Главная страница

Анализ рисков информационной безопасности. Практическая работа 8 - Служба безопасности предприятия цели, пр. Практическая работа 8 Служба безопасности предприятия ее цели, принципы и задания


Скачать 57.7 Kb.
НазваниеПрактическая работа 8 Служба безопасности предприятия ее цели, принципы и задания
АнкорАнализ рисков информационной безопасности
Дата25.02.2021
Размер57.7 Kb.
Формат файлаdocx
Имя файлаПрактическая работа 8 - Служба безопасности предприятия цели, пр.docx
ТипПрактическая работа
#179435




Практическая работа 8

Служба безопасности предприятия: ее цели, принципы и задания
Теоретическая часть

Все многообразие структур и форм деятельности служб безопасности можно условно подразделить на два основных вида:

  1. входящие в структуру предприятий и полностью содержащиеся за их счет;

  2. существующие как самостоятельные коммерческие или государственные организации и нанимаемые предприятием для выполнения функций по обеспечению некоторых аспектов его безопасности.

Организационная структура служб первоговида может представляться многофункциональной службой предприятия, решающей весь комплекс проблем его безопасности. Она присуща, как правило, крупным, финансово стабильным организациям: коммерческим банкам, инвестиционным фондам, финансово-промышленным группам, использующим собственный персонал и технические средства.

Ко второму виду относятся структуры, специализирующиеся на оказании услуг в сфере безопасности. Они могут решать широкий круг вопросов: от комплексной защиты предприятия до выполнения конкретных функций (например, выявление подслушивающих устройств, охрана транзитных перевозок, личная охрана сотрудников). В ряде случаев предприятию оказывается экономически выгоднее привлечь для выполнения некоторых функций безопасности специализированную организацию, чем содержать собственную структуру. То же можно отнести и к привлечению, например, частных фирм в разрешении проблем, связанных с угрозами безопасности предприятия, в частности с угрозами, обусловленными техническим проникновением: выявление подслушивающих устройств, контроль эфира, особенно в тех случаях, когда нужны разовые мероприятия подобного рода. Учитывая весьма высокую стоимость аппаратуры, необходимой для выявления угроз технического проникновения, экономически целесообразней оказывается наем специалистов из сторонней организации, чем содержание на предприятии соответствующего оборудования и штата сотрудников. При этом еще следует учитывать значительные затраты на профилактику этой техники, ее обслуживание и обновление взамен морально устаревшей, обучение персонала.

В данной лекции речь пойдет о службах безопасности предприятия.

В соответствии с типовым положением, высшим органом управления любым акционерным предприятием является общее собрание акционеров. Наряду с выработкой генеральной цели и принципиальных направлений деятельности, экономической и технической политики предприятия, как это и предусмотрено положением, прерогативой общего собрания, по-видимому, должно быть также определение потребности в обеспечении безопасности, санкционирование организации, установление объемов и источников финансирования этой деятельности. Однако типовые положение и устав акционерного предприятия такие полномочия общего собрания не предусматривают. Например, в работе рекомендуется установить перечень сведений, составляющих коммерческую тайну, определить порядок и условия передачи коммерческой информации другим физическим и юридическим лицам, определить основы системы защиты объектов, входящих в АО.

Типовые учредительные документы также регламентируют, что в период между общими собраниями акционеров полномочным органом управления является совет директоров, возглавляемый генеральным директором АО. Именно генеральный директор должен обладать всей полнотой полномочий по обеспечению безопасности АО и в пределах свой компетенции:

  • утверждает порядок организации работ но обеспечению безопасности АО и контролирует ее состояние;

  • устанавливает порядок регулирования отношений в области защиты АО во всех сферах деятельности и на всех уровнях его управления;

  • определяет категории должностных лиц, имеющих доступ к конфиденциальной информации АО;

  • применяет меры дисциплинарного воздействия к должностным лицам, не обеспечившим надежную защиту объектов АО;

  • вправе делегировать часть своих полномочий по обеспечению безопасности другим должностным лицам АО.

Координация работ по обеспечению безопасности на уровне функциональных служб должна возлагаться на правление АО в пределах компетенции, определяемой уставом общества.

Синтез системы, практическая реализация ее функций должна находиться в компетенции специальных подразделений службы безопасности АО. Состав таких функций может быть расширен за счет комплексов задач прогнозирования, выявления и оценки угроз безопасности, структуризации задач защиты, их оптимизации, технико-экономической оценки и выбора предпочтительного варианта обеспечения безопасности.

