презентация_ПЗ-3_орг-прав_кадр_ОСИБ (3). Занятие 3 организационноправовое и кадровое обеспечение системы информационной безопасности
Скачать 1.2 Mb.
|
принимаемых для исключения утечки информации мер, выявления возможных каналов утечки сведений, выработки предложений и рекомендаций руководству предприятия по совершенствованию комплексной системы защиты информации Четвертый учебный вопрос 38 КАДРОВОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Кадровое обеспечение системы информационной безопасности 39 Кадровое обеспечение СИБ – это процесс предотвращения нанесения ущерба предприятию, владельцам или пользователям информации за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом Цель кадрового обеспечения СИБ – полное обеспечение СИБ работниками соответствующей квалификации, отвечающими установленным требованиям и обеспечивающими эффективное противодействие угрозам АИС на всех уровнях Задачи кадрового обеспечения системы информационной безопасности 40 Задачи кадрового обеспечения системы информационной безопасности : 1. Определение, планирование и прогнозирование потребности в кадрах СИБ 2. Выработка требований к кадрам и объективная оценка их личных и деловых качеств 3. Подбор и расстановка кадров в СИБ 4. Организация подготовки, переподготовки и повышения квалификации кадров 5. Совершенствование материального и морального стимулирования кадров СИБ Кадровое обеспечение системы информационной безопасности 41 Система кадрового обеспечения СИБ Подготовка кадров Подбор кадров и работа с кадрами Профессиональная этика специалиста ИБ Система подготовки кадров: 1. Учебные заведения 2. Центры подготовки 3. Коммерческие организации, осуществляющие подготовку и переподготовку 4. Подготовка в организации 1. Государственные образовательные стандарты 2. Компетенции специалиста ИБ 3. Учебные планы 4. Учебные программы 5. Профессорско- преподавательский состав 6. Учебная и методическая литература 7. Программы повышения осведомленности 8. Системы дистанционного обучения 9. E-learning системы Система подбора кадров: 1. Руководство организации 2 . Служба безопасности организации 3 . Кадровый орган организации 4 . Кадровые агентства (рекрутинг) Система формирования профессиональной этики: 1. Руководство организации 2 . Служба безопасности организации 3 . Сотрудники организации, занимающиеся обеспечением ИБ 1. Методики подбора специалистов в области ИБ 2. Методики тестирования 3. Методики оценки уровня профессиональной пригодности 1. Морально-этические нормы человека и гражданина 2. Морально-этические нормы специалиста в области ИБ 3. Кодекс профессиональной этики специалиста в области ИБ Н А П Р А В Л Е Н И Я С И Л Ы С Р Е Д С Т В А E-learning системы – системыобучения при помощи информационных и электронных технологий Уровни подготовки кадров 42 Уровни подготовки кадров : - подготовка молодых специалистов на базе школьного образования (срок обучения – 5 - 5,5 лет); - подготовка специалистов на базе среднетехнического образования через колледж на базе 9 классов (срок обучения – 2 - 2,5 года); - подготовка специалистов по информационной безопасности на базе высшего технического образования (срок обучения – 4 - 5 лет); - переподготовка кадров на краткосрочных курсах повышения квалификации специалистов и руководителей подразделений (срок обучения – 2 - 4 недели); - подготовка специалистов высшей квалификации через аспирантуру и защита диссертационных работ в специализированных советах Организация обучения сотрудников по вопросам защиты коммерческой тайны 43 Обучение – практическая подготовка, тренировка или учеба по вопросам защиты коммерческой тайны и обеспечения безопасности фирмы, позволяющее достичь следующей цели - работники фирмы становятся более грамотными и умелыми в этом вопросе, что помогает решить задачи : - предотвратить утечку информации по причине небрежности; - эффективно выполнять текущие задачи; - решать новые и более сложные задачи; - противостоять фактам промышленного шпионажа и др. Формы подготовки, переподготовки или повышения квалификации по вопросам обеспечения ИБ 44 Обучение без отрыва от производства (обучение с использованием внутренних ресурсов) Методы обучения: инструктаж, ротация, ученичество и наставничество Обучение с отрывом от работы в специализированных учебных заведениях , центрах подготовки кадров (обучение с использованием внешних ресурсов) Методы обучения: лекции, семинары, практические занятия, деловые игры, тренинги, самообучение Основными формами повышения квалификации являются: производственно-технические курсы, школы по изучению передовых методов труда, курсы по овладению вторыми и совмещаемыми профессиями и специальностями, институты и факультеты повышения квалификации и др. Основными формами переподготовки являются: - семинары (вебинары); - краткосрочные учебные курсы продолжительностью до 1-2 месяцев; - среднесрочные учебные курсы продолжительностью от 6 месяцев до 1-2 лет Подбор кадров и работа с кадрами 45 Отбор – это процесс, с помощью которого организация выбирает из ряда заявителей одного или нескольких, наилучшим образом подходящих под критерии отбора на вакантное место Критерии отбора устанавливает менеджер соответствующего профиля Для работников производства критерии отбора