Кратко » История » Редакция 2
Редакция 1 (С. Антошкин, 04.12.2023 07:01) → Редакция 2/9 (С. Антошкин, 05.12.2023 11:59)
h1. СБ должна создаваться на предприятии –СЗИ службы защиты инф. СЗИ д. соответствовать: - охватывать весь технологический комплекс инф. Деятельности; - быть разнообразной по использованию средств; - многоуровневой с ирарх. последовательностью доступа; - быть открытой для изменений; - нестандартной, разнообразной; - простой для технической обслуживания, удобной для эксплуатации; - надежной. Принципы создания и работы СЗИ 1.принцип неопределенности (не зная Построение систем управления информационной безопасностью кто,где,когда) 2. принцип невозможности создания идеальной СЗИ 3. мин. риска т.к. невозможно создать идеальную СЗИ 4. мин. ущерба 5. принцип защиты всех от всех Организационные принципы: 1. законность 2. персональная ответственность 3. СЗИ строиться таким образом , чтобы при любом стечении обстоятельств был минимизирован круг причастных лиц; 4. принцип ограничения полномочий следовательно необходимость запрета физического доступа в определенные помещения (СКД) 5. принцип взаимодействия сотрудничества, благоприятная моральная атмосфера доверия. Принципы реализации СЗИ: 1. принцип комплексности и индивидуальности; 2. последовательности рубежей безопасности; 3. равнопрочности и равномощности; 4. адекватности и эффективности: СЗ д. соответствовать возможной угрозе; 5. секретности 6. адаптивности: СЗ д.б. гибкой для изменения без ущерба существования; 7. экономичности 8. эффективного контроля 9. регистрации(найти слабое звено) 10. защита средств обеспечения защиты. Служба Безопасности. Деятельность СБ направлена на подержание выживания объекта путем сохранения или получения макс. прибыли за счет … Это может достигаться только при активном противодействии внешним и внутренним угрозам. Прежде чем приступать к созданию СБ, нужно определить объект защиты, чье уничтожение приведет к прекращению получения прибыли. Определить возможные угрозы следовательно выбрать адекватные ср. защиты. Система управления информационной безопасностью (СУИБ) представляет собой часть общей защиты В основе разработки системы менеджмента компании, основанную защиты лежит принцип создания замкнутых, последовательных, начинающихся за пределами контролируемых зон и концентрически стягивающихся рубежей. На каждом рубеже угрозы д.б. ликвидированы при невозможности –последующие рубежи. Чем сложнее защита каждого рубежа – тем больше времени потребуется злоумышленнику, тем вероятние его обнаружение следовательно защита каждого рубежа должны дополнять друг друга, и эффективность всей системы будет оцениваться как мин. время которое злоум. будет затрачивать на риск-ориентированном подходе, предназначенную для создания, реализации, эксплуатации, мониторинга, анализа, поддержки преодоление всех рубежей следовательно за это время он дожжен быть обнаружен. Классификация злоумышленников. 1. за пределами контролируемой зоны ( ищет подходы) 2. в пределах контрол. зоны, но не в выделенных помещениях (посещает предпр. но не имеет прямого доступа) 3. имеет доступ к выделенным помещениям и совершенствования информационной безопасности (ИБ) компании. работает в них ( клиет фирмы ) 4. лицо, работающие в выделенном помещении ( работник фирмы ), имеет доступ к секретам . 5. сотрудник СБ Основными целями построения СУИБ являются: Создание СБ Структуры СБ рук. предприятия * руководитель СБ консультанты по различным вопросам 1. группа собственников без-ти: изучение и проверка сотрудников СБ 2. пожарная охрана, защита объекта от пожара, работа с персоналом, проведение регламентных работ. 3. группа режима: работа с персоналом, контроль, проверка работа с клиентами, организация и контролир. конфид. делопроизводства и составление перечня конф. данных. 4. служба охраны: физ. охрана объекта, выделенная охрана, доставка грузов, проверка почтовых сообщений. 5. аналитическая группа: сбор инф-ии, анализ, подготовка рекомендации. 6. детективная группа: работа с персоналом, клиентами, проверка окружения объекта, конкуренты, связь с правоохранительными органами. 7. группа противодействия тех. разведки: защита технических средств передачи инф-ии, ВТ, проведение спец. исследований, обеспечение конфиденциальности, целостности связи. 8. группа ЗИ от НСД: защита ЭВМ и доступности информационных активов компании; ЛВС, разработка защ. технологий обработки инф. * выполнение требований 9. криптографическая группа: ЗИ в компьютерах, сетях. Очень хорошо иметь учебный центр, который занимается подготовкой персонала, проф. пригодностью. Права сотрудников СБ. 1. Требовать от всех сотрудников неукоснительного выполнения внутриобъектовых правил режима нормативно-правовых обязательств, действующих на предприятии. 