Проведенные сопоставления результатов деятельности служб безопасности показали, что наиболее эффективно они функционируют там, где решение проблем безопасности постоянно находится в сфере внимания первых руководителей, увязывается ими с результатами производственно-хозяйственной деятельности предприятия. Именно на этих предприятиях руководитель службы безопасности обладает максимально возможным кругом полномочий, позволяющим оказывать влияние на различные области деятельности объекта, как того требуют интересы его безопасности. Так, на крупных предприятиях, где служба безопасности состоит из нескольких подразделений, выполняет различные функции по охране, сыску, анализу реальных и потенциальных угроз, ее руководитель, как правило, является одновременно и заместителем генерального директора, а на объектах с повышенной системой защищенности — и первым заместителем. Используются и другие варианты построения организационной структуры, при которых в аппарате управления выделяется должность специального директора по безопасности. Он руководит службой безопасности, включающей службу охраны, специальные системы связи и информации, противопожарные службы, специальные группы реагирования.

Но даже и в тех случаях, когда служба безопасности хотя и немногочисленна (в малых формах бизнеса), но рационально организована, положение ее руководителя позволяет принимать самостоятельные решения в рамках своей компетенции и своевременно реагировать на возникающие угрозы безопасности предприятия, т. е. его статус на объекте выделен и поддержан руководством. Это выражается в разработке таких функциональных обязанностей руководителя службы безопасности, которые закрепляют его особое положение. Например, ему подчиняются другие, равные по штатному уровню руководители, в решении кадровых вопросов. Этот статус может проявляться и в том, что руководитель службы безопасности наделен определенными запретительными правами по отношению к другим службам предприятия на переговорах с клиентами, правами санкционирования выбора клиентов и соисполнителей.

  • Что касается собственно организационной структуры службы безопасности, то в процессе исследований удалось выявить определенную закономерность ее построения в зависимости от следующих факторов (рис. 1). Особенности построения организационной структуры службы безопасности зависят от:

  • характера и масштабов производственной деятельности предприятия (особенности выпускаемой продукции и прогрессивность применяемых технологий, наличие товаров-новинок, патентов и лицензий, производственная мощность, численность работающих, темпы технического развития); рыночной позиции предприятия (темпы развития отрасли, к которой относится предприятие, вид кривой жизненного цикла, динамика его продаж и доля рынка, наличие стратегических зон хозяйствования, уровень конкурентоспособности товаров и услуг, репутация в деловых кругах, имидж и гудвил);




достигнутый уровень финансовой состоятельности

рыночные позиции предприятия

характер и масштабы производственной деятельности


Особенности построения организационной структуры службы безопасности










наличие конкурентной среды

наличие субъектов специальной защиты

субъективное мнение руководителя предприятия

Рис. 1 – Факторы, влияющие на особенности построения организационной структуры службы безопасности промышленного предприятия


  • достигнутого уровня финансовой состоятельности (общая экономическая рентабельность, рентабельность капитала и продукции, платежеспособность, уровень деловой активности, инвестиционная привлекательность);

  • наличия субъектов специальной защиты (носители государственной или коммерческой тайны, крупные материальные ценности, Экологически опасные производства, взрыво- и пожароопасные участки и т. п.);

  • наличия конкурентной среды (активность конкурентов и криминалитета).

Кроме отмеченных объективных факторов на выбор структуры службы безопасности могут воздействовать и факторы субъективного порядка. Например, наличие свободных финансовых ресурсов, которые можно направить на обеспечение безопасности, или субъективное мнение руководителя предприятия, считающего, что затраты на службу безопасности себя не окупают и поэтому в ее организации нет необходимости.

Разумеется, представить универсальную структуру службы безопасности того или иного предприятия — объекта защиты — будет весьма сложно из-за многообразия форм проявления на нем отмеченных факторов. Однако, по-видимому, можно говорить о некотором наборе типовых направлений деятельности служб безопасности, исходя из условного деления множества объектов защиты на следующие группы:

  1. крупные финансово-промышленные группы и акционерные общества с частным и смешанным капиталом;

  2. государственные производственные объединения;

  3. акционерные и частные коммерческие структуры (крупные, средние, мелкие).

Первое направление юридическая безопасность предпринимательской деятельности, под которой следует понимать юридически корректное оформление прав, порядка и условий осуществления этой конкретной деятельности (устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров, соглашений, ведение бухгалтерской документации и др.). Необходимость разработок и реализации соответствующего комплекса задач достаточно очевидна в условиях несовершенной нормативно-правовой базы предпринимательства и его безопасности.

Второе — физическая безопасность субъектов предпринимательской деятельности. В качестве объектов следует при этом рассматривать как сам вид предпринимательской деятельности, так и ресурсы предпринимателя: финансовые, материальные, информационные. Отдельного рассмотрения требует безопасность трудовых и интеллектуальных ресурсов: персонала, акционеров и работников предприятия.

