Конспект лекций оглавление 1 информационное общество и его безопасность 6
Скачать 4.94 Mb.
|
15.2. Организационные структуры системы обеспечения информационной безопасности предприятия (организации)Задачи и функции организационных структур, осуществляющих реализацию специальных защитных мероприятий (служб безопасности) на уровне предприятия (организации), определяются потребностями ральных бизнес-процессов, их спецификой и масштабами. Традиционной задачей служб безопасности хозяйствующих субъектов является обеспечение так называемой физической защиты, под которой подразумевается охрана имущества, материальных и финансовых ценностей, а также в отдельных случаях защита персонала, прежде всего руководства, от преступных посягательств. Для решения этой задачи служба безопасности должна обеспечить выполнение следующих функций. - организацию пропускного режима, разграничение физического доступа на защищаемые объекты; - организацию инженерно-технической защиты охраняемых зданий и помещений объекта; - обнаружение проникновения внешнего нарушителя на охраняемую территорию и принятие соответствующих мер противодействия; - противодействие противоправным действиям внутренних нарушителей по отношению к имуществу и активам предприятия; - организацию личной охраны персонала. Менее традиционной является задача обеспечения безопасности управления бизнес-процессами, включающая защиту нематериальных активов и информационных ресурсов предприятия (информационная безопасность) и участие в управлении персоналом в части обеспечения лояльности и благонадежности. Реализация такой задачи подразумевает выполнение следующих функций: - разведка и контрразведка, в том числе изучение криминальных аспектов рынка, организация противодействия экономическому шпионажу, сбор на законных основаниях информации о деловых партнерах и других лицах, имеющих контакты с предприятием; - организация противодействия недобросовестной конкуренции, выявление фактов противоправного использования нематериальных активов и интеллектуальной собственности; - организация секретного и конфиденциального делопроизводства и ведения конфиденциальных переговоров; - обеспечение безопасности автоматизированных информационных технологий, а также информации, циркулирующей в компьютерных сетях; - противодействие технической разведке, т.е. способам несанкционированного съема информации с помощью технических средств; - проведение служебных расследований обстоятельств разглашения сведений, составляющих коммерческую тайну и т.д.; - оценка лояльности и благонадежности персонала путем проведения в рамках, установленных законом, оперативно-розыскных мероприятий и выявление неблагонадежных сотрудников (группы риска) с помощью различных методов тестирования; - подготовка персонала, в том числе нештатных сотрудников, формирование правосознания и культуры поведения всех сотрудников предприятия по вопросам обеспечения его безопасности; - оценка эффективности работы структурных подразделений, входящих в состав службы безопасности и защиты информации. В случае создания полномасштабной собственной системы безопасности и защиты информациинаиболее эффективной является трехуровневая структура стратегического, тактического и оперативного управления. На уровне стратегического управления осуществляется формулирование конкретных интересов предприятия, его бизнес-процессов и критериев обеспечения их защищенности, выделение необходимого ресурсного обеспечения. Очевидно, что решение этих задач должно быть сосредоточено на уровне высшего руководства, в структуре топ-менеджмента предприятия, где происходит утверждение соответствующей концепции развития предприятия. Тактическое управление осуществляет руководитель службы безопасности или должностное лицо, на которое возложены соответствующие обязанности, его заместители и руководители структурных подразделений. Основная задача тактического управления — формирование корпоративной нормативно-методической базы требований по обеспечению безопасности, их реализация и контроль за их выполнением. Оперативное управление включает практическую реализацию защитных функций, в том числе эксплуатацию специализированных технических средств и проведение организационных процедур, и осуществляется как штатными, так и нештатными сотрудниками службы безопасности, выполняющими соответствующие функции наряду с основной деятельностью. Полномасштабный комплекс обеспечения безопасности предприятия включает следующие штатные и нештатные структуры. - совет или комиссии по различным вопросам обеспечения безопасности, возглавляемые топ-менеджментом предприятия; - руководство службой безопасности и руководимые им консультативно-экспертные группы - охранное подразделение; - инженерно-техническое подразделение; - аналитическую группу; - подразделение секретного делопроизводства и ведения конфиденциальных переговоров; - подразделение противодействия технической разведке и технической защиты информации; - подразделение администрирования информационно-управляющих систем по требованиям безопасности информации; - подразделение оценки лояльности и благонадежности персонала, его подготовки в области обеспечения безопасности; - подразделение аудита систем обеспечения безопасности и оценки их эффективности. Конкретная реализация структуры службы безопасности находится в компетенции первого руководителя предприятия. Номенклатура штатных и нештатных должностей службы безопасности на уровне предприятия может включать все перечисленные должности специализированных организационных структур. Кроме этого, в подразделениях системы управления предприятием, не связанных напрямую с обеспечением безопасности, на практике часто вводится штатная либо нештатная должность администратора информационной безопасности. Основной обязанностью такого специалиста является обеспечение защиты информационных ресурсов и администрирование соответствующих средств защиты информации на уровне конкретного подразделения. Для малых предприятий с небольшими объемами бизнеса и численностью работников обязанности по выполнению ряда вышеперечисленных функций возлагаются на отдельных ответственных сотрудников. На предприятиях среднего масштаба создается отдельное относительно небольшое подразделение, координирующее и контролирующее выполнение функций по обеспечению безопасности другими подразделениями предприятия. Крупные фирмы и корпорации развивают службу безопасности до полномасштабной структуры, имеющей все необходимые полномочия и ресурсы для решения поставленных задач. При этом следует иметь в виду, что выполнение охранных функций, в том числе защиту личного состава, в соответствии с действующим законодательством могут осуществлять либо вневедомственная охрана МВД России, либо частные охранные предприятия, действующие на основе законодательства о частной детективной и охранной деятельности. Частным охранным предприятиям разрешается оказывать различные услуги, в том числе по вооруженной охране имущественных ценностей при транспортировке и по защите жизни и здоровья персонала. Кроме этого, охранные предприятия обеспечивают проектирование, монтаж и обслуживание средств охранно-пожарной сигнализации, консалтинговые услуги по вопросам правомерной защиты от противоправных посягательств. Другой пример использования услуг третьих лиц по обеспечению требований информационной безопасности характерен для предприятий и организаций негосударственных форм собственности, не имеющих собственных подразделений по защите государственной тайны. По действующему законодательству они в случае необходимости могут заключать с государственными организациями договоры об использовании их режимно-секретных органов (РСО), обеспечивающих секретное делопроизводство и режимные мероприятия в соответствии с лицензией на проведение работ с использованием сведений, составляющих государственную тайну, и на оказание услуг по защите указанных сведений. В ходе информатизации малые и средние предприятия все чаще используют такую форму договорных услуг, как аутсорсинг информационных технологий, включая вопросы обеспечения информационной безопасности. Одной из распространенных форм организационного обеспечения безопасности предприятия, отражающей комплексный характер рассматриваемой проблемы и один из методов ее решения, является создание отдельных комиссий. Такие нештатные структуры выполняют на временной или постоянной основе отдельные экспертные или контрольно-ревизионные функции по обеспечению безопасности, в частности инвентаризацию имущественных ценностей, нематериальных активов и информационных ресурсов, экспертизу материалов, подготовленных к публикации в средствах массовой информации, аттестацию персонала. Включение в комиссии сотрудников различных подразделений структуры управления предприятием позволяет скоординировать их взаимодействие и в целом повысить эффективность совместной деятельности. |