2. Требовать от руководителей подразделений и исполнителей правильного и своевременного выполнения нормативных документов по организации и ведению спец. делопроизводства. 3. Вводить тотальную проверку эффективности защиты обработки инф. внутри объекта. 4. запретить использование тех. программ. средств, не соответствующих требованиям без-ти. 5. требовать от функцион. подразделений необход. сведений для анализа инф. безопасности. 6. Вносить предложения по совершенствованию орг-ых, тех. мероприятий по повышению без-ти. 7. Планировать деятельность СБ подтверждая ее у руководителя 8. Требовать гарантированного финансирования мероприятий запланированных деятельности СБ Обязанности - разрабатывать ор-ые, орг-тех. и тех. мероприятия по обеспечению надежности деятельности предприятия - осуществлять постоянный контроль за соблюдением безопасности клиентов - постоянно контролировать СЗ - обеспечивать орг. спец. исследований тех. и партнеров; программных средств и аттестацию выделенных помещений * соответствие - осуществлять сбор и анализ инф. для выявления угроз и злоум. действий - докладывать руководителю о фактах нарушений требований нормативных документов и др. действий, которые могут превести к нарушению без-ти - отчитываться перед руководством СБ о состоянии СЗ и планах своей деятельности организовывать проводить обучение сотрудников предприятия по требованиям регуляторов, законодательства безопасности - в случае возникновения ЧС принимать все возможные меры для ее локализации, устранению последствий, восстановлению норм работы СЗ Сотрудники СБ несут персональную ответственность за личные нарушения мер безопасности, неудовлетворительное выполнение служебных обязанностей и отраслевых не исполнения своих прав при функц. задач. Основные функции СБ. 1. Определение целей и приоритетных направлений работы по обеспечению всех видов без-ти деятельности предприятия 2. разработка и проектов защиты для каждого вида без-ти их реализация приемки и контроль за постоянной работоспособности 3. разработка нормативных документов. документов для всех видов без-ти с учетом их конф. и контроль за их соблюдением всеми сотрудниками и клиентами • организация обучения персонала правилам соблюдения и поддержания безопасной деятельности предприятия 4. организация проведения совместно с другими подразделениями мероприятий в отношении конкурентов, взаимодействия с правоохранительными органами Построение СУИБ позволяет четко определить, Итак: 1. СЗ никогда не следует рассматривать как взаимосвязаны процессы абсолютно надежную: всегда существует степень риска. 2. для того чтобы ущерб был мин. СЗ д.б. макс. всеобъемлющей 3. существенную роль в минимизации ущерба играет фактор времени обнаружения злоумышленных действий 4. эффективность действия СЗ в конечном счете зависит от человека Группа режима Является самостоятельным подразделением СБ, подчиняется руководству СБ и подсистемы ИБ, кто руководствуется инструкциями по режиму и охране. Главные ф-и: • организация пропускного и внутриобъектового режима (строго по пропускам) • непосредственное участие в разработке перечня сведений составляющие ком. тайну • организация и ведения конф. делопроизводства • разработка положений и инструкций о порядке работы со служебной инф-ей и сведений составляющими ком. тайну • разработка разрешит системы и обеспечения допуска к свед-иям служеб. тайну • раз-ка нормативов и проверка их выполнения сотрудниками, работающими с инф. различ. конфид-ти • контроль соблюдения режима доступа к сведениям и док-там • ведение учета пользования, хранения и размножения материалов, составляющих гос. или служеб. тайну • контроль за них отвечает, какие финансовые порядком засекречивания и трудовые ресурсы необходимы рассекречивания док-ов • периодический контроль входящих за пределы предприятия док-ов и материалов о наличии конф. сведений • уничтожение док-ов, материалов, маг. носителей и т.д., могущих способстовать раскрытию гос. или служеб. тайны • аттестация, периодической контроль тех. процессов обрабоки инф-ии • орг-ия и проведение изучение кандидатов на работу • переодич проверки сотрудников на лояльность • повышение квалификации сотрудников работающих с конф. док-тами. • работа с сотрудниками и некоторыми клиентами по сохранению комерч. тайны и без. предприятия Т.е. главным объектом работы службы режима яв-ся сотрудники, а целью - создание внутренней атмосферы без-ти объекта защиты. Службы охраны Яв-ся самостоятельной структурным подразделением и тесно связана с гр. режима. В своей деятельности руководствуется инструкцией по организации режима и охраны. Деятельность осуществляется в 3-х направлениях. 1. Охрана объектов предприятия (дверей, коридоров и т.п.) 2. охрана ценных грузов при перевозке 3. обеспечение личной безопасности руководства и отдельных сотрудников при необходимости. Деятельность 1 направлена на обеспечение пропускного и внутриобъектного режима (охр. сигнализаций и личные предметы защиты) Подгруппа 2 подчиняется начальнику СБ, деятельность регламинтируетяс внутриведомственными документами и спец. положениями. Учитывая особые условия работы должно комплектоваться высококвалифицированным персоналом, снабженных транспортом, связью и т.д. Деятельность 3 тоже регламентируется документами и положениями осн. задачи: - охрана руководства в обычных и экстремальных условиях; - охрана конкретных сотрудников при необходимости - проведение учебы по личной безопасности и проведению в экстрим. ситуациях. - организация взаимодействия с охр. предприятиями и СБ, провоохр. органами. Пожарная охрана Руководствуется положением о гос-ном пожарном надзоре и др. внутр. док-ми. Главной задачей яв-ся создание противоправной обстановки в основе работы с персоналом, использование средств пожарной сигнализации и пожаротушения, работа с органами гостехнадзора, госэнерго надзора, МУС, и др. Аналитическая группа. Осуществляет сбор, обработку инф-ии, её анализ и выдачу рекомендаций. Осуществляет деятельность в 2-х направлениях: - собирает и обрабатывает сведения о возможных негативных последствиях для сведения их эффективного к мин. - повышение эффективности функционирования предр-я. Отличие: работает на перспективу, прогнозирует события, оценивая возм. прибыль или ущерб. Детективная группа. Подчиняется руководителю, руководствуясь законом о частной детективной и охранной деятельности РФ и внутр. документами. Разрабатывает и проводит спец. мероприятие по наблюдению за отд. сотрудниками и клиентами, также деятелями ближайшего окружения руководства, которые м. принести угрозу безопасности. Совместно с гр. режима осуществляет проверку кандидатов на работу. Проводит контроль деятельности сотрудников совместно с аналитической группой проводит спец. мероприятия в отношении клиентов и конкурентов Поддерживает контакты с правоохранительными органами. Организ-е основы деятельности СБ. Цели обеспечения без-ти предприятия Состояние юридич., экономич. отношений, мат. ресурсов, имеющих способность к фин. деятельности, составляет сущность его безопасности. Цели обеспеч-я без-ти опр-ют главные задачи функционирования, которое направляется на устранения внутренних и внешних угроз без-ти предприятия, преодаления негативных тенденции развития и обеспечения благоприятных условий его деятельности. Целями обеспечения без-ти предпр. является: - защита законных прав пред-я во взаимоотношениях с гос. органами, рос. и зарубежными партнерами и конкурентами, поддержания устойчивости и порядка упр. предприятием; - сохранение соб-ти предприятия её рациональными и эфф. использования; - повышение конкурентоспособности конкурентоспособности, создания благоприятной рыночной коньюктуры для реализ. товаров и услуг в условиях конкуренции на внутр. и внеш. рынке, рост прибыли предприятия. - достижение внутр. и внеш. организ-й стабильности деят-ти предприятия, надежности кооперируемых связей и недопущение односторонней зависимости от случ. и недобросовестных партнеров; - укрепление дисциплины труда и его производительности; формирование стимулов и условий повышения деловой активности сотрудников предприятия; - макс. полное инф. обеспечение экономич, произв. научно-тех деятельности предприятия, сохранение гос. и коммерческой тайны, права интеллектуальной собственности, повышение эффективности использования имеющийся информации, мероприятия по повышению деловой репутации предприятия среди рос. и зарубежных партнеров. Принципы организации СБ. Выражает основополагающие требования, тактики по орг-ии деятельности, по защите жизненно важных интересов. 1. Законность: меры без-ти предприятия разрабатывается на основе норм права в пределах, определенных типовым положением с применениемс всех дозволенных методов. 2. Самостоятельность и ответственность: СБ располагает всеми необходимыми для своей деятельности видами ресурсов, при использовании которых обеспечивается строгое соответствие производимых затрат и достигнутых результатов, материальную ответственность инициаторов и исполнителей соотв-х мероприятий за рез-ты своей деят-ти. 3. Экономич. целесообразность и прибыльность: мероприятия по повыш. без-ти предприятия не д. приводить к ухудш. экономич. показателей, а стабильность яв-ся главным критерием оценки качества работы СБ. 4. Специализация и профессионализм: кадровый состав подразделения без-ти специализируется по направлению комплексного обеспечения без-ти предприятия; професс. подготовка сотрудников СБ д. позволять широко использовать полученные достижения, иначе противодействовать злоум-ку становиться нерентабельным. 5. Программно – целевое планирование; осуществляется на основании комплексной программы и разработках на её основе плановых работ и отдельных мероприятий. 6. Взаимодействия и координация: без-ть осуществляется на основе взаимодействия и скоординированости усилий всех заинтересованных подразделений, а также установление необходимых связей с внешними органами (орг. гос. упр., правоохр. орг., др. предприятия и фирмы) деятельность СБ не должна нарушать норм деятельности предприятия 7. Гласность в сочетание с необходимой конспирацией: руководящие органы предприятия регулярно информируют своих сотрудников о мероприятию по обеспечению без-ти, но в определенных ситуациях меры безопасности могут иметь конспиративный характер, организация спец. контроля руководитель СБ ЗИ их применением и соблюдением необходимых правил. Список основных сведений составляющих конфиденциальную тайну. СУИБ включает: Производство Структура кадров и производства, характер производства, условия производства, организация труда, сведения о производстве возможностях предприятия, данные о типе и размещении оборудования, уровень запасов, материалов, комплектующие и готовой продукции, данные о резерве сырья, сведения о фондах отдельных товаров, выделенные для поставки. * процессы Управление Сведения перспективных и оригинальных методах управления ИБ; производством, сведения о подготовке, принятия и выполнения отдельных решений руководства по коммерческой, организационной и др. вопросам. План * План развития производства, сведения о планах расширения производства и любой коммерческой деятельности, планы инвестиций, планы о запасах готовой продукции, закупок и продаже, сведения о проектах: годовых и перспективных персонал, ответственный за обеспечение по внешнеэкономической деятельности, инвестиционных программах, технико-экономические обоснования, оперативные данные о ходе выполнения экспортно-импортных планов, сведения о свертывании производства различных видов продукции и организацию их технико-эконом. обосн., объемы предстоящих закупок по срокам, ассортимент, цена, странам, фирмам, сведения по планам расширения производства, об эффективности экспорта/импорта товаров. Финансы Сведения содержащие в бухгалтерских книгах, о балансах предприятия, сведения, раскрывающие плановые и фактические составляющие финансового плана, имущественное положение предприятия, стоимость товара запаса, бюджет, оборот товаров запаса, банковские операции, специфика международных отчетов, плановые отчетные данные по валютным операциям, состояние банковских счетов, уровень выручки, уровень доходов, долговые обязательства, состояние кредита: актива, размер и условия банк. кредита, источники кредита и условия по ним. Рынок Оригинальные методы изучения рынка сбыта, состояние рыночной конъюнктуры, обзор рынка, результаты маркетинговых исследований, рыночная стратегия предприятия, коммерческие замыслы, ком.- полит. цели фирмы, сведения о времени выхода на рынок при закупке товаров и выборе фирм для ведения переговоров, сведения об эфф. ком. деятельности предприятия, политика внешнеэкономической деятельности в целом и по отдельным регионам, сведения о конкр. направлениях в торговой политике. Партнеры Круг клиентов, списки конъюнктуры, списки посредников, покупателей, поставщики и потребители сведения о коммерческих связях, местах закупки товаров, данные о поставщиках и клиентах, сведения о характеристиках предприятия как торгового партнера, основные произв. фонды, товарооборот и т.д., сведения о финансовом состоянии, репутации и др. данные характеризующие степень надежности фирмы и ее представителей Переговоры Сведения о подготовке и результатах проведения переговоров о получении и прорабатываемых заказах и предложениях, внутренний порядок проработки приложений, сроки выделенные для проработки и заключения сделки, сведения о лицах ведущих переговоры, о руководстве фирм их характеристиках, цели задачи заказчика закупаещего товар, директивы руководства по проведению переговоров, включая тактику и полномочия, сведения относящиеся к деловой политике и позиции орг-и, уровень предполагаемых цен, сведения о мероприятиях, проводимых перед переговорами, информация о деловых приемах. Контракты Условия соглашения, усл. контрактов, включая цены, скидки, рассрочки платежей, условия платежа, сведения об исполнении контрактов, сведения о номенклатуре по взаимным обязательствам. Цены Сведения о методике расчетов, сранит. расчеты экономической эффективности, уровень цен на продукцию, калькуляция издержек производства, затраты, внутренние тарифы, уровень цен и размер скидок, сведения о размерах предоставляемых скидок до и после заключения контракта. Торги и аукционы Сведения о подготовке, их результаты, сведения о предполагаемых конкурсах и торгах до их опубликования, материалы и предложения. Наука и техника Сведения о целях и задачах, программах, перспективных исследованиях, ключев. идеи научные исследования работы, характер и цели НИР, результаты научно исслед и проектных разработок, тех. проекты, изобретения, ноу-хау, сведения о работе над изобретениями до подачи заявления, проектные модели, др. документация по изделию, не защищенную патентом, схемы, чертежи отдельных узлов, тех. образец готового изделия, товарные знаки, методы защиты от подделки, сведения о состоянии комп-го оборудования и ПО, данные об условиях эксперимента на том оборудовании на котором они производились. Технология Технологические достижения, обеспечивающие преимущества в конкурентной борьбе, о применение перспективных технолог. процессов/оборудования, сведения о модификации, модернизации технологических процессов, данные о специфике применения данных технологических процессов, способы, методы и опыт изготовления продукции. Совещания О фактах проведения и целях, предметы и результаты совещаний. Безопасность О порядке и состоянии организации защиты коммерческой тайны, охраны объекта, пропускной режим, система сигнализации, деятельности СБ. Гарантии безопасности объектов защиты Деятельность СБ заключается в создании норматив. организационных и матер. гарантий, которые включают в себя выявление, предупреждение и пресечение посягательств на сотрудников предприятия, порядок управления, законные права предприятия, его имущество, интеллектуальную собственность, благоприятная финансовая экономическая конъюнктура, устойчивость хоз-комерчиских связей, соц-психологическую обстановку, произв. и технолог. дисциплину, научно-технол. лидерство и достижения, и охраны предприятия. Нормативные гарантии Заключаются в разработке, толковании и реализации норм права, становлении пределов их действий, в формировании необх. правоотношений, определение и обеспечения правомерного поведения работников и подразделений предприятия, использование мер гос и администр. принуждений, применение санкций к физич. и юридич. лицам, посягательствам на законные интересы предприятия, постоянным совершенствовании юрид. техн. деятельности СБ Организационные мероприятия Формируется путем разработки, построения и поддержки высокой работоспособности общ. организ. структуры управления ИБ; процессом выявления и подавления угроз деятельности предприятия, использование эфф. механизма и его оптим. функционирования, соответств. подготовки кадров, а также принятия мер по гармонизации интересов и консолидации усилий сотрудников предприятия на достижение целей обеспечения его без-ти. Материальные гарантии * формируется за счет выделения и использования финанс. тех. кадровых, интелл-х, информац, и иных ресурсов предприятии, обеспеч. своевременное выделение, ослабление и подавление источников угрозы предотвращение и локализация возможного ущерба, создание благоприятных возможностей и условий комплект документированных политик деятельности предприятия. Данные гарантии выполняют правовые и процедур; организационные меры безопасности практически содержанием, создают реальную основу деятельности предприятия. Деятельность СБ определяется её целями и реальными задачами. Для решения поставленных задач СБ предприятия осуществляет в общем плане: * механизмы 1. административно- распределительная функция: реализуется путем подготовки решений по установлению и подержанию режима безопасности, определяется полномочия, права и обязанности и ответственность должностных лиц по задаче обеспечения ИБ. безопасности предприятия, а также осуществлять представительские функции предприятия в этой области его деятельности. 