Московский государственный лингвистический университет 
 

 
 
 
 

КУРСОВАЯ РАБОТА 
студента факультета экономики и права, 
по специальности 
«ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ 
ЗАЩИТЫ ИНФОРМАЦИИ» 
 
Жигалова Андрея Андреевича 
 
на тему: 
«Кадровое Обеспечение Функционирования КСЗИ» 
 

Руководитель: 
д.т.н., профессор 
Иванов В.В. 
 
 
 
 
 
 
 
 
 
 

Москва 
2011

 

Оглавление 

 

      Введение

 

     Работы  по защите информации у нас в стране ведутся достаточно интенсивно и уже продолжительное время. Накоплен существенный опыт. Сейчас уже никто не думает, что достаточно провести на предприятии ряд организационных мероприятий, включить в состав автоматизированных систем некоторые технические и программные средства – и этого будет достаточно для обеспечения безопасности. 

             Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил. 

         Главное направление поиска новых путей защиты информации заключается не просто в создании соответствующих механизмов, а представляет собой реализацию регулярного процесса, осуществляемого на всех этапах жизненного цикла систем обработки информации при комплексном использовании всех имеющихся средств защиты. При этом все средства, методы и мероприятия, используемые для ЗИ, наиболее рациональным образом объединяются в единый целостный механизм. Огромную роль в этом механизме играют кадры, т.е. люди. Но по своей природе они так же могут являться и слабым звеном в этом механизме. 

     1. Система защиты информации 

     1.1 Целями системы защиты информации  предприятия являются:

         • предотвращение утечки, хищения,  утраты, искажения, подделок информации;

         • предотвращение угроз безопасности личности, предприятия, общества, государства;

         • предотвращение несанкционированных  действий по уничтожению, модификации,  искажению, копированию, блокировании  информации;

         • предотвращение других форм  незаконного вмешательства в  информационные ресурсы и системы, обеспечение правового режима документированной информации как объекта собственности;

         • защита конституционных прав  граждан на сохранение лично  тайны и конфиденциальности персональных  данных, имеющихся в информационных системах;

         • сохранение, конфиденциальности документированной информации в соответствии с законодательство.

     1.2 Для грамотного построения и эксплуатации системы защиты необходимо соблюсти следующие принципы ее применения:

         • простота защиты;

         • приемлемость защиты для пользователей;

         • подконтрольность системы защиты;

         • постоянный контроль за наиболее  важной информацией;

         • дробление конфиденциальной  информации на составляющие элементы, доступ к которым имеют разные пользователи;

         • минимизация привилегий по доступу к информации;

         • установка ловушек для провоцирования  несанкционированных действий;

         • независимость системы управления  для пользователей;

         • устойчивость защиты во времени  и при неблагоприятных обстоятельствах;

         • глубина защиты, дублирование и перекрытие защиты;

         • особая личная ответственность  лиц, обеспечивающих безопасность  информации;

         • минимизация общих механизмов  защиты.

     1.3 Алгоритм создания системы защиты  конфиденциальной информации таков:

         • Определение объектов защиты.

         • Выявление угроз и оценка  их вероятности.

         • Оценка возможного ущерба.

         • Обзор применяемых мер защиты, определение их недостаточности.

         • Определение адекватных мер  защиты.

         • Организационное, финансовое, юридическое и пр. виды обеспечения мер защиты.

         • Внедрение мер защиты.

         • Контроль.

         • Мониторинг и корректировка  внедренных мер. 

     1. Начальник службы защиты информации, приказом руководителя предприятия  назначается во главе группы  компетентных сотрудников, которые высказывают свои предложения по объему, уровню и способам обеспечения сохранности конфиденциальной информации. 

     2. Руководитель группы, обладая соответствующей  квалификацией в этой области,  с привлечением отдельных специалистов  формирует предварительный список сведений, которые в дальнейшем войдут в «Перечень сведений, составляющих конфиденциальную информацию предприятия». 