Третье информационная (информационно-коммерческая) безопасность, защита информационных ресурсов хозяйствующего субъекта, а также объектов его интеллектуальной собственности. Коммерчески значимая информация может быть связана со всеми теми объектами, которые упоминались при рассмотрении физической безопасности.

Одно из важнейших по значимости — четвертое направление — это вопросы безопасности людей, персонала: охрана труда и техника безопасности, производственная санитария и экология, аспекты психологии деловых отношений, вопросы личной безопасности сотрудников и членов их семей.

Следует отметить, что универсального способа или методики выбора структуры службы безопасности до настоящего времени не предложено, хотя практическая потребность в этом очевидна.

Исходя из проведенных обобщений в организации службы безопасности, можно предложить следующий укрупненный алгоритм выработки решений по ее структуризации применительно к особенностям деятельности того или иного хозяйствующего субъекта:

  • шаг 1 — принимается некоторое состояние объекта, фиксированное во времени, и определяются его жизненно важные интересы на этот момент;

  • шаг 2 — определяются наиболее вероятные для данного объекта угрозы его безопасности;

  • шаг 3 — оценивается степень риска при реализации каждого вида угроз, которые ранжируются по степени вероятного ущерба в случае их проявления;

  • шаг 4 — разрабатывается план реализации соответствующих мероприятий по локализации каждой из угроз с оценкой потребности в ресурсах, а значит, и предполагаемых затрат;

  • шаг 5 — исходя из сопоставления наличных ресурсов и предполагаемых затрат на реализацию функций и задач комплексной системы защиты по каждой из выявленных угроз, формируется служба безопасности;

  • шаг 6 —в зависимости от изменения характера вновь возникающих угроз и ресурсных возможностей предприятия, на основе постоянного анализа всех этих составляющих корректируются структура и задачи службы безопасности

Таким образом, можно обобщить, что предложенная концептуальная организация управления системой безопасности, имеющая ярко выраженную вертикаль подчиненности и взаимной ответственности, исходит из практического опыта в сфере защиты государственной и коммерческой тайны. Выбор такой концепции предопределен высоким уровнем издержек — экономических потерь, которые вынуждено понести предприятие в случаях реализации угроз его безопасности, а также взаимообусловленностью проблем безопасности предприятия, безопасности личности, общества и государства.


Рис. 2. Универсальный алгоритм построения системы безопасности
Служба безопасности (СБ) на предприятии — подразделение предприятия, специально созданное для обеспечения безопасности его законных прав и интересов от криминальной конкуренции со стороны социальных организаций и физических лиц.

Службы безопасности — неотъемлемая часть хозяйственной и иной предпринимательской деятельности в странах с развитой рыночной экономикой. Затраты зарубежных фирм только на охрану коммерческой тайны достигают 25 % всех расходов на производство. В Западной Европе ассигнования на мероприятия, связанные с обеспечением безопасности, составляют от 15 до 20% стоимости охраняемых ценностей, в Украине - не более 1 %.

Руководитель предприятия, определяя характер службы безопасности, должен исходить из особенностей сферы и масштабов деятельности предприятия, объектов, подлежащих защите, учитывать возможности материально-технического и финансового обеспечения мероприятий по обеспечению безопасности.

Все подразделения службы безопасности в полном объеме создаются лишь крупнейшими экономическими субъектами. Небольшие предприятия ограничиваются группами внутренней безопасности, состоящими из охранников и персонала, занимающегося настройкой и ремонтом технических средств обеспечения безопасности.

В некоторых случаях создавать службу безопасности на предприятии не следует. В таком случае для обеспечения безопасности от криминальной конкуренции можно использовать технические средства. На основной персонал предприятия при этом возлагаются соответствующие дополнительные функции. К проектированию системы обеспечения безопасности - опирающейся в основном на технические средства, целесообразно привлечь специализированные консультативные фирмы.

Основные принципы деятельности СБ:

законность, соблюдение прав и свобод человека и гражданина, уважение личной, семейной тайны (сбор сведений в отношении сотрудника, кандидата на работу осуществляется только с его письменного согласия; автоматизированные информационные системы создаются и используются с соблюдением требований законодательных актов относительно персональных данных);

приоритет предупредительных мероприятий;

профессионализм (использование собственных специалистов или обращение за помощью к специализированным государственным или частным организациям);

взаимодействие с государственными правоохранительными органами и службами безопасности других фирм;

системный подход, который предполагает, в частности, учет всех факторов, оказывающих влияние на безопасность предприятия, полный охват защитными мероприятиями всех объектов в соответствии с их значимостью, использование не только режимных мер и административных методов, но и экономических рычагов и стимулов, циркулярного информирования, других способов воздействия;