14 2. хоз-распред функция: реализуется путем участия СБ в определении ресурсов, необходимых для решения задач без-ти предприятия в подготовке и проведении мероприятий по обеспечению сохранности имуества и Интел. собственности и их персон. использование. !clipboard-202312051322-ladjm.png(Процессы 3. учетно-контрольная функция: реализуется выявлением критически важных направлений финанс-эконом. деятельности и организ. своевременного обнаружения угроз финансовой стабильности и устойчивости предприятия, оценка их источников, налаживания контроля за опасными ситуациями, ведением учета негативных факторов, влияющих на безопасность предприятия, а также накоплением инф. недобросовестной конкуренции, ненадежных партнеров, лицах и организациях посягающих на жизненно важные интересы предприятия. 4. социально-кадровая функция: реализуется участием СБ в расстановке кадров, выявлением негативных тенденции в трудовых коллективах, возможных причин и условий соц. напряженности, в предупреждении и локализации конфликтов, инструктаже работников предприятия по вопросам без-ти, формировании у них чувства ответственности за соблюдение установленных режимов безопасности, в участии в решении вопросов, связанных с командировками за границу. 5. организационно-управленческая функция: реализуется оказыванием управленческой воздействий на создание/поддержку своевременной реорганизацию структуры управления без-ти предприятия, организ. взаимодействия и координации между отдельными звениями для достяжения целей. 6. планово-производственная функция: реализуется разработкой комплексной программы и отдельных целевых планов обеспечения ИБ)! без-ти предприятия, подготовкой и проведением мероприятий по их осуществлению и установлению и поддержки режимов безопасности. * Проведение обследования: 7. организационно-техническая функция: реализация путем матер.-тех. и технологич. обеспечения режима без-ти на предприятии, освоением спец. техники, содействии в освоении новых видов техники, режимов секретности и др. видов деятельности. ** уточнение области действия СУИБ; 8. научно-методическая функция: реализуется путем накопления и распространения передового опыта обеспечения безопасности предприятия, организация обучения его штатного контингента, научн. разработки, возникающие при обеспечении безопасности, и методич. сопровождение его деятельности в этой сфере. ** осуществление 9. инф.-аналитическая функция: реализуется путем целенаправленного сбора (накопления и анализа исходных данных, проведение обследования бизнес-процессов компании, входящих обработки) информации, относящиеся к сфере инф-ии, создания и использования необходимых для этого техн. и методич. средств обработки инф., организации инф. обеспечения заинтересованности подразделений и отдельных лиц предприятия в область действия СУИБ; сведениях имеющихся в СБ. Управленческая деятельность Сущность деятельности руководителя заключается в осуществлении орг-ии работы, связанной с интеграцией и синхронизации усилий отдельных звеньев трудового коллектива. ** инвентаризация активов (первичных Организационная деятельность представляет собой познании психологии людей и вторичных) компании, входящих применение навыков в область действия СУИБ, определение владельцев практике непосредственно воздействуя на них и ценности активов; взаимодействуя с ними в процессе трудовой деятельности. ** проведение предварительной оценки Воздействие рук-ля на предмет соответствия существующих механизмов управления подчиненных несет характер администр., эконом., псих. и обеспечения ИБ педагогических методов, средств и приемов. Отличительный признак управл. деятельности по руководству людьми и достяжении цели предприятия – путем организации сложенной работы персонала. Субъект упр. деятельности сам руководитель. Объект- персонал, трудовая деятельность персонала, и отношения людей в компании требованиям ISO/IEC 27001:2013; организации. ** разработка документированных Области действия СУИБ Цели упр-ой деятельности – обеспечение эфф. труда персонала. Эффективность труда сотрудников определяется результатом, выраженном в эконом. и Политики ИБ в терминах характеристик бизнеса, компании, соц. показателя организации. Содержание экономических показателей функционирования организации зависит от ее расположения, ресурсов назначения и технологий. сферы производства, например количество и качество выпускаемой и реализуемой продукции, производительность труда, сумма полученного дохода и т.