определяет начальник соответствующего профиля Группы требований для подбора сотрудников : - образовательные; - профессиональные; - организационные; - личностные Подбор кадров и работа с кадрами Организационные мероприятия кадровой работы 46 - тестирование кандидатов; - принятие на работу по рекомендациям; - заключение с сотрудником договора о сохранении коммерческой тайны; - формирование и поддержании оптимального социально- психологического климата в коллективе; - повышение квалификации сотрудников; - обязательное ознакомление сотрудников под роспись с правилами и процедурами работы с конфиденциальной информацией в организации; - разработка и внедрение программы обучения сотрудников психологически правильным и грамотным действиям во внештатных ситуациях (пожар, стихийное бедствие и др.); - материальное и моральное стимулирование работы сотрудников; - создание и поддержание в коллективе атмосферы персональной ответственности за совершенные поступки и неотвратимости наказания за нарушения режима и требований информационной безопасности; - повышение правовой грамотности персонала Организационные мероприятия кадровой работы Пятый учебный вопрос 47 ПРОФЕССИОНАЛЬНАЯ ЭТИКА Профессиональная этика 48 Профессиональная этика – понятие, которое определяет некоторые нормы поведения специалиста при осуществлении им своих служебных обязанностей Профессиональную этику обычно принято рассматривать как конкретизацию общих норм нравственности к специфическим условиям того или иного вида деятельности Кодекс профессиональной этики специалиста в области информационной безопасности 49 1. Ориентир на «лучшие этики» : Поддерживать внедрение и поощрять соблюдение соответствующих стандартов и процедур для эффективной работы руководства и управления корпоративными информационными системами и технологиями, включающими: аудит, контроль, безопасность и управление рисками 2. Обеспечение объективной и качественной работы : Выполнять свои обязанности ответственно, с должной аккуратностью и профессиональным вниманием, в соответствии с профессиональными стандартами 3. Предоставление необходимой информации руководству организации, обеспечение профессиональной этики : Законным образом служить интересам защиты конфиденциальной информации, сохраняя при этом высокие стандарты социальной и профессиональной этики 4. Обеспечение конфиденциальности информации : Сохранять целостность и конфиденциальность информации, полученной в ходе профессиональной деятельности, за исключением случаев, когда раскрытие конфиденциальной информации определено действующим законодательством Кодекс профессиональной этики специалиста в области информационной безопасности 50 5. Развитие собственных компетенций : Поддерживать и совершенствовать свой профессиональный уровень в соответствующих областях деятельности и выполнять только те задачи, которые не противоречат действующему законодательству, применяя необходимые навыки, знания и умения 6. Обеспечение прозрачности своей работы, результатов : Информировать руководство организации о результатах своей работы, включая сведения о всех инцидентах в области информационной безопасности, предложениях по совершенствованию ИБ и планировании своей дальнейшей деятельности 7. Повышение компетентности сотрудников организации : Поддерживать профессиональное обучение сотрудников организации и проводить политику заинтересованности руководства в поддержании высокого уровня информационной безопасности и управления корпоративными информационными системами, включая: аудит, контроль, безопасность и управление рисками Литература 51 1. Невский А.Ю., Баронов О.Р. Обеспечение информационной безопасности хозяйствующего субъекта на основе системного подхода. Часть 1. – М.: Изд-во МАБиУ, 2011 2. Невский А.Ю., Баронов О.Р. Обеспечение информационной безопасности хозяйствующего субъекта на основе системного подхода. Часть 2. – М.: Изд-во МАБиУ, 2011 3. Конституция Российской Федерации 4. Указ Президента Российской Федерации от 31 декабря 2015 г. № 683 «Стратегия национальной безопасности Российской Федерации» 5. Указ Президента РФ от 05.12.2016 № 646 «Доктрина информационной безопасности Российской Федерации» 6. Указ Президента РФ от 09.05.2017 № 203 «Стратегия развития информационного общества в Российской Федерации на 2017 - 2030 годы» 7. Основные направления научных исследований в области обеспечения информационной безопасности российской федерации. (Утверждены секретарем совета безопасности российской федерации 31 августа 2017 г.) 8. Постановление Правительства Российской Федерации № 244 от 02.03.2017 г. «О совершенствовании требований к обеспечению надежности и безопасности электроэнергетических систем и объектов электроэнергетики и внесении изменений в некоторые акты правительства российской федерации» 9. Приказ Минэнерго Российской Федерации № 1015 от 06.11.2018 г. «Об утверждении требований в отношении базовых (обязательных) функций и информационной безопасности объектов электроэнергетики при создании и последующей эксплуатации на территории Российской Федерации систем удаленного мониторинга и диагностики энергетического оборудования» Практическое занятие № 3 ОРГАНИЗАЦИОННО-ПРАВОВОЕ И КАДРОВОЕ ОБЕСПЕЧЕНИЕ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |