие или отсутствие охраняемых секретов, степень включенности в конкурентную борьбу и т.д. Однако оптимальное оргструктурное построение и полное правовое обеспечение СлЗИ сами по себе не приведут к ее эффективному функционированию, если она не будет обеспечена соответствующими ресурсами.

В таком случае, как представляется, необходимо вначале определить кадровые и информационные ресурсы, затем материально-технические средства и лишь потом составить перечень функций, которые могут быть обеспечены необходимыми ресурсами. Причем, производить такой расчет необходимо несколько раз, добиваясь полного одновременного расходования выделенных финансовых средств и максимального (при всех ограничениях) расширения перечня функций. Для этого следует руководствоваться общепринятыми методиками и нормативными документами.

Цель методики - заключается в определении нормы времени на работы выполняемые подразделениями СлЗИ которые предназначены для нормирования и определения трудоемкости работ, выполняемых сотрудниками этих подразделений при организации защиты информации. Нормы времени рекомендуются для определения необходимой численности сотрудников подразделений, разработки и корректировки их организационно-штатных структур. Для достижения поставленной цели в методике решаются следующие задачи:

Подготовка к проектированию нормативов и сбор исходных данных

Проанализировать состояние нормирования труда, произвести расчет норм времени на работы выполняемые СлЗИ.

4.3 Основные положения методики

4.3.1 Общие положения

.1. Нормы времени рекомендуются для определения необходимой численности сотрудников подразделений, разработки и корректировки их организационно-штатных структур.

1.2. В основу разработки норм времени положены:

материалы изучения и анализа организации деятельности подразделений ЗИ;

технологии выполнения нормируемых работ;

экспертные оценки и расчеты;

- результаты хронометражных наблюдений.

1.3. При разработке методики были использованы следующие нормативные и методические материалы:

-       Межотраслевые методические рекомендации по разработке нормативных материалов для нормирования труда в непроизводственных отраслях народного хозяйства. М: Экономика, НИИ труда Государственного комитета СССР по труду и социальным вопросам, 1988.

-       Положение о порядке разработки нормативных материалов для нормирования труда. М.:, Государственный комитет Совета Министров СССР по вопросам труда и заработной платы и президиум ВЦСПС, 1968.

-       Нормирование труда служащих. Методические указания. Издание второе исправленное. М.: НИИ труда Государственного комитета Совета Министров СССР по труду и социальным вопросам, 1976.

-       Методические рекомендации по анализу качества норм. М.: НИИ труда Государственного комитета совета министров СССР по вопросам труда и заработной платы, 1969.

-       Пашуто В.П. Организация и нормирование труда на предприятии: Учеб. пособие. - Мн.: Новое знание, 2001.

-       Нормы времени на работы по документационному обеспечению управленческих структур федеральных органов исполнительной власти, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 26 марта 2002 г. № 23.

-       Межотраслевые типовые нормы времени на работы по сервисному обслуживанию персональных электронно-вычислительных машин и организационной техники и сопровождению программных средств, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 23 июля 1998 г. № 28.

-       Постановление Правительства РФ от 11 ноября 2002 г. N 804 "О Правилах разработки и утверждения типовых норм труда".

.4. Выбор методов сбора исходных данных для разработки норм времени и последующей статистической обработки. При определении и расчете норм были использованы методы: экспертных оценок, моментных наблюдений, хронометражных измерений.

Хронометраж проводится при определении норм времени на циклически повторяющиеся в течении рабочего дня работы и ее элементы, а также отдельные элементы подготовительной либо заключительной работы по обслуживанию рабочего места.

Экспертными оценками (анкетным опросом) определяются нормы времени на работы носящие творческий, интеллектуальный характер, а так же работы, выполняемые с малой периодичностью, хронометрирование которых затруднено. Для определения времени выполнения указанных работ в качестве экспертов привлекаются сотрудники, имеющие наибольший опыт выполнения указанных работ.

1.5. На основе норм времени производится расчет необходимой численности сотрудников подразделений.

1.5.1. С этой целью определяется годовая трудоемкость нормируемых работ () в часах с учетом объема каждого вида выполняемых работ по формуле:

, (4.1)

где  - затраты времени на выполнение -той нормируемой работы, час;

 - годовой объем -той нормируемой работы, ед. изм.

.5.2. Годовая трудоемкость ненормируемых работ () в часах определяется методом экспертных оценок либо хронометража с учетом объема выполняемых работ по формуле:

, (4.2)

где  - экспертная оценка трудозатраты времени на выполнение -той ненормируемой работы, час;

 - годовой объем -того ненормируемого вида работы, ед. изм.

.5.3. Общая годовая трудоемкость () работ рассчитывается по формуле:

. (4.3)

1.5.4. Для учета времени на работы по обслуживанию рабочего места и личные потребности, включая физкультурные паузы и время отдыха, необходимого при работе с персональными компьютерами при расчете трудоемкости работ применяется соответствующий поправочный коэффициент равный 1,15.

Суммарная годовая трудоемкость нормируемых работ определяется по формуле:

. (4.4)

1.5.5. Необходимой численности сотрудников  определяется по формуле:

, (4.5)

где - полезный фонд рабочего времени одного сотрудника за год, ч.

.5.6. Полезный фонд рабочего времени определяется по формуле:

= **, (4.6)

где - общий фонд рабочего времени одного сотрудника за год, определяемый как рабочее время в рабочие дни года (в среднем равен 2000 час.);

- поправочный коэффициент, учитывающий отпуска сотрудников;

- поправочный коэффициент, учитывающий прочие отвлечения сотрудников от выполнения работ (болезнь, командировки, работа в комиссиях, повышение квалификации и иные отвлечения от выполнения работ).

Примечание: 1. Численные значения поправочных коэффициентов для определения полезного фонда рабочего времени рассчитаны статистическими методами и приведены в таблице 2:

Таблица 2 - Поправочные коэффициенты для расчета определения полезного фонда рабочего времени

.2.2 Организация труда

.1. Трудовая деятельность сотрудников подразделений организована в соответствии с требованиями федерального законодательства, приказов и иных руководящих документов России, утвержденных положений о подразделениях.

.2. Функции работников подразделений регламентируются должностными инструкциями, разработанными в соответствии c Квалификационным справочником должностей руководителей, специалистов и других служащих, утвержденным постановлением Министерства труда и социального развития РФ, требованиями приказов России и являются типовыми для деятельности подразделений России .

.3. Сотрудники соответствуют предъявляемым по занимаемой должности квалификационным требованиям.

.4. Перечисленные в методике работы выполняются сотрудниками для которых эти работы определены должностными или функциональными обязанностями и сотрудники имеют необходимый опыт их выполнения.

Выполнение исполнителями не свойственных для их должности работ не может служить основанием для каких-либо изменений норм времени.

.5. В подразделениях должны соблюдаться установленные действующими нормативами нормы площади служебных помещений из расчета четырех квадратных метров (минимально) на одного сотрудника.

Условия труда должны соответствовать требованиям строительных норм и правил, государственных и отраслевых стандартов.

.6. Режим, труда и отдыха сотрудников устанавливается исходя из утвержденного регламента служебного времени, с учетом регламентации всех обязательных работ и выполнения наиболее сложных (трудоемких) из них в первой половине дня, когда у работающих отмечается более высокая устойчивая работоспособность.

Работа с персональным компьютером должна занимать не более 4-х часов подряд с 10-15 минутным перерывом после каждого часа, при менее интенсивной работе 10-15 минут через каждые 2 часа.

.7. Рабочие места сотрудников подразделений оборудуются соответствующими столами, обеспечивающими удобное размещение на них вычислительной и организационной техники, предметов труда, ящиков, полок и шкафов для хранения документов, методической литературы, карточек, лотков.

.8. Рациональная организация рабочих мест и создание наилучших условий труда для сотрудников подразделений включает планировку служебных помещений в соответствии с технологией выполняемой работы и эффективным использованием рабочих площадей, размещение мебели и специализированного оборудования с учетом обязанностей и состава операций, а также необходимого комфорта, способствующего эффективному труду.

.2.3 Нормативная часть

Нормы времени на работы выполняемые СлЗИ представлены в Приложении Б. Приведённый список норм времени является не полным. Это представляется следствием того, что работы, выполняемые СлЗИ, имеют статус конфиденциальности. По этому в нормативно методических документах и технической литературе они не опубликовываются. Следовательно, предприятие будет составлять свои нормы времени исходя из методов определения и расчёта норм времени, а именно методами: экспертных оценок, моментных наблюдений, хронометражных измерений.

Произведём расчёт численности работников, осуществляющих ежемесячное обслуживание средств вычислительной и оргтехники учитывая что на предприятии имеется 10 комплектов средств вычислительной и оргтехники:

Таблица 3 - Пример расчёта численности работников

Суммарная годовая трудоемкость работ по осуществляющих ежемесячного обслуживания средств вычислительной и оргтехники учитывая время на работы по обслуживанию рабочего места и личные потребности, включая физкультурные паузы и время отдыха, необходимого при работе с персональными компьютерами, согласно п. 1.5.4 составит:

T∑ = 1,15 * 612,8 = 705 ч.

Полезный фонд рабочего времени одного сотрудника согласно п. 1.5.6 будет составлять:

 ч.

Тогда согласно п. 1.5.5 необходимая численность сотрудников  будет составлять:

= 705 / 1620 ≈ 0, 43 чел.

Таким образом, для осуществления ежемесячного обслуживания 10 комплектов средств вычислительной и оргтехники по выполняемым функциям указанным в табл. 3 вполне достаточно одного работника. Если же предприятие произведет расширение своих средств вычислительной и оргтехники, то при увеличении комплекта до 23 средств, в штатный состав сотрудников добавляется один работник.

4.3 Расчет объема службы и численности персонала для охраны объекта

4.3.1 Организационно-правовые основы разработки норм численности

Расчет численности, необходимой для охраны объекта, сложный и многогранный вопрос. Методика расчета численности должна отвечать требованиям Трудового кодекса и нормативно-правовым документам, определяющим требования к системе безопасности объекта. Предлагаемая методика расчета норм численности разработана на основе анализа постановлений Правительства РФ об утверждении «Положений о ведомственной охране...», существующих методик расчета численности в различных министерствах, ведомствах и компаниях.

Основными целями данного расчёта является:

• установление служебной нагрузки персонала охраны к нормам, установленным действующим законодательством;

• обеспечение гарантированной надежности охраны объектов;

• повышение тактических возможностей подразделений охраны в штатных и чрезвычайных ситуациях.

Численность охраны включает в себя численность сотрудников, непосредственно выполняющих задачи по охране объекта, и численность управления и обеспечения деятельности подразделения охраны.

4.3.2 Исходные данные для расчета численности

Нормы численности сотрудников, непосредственно выполняющих задачи по охране объекта, определяются исходя из необходимости исполнения обязанностей на посту в течение суток (суточный пост) или в течение 12 часов (полусуточный пост). Исходные данные для подсчёта численности персонала для охраны объектов представлен в таблице 4:

Таблица 4 − Исходные данные для расчета численности

Таким образом, суточный пост должен охранять объект 8760 часов в год.

Для корректного расчета численности на один суточный пост необходимо также учитывать и «непроизводственные» затраты рабочего времени. То есть затраты рабочего времени сотрудника, когда он будет находиться на работе, но задач на посту выполнять не будет.

Бюджет времени для охраны одного суточного поста будет складываться из суммарной годовой трудоёмкости и ежесуточного инструктажа перед заступлением на дежурство и подведением итогов (Тинс):

Тохр = T∑ + Тинс (4.7)

где Тохр - время охраны одного суточного поста, ч;

Тинс - ежесуточный инструктаж и подведение итогов, ч.

Тохр = 8760 ч + 180 ч = 8940 часов в год.       

«Непроизводственные» затраты рабочего времени (Тнепр) на одного сотрудника в год (см. Таблица 5)

Таблица 5 − «Непроизводственные» затраты рабочего времени

 определяются по формуле:

Тнепр= Тат + Тотп + Тб (4.8)

где Тат - время аттестации сотрудников охраны, ч;

Тотп - время отпуска сотрудников, ч;

Тб - время на болезни, отгулы и др, ч.  

и составляют

Тнепр = 32 ч + 672 ч + 40 ч = 744 часа в год.

Полезный фонд рабочего времени () на одного сотрудника в год составляет:

 =  - Тнепр (4.9)

 = 1995 ч - 744 ч = 1251 часа.

Численность охраны на один суточный пост () составит:

 = Тохр /  (4.10)

 = 8940 /1251 = 7,1 ед

Таким образом, для обеспечения непрерывной круглосуточной охраны потребуется 7,1 единиц на суточный пост.

Необходимо обратить внимание, что алгоритм подготовки персонала охраны и организации охраны могут быть различными. Следовательно, и показатель «непроизводственных» затрат (Тнепр), и численность на один суточный пост будут варьироваться в зависимости от установленных в охранном подразделении норм.

4.4.3 Расчет численности различных категорий работников охраны

Основные данные для расчета численности работников, непосредственно выполняющих задачи по охране объекта, определяются при разработке системы охраны объекта. При организации охраны объекта, в зависимости от условий и принципов построения охраны, может устанавливаться численность для начальников караулов (смен) и их заместителей (помощников); охранников, обеспечивающих пропускной режим; охранников, обеспечивающих охрану объекта на наружных (внешних) постах; дежурных операторов у пульта управления техническими средствами охраны; резервных групп караула (групп быстрого реагирования); бюро пропусков.

Начальник караула (смены)

На каждый караул (смену) выделяется численность для выполнения задач начальниками караулов, которая исчисляется в суточных постах. Объем выполняемых задач караула (смены) не должен превышать 20 постов, а смена должна занимать не больше 2 часов.

Заместитель (помощник) начальника караула (смены)

Численность для заместителей (помощников) начальников караулов исчисляется в суточных постах и зависит от объема выполняемых задач караулом.

Охранник по охране периметра объекта

Численность для охранников исчисляется в суточных и полусуточных постах.

При организации охраны периметра объекта охраннику, в зависимости от вида охраняемого объекта, характера местности и других условий, назначается для охраны участок местности протяженностью при наблюдении с постовых вышек (наблюдательных площадок) до 400 м (в лесу - до 250 м, на воде - до 300 м) способом патрулирования - до 500 м ночью и 1000 м днем.

Охранник по охране контрольно-пропускных пунктов для пропуска людей

Численность для охранников исчисляется в суточных и полусуточных постах.

Требующееся количество постов определяется из расчета пропуска необходимого количества сотрудников в установленное время и максимальных физических возможностей охранника по их пропуску. Количество проходов (постов) устанавливается из расчета возможностей охранника по количеству пропуска сотрудников за 1 час.

В среднем на пропуск одного сотрудника.

Охранник по охране контрольно-пропускных пунктов для пропуска автотранспорта

Численность для охранников исчисляется в суточных и полусуточных постах.

Требующееся количество постов определяется в зависимости от интенсивности движения автотранспорта, а также количества проездов. На каждый проезд выставляется пост.

Контрольно-пропускные пункты для пропуска автотранспорта рекомендуется охранять круглосуточно.

Охранник по охране зон (объектов, помещений) ограниченного доступа

Численность для охранников исчисляется в суточных и полусуточных постах.

Требующееся количество постов определяется в зависимости от количества входов в здания, помещения. Вскрытие и охрана запасных, аварийных и пожарных входов, непостоянно действующих, резервных и пожарных автомобильных и железнодорожных проездов. Требующаяся численность определяется в зависимости от интенсивности вскрытия и продолжительности охраны указанных выходов и проездов. При вскрытии и охране каждого прохода (проезда) продолжительностью по времени до 12 часов выделяется полусуточный пост, свыше 12 часов - суточный пост.

Дежурный оператор у пульта управления ТСО

Численность для дежурных операторов исчисляется в суточных постах.

На каждый караул (смену), занятый по охране периметра объекта, зданий, корпусов, помещений и других сооружений, оборудованных техническими средствами охраны (ТСО), выделяется один суточный пост оператора у пульта управления ТСО.

Резервная группа караула (группа быстрого реагирования)

Численность для резервной группы исчисляется в суточных постах.

Зависит от объема задач караула и составляет от 3 суточных постов и более.

Бюро пропусков

В составе бюро пропусков предусматривается: начальник бюро пропусков, делопроизводитель, дежурные (при 1-2 сменном режиме работы - два человека, при круглосуточном - четыре человека).

Нормы численности для управления

Структура управления подразделениями охраны определяется, исходя из объема задач по охране объекта и численности работников подразделения охраны. Как правило, численность управления не превышает 12% от общей численности работников охраны, выполняющих задачи на постах.

Таким образом, на данном этапе проектирования был рассмотрен вопрос по подбору необходимого персонала, для выбора наиболее перспективных кандидатов и наиболее успешной расстановки персонала были приведены методы оценивания кандидатов. Так же была приведена методика подсчёта численного состава службы ЗИ. И возможный вариант подсчёта численного состава службы безопасности и службы режима предприятия.

5. Организация информационного обеспечения службы

Служба защиты информации реализует требования и правила по защите информации, поддерживает информационные системы фирмы в защищенном состоянии, эксплуатируют специальные технические и программно-математические средства защиты и обеспечивают организационные и инженерно-технические меры защиты информационных систем, обрабатывающих информацию с ограниченным доступом.

Информационное обеспечение информационной безопасности - можно определить как совокупность технологий, форм и методов и каналов сбора и обработки данных по информационной безопасности и организации доступа к ним различных категорий и групп пользователей для принятия ими решений по данной проблеме.

Среди каналов распространения информации о фирмах, их продукции и услугах, связанных с информационным обеспечением, наиболее перспективна сеть Интернет. Именно здесь можно почерпнуть наибольшее число сведений по проблеме. Это связано с тем, что потребителями данной информации являются фирмы и организации, имеющие прямое отношение к компьютерной и деловой сфере. Как правило, их информация существует как в печатном, так и в электронном виде. Все они имеют прямой доступ в Интернет.

Кроме того, использованы такие формы информационного обеспечения, как электронные и печатные периодические издания (журналы, информационные бюллетени) и их электронные версии. Заслуживают внимания и тематические рекламные каталоги, адресно-телефонные, издательские справочники, аналитические обзоры.

Документальные и справочно-библиографические базы данных, которые создают крупные информационные центры, являются наиболее представительными, актуальными, постоянно обновляемыми источниками информации по информационному обеспечению. Одни из них включают первичные документы, другие служат своего рода навигаторами в море информации об информации.

К наиболее распространенным формам информирования так называемой маркетинговой среды (потребителей, партнеров, поставщиков) той или иной фирмы или организации, занимающейся вопросами защиты информации, стоит отнести такие рекламно-информационные массовые мероприятия, как выставки, ярмарки, выставки-ярмарки, салоны, форумы, постоянно действующие демонстрационные залы.

Существенную интеллектуальную помощь в информационной поддержке проблемы оказывают такие традиционные формы публичного обсуждения проблемы, как научно-практические конференции, «круглые столы», семинары.

Систему обучения и повышения квалификации в области информационной безопасности (образовательные курсы, учебные семинары) также правомерно внести в число форм и методов информационного обеспечения, т.к. в процессе обучения все, кто профессионально связан с проблемой, получают сведения, которые позволяют им поддерживать свою квалификацию. Учебно-методическими материалами для учащихся служат учебники, методические пособия, монографии, выпускаемые различными издательствами.

Анализ деятельности организаций и фирм, занимающихся данными проблемами, выявил наиболее распространенные виды их услуг:

консультирование платное и бесплатное (групповое и индивидуальное);

организация и проведение семинаров;

информационное обеспечение;

издание журналов, пропагандирующих передовые технологии и правовую культуру в данной области;

выполнение заказных аналитических отчетов;

подготовка различных видов информационных материалов и услуг и др.

Названные формы и методы используются в равной мере. Приоритет стоит отдать, пожалуй, массовым формам (выставкам и т.п.), так как именно они привлекают наибольшее число потенциальных клиентов к товарам и услугам фирмам и организаций.

В результате, мы определил основные источники необходимой для службы информации.

Таким образом на данном этапе организационного проектирования службы определяются основные информационные источники проектируемой службы, с помощью которым сотрудники могут получать последнюю информации из области защиты информации.

6. Определение взаимодействия службы с другими структурными подразделениями предприятия

Организация взаимодействия условно подразделяется на два вида. Во-первых, постоянное взаимодействие между подразделениями, которое требует организующего воздействия со стороны СлЗИ. Например, при проведении длительных по времени и крупных по масштабу привлекаемых сил и средств комплексных операций (борьба с кражами, обеспечение порядка во время ярмарок, специализированных выставок и т.д.).

Во-вторых, временное взаимодействие для решения повседневных конкретных задач. Примером может служить контроль за несением службы охранниками на своих постах и маршрутах; своевременное введение в действие сил и средств при возникновении чрезвычайных ситуаций, доведение до сведения сотрудников подразделений необходимой информации и т.д. При организации взаимодействия между подразделениями возникает опасность вторжения штаба в их компетенцию. Избежать этого можно путем четкого разграничения функций.

Такое взаимодействие можно квалифицировать как вертикальное (участники разных ступеней иерархии), информационное (обмен информацией), консультационное (методическое), организационное (установление регламентов, нормативов и пр.) и формальное. В отличие от организации взаимодействия, координировать может только штаб, наделенный соответствующими полномочиями по отношению к остальным подразделениям службы безопасности. Координация заключается в согласовании и упорядочении действий этих подразделений. Служба защиты информации свою работу проводит в тесном контакте и взаимодействии с научными, производственными организациями и территориальными органами ФСБ, ГТК.

Служба защиты информации по характеру деятельности находится в тесном взаимодействии:

с юридической службой - по правовым вопросам, связанным с обеспечением защиты информации;

с службами кадров, труда и заработной платы, бухгалтерией - по вопросам подбора, расстановки кадров, проведения проверочных мероприятий, повышения квалификации сотрудников, оплаты труда;

с постоянно действующей технической комиссией - по вопросам эффективности и совершенствования системы защиты информации;

со службами материально-технического снабжения и хозяйственного обслуживания - по вопросам обеспечения техническими средствами, оборудованием, канцелярскими принадлежностями, бытового обслуживания работников службы

Рисунок 2 - Взаимодействие службы ЗИ

Служба защиты информации организует при необходимости взаимодействие с аналогичными подразделениями сторонних организаций, участвующими в выполнении совместных программ;

а) С отделом кадров по вопросам:

получения:

личных дел сотрудников предприятия;

сведений о кандидатурах на должности специалистов по защите информации;

сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является коммерческой или государственной тайной.

представления:

оценок деятельности работников предприятия и соблюдения ими режима работ, содержание которых является коммерческой или государственной тайной;

сведений о нарушениях и нарушителях режима доступа к информации;

характеристик на работников, явившихся виновниками утечки, повреждения информации;

предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся государственной или коммерческой тайной;

установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих государственную или коммерческую тайну.

б) С отделом по организации и оплаты труда по вопросам:

получения:

расчетов фондов оплаты труда;

копий должностных инструкций на работников, выполняющих работы, содержание которых является коммерческой или государственной тайной;

предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся коммерческой или государственной тайной в неслужебных целях.

предоставления:

проектов обязательств работников о неразглашении сведений, являющихся государственной или коммерческой тайной;

проектов письменного согласия специалистов предприятия на частные, временные ограничения их прав;

перечня видов, размеров и порядка предоставления льгот и доплат работникам, допущенным к сведениям, являющимся коммерческой или государственной тайной (процентных надбавок к заработной плате, преимущественного права при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий, пр.);

копий принятых В руководителем предприятия решений о допуске работника к сведениям, составляющим государственную или коммерческую тайну;

памяток работникам предприятия о сохранении коммерческой тайны предприятия для согласования и выдачи работникам предприятия;

отчетов о расходовании фонда заработной платы.

в) С отделом подготовки кадров по вопросам:

получения:

итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников предприятия.

предоставления:

предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации.

г) С финансовым отделом по вопросам:

получения:

финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;

информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите.

предоставления:

определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;

перечня мер по защите финансовой и экономической информации.

д) С юридическим отделом по вопросам:

проверки соответствия закону ограничений принимаемых отделом по защите информации;

разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия;

е) Со всеми производственными и технологическими подразделениями, выполняющими работы, содержание которых составляет государственную или коммерческую тайну, по вопросам:

получения:

сведений о планах расширения или свертывания производства различных видов продукции;

сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;

списков сотрудников предприятия, выполняющих работы, связанные с использованием информации, являющийся коммерческой или государственной тайной.

предоставления:

отчетов о порядке и состоянии организации защиты коммерческой тайны;

данных о защищенности информационных баз предприятия от несанкционированного доступа;

оценки надежности защиты информации предприятия, переданной контрагентам в рамках договорных отношений;

оценки деловых и моральных качеств сотрудников подразделений.

Таким образом, определены структурные подразделения внутри фирмы, с которыми проектируемая служба будет находиться в тесном взаимодействии, а так же определен приблизительный характер информации, который будет передаваться между службами.

7. Совершенствование функционирования СлЗИ

Анализ практики функционирования служб защиты информации позволяет утверждать, что слабая эффективность их деятельности в значительной степени является следствием существования различных проблем. Все эти проблемы настолько переплетены друг с другом, что разграничение их между собой на практике невозможно. Тем не менее, стоит попытаться разграничить эти проблемы, что позволяет в самом общем виде сформулировать способы их решения. Проблемы эти можно свести в четыре группы: правовые, организационные, кадровые и экономические. Рассмотрим эти проблемы и краткие предложения по их решению:

отсутствие закрепленного в законе перечня основных функций службы безопасности. Решение данной проблемы можно найти в соответствующем разделе Закона «О частной детективной и охранной деятельности в Российской Федерации» и внести в качестве поправки исчерпывающий перечень этих функций.

неэффективное взаимодействие СлЗИ с правоохранительными и контрольно-надзирающими органами. Правила и процедуры такого взаимодействия для каждого органа отдельно в рамках его компетенции могут быть определены в специальном постановлении Правительства России.

отсутствие у руководителей служб безопасности необходимых правовых и организационно-управленческих знаний, умений и навыков. Разработка для этой категории руководителей силами преподавателей негосударственных образовательных учреждений программ спецкурсов.

отсутствие концепции создания системы корпоративной безопасности фирмы. Большинство предпринимателей при создании системы корпоративной безопасности идут по самому простому пути - в качестве руководителей служб безопасности приглашают бывших сотрудников силовых структур или правоохранительных органов и отдают им на откуп построение системы безопасности фирмы. Следовательно, и акценты в обеспечении безопасности будут иметь соответствующую его прошлой деятельности ориентацию. Такой вариант малоэффективен и ущербен.

Последствия: Отсутствие концепции затрудняет не только построение самой системы корпоративной безопасности, но и распределение зон ответственности между субъектами управления. Появление на фирме служб безопасности в виде слепков силовых структур опасно, прежде всего, неадекватным пониманием ее руководителями своего места в системе корпоративной безопасности фирмы и стремлением сыграть ключевую роль в ее управлении. Такой подход вызывает сопротивление со стороны других участников процесса и формирует негативный имидж самой службы безопасности в глазах сотрудников.

отсутствие критериев отбора руководителя и сотрудников службы безопасности. Специфика характера деятельности каждой фирмы должна учитываться и при формировании штата сотрудников службы безопасности. В одних случаях акцент следует делать на физической охране объектов, в других - на защите от промышленного шпионажа, в третьих - на защите финансовых и информационных потоков. Следовательно, и сотрудники службы безопасности должны иметь достаточный опыт профессиональной подготовки в этих направлениях. К сожалению, до сих пор основными критериями отбора руководителей службы безопасности является либо статусная позиция по прежнему месту службы, либо наличие связей в правоохранительных органах и контролирующих структурах. Что же касается рядовых сотрудников, то типовыми критериями отбора для них является опыт работы в силовых, правоохранительных системах или в вооруженных силах.

Последствия: Подобная схема комплектования службы безопасности чревата серьезными недостатками.

Во- первых, попытки разрешения возникающих перед службой проблем через связи начальника службы с бывшими сослуживцами имеют как положительные, так и отрицательные стороны, и, как показывает практика, минусы здесь очень часто могут перевешивать кажущиеся плюсы. Да, действительно, бывшие сотрудники силовых и правоохранительных структур могут воспользоваться старыми связями, но в этом случае их прежние коллеги, неофициально оказывая помощь, вынуждены нарушать, в лучшем случае, служебную этику, в худшем - требования Законов, подзаконных актов и иных нормативных документов, рискуя попасть в поле зрения службы собственной безопасности и быть уволенными.

Во-вторых, чем старше уволенный сотрудник - тем больше вероятность того, что его коллеги уйдут на пенсию и потеряют возможность ему помочь в решении оперативных вопросов.

В-третъих, чем выше была должность у начальника службы безопасности до увольнения, тем больше он занимался вопросами управления и терял навыки оперативной работы. Такой начальник службы безопасности непременно будет стремиться к увеличению численности личного состава. Данное обстоятельство неприемлемо для субъектов малого и среднего бизнеса.

В-четвертых, отсутствие среди сотрудников службы безопасности специалистов в области экономики, маркетинга, менеджмента существенно снижают ее эффективность как элемента системы корпоративной безопасности.

Решение данной проблемы состоит в том, чтобы на основе концепции разработать и утвердить на уровне генерального директора (президента) фирмы положение о службе корпоративной безопасности фирмы. В положении определить порядок отбора сотрудников в службу с учетом их предполагаемых функциональных обязанностей. Отбор сотрудников в службу безопасности осуществлять совместно со службой персонала. При отборе использовать батареи тестовых методик (включая аппаратные типа «Полиграф») для оценки и прогноза психологической и моральной надежности кандидатов на работу.

В подразделения службы безопасности, занимающиеся обеспечением экономической безопасности и деловой разведки, включать специалистов, имеющих экономическое, юридическое образование. Для них целесообразно после зачисления провести учебу по основам оперативно-розыскной деятельности и оперативной психологии.

Решение о принятии на работу должно приниматься на основании рекомендаций, предоставленных службой безопасности и службой кадров первым лицом или менеджером по безопасности фирмы.

отсутствие надлежащего контроля деятельности службы безопасности со стороны руководства фирмы. Как правило, первые руководители фирм считают, что все сотрудники службы безопасности по определению являются лояльными. Кроме того, сама служба, в силу специфики решаемых задач, представляет собой вариант самоорганизующейся структуры и, следовательно, не нуждается в управлении и контроле извне. Особенно ярко это проявляется в ситуациях, когда руководитель службы пользуется безграничным доверием первого лица или, что еще опаснее, учредителей фирмы. Вследствие чего ей отдаются на откуп и набор сотрудников, и выбор методов решения поставленных перед ней задач.

Последствия:

Отсутствие контроля деятельности службы безопасности может нанести серьезный ущерб безопасности фирмы. Прежде всего это относится к методам ее работы. Часто руководство фирмы ставит перед службой безопасности задачи, для решения которых приходится работать на «грани фола». В подобных случаях риск наступления негативных последствий для фирмы от подобных действий весьма велик. И решение о том, стоит ли идти на такой риск, должно принадлежать высшему руководству фирмы, а не руководителю службы. К негативным последствиям приводят и ситуации, когда набор сотрудников осуществляется руководством службы самостоятельно.

Стремление полностью укомплектовать службу бывшими сотрудниками спецслужб, правоохранительных органов и военнослужащих может привести к тому, что корпоративные интересы получают приоритет перед фирменными интересами.

К сотрудникам службы безопасности должны предъявляться повышенные требования в области их профессиональной, психологической и моральной надежности. Наш многолетний опыт работы со службами безопасности позволяет утверждать, что психологическую и моральную надежность кандидатов на работу могут правильно оценить и спрогнозировать только специалисты по работе с кадрами. Что касается профессионализма, то в этом вопросе, безусловно, экспертами могут выступать только опытные сотрудники службы безопасности. В противном случае вся фирма становится заложницей опыта по работе с кадрами и принципиальности руководителя службы.

Все острые мероприятия, проводимые с привлечением сотрудников службы безопасности, и особенно в отношении сотрудников других подразделений фирмы, должны быть санкционированы руководством фирмы.

излишние полномочия доступа к информации, содержащей коммерческую тайну, и контроля над ее циркуляцией в рамках фирмы. Не редки случаи, когда информационно-аналитические подразделения включаются в состав службы безопасности. Это приводит к тому, что руководители службы и отдельные ее сотрудники получают бесконтрольный доступ к конфиденциальной информации, не имеющей отношения к их профессиональной деятельности.

Последствия:

Безусловно, высокий приоритет допуска к обобщенной информации, не имеющей отношения к выполнению функциональных задач любого сотрудника фирмы, включая сотрудников службы безопасности, чреват негативными последствиями. В тех случаях, когда информационно-аналитическая служба включена в состав службы безопасности, руководство последней получает свободный доступ к любой информации о хозяйственной и финансовой деятельности фирмы. При наличии злого умысла или нелояльного поведения со стороны сотрудников службы безопасности эта информация может стать достоянием конкурентов или других заинтересованных лиц.

Кроме того, довольно часто руководители фирм поручают службам безопасности контролировать телефонные переговоры сотрудников. Данное обстоятельство приводит к тому, что сотрудники службы становятся невольными обладателями информации о личной жизни сотрудников фирмы, их слабостях и увлечениях, не представляющих непосредственной угрозы для безопасности. Однако эти сведения в случае их разглашения могут нанести сотруднику моральный урон или сделать его объектом шантажа.

Профилактические меры здесь следующие. На фирме должен быть разработан жесткий регламент доступа к информации конфиденциального характера. Каждое подразделение и каждый сотрудник могут иметь доступ только к той информации, которая им необходима для выполнения своих функциональных обязанностей. Каждый из субъектов управления системой корпоративной безопасности может быть допущен к информации другого только с его согласия или при наличии санкции высшего руководства.

Необходимо определить степень ответственности каждого сотрудника службы безопасности за разглашение конфиденциальной информации, а равно информации личностного плана, ставшей ему известной при проведении оперативно-технических мероприятий и не имеющей отношения к обеспечению корпоративной безопасности.

Целесообразно, чтобы информационно-аналитическая служба не входила в состав службы безопасности и не находилась в прямом подчинении начальнику службы.

недостаточное финансирование системы корпоративной безопасности. В процессе аудита корпоративной безопасности фирм нам часто приходится сталкиваться с тем, что финансирование системы корпоративной безопасности осуществляется неравномерно. Большие финансовые вливания делаются на стадии формирования системы, а ее работоспособность поддерживается по остаточному принципу.

Последствия:

Финансирование системы корпоративной безопасности в целом и службы безопасности в частности по остаточному принципу приводит, в том числе, и к тому, что возникают трудности в замене морально устаревшего оборудования, проведении оперативных мероприятий. Эффективность работы сотрудников службы безопасности не должна быть ниже, чем у конкурентов. В противном случае такая экономия может резко снизить моральную надежность сотрудников.

Профилактические меры следующие. Финансирование Службы безопасности должно прописываться отдельной строкой бюджета фирмы. Объем финансирования должен соответствовать объему и характеру выполняемых службой задач.

8. Экономическая обоснованность организационного проектирования службы

Данный этап очень важен при представлении проекта службы защиты информации руководству фирмы. Так как необходимы веские основания того, что фирма действительно нуждается данной службе и предстоящие затраты, которые могут быть вполне значительными, являются не безосновательными.

Рассмотрим возможный вариант того, каким образом можно обосновать экономическую целесообразность организационного проекта службы. Данный процесс будет разделен на два этапа.

На первом этапе мы определяются затраты на разработку, организацию и внедрение службы в составе фирмы. Второй этап проводит анализ возможных убытков, которые может понести фирма в случае угрозы безопасности конфиденциальной информации, в связи с отсутствием в составе структуры фирмы службы защиты информации.

Затраты связанные со службой защиты информации.

Приведем возможные источники затраты по каждому из этапов создания службы защиты информации.

Производится анализ состояния защищенности фирмы, для чего возможно будет необходима воспользоваться услугами сторонних организаций или создать группу сотрудников из штата фирмы (при этом выполнение их прямых обязанностей станет невозможным, на определенный промежуток времени).

Исходя из полученных результатов анализа, необходимо формирование основных задач и функции службы, а так же формирование организационной структуры службы защиты информации. Для проведения этих работ необходимо воспользоваться услугами специалистов в области организационного проектирования и в области защиты информации.

После получения сформировавшейся организационной структуры службы и сформированных задач и функций каждого подразделения необходимо произвести поиск и подбор специалистов на соответствующие должности. Для поиска используются услуги средств массовой информации, кадровые агентства и учебные заведения занимающиеся обучением соответствующих специалистов. При отборе кандидатов необходимо воспользоваться услугами специалиста в области работы с персоналом.

Далее сотрудники службы должны быть обеспечены рабочим помещением, что приведет к затратам связанным с арендой, достройкой помещения или освобождением какой либо из службы помещения находящегося в распоряжении фирмы. Каждый сотрудник должен быть обеспечен рабочим местом, соответствующим правилам и нормам безопасности труда. Кроме того в его распоряжении должно находится оборудование, необходимое для выполнения своих прямых обязанностей. Так же каждый из сотрудников получает заработную плату.

Кроме этого возможно возникнет необходимости в:

замене оборудования, уже используемого сотрудниками фирмы, в силу своей небезопасности;

обеспечении сотрудников средствами идентификации и аутентификации;

оборудование помещений средствами наблюдения и разграничения доступа;

проведение образовательных семинаров для сотрудников, по работе с конфиденциальной информацией;

Рассмотренные выше источники затрат сформируем в одну таблицу (см. таблица 6).

Таблица 6 - Затраты связанные с разработкой службы защиты информации

Данный список затрат не является исчерпывающим и формируется исходя из того, на какой фирме служба будет использоваться и какие задачи и функции будет выполнять.

В полнее возможно что для маленькой фирмы хватит одного сотрудника, который будет следить за общим состоянием защищенности и в случае необходимости фирма будет пользоваться услугами сторонних организаций, чего для нее будет вполне достаточно.

В то же время крупная организация будет нуждаться в службе, которая будет иметь сложную организационную структуру, с большим количеством сотрудников, выполняющих все необходимые функции в области защиты информации, необходимых для достижения требуемого состояния защищенности информации на фирме.

Кроме того необходимо учесть, что часть затрат, которая связанна непосредственно с разработкой службы, будет одноразовой.

В самом простом виде затраты можно представить в виде графика (см. рисунок 2)

Рисунок 2 - Затраты фирмы при разработке и внедрении службы защиты информации

На рисунке 2 видно, что при разработке и внедрении службы, фирмы понесла определенные убытки, в дальнейшем затраты снизились и остаются относительно постоянными. Периодическое увеличение затрат может быть связанно с внедрением новых средств защиты или использованием услуг сторонних организаций.

Убытки от реализации угроз безопасности.

При реализации угроз безопасности информации, фирма вероятнее всего понесет не однократные убытки, так как в зависимости от вида принесенного ущерба, фирма будет нести убытки в течении довольно большого промежутка времени.

Для определения возможного ущерба необходима смоделировать ситуацию связанную с реализацией угрозы безопасности и учитывая все факторы, проанализировать дальнейший ход событий.

Предположим, что в выше указанной фирме произошла утечка конфиденциальной информации, связанной с методикой производства определенной продукции, полученной в результате разработок сотрудников данной фирмы. Перечисли основные источники получаемых при этом убытков:

возможная остановка производства, в связи с утерей необходимой информации;

мероприятия по восстановлению утраченной информации;

потеря доверия клиентов;

отказ инвесторов от дальнейшего сотрудничества и утрата доверия возможных инвесторов в будущем;

потеря сегмента рынка данной продукции, в связи с появлением конкурирующих производителей;

сокращение персонала и свертывание производства;

торможение дальнейшего развития фирмы, связанного с восстановлением репутации и отсутствием финансовых средств.

Данный список является не полным и зависит от характера реализованной угрозы.

Представим возможные затраты в графическом виде (см. рисунок 3).

Рисунок 3 - Затраты от реализации угрозы

Как видно из рисунка 3 фирма с самого начала может понести большие убытки. И дальнейшее восстановление до исходного состояния может занять довольно большой промежуток времени.

Таким образом, что экономического обоснования необходимо составить планы затрат по первому и второму пункту на определенный промежуток времени, как минимум на 1 год и после сравнения полученных данных делать выводы по дальнейшему внедрению службы. Возможно от определенных составляющих службы придется отказаться в силу малой необходимости и дороговизны. Однако руководство может прийти к выводу что в службе нет большой необходимости и достаточно будет периодически пользоваться услугами сторонних организаций, предоставляющих услуги в сфере защиты информации.

Приведем пример, связанный с экономическим обоснованием создания службы защиты информации на небольшой фирме.

Условия задачи: Разработка и внедрение службы защиты информации в составе одного специалиста в области компьютерной безопасности.

Определим связанные с этим затраты на год вперед.

Одноразовые затраты:

поиск и отбор кандидата - 15000 р.;

выделение помещение и оборудование рабочего места - 16000 р.;

приобретение необходимого технического и программного обеспечения - 60000 р.;

Ежегодные затраты:

годовая зарплата сотрудника -290000 р.;

приобретение дополнительного оборудования, технического и программного обеспечения в течении года - 30000 р.;

Таким образом в течении первого года затраты фирмы в среднем составят - 411000 р. В течении следующих лет, при условии что в структуры службы не будет происходить значительных изменений затраты ежегодно будут составлять в среднем 320000 р.

Теперь определим убытки которые понесет фирма в результате хищения конфиденциальной информации, связанной с производством определенной продукции.

Допустим что информация полностью утеряна и имевшиеся наработки пришлось восстанавливать с нуля, при этом на определенный промежуток времени остановилось производство что повлекло за собой убытки в размере 450000 . Кроме того сорвались контракты на поставку продукции - 500000 р. Конкурирующая фирма захватила освободившийся сегмент рынка и наша фирма потеряла репутацию. При этом продажи за год снизились на 10% - 800000 р. Кроме этого для восстановления утерянной репутации пришлось проводить рекламные акции - 300000 р. и привлекать новых инвесторов, за счет повышения качества продукции (что возможно при внедрении новых технологий и приобретении дорогостоящего оборудования - 700000 р.). Таким образом, наша фирма за год потеряла 2750000 р.

Выводы:

Таким образом предложена довольно простая методика для оценки экономической обоснованности внедрения службы защиты информации, результаты которой могут послужить весомым аргументом при рассмотрении руководством предложения по внедрению службы защиты информации.

9. Безопасность жизнедеятельности

.1 Значение и задачи безопасности жизнедеятельности

Цель безопасности жизнедеятельности - это достижение безопасности человека в производственной среде на предприятии. Безопасность человека определяется отсутствием производственных и непроизводственных аварий, стихийных и других природных бедствий, опасных факторов, вызывающих травмы или резкое ухудшение здоровья, вредных факторов, вызывающих заболевания человека и снижающих его работоспособность.

Задачи, решаемые безопасностью жизнедеятельности:

идентификация опасностей, т.е. распознавание образа, количественных характеристик и координат опасности;

защита от опасностей;

ликвидация опасностей.

Охрана труда на предприятии - система сохранения жизни и здоровья работников в процессе трудовой деятельности, включающая в себя правовые, социально-экономические, организационно-технические, санитарно-гигиенические, лечебно-профилактические, реабилитационные и иные мероприятия.

Основными направлениями в решении задач безопасности жизнедеятельности являются:

обеспечение приоритета сохранения жизни и здоровья работников;

надзор и контроль за соблюдением требований охраны труда;

защита законных интересов работников, пострадавших от несчастных случаев на производстве и профессиональных заболеваний, а также членов их семей на основе обязательного социального страхования работников от несчастных случаев на производстве и профессиональных заболеваний;

координация деятельности в области охраны труда, охраны окружающей природной среды и других видов экономической и социальной деятельности.