д. * Оценку рисков ИБ: Соц. показателями яв-ся: уровень образования, квалификация и проф. мастерства сотрудников, состояние их здоровья, размер зарплаты, состояние трудовой дисциплины, текучесть кадров, условия труда быта и отдыха ** Средствами упр. деятельности являются: устная речь, письменная речь, нормативные документы, средства стимулирования труда, тех средства передачи инф. Кроме того руководитель опирается на групповые нормы, ценности, мнения и традиции. Необходимо подчеркнуть сложный и интенсивный характер деятельности руководителя: постановка целей и задач, распределение заданий, инструктаж проведение оценки рисков ИБ бесед, совещаний, переговоров, подготовка и принятие решений, контроль трудовой дисциплины, проверка выполнения заданий, мотивация труда, разрешение конфликтных ситуации. Большая часть этих действий – управляющие действия- прямая связь, руководитель должен получать и обратную связь: поступление инф. о рез-тах труда персонала. На основе этого руководитель разрабатывает новые управленческие решения и воздействия. Для осуществления обратной связи необходима систематический контроль работы персонала, сбор и обработка инф. об основных показателях деятельности коллектива. Одним из основных показателей организаторской деятельности является новое состояние коллектива и каждого работника. При умелой и качественной организации труда коллектив развивается и улучшается его соц. структура, соц. психол. климат, самочувствие, настроение, возрастает труд. активность людей. Экономическая (деловая) разведка. Доронин А.И. «Бизнес разведка» 2003 г. Судоплатов А.П. «Безопасность предпринимат. деятельности» 2001 г. Данные основаны на фактах (статистика и т.д.) Инф-ия – совокупность обработанной, отобранной, проанализированных данных. Цель ------------------->> Планирование Сбор Обработка /|\ Анализ | Подготовка документа и его распространение При проведении мероприятия: цель бюджет сроки. Планирование мероприятие 1. Определение цели, потребности, источник получения, цель разбиения на подцели и по кажд. – источники, желательно вести БД по своим контактам. 2. сбор информации: развед. опрос, наведения справок, наблюдение, внедрения Использовать как можно больше независимых источников. а) внутр. источники: документиров. инф-я в компании БД, личные контакты открытая инф. оператив. инф использ. сторонних организаций. б) сведения, предост. самой компанией, офиц сведения в соответствии с положениями стандарта ISO/IEC 27005:2011; газетах… Internet. ** выбор целей www.public.ru – Эл. библиотека Сайты, налоговые, торгово-промышл. палаты, ФК ЦБ Справочник «Кто есть кто» и механизмов контроля для обработки рисков ИБ т.п. Поисковая машина: metobot.ru сама организует поиск системам в) опрос специалистов др. фирм, сманивание похищение образцов, подслушивание, наблюдение, негласные источники инф. У фирм есть агенты друг у друга, активное воздействие на лиц – сотрудников конкурентов, выведывание – замаскированный опрос. развед. опрос – имеет право задавать (получать) вопрос (ответ) маркет. исл., корреспондент и т. д. Разведывательное наблюдение – личн. и техн. спец инф служба; агенство; научно-произв. компания «Кронос» и т.п. 3. Обработка: аналитические методы - учет - отбор - верификация - оценка (оценивается отнош надежности источника): • - объективностоь • -однозначность • -достоверность источника • - порядок инф-ии (ч-з какие руки) • - полнота инф • - револентность инф.- степень соотв. инф. необ-ти - стоимость - актуальность Распространение Интегрир. БД; -«Кронос+» - позволяет очень быстро создать\изменить\импортировать в них др. банки данных. Методы и стили руководства Метод руководства – совокупность приемов целенаправленного воздействия руководителя на работников, обеспечивающих координацию их применимости деятельности. Включает 3 группы методов: 1. административные 2. экономические 3. соц-психол. 1. Предполагает прямое воздействие рук-ля на подчиненных, вышестоящие органы управления на нижестоящие это проявляется в компании; положениях, приказах, указаниях и т.д., регламентируя деятельность служебных лиц и обеспечивающих их ответственность. ** разработка плана обработки рисков, который определяет соответствующие действия руководства компании, ресурсы, Конкур. методы определяются задачами упр-ия, уровнем орг-ии производства, уровнем развития трудового коллектива, личностными качествами руководителя. Чем выше уровень орг-ии труда и соц. развития коллектива, тем < потребность в административных методах руководства. 2. Основывается на использовании совокупности стимулов, предусматривать мат. ответственность и приоритеты заинтересованность труд. коллективов и рук-лей. К ним относятся регулирование зарплаты в зависимости от кол-ва и качества продукции, матер. поощрение или наказание рыночная экономика создает условия для расширения приемов эконом. стимулирования. 