Лекция Тема 2. Виды обеспеченья системы информационной безопасности Занятие 4. Кадровое обеспечение функционирования системы обеспечения информационной безопасности хозяйствующего субъекта
• Учебные вопросы: 1. Назначение и структура кадрового обеспечения СОИБ. Существующая система подготовка кадров в области информационной безопасности. 2. Подбор кадров и перечень требований к персоналу 3. Особенности работы с персоналом СОИБ
Литература • 1. Корнюшин Л. Н. , Костерин С. С. Информационная безопасность, ДГУ-Владивосток, 2003 • 2. Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации. М. : Горячая линия – Телеком, 2004. • 3. Белов Е. Б. , Лось В. П. , Мещериков Р. В. , Шелупанов А. А. Основы информационной безопасности. М. : Горячая линия – Телеком, 2006 • 4. Минзов А. С. Профессиональная этика специалиста в области безопасности бизнеса, - М. : Издательство МЭИ, 2005
Система кадрового обеспечения СОИБ 2 -й уровень декомпозиции –НАПРАВЛЕНИЯ Подготовка кадров Подбор кадров и работа с кадрами Профессиональная этика специалиста ИБ 3 -й уровень декомпозиции –СИЛЫ Система подготовки кадров: 1. Учебные заведения 2. Центры подготовки 3. Коммерческие организации, осуществляющие подготовку и переподготовку 4. Хозяйствующий субъект Система подбора кадров: 1. Руководство ХС 2. Служба безопасности ХС 3. Кадровый орган ХС 4. Кадровые агентства (рекрутинг) Система формирования профессиональной этики: 1. Руководство ХС 2. Служба безопасности ХС 3. Сотрудники ХС, занимающиеся обеспечением ИБ 1. Методики подбора специалистов в области ИБ 2. Методики тестирования 3. Методики оценки уровня профессиональной пригодности 1. Морально-этические нормы человека и гражданина 2. Морально-этические нормы специалиста в области ИБ 3. Кодекс профессиональной этики специалиста в области ИБ 4 -й уровень декомпозиции –СРЕДСТВА 1. Государственные образовательные стандарты 2. Компетенции специалиста ИБ 3. Учебные планы 4. Учебные программы 5. Профессорско-преподавательский состав 6. Учебная и методическая литература 7. Программы повышения осведомленности 8. Системы дистанционного обучения 9. E-learning системы
Общая характеристика специальностей группы 090100 «Информационная безопасность» Специальность код Квалификация название код название 090101 Криптография 65 Математик 090102 Компьютерная безопасность 65 Математик 090103 Организация и технология защиты информации 65 Специалист по защите информации 090104 Комплексная защита объектов информатизации 65 Специалист по защите информации 090105 Комплексное обеспечение информационной безопасности автоматизированных систем 65 Специалист по защите информации 090106 Информационная безопасность телекоммуникационных систем 65 Специалист по защите информации 090107 Противодействие техническим разведкам 65 Специалист по защите информации
Общая характеристика направлений подготовки 10. 03. 01 «Информационная безопасность» Специальность Профиль название Квалификация название 1 Безопасность компьютерных систем Бакалавр 2 Организация и технология защиты информации Бакалавр 3 Комплексная защита объектов информатизации Бакалавр 4 Безопасность автоматизированных систем Бакалавр 5 Безопасность телекоммуникационных систем Бакалавр 6 Информационно-аналитические системы финансового мониторинга Бакалавр 7 Техническая защита информации Бакалавр Информационная безопасность Магистр 090900
Проблемы реализации образовательных программ • проблемы связана с реструктуризацией системы образования в области ИБ в связи с участием России в международных образовательных интеграционных процессах (Болонская Конвенция); • проблемы отсутствия государственного заказа на специалистов в области ИБ; • проблемы, обеспечения выпускников вузов местами работы по специальности;
Формы подготовки, переподготовки или повышения квалификации по вопросам обеспечения ИБ • - семинары; • - краткосрочные учебные курсы продолжительностью до 1 -2 месяцев; • - среднесрочные учебные курсы продолжительностью от 6 месяцев до 12 лет.
Основные группы качеств для отбора кандидатов для работы в СОИБ • • - профессиональные; - образовательные; - организационные; - личные.
Организационные мероприятия кадровой работы • - тестирование кандидатов; • - принятие на работу по рекомендациям; • - заключение с сотрудником договора о сохранении коммерческой тайны; • - формирование и поддержании оптимального социальнопсихологического климата в коллективе; • - повышение квалификации сотрудников; • - обязательное ознакомление сотрудников под роспись с правилами и процедурами работы с конфиденциальной информацией в организации; • - разработка и внедрение программы обучения сотрудников психологически правильным и грамотным действиям во внештатных ситуациях (пожар, стихийное бедствие и др. ; ) • - материальное и моральное стимулирование работы сотрудников; • - создание и поддержание в коллективе атмосферы персональной ответственности за совершенные поступки и неотвратимости наказания за нарушения режима и требований информационной безопасности; • - повышение правовой грамотности персонала.
Перечень групп требований к сотруднику ХС Универсальные требования: - дисциплинированность; - ответственность; - высокий профессионализм; - нацеленность на результат; - готовность следовать общественным нормам морали и нравственности; - толерантность. Расширенные требования руководства ХС к качеству персонала: - понимание необходимости ведения здорового образа жизни; - способность к самосовершенствованию; - готовность к самостоятельному обучению; - готовность к установлению коммуникаций с людьми; - лидерство; - амбициозность; - владение навыками общения; - способность адекватно оценивать свое место и роль в обществе. Требования к сотруднику ХС в области обеспечения ИБ: - готовность следовать этическим нормам в сфере информационной безопасности; - высокая требовательность к себе и всем сотрудникам в соблюдении требований режима ИБ, установленного в ХС; - способность хранить служебную, коммерческую, технологическую и др. тайну.
Набор и отбор сотрудников • Отбор - это процесс, с помощью которого организация выбирает из ряда заявителей одного или нескольких, наилучшим образом подходящих под критерии отбора на вакантное место. • Критерии отбора устанавливает менеджер соответствующего профиля. • Для работников производства критерии отбора определяет начальник соответствующего профиля.
Схема этапов принятия решения по отбору кадров принятая в США • • • Этап 1. Предварительная беседа по отбору; Этап 2. Заполнение бланка заявления; Этап 3. Беседа по найму; Этап 4. Тесты по найму; Этап 5. Проверка рекомендаций и обязательств перед другими фирмами; • Этап 6. Медицинский осмотр; • Этап 7. Принятие решения.
Социальная адаптация сотрудников в коллективе • Ориентация - это деятельность, посвященная введению новых работников в курс их новых задач на новом месте работы, по ознакомлению их с руководителями и рабочими группами.
Организация обучения сотрудников по вопросам защиты коммерческой тайны • Обучение – практическая подготовка, тренировка или учеба по вопросам защиты коммерческой тайны и обеспечения безопасности фирмы позволяет достичь следующую цель - работники фирмы становятся более грамотными и умелыми в этом вопросе, что помогает: - предотвратить утечку информации по причине небрежности; - эффективно выполнять текущие задачи; - решать новые и более сложные задачи; - противостоять фактам промышленного шпионажа и др.
Особенности работы с персоналом СОИБ - противоправные действия могут совершаться преднамеренно или непреднамеренно; - неправомерное обладание информацией происходит из-за невежества сотрудников в оценке важности той или иной информации; - процесс обучения сотрудников должен проходить непрерывно; - теоретические знания необходимо подкреплять на практике; - теоретические знания в обучении сотрудников должны предполагать контроль в виде зачетов, тестов, допусков; - необходимость обращения особого внимания на корректную работу с увольняющимися сотрудниками; - необходимость недопущения, разрешения или локализации конфликтов с сотрудниками, ознакомленными с коммерческой тайной, которые могут привести к негативным последствиям; - сотрудники, имеющие доступ к конфиденциальной информации должны получать достойную заработную плату и иметь преимущество перед сотрудниками, не имеющие доступа к конфиденциальной информации.
Мероприятия контроля персональной ответственность сотрудников в процессе трудовой деятельности - доведения всей информации до исполнителей под роспись: в журналах, карточках учета и других разрешительных документах, а также на самих документах; - проверки подлинности исполнителей (пользователей) на основе выполнения процедуры аутентификации с использованием паролей, ключей, смарт-карт или других токенов, цифровой подписи как при доступе как в автоматизированные системы, так и в выделенные помещения (зоны); - индивидуальной идентификации пользователей в автоматизированных системах путем выполнения процедур авторизации, а также всех инициированных ими информационных, вычислительных и иных процессов.
Регламентация и контроль доступа персонала к защищаемой информации • Доступ - это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей. • Регламентация доступа - установление правил, определяющих порядок доступа. • Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа.
Требования предъявляемые к системе доступа - распространяться на все виды классифицированных документов; - определять порядок доступа всех категорий сотрудников, получивших право на ознакомление и использование документов, содержащих конфиденциальную информацию; - определять порядок доступа к коммерческой информации представителей различных государственных служб; - устанавливать надлежащий порядок оформления разрешений на доступ к конфиденциальным документам; - регламентировать права определенных должностных лиц на оформление доступа сотрудников; - исключать возможность бесконтрольной и несанкционированной выдачи грифованных документов.
• Профессиональная этика понятие которое определяет некоторые нормы поведения специалиста при осуществлении им своих служебных обязанностей • Профессиональную этику обычно принято рассматривать как конкретизацию общих норм нравственности к специфическим условиям того или иного вида деятельности
Основные цели корпоративных кодексов профессиональной этики - внешняя цель - определение норм, которыми должны руководствоваться работники компании во взаимоотношениях с клиентами, инвесторами, партнерами, конкурентами и другими лицами; - внутренняя цель - которая определяет систему взаимоотношений между работники компании. Другими целями корпоративного кодекса являются: - формирование имиджа компании как солидного и надежного ХС; - обеспечение сохранности коммерческой и служебной тайны.
Скачать презентацию Лекция Тема 2 Виды обеспеченья системы информационной безопасности
Lektsia_po_Osnovam_IB_Tema_2_4.ppt