9.2 Производственная санитария и гигиена

При оборудовании рабочих мест сотрудников службы защиты информации, необходимо спроектировать их таких образом, что бы они соответствовали правилам техники безопасности и производственной санитарии. Охрана труда обеспечивается системой законодательных актов, а так же совокупностью организационных, технических, гигиенических и лечебно-профилактических мероприятий проводимых на фирме. При обеспечении благоприятных условий сотрудникам на их рабочих местах, мы обеспечим наибольшую производительность и эффективность деятельности службы защиты информации в целом. Требования по организации рабочего места сформулирован в соответствующем документе: СанПиН 2.2.2./2.4.1340-03 «Гигиенические требования к персональным ЭВМ и организации работы». Рассмотрим выкладки из данного документа

Требования к ЭВМ

Каждые ЭВМ на рабочем месте должна соответствовать требованиям санитарных правил, и каждый их тип подлежит санитарно-эпидемиологической экспертизе с оценкой в испытательных лабораториях, аккредитованных в установленном порядке. Концентрация выделяемых ЭВМ вредных веществ в воздух помещений не должно превышать предельно допустимой концентрации. Так же ЭВМ должно соответствовать требованиям по уровню звукового давления и уровню электромагнитных полей. Конструкция ЭВМ должна обеспечивать возможность поворота корпуса в горизонтальной и вертикальной плоскости с фиксацией в заданном положении для обеспечения фронтального наблюдения экрана монитора. Монитор должен предусматривать регулировку яркости и контрастности.

Требования к помещению

В помещении должно быть естественное и искусственное освещение, которое должно соответствовать требованиям действующей нормативной документации. Окна должны быть ориентированы на север или северо-восток и содержать регулируемые устройства типа: жалюзи, занавесей и т.п. Площадь на одно рабочее место пользователя ЭВМ с монитором на базе электронно-лучевой трубки должно составлять не менее 6 квадратных метров. Помещения должны быть оборудованы защитным заземлением (занулением) в соответствии с техническими требованиями по эксплуатации. Относительная влажность и скорость движения воздуха на рабочих местах должна соответствовать действующим санитарным нормам. Должны быть обеспечены оптимальные параметры микроклимата. В помещениях проводится ежедневная влажная уборка и систематическое проветривание после каждого часа работы на ЭВМ. Уровни положительных и отрицательных аэроионов в воздухе помещения должны соответствовать действующим санитарно-эпидемиологическим нормам. Содержание вредных химических веществ в производственных помещениях не должно превышать предельно допустимых концентраций загрязняющих веществ в атмосферном воздухе населенных мест в соответствии с действующими гигиеническими нормативами.

Требования к рабочим местам

Уровень шума не должен превышать допустимых значений. Шумящее оборудование, уровни шума которого превышают нормативные, должны размещаться вне помещения содержащего ЭВМ.

Рабочие столы необходимо размещать таким образом, что бы видеодисплей был ориентирован боковой стороной к световым проемам. Искусственное освещение должно осуществляться системой общего равномерного освещения. Освещение на поверхности стола в зоне размещения рабочего документа должно быть 300-500лк. Следует ограничить распределение яркости в поле зрения пользователя ЭВМ, при этом соотношение яркости между рабочими поверхностями не должно превышать отношение 3:1, 5:1, а между рабочими поверхностями и поверхностями стен и оборудования - 10:1. Коэффициент запаса для осветительных установок общего освещения должен приниматься равным 1,4, а коэффициент пульсации не должен превышать 5%.

Высота рабочих поверхностей стола должна регулироваться в пределах 680-800 мм, при отсутствии такой возможности, высота должна составлять 725мм.

Дисплей должен удовлетворять следующим требованиям:

важнейшие элементы конструкции должны быть расположены в центре поля зрения (клавиатура);

элементы должны быть сгруппированы по функциональному признаку;

рабочие поверхности должны быть расположены наклонно, по возможности перпендикулярно взгляду оператора;

экран видеомонитора должен находиться от глаз пользователя на оптимальном расстоянии 600-700 мм, но не ближе 500 мм с учётом размеров знаков и символов.

Для получения хорошего качества изображения должна быть обеспечена достаточная контрастность изображения, которая зависит от соотношения собственной яркости трубки и яркости фона, обусловленного внешней освещенностью экрана.

Для обеспечения достаточной контрастности и исключения бликов необходимо применять приэкранный фильтр, который к тому же уменьшает заметность мельканий; фильтр должен иметь антибликовое покрытие, желательно с обеих сторон. Необходима защита и от электростатического поля, которое возникает на экране и перед ним. Здесь также защищает приэкранный фильтр с проводящим слоем, соединенный с заземляющей шиной ПК, который должен быть соединен с общим заземлением помещения.

Для уменьшения влияния на оператора рентгеновского излучения (особенно цветных дисплеев) и электромагнитного поля, необходимо находиться не ближе 1,22 м от задних стенок соседних дисплеев. Экран должен находиться от глаз пользователя на оптимальном расстоянии 0,6-0,7 м, но не ближе 0,5 м. Рабочее место для выполнения работ сидя должно соответствовать ГОСТ 12.2.032-78; 22269-76; 21829-76. Рабочий стол должен регулироваться по высоте в пределах 680-800 мм(если невозможно, то высота его - 725 мм), под столом должно быть свободное пространство для ног. Рабочий стул должен иметь регуляцию по высоте (400-550 мм) и угла наклона спинки.

Рабочие места операторов располагаются так, чтобы оконные проемы находились сбоку и дальше от экрана ПК, Если экран обращен к окну, необходим экран (ширма) между рабочим местом и окном. Светильники общего освещения должны располагаться сбоку от рабочего места, параллельно линии зрения оператора и стены с окнами. Расстояние между тыльной стороной одного ряда мониторов и экраном монитора из соседнего ряда должно быть не менее 2 м, а расстояние между боковыми поверхностями мониторов - не менее 1,2 м.

При работе на ПК необходимо делать перерывы на 10-15 мин каждые 1,5-2 часа работы в соответствии с санитарными нормами.

9.3 Техника безопасности

В отношении опасности поражения людей электрическим током помещения различаются:

1)      помещения без повышенной опасности, в которых отсутствуют условия, создающие повышенную или особую опасность.

2)      помещения с повышенной опасностью, характеризующиеся наличием в них одного из следующих условий, создающих повышенную опасность:

сырость или токопроводящая пыль;

токопроводящие полы (металлические, земляные, железобетонные, кирпичные и т.п.);

высокая температура;

возможность одновременного прикосновения человека к металлоконструкциям зданий, имеющим соединение с землей, технологическим аппаратам, механизмам и т.п., с одной стороны, и к металлическим корпусам электрооборудования (открытым проводящим частям), с другой.

3)      особо опасные помещения, характеризующиеся наличием одного из следующих условий, создающих особую опасность:

- особая сырость;

химически активная или органическая среда;

одновременно два или более условий повышенной опасности;

Полная гарантия безопасности при эксплуатации бытовых электроустановок и электроприборов может быть обеспечена только при выполнении мероприятий как организационного, так и технического характера.
 При пользовании любым электрическим прибором необходимо всегда помнить о том, что неумелое обращение с ним, несоблюдение мер предосторожности может привести к поражению электрическим током:

. Необходимо постоянно следить за исправным состоянием электропроводок, предохранительных щитков, выключателей штепсельных розеток, ламповых патронов, а также шнуров, при помощи которых электроприборы, телевизоры, радиоприемники включаются в электросеть.

. Во избежание повреждения изоляции проводов и возникновения замыканий, нельзя:

закрашивать и белить шнуры и провода;

вешать что-либо на провода;

закладывать провода и шнуры за газовые и водопроводные трубы, за батареи отопительной системы;

допускать соприкосновения электрических проводов с телефонными и радиотрансляционными проводами, радио- и телеантеннами, ветками деревьев и кровлями строений;

заклеивать электропроводку бумагой, обоями, закреплять провода гвоздями.

. Запрещается под напряжением очищать от пыли и грязи светительную арматуру и лампы.

9.4 Безопасность жизнедеятельности в чрезвычайных ситуациях

Подготовка службы к работе в условиях чрезвычайной ситуации (ЧС)

Смысл подготовки заключается в том, что при наступлении ожидаемой (прогнозируемой) ситуации организация (руководство) не ищет лихорадочно способы и средства противодействия, а реализует уже имеющиеся планы и использует заранее приготовленные ресурсы. Для этого нужно четко представлять себе, что и когда может произойти, каковы могут быть последствия, какие средства и методы наиболее эффективны, какие ресурсы должны использоваться. При возникновении реальной угрозы организация (система)должна быстро сменить тактику действий в соответствии с внешними условиями и внутренними требованиями безопасности, надежности. Это позволит снизить ущерб за счет оптимизации реагирования за счет его своевременности и направленности. Подготовленная к ЧС организация способна быстро перестроить свою работу и начать противодействие тогда, когда ситуация еще не вышла из-под контроля, когда существует еще много возможностей для альтернативного развития событий. Тогда появляется возможность, если не управлять, то по крайней мере контролировать ситуацию. Ущерб возникает в результате внешних или внутренних воздействий, на которые система не способна вовремя эффективно отреагировать или которые не способна компенсировать.

Подготовка организации к противодействию ЧС должна начинаться с постановки задач СлЗИ. Среди задач СлЗИ для ЧС можно выделить актуальные и перспективные задачи.

Перспективные задачи

Подготовка системы к работе в условиях ЧС включает подготовку технических средств и подготовку сотрудников (должны существовать чрезвычайные планы для работы в условиях ЧС, разработана методика реагирования системы на ЧС, ликвидации последствий).

Создание резервов (резервных систем, материальных и интеллектуальных ресурсов):

стратегические резервы (универсальные, медленно расходуемые и др.;

тактические резервы (специальные, быстро исчерпываемые ресурсы).