3.Основывается на психолого-педагогич знаниях и умениях руководителя и его личностном авторитете. Сюда относятся убеждения, разъяснения, внушения, беседа, совет, просьба, личный пример руководителя, приемы морального поощерения и наказания. Психологические знания рук-ля необходимы для инд. подхода к каждому с учетом особенностей хар-ра, темперамента, способностей каждой из них. В условиях коллективной деятельности эфф. приемами и методами или воздействия на сознание и поведения человека яв-ся критика и самокритика, формирование здорового общественного мнении, соц.-псих. климата, обеспечение гласности, орг-ия и проведение собраний, дискуссий и др. мероприятий. Все методы д.б. использованы в комплексе. Стили руководства. Стиль руководства – привычная манера поведения руководителя по управлению рисками ИБ; отношению к подчиненным, определенная система методов и приемов управления, принимаемым руководителем для решения управленчиских задач. ** разработка декларации о применимости механизмов 1. Авторитарный Директивный 2. Демократический Коллегиальный 3. Либеральный Попустительский 1. Люди по природе своей ленивы, безответственны, и управлять ими лишь при помощи денег угроз и наказаний Характеризуется высокой централиз. руководства, единоначалием принятия решений, жестким контролем за деятельностью подчиненных. Сотрудники должны выполнять только то что приказано и получать минимум инф. Руководитель такого стиля отказывается от услуг экспертов, не учитывает мнение подчиненных, не выносит свои предложения на предварительные обсуждение, стремиться избегать ситуаций в которых могла бы проявиться его некомпетентность, за счет высокого контроля (SOA). обеспечивает приемлимый результат. * Создание СУИБ: Недостатков большк: ** документирование процессов управления ИБ (политики, процедуры, записи); - высокая вероятность ошибочных решений ** техническое проектирование СОИБ (разработка технического задания - подавление инициативы подчиненных - застои, замедление нововведений - неудовлетворенность сотрудников - неблагоприятный псих. климат в коллективе 2. Характерезуется стремлением руководителя к выработке решений с учетом мнения подчиненных распределение полномочий и ответственности, обсуждаются наиболее важные проблемы на проектирование основе которых вырабатывается решения, стимулируется инициатива, руководитель регулярно инф-ует подчиненных о наиб. важных вопросах, общение с учетом выявленных рисков ИБ, проработка технических решений). подчин. ведет вежливо и доброжелательно, исполнениепринятых решений контролируется руководителем и подчиненными * Внедрение СУИБ: такой стиль является наибольшей эфф., т.к. обеспечивает высокую вер-ть принятия правильных решений, высокие результаты труда, инициативу, активность сотрудников, удовлетворенность своей работой, благоприятный психологический климат к сплоченности коллектива. ** обучение Однако реализ-я такого стиля возможна лишь при высоких интеллект., организаторских и повышение осведомленности персонала; коммуникативных способностей рук-ля. ** ввод 2. характеризуется мин. участием рук-ля в действие СУИБ; управлениями коллективом, дело пускают на самотек, действует от случаю к случаю, чаще всего, когда на него оказывают давление сверху или снизу предпочитает не рисковать, отойти от сложного дела переложить свои функции и ответственность на других, подчиненные предоставлены сами себе, их работа контролируется редко, общение с подчиненными рук-ль ведет конфиденциальным тоном, действует уговорами и налаживанием личных контактов, к критике относится терпимо, но ничего не предпринимает. ** автоматизация процессов управления ИБ с помощью средств автоматизации (опционально). результаты работы обычно низкая, неудовлетворенность своей работой, руководителем, псих. климат неблагоприятный, нет сотрудничества, стимула, возможны скрытые и явные конфликты, идет расслоение на конф. группы. Он может быть допустим только в определенных условиях: если коллектив самостоятелен или есть несколько человек которые руководят. Для выбора стиля необходимо учитывать след. три фактора: 1. интуиция 2. задача которая стоит перед коллективом; решение сложных проблем, где возможно несколько решений – демократический стиль 3. группа (ее особенности по полу, возрасту, этнически принадлежности, времени существования, личностных хар-к членов группы Если норм. отношение внутри группы – демократические. Следовательно руководителю необходимо владеть разными стилями и применять их в зависти от конкр. обстановки, решаемых задач и др. факторов.