     3. Руководитель группы на основе  этого списка определяет и  представляет на согласование необходимые к защите объекты (оборудование для обработки и обращения информации, программно обеспечение, коммуникации для передачи конфиденциальны данных, носители информации, персонал, допущенный к работе с использованием коммерческой и иной тайны). 

     4. Анализируются существующие меры  защиты соответствующих объектов, определяется степень их недостаточности, неэффективности, физического и морального износа. 

     5. Изучаются зафиксированные случаи  попыток несанкционированного доступа  к охраняемым информационным  ресурсам и разглашения информации. 

     6. На основе опыта предприятия, а также используя метод моделирования ситуаций, группа специалистов выявляет возможные пути несанкционированных действий по уничтожению информации, ее копированию, модификации, искажению, использованию и т. п. Угрозы ранжируются по степени значимости и классифицируется по видам воздействия. 

     7. На основе собранных данных  оценивается возможный ущерб  предприятия от каждого вида угроз, который становится определяющим фактором для категорирования сведений в «Перечня» по степени важности, например — для служебного пользования, конфиденциально, строго конфиденциально. 

     8. Определяются сферы обращения  каждого вида конфиденциально  информации: по носителям, по территории  распространения, по допущенным  пользователям. Для решения этой  задач группа привлекает руководителей структурных подразделений и изучает их пожелания. 

     9. Группа подготавливает введение  указанных мер защиты.

     Для обеспечения работоспособности  разработанной системы защиты информации необходимо создать специальный  отдел в составе организации, занимающийся данными вопросами – Службу защиты информации (СЗИ). 

     2. Служба защиты информации 

     2.1 К задачам СЗИ относятся:

         • Своевременное выявление угроз  защищаемой информации компании, причин и условий их возникновения и реализации.

         • Выявление и максимальное перекрытие потенциально возможных каналов и методов несанкционированного доступа к информации.

         • Отработка механизмов оперативного  реагирования на угрозы, использование юридических, экономических, организационных, социально-психологических, инженерно-технических средств и методов выявления и нейтрализации источников угроз безопасности компании. 

         • Организация специального делопроизводства, исключающего несанкционированное получение конфиденциальной информации. 

     Начальник СЗИ является новой штатной единицей. В большинстве случае, если установлено скрытое видеонаблюдение, он единственный должен об этом знать, не учитывая непосредственное руководство. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования – высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты. 

     2.2 Функции руководителя СЗИ:

         • вырабатывать политику обеспечения  защиты информации и обеспечивать ее реализацию;

         • отвечать за функционирование  СЗИ и обеспечение защиты конфиденциальной информации;

         • осуществлять планирование  и непосредственное руководство  работой СЗИ, нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка;

         • принимать личное участие  в проведении наиболее сложных  мероприятий по обеспечению защиты информации в компании;

         • разрабатывать планы действий  в чрезвычайных ситуациях, проводить регулярную учебу с подчиненными;

         • руководить проведением служебных  расследований;

         • организовывать взаимодействие  СЗИ с другими подразделениями;

         • разработка инструкций по  работе с коммерческой тайной  для персонала, допущенного к работе с документами, ее содержащую;

         • организовывать разработку рекомендаций по совершенствованию функционирования СЗИ;

         • осуществлять руководство отделом  охраны;

         • кроме того, выполнять функции  юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации;

         • в случае необходимости,  периодически проводить поиск  жучков. 

     3. Основные подразделения ЗИ на предприятии 

     Подразделение программно-аппаратной защиты информации.

     Целями защиты информации, обрабатываемой и хранимой в ПЭВМ, являются:

     1. Предотвращение потери и утечки  информации, перехвата и вмешательства злоумышленника на всех уровнях обработки данных и для всех объектов.

     2. Обеспечение целостности данных  на всех этапах их преобразования и сохранности средств программного обеспечения.