использование доступных зарубежных средств и систем безопасности;

активность, опережающий по сравнению с имеющими место посягательствами поиск новых способов и возможностей обеспечения безопасности;

сочетание единоначалия и коллегиальности в руководстве;

подотчетность и подконтрольность лично руководителю предприятия, поскольку он знает в деталях приоритеты в управлении, имеет возможность оперативно принимать решения и эффективно их реализовывать;

сочетание гласных и негласных форм деятельности, так как применение предприятиями-конкурентами, службами промышленного шпионажа, организованной преступностью негласных форм деятельности обусловливает необходимость аналогичных форм противодействия;

рациональное использование сил и средств;

плановая основа деятельности;

повышение квалификации сотрудников СБ.

Цель создания СБобеспечение для предприятия условий защищенности от криминальной конкуренции — деятельности социальных организаций или физических лиц, направленной на получение односторонних преимуществ в бизнесе и основанной а нарушениях законодательства, деловой этики, наносящей экономический или иной ущерб цивилизованному бизнесу.

Основные задачи СБ на предприятии:

  1. распознавание угроз его безопасности;

  2. предотвращение возможного ущерба от криминальной конкуренции;

  3. противодействие физическим лицам и социальным организациям, использующим методы криминальной конкуренции;

  4. минимизация последствий от конкретных фактов криминальной конкуренции;

  5. противодействие физическому, техническому несанкционированному проникновению на служебные объекты;

  6. информационное обеспечение деятельности по вопросам безопасности;

  7. взаимодействие и координация службы безопасности с государственными правоохранительными органами;

  8. обеспечение физической безопасности руководителей и сотрудников предприятия;

  9. обеспечение безопасности коллектива от проникновения лиц с криминальным прошлым, от разрушения благоприятного психологического климата;

  10. исключение несанкционированного доступа к информации, составляющей коммерческую тайну;

  11. обеспечение сохранности материальных ценностей и финансовых средств предприятия;

  12. предотвращение возможного ущерба имиджу предприятия;

  13. противодействие возможным попыткам со стороны конкурентов получить соответствующие рычаги управления предприятием (бизнесом).

Информационный актив – это материальный или нематериальный объект, который:

- является информацией или содержит информацию,

- служит для обработки, хранения или передачи информации,

- имеет ценность для организации.

Задание

  1. Загрузите ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. Ч а с т ь 3 «Методы менеджмента безопасности информационных технологий»

  2. Ознакомьтесь с Приложениями C, D и Е ГОСТа.

  3. Выберите три различных информационных актива организации (см. вариант).

  4. Из Приложения D ГОСТа подберите три конкретных уязвимости системы защиты указанных информационных активов.

  5. Пользуясь Приложением С ГОСТа напишите три угрозы, реализация которых возможна пока в системе не устранены названные в пункте 4 уязвимости.

  6. Пользуясь одним из методов (см. вариант) предложенных в Приложении Е ГОСТа произведите оценку рисков информационной безопасности.

  7. Оценку ценности информационного актива производить на основании возможных потерь для организации в случае реализации угрозы.

  8. Проведите полный анализ работы СБ в соответствии с вариантом и предложите алгоритм работы.


Содержание отчета
1. Титульный лист

2. Содержание

3. Задание

4. Обоснование выбора информационных активов организации

5. Оценка ценности информационных активов

6. Уязвимости системы защиты информации

7. Угрозы ИБ

8. Оценка рисков

9. Выводы



  1. Варианты

Вариант – номер по списку в журнале.

Номер варианта

Организация

Метод оценки риска

(см. Приложение Е

ГОСТа)

1

Отделение коммерческого банка

1

2

Поликлиника

2

3

Колледж

3

4

Офис страховой компании

4

5

Рекрутинговое агентство

1

6

Интернет-магазин

2

7

Центр оказания государственных услуг

3

8

Отделение полиции

4

9

Аудиторская компания

1

10

Дизайнерская фирма

2

11

Офис интернет-провайдера

3

12

Офис адвоката

4

13

Компания по разработке ПО для сторонних организаций

1

14

Агентство недвижимости

2

15

Туристическое агентство

3

16

Офис благотворительного фонда

4

17

Издательство

1

18

Консалтинговая фирма

2

19

Рекламное агентство

3

20

Отделение налоговой службы

4

21

Офис нотариуса

1

22

Бюро перевода (документов)

2

23

Научно проектное предприятие

3

24

Брачное агентство

4

25

Редакция газеты

1

26

Гостиница

2

27

Праздничное агентство

3

28

Городской архив

4

29

Диспетчерская служба такси

1

30

Железнодорожная касса

2


написать администратору сайта