Моделирование процессов, происходящих в системе в условиях ЧС:

физические процессы (процессы, происходящие в технических средствах ЗИ и охраны, каналах связи и инженерных сооружений);

организационные (управленческие воздействия, передача и обработка информации);

психологические (исполнение должностных обязанностей, распоряжений).

Прогнозирование возникновения и развития ЧС.

Прогнозирование должно производиться исходя из особенностей исследуемой ситуации и возможностей системы справиться с ситуацией (наличие ресурсов, их качество, наличие удовлетворительных планов работы в сложных условиях).

Актуальные задачи:

сохранение функциональности и надежности основных элементов системы;

сохранение системы управления;

ориентированность системы на ликвидацию ЧС и ее последствий.

Решение актуальных задач осуществляется за счет использования эффективных методов и рационального распределения имеющихся средств. Методы противодействия должны использовать все возможные ресурсы организации. Среди методов, которые могут быть использованы для противодействия ЧС, можно выделить основные четыре: административные, организационные, социально-психологические и технические. Имеющиеся средства противодействия должны использоваться системно, иначе их эффективность может быть существенно снижена. Поэтому для каждой ЧС необходимо разработать собственное методическое обеспечение, которое упорядочивало бы процесс их использования.

Эффективное противодействие ЧС требует от организации рационально использовать имеющиеся методы и средства. Для этого работа с ЧС должна проходить в следующих направлениях:

организационное реагирование;

работа с информацией;

работа с персоналом;

работа с техническими средствами.

Далеко не любая ЧС требует серьезных изменений в деятельности организации. Иногда достаточно простого реагирования одного из структурных подразделений согласно разработанной методике. Ситуация стандартна, система управляема. ЧС, угрожающая жизненным интересам организации, требует соответствующего реагирования изменения организационной структуры и мобилизации ресурсов. Основная проблема работы в условиях ЧС - неорганизованность и несогласованность работы структурных подразделений, вовлеченных в ЧС, и отдельных сотрудников. Поэтому в особо сложной ситуации при длительном воздействии деструктивных факторов для эффективной работы с ЧС необходимо создание специальной организационной структуры с широкими полномочиями. Идеально, если бы это была постоянная организационная структура, которая занималась бы сбором и анализом информации о ЧС, прогнозированием, планированием и организацией работы в условиях ЧС. Если такая структура отсутствует, то в период ЧС необходимо создать штаб по работе с ЧС, куда входили бы представители (или руководители) всех вовлеченных в ЧС структурных подразделений. Может быть создана группа экспертов для анализа информации и выработки рекомендаций по управлению в условиях ЧС для вовлеченных подразделений.

Необходима кризисная организация взаимодействия подразделений руководство их действиями из одного центра. Все усилия должны быть направлены на достижение одной цели- локализация и ликвидация ЧС. В крупных организациях для работы с ЧС рекомендуется создать специальное подразделение, которое занималось бы анализом, прогнозом и реагированием на ЧС, а также координировало бы работу остальных служб в условиях ЧС. Кроме основного кризисного центра, необходимо предусмотреть создание вспомогательных подразделений, которые выполняли бы важные служебные функции. Этим достигалась бы оптимальная концентрация людских ресурсов на важнейших на правлениях. В рамках этого подразделения необходимо создать группу экспертов, группу быстрого реагирования, техническую группу, информационную группу. Группа быстрого реагирования кроме силовых акций должна быть способна заниматься также спасательными операциями и быть способной поддерживать порядок в организации в экстремальных ситуациях(выполнять охранные функции).

Техническая группа должна заниматься экстренным восстановлением разрушенных инженерных сооружений, линий связи, технических средств защиты информации и охраны, электронных средств обработки и хранения информации. Информационная группа должна заниматься сбором и первичной обработкой полученных сведений, их группировкой, накоплением и хранением. Экспертная группа должна заниматься анализом полученных сведений и разработкой методического обеспечения.

Однако наиболее эффективным (действительно необходимым) будет не оперативное реагирование на возникшую ситуацию, а превентивная работа с проблемой. Для этого необходимо иметь четкие представления об окружающей обстановке. Нужно наладить работу по своевременному получению сведений для идентификации ЧС. Полученная информация должна позволить своевременно сконцентрировать имеющиеся силы и средства на опасном направлении. Например, во время вооруженного нападения, террористического акта или перед стихийным бедствием. Для предотвращения возникновения ЧС и снижения ущерба от проявившихся деструктивных факторов, необходимо:

предвидеть появление ЧС (прогнозирование);

иметь специальные организационные структуры;

владеть специальными методиками по прогнозированию, предотвращению, локализации и ликвидации различных ЧС;

построить систему специальной подготовки персонала и управленческих кадров;

иметь в наличии резервы для работы с ЧС;

создать специальную систему для получения и анализа информации о ЧС.

Заключение

В результате выпускной квалификационной работы был произведен анализ существующих методик по организационному проектированию и разработке служб, и был рассмотрен алгоритм организационного проектирования службы защиты информации ориентированный на функционирование в коммерческой фирме. Предложенный алгоритм состоит из следующих основных этапов:

- анализ рисков и структуризация проблемы;

определение организационной структуры службы;

определение необходимого персонала и его подбор;

организация информационного обеспечения службы;

определение взаимодействия службы с другими структурными подразделениями фирмы;

экономическая обоснованность проектируемой службы.

По каждому этапу были рассмотрены основные вопросы связанные с оргпроектированием, при этом были приведены определенные рекомендации.

Была разработана методика по определению функционального состава СлЗИ. В целом рассмотренная методика определения численного состава службы защиты информации позволяет произвести необходимые расчёты численного состава службы в ходе организационного проектирования или оценить уровень текущей укомплектованности персонала службы защиты информации предприятия, а так же выработать рекомендации по улучшению эффективности функционирования информационной безопасности предприятия.

Список использованных источников

1 Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий [Текст] / Гостехкомиссия России - М., 2002.

2 КонсультантПлюс: Высшая школа [Электронный ресурс]. - Электрон. текстовые, граф., и прикладная прогр. (500 Мб). - М.: КонсультантПлюс, 2007. - электрон. опт. диск (CD-ROM): зв., цв.; 12 см + открытка (1 л.). - (Учебное пособие. Помощь в обучении, подготовке рефератов, курсовых и дипломных работ). - Минимальные аппаратные и программные требования: Процессор не ниже Pentium 266 MHz ; 64 Мб ОЗУ ; Windows ME/NT 4.0/2000/XP ; High Color True Color ; 600x800 ; 16х CD-ROM дисковод ; 16-бит. зв. карта ; мышь. -Загл. с экрана. - Диск и сопровод. материал помещены в контейнер 20x14 см.

3 Пашуто, В.П. Организация и нормирование труда на предприятии [Текст] Учебное пособие / - М.: Новое знание, 2001.

4 Горшкова, Л.А. Анализ организации управления [Текст] Аналитический инструментарий / - М.: Финансы и статистика, 2003.

Рогожин, С.В. Теория организации [Текст] Учебное пособие / С.В. Рогожин, Т.В. Рогожина. - 2-е изд.стереотип. - М.: Издательство “Экзамен”, 2004. - 320с. (Серия “Учебник для вузов”)

Литвак, Б.Г. Разработка управленческого решения [Текст] Учебник / - 4-е изд., испр. - М.: Дело, 2003. - 392 с.

Федеральный закон «Об информации, информатизации и защите информации» [Текст] / - М., 20.02.1995 г

Мосин, В.Н. Управление процессом проектирования [Текст] / В.Н. Мосин, В.А. Травин - 2-е изд., испр. - Московский рабочий, 1980

Качалина, А.Н. Научная организация управленческого труда [Текст] Оргпроектирование / издательство “Экономика”, Москва -1973

10 Брединский, А. Контроль персонала [Электронный ресурс] / Технология разведки для бизнеса. Режим доступа: <http://it2b.ru/it2b3.view1.page17.html> - Заглавие с экрана

Иванов, А.А. Чрезвычайные ситуации в системе защиты информации [Текст] Информационно - методический журнал Конфидент / А.А. Иванов, В.В. Шарлот, № 4-5 (34-35)июль-октябрь 2000г., С. 10-23

12 Беляев, В.А. Какой должна быть норма труда в условиях рынка [Текст] // Человек и труд - 1997 - №8 - С. 99-104.

Поляков, И.А. Методика экономических расчетов по кадрам, труду и заработной плате на промышленных предприятиях [Текст] Справочник экономиста по труду / И.А. Поляков, К.С. Ремизов - М.; Экономика 1990 - С. 142-160.

14 Балашов, П.А. Разработка структуры службы безопасности предприятия [Текст] Информационно - методический журнал Конфидент / № 3 (33) май-июнь 2000г., С. 78-83

Приложение А

Список нормативных документов службы защиты информации

В ходе своей деятельности службы защиты информации должна руководствоваться следующими нормативными документами:

- Конституция Российской Федерации;

Гражданский Кодекс Российской Федерации;

Уголовный Кодекс Российской Федерации;

Декларация прав и свобод человека и гражданина Российской Федерации.

Законы Российской Федерации:

- «Об информации, информационных технологиях и о защите информации» от 9 августа 2006 г. № 149-ФЗ;

- «О безопасности» от 5 марта 1992 г. № 2446-1;

«О связи» от 16 февраля 1995 г. №15-ФЗ;

«О защите прав потребителей» от 7 февраля 1992 г. № 2300-1 в редакции Федерального закона от 9 января 1996 г. № 2-ФЗ;

«О сертификации продукции и услуг» от 10 июня 1993 г. № 5151-1;

«О федеральных органах правительственной связи и информации» от 19 февраля 1993 г. № 4524-1;

«Об участии в международном информационном обмене» от 4 июля 1996 г. № 85-ФЗ.

Указы Президента Российской Федерации:

«О создании Государственной технической комиссии при Президенте Российской Федерации» от 5 января 1992 г. № 9;

«Об утверждении перечня сведений, отнесенных к государственной тайне» от 30 ноября 1995 г. № 1203;

«О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» от 3 апреля 1995 г. № 334;

«О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам» от 8 мая 1993 г. № 644;

«Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г. № 188;

«О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9 января 1996 г. № 21;

«Об основах государственной политики в сфере информатизации» от 20 января 1994 г. № 170.

Распоряжения Президента Российской Федерации:

«Положение о Государственной технической комиссии при Президенте Российской Федерации» от 28 декабря 1992г. № 829-рпс и от 05 июля 1993г. № 483-рпс.

Постановления Правительства Российской Федерации:

Инструкция № - 0126-87;

«О лицензировании отдельных видов деятельности» № 1418, 1994 г.;

«Об утверждении Положения о лицензировании деятельности физических и юридических лиц, не уполномоченных на осуществление оперативно-розыскной деятельности, связанной с разработкой, производством, реализацией, приобретением в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации, и перечня видов специальных технических средств, предназначенных (разработанных, приспособленных, запрограммированных) для негласного получения информации в процессе осуществления оперативно-розыскной деятельности» от 01 июля 1996г. № 770;

«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам» от 15 сентября 1993г. № 912-51;

«О сертификации средств защиты информации» от 26 июня 1995г. № 608;

«Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» от 03 ноября 1994г. № 1233;

«Об утверждении Положения о выпуске и обращении ценных бумаг и фондовых биржах в РСФСР» от 28 декабря 1991г. № 78

«О перечне сведений, которые не могут составлять коммерческую тайну» от 05 декабря 1991г. № 35.

Решения Гостехкомиссии России (ГТК):

«Основы концепции защиты информации в Российской Федерации от иностранной технической разведки и от ее утечки по техническим каналам» от 16 ноября 1993г. № 6;

«О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте» от 03 октября 1995г. № 42.

Совместные решения Гостехкомиссии России и ФАПСИ:

«Положение о государственном лицензировании деятельности в области защиты информации» от 24 апреля 1994г. № 10 с дополнениями и изменениями, внесенными решением Гостехкомиссии России и ФАПСИ от 24 июня 1997г. № 60;

«Система сертификации средств криптографической защиты информации» (N РОСС RU.0001.03001).

Руководящие документы Гостехкомиссии России:

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Средства вычислительной техники. Защита от

несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации» (решение Председателя Гостехкомиссии России от 30 марта 1992г.);

«Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (решение Председателя Гостехкомиссии России от 25 июля 1997г.);

«Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России» (N РОСС RU.0001.01БИ00);

«Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям по безопасности информации»;

«Положение по аттестации объектов информатизации по требованиям безопасности информации»;

Концепция безопасности информации Российской Федерации, 1996;

Концепция единого информационного пространства России.

Документы по созданию автоматизированных систем и систем защиты информации:

«Терминология в области защиты информации. Справочник» (ВНИИcтандарт, 1993);

ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на АС. Техническое задание на создание АС»;

РД. 50-34.698-90. «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на АС. АС. Требования к содержанию документов»;

ГОСТ 24.202-80 «Система технической документации на АСУ»;

Требования к содержанию документа «Технико-экономическое обоснование создания АСУ»;

ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению документов»;

ГОСТ 6.10.4-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»;

ЕСКД. «Эксплуатационная и ремонтная документация»;

ГОСТ 34.201-89. «Информационная технология. Комплекс стандартов на АС. Виды, комплектность и обозначение документов при создании АС»;

ГОСТ 28195-89. «Оценка качества программных средств. Общие положения»;

ГОСТ 28806-90. «Качество программных средств. Термины и определения»;

- ГОСТ Р ИСО/МЭК 9126-93. «Информационная технология. Оценка программной продукции. Характеристики качества и руководства по их

применению»;

ГОСТ 2.111-68. «Нормоконтроль»;

ГОСТ РВ 50170-92. «Противодействие ИТР. Термины и определения».

Стандарты по защите от НСД к информации:

ГОСТ Р 50922-96. «Защита информации. Основные термины

и определения»;

ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от НСД к информации. ОТТ»;

ГОСТ ВД 16325-88. «Машины вычислительные электронные цифровые общего назначения. ОТТ. Дополнения».

Стандарты по криптографической защите и электронно-цифровая подпись (ЭЦП):

ГОСТ 28147-89. «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

ГОСТ Р 34.10-94. «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;

ГОСТ Р 34.11-94. «Функция хеширования».

Стандарты, применяемые при оценке качества объектов информатизации:

ГОСТ 40.9001-88. «Системы качества. Модель обеспечения качества при проектировании и(или) разработке, производстве, монтаже и обслуживании»;

ГОСТ 40.9003-88. «Системы качества. Модель для обеспечения качества при окончательном контроле и испытаниях»;

- «Порядок проведения Госстандартом России государственного контроля и надзора за соблюдением обязательных требований государственных стандартов, правил обязательной сертификации и за сертифицированной продукцией (работами, услугами)» от 30 декабря 1993 г.

№ 239;

ГОСТ 28906-91. «Системы обработки информации. Взаимосвязь открытых систем. Базовая ЭТАЛОННАЯ модель»;

ГОСТ 16504-81. «Испытания и контроль качества

продукции»;

ГОСТ 28195-89. «Оценка качества программных изделий. Общие положения».

Нормативные документы, регламентирующие сохранность информации на объекте информатизации:

«Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники» (Инструктивные указания Государственного Арбитража СССР от 29 июня 1979 г. № И-1-4);

«Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» Раздел IV. Могут ли подтверждаться обстоятельства дела доказательствами, изготовленными и подписанными с помощью средств электронно-вычислительной техники, в которых использована система цифровой (электронной) подписи? (Письмо Высшего Арбитражного суда Российской Федерации от 19 августа 1994 г. № C1-7/ОП-587 в редакции от 12сентября 1996 г.);

«О Федеральном законе «Об информации, информатизации и защите информации»» (Письмо Высшего Арбитражного суда Российской Федерации от 07июня 1995 г. № C1-7/03-316).

Стандарты в области терминов и определений:

ГОСТ 34.003-90. «Информационная технология. Комплекс стандартов на АС. Термины и определения»;

ГОСТ Р В 50170-92. «Противодействие ИТР. Термины и определения»;

ГОСТ 15971-90. «СОИ. Термины и определения»;

ГОСТ 22348-77. «Единые автоматизированные системы связи. Термины и определения»;

Приложение Б

Нормы времени на работы выполняемые СлЗИ

1. Организация доступа к информационным ресурсам

Таблица 1- Нормы времени на организацию доступа к информационным ресурсам

2. Организация информационного взаимодействия с пользователями подразделений

2.1. Планирование деятельности, подготовка отчетных документов, контрольные функции

Таблица 2 - Нормы времени на планирование деятельности

.2. Подготовка и проведение совещаний

Таблица 3 - Нормы времени на подготовку и проведение совещаний

2.3. Иные мероприятия

Таблица 4 - Нормы времени на иные мероприятия

. Сервисное обслуживание средств вычислительной и оргтехники

3.1. Еженедельное обслуживание средств вычислительной и оргтехники

Таблица 5 - Нормы времени на еженедельное обслуживание средств вычислительной и оргтехники

3.2. Ежемесячное обслуживание средств вычислительной и оргтехники

Таблица 6 - Нормы времени на ежемесячное обслуживание средств вычислительной и оргтехники

3.3. Полугодовое обслуживание средств вычислительной и оргтехники

Таблица 7 - Нормы времени на полугодовое обслуживание средств вычислительной и оргтехники

.4. Настройка ПС

Таблица 8 - Нормы времени на настройку ПС

3.5. Сопровождение поставленных ПЭВМ, ПС в послегарантийный период

Таблица 9 - Нормы времени на сопровождение поставленных ПС ПЭВМ в послегарантийный период

Продолжение таблицы 9

3.6. Выбор ПС ПЭВМ

Таблица 10 - Нормы времени на выбор ПС ПЭВМ

3.7. Заказ, получение и списание оборудования

Таблица 11 - Нормы времени на заказ, получение и списание оборудования

3.8. Ввод в эксплуатацию, закрепление ПЭВМ за пользователями