Концепция безопасности ОАО

Размещено на http://www.allbest.ru/

КОНЦЕПЦИЯ БЕЗОПАСНОСТИ ОАО



1. ОБЩИЕ ПОЛОЖЕНИЯ

Концепция безопасности ОАО представляет собой систему взглядов на основные направления, условия и порядок практического решения задач защиты банка от противоправных действий и недобросовестной конкуренции.

Под безопасностью ОАО понимается состояние защищенности интересов владельцев, руководства и сотрудников предприятия, материальных ценностей и информационных ресурсов от внутренних и внешних угроз.

Обеспечение безопасности является неотъемлемой составной частью деятельности СБ ОАО.

Объектами безопасности являются:

- персонал (руководство, ответственные исполнители, сотрудники);

- финансовые средства, материальные ценности, новые технологии;

- информационные ресурсы (конфиденциальная информация с ограниченным доступом, составляющая коммерческую тайну, иная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).

Субъектами правоотношений при решении проблемы безопасности являются:

- государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;

- ОАО как юридическое лицо, являющееся собственником производственных, финансовых, а также информационных ресурсов, составляющих служебную и коммерческую тайну;

- другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования предприятия как внутри страны, так и во внешних связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.);

- службы безопасности других коммерческих и частных охранных структур.

Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.

2. ЦЕЛИ И ЗАДАЧИ СИСТЕМЫ БЕЗОПАСНОСТИ

Главной целью системы безопасности является обеспечение устойчивого функционирования предприятия и предотвращение угроз его безопасности, защита законных интересов организации от противоправных посягательств, охрана жизни и здоровья персонала, недопущения хищения финансовых и материально-технических средств, уничтожения имущества и ценностей, разглашения, утраты, утечки, искажения и уничтожения служебной информации, нарушения работы технических средств, обеспечения производственной деятельности, включая и средства информатизации.

Задачами системы безопасности являются:

- прогнозирование и своевременное выявление и устранение угроз безопасности персоналу и ресурсам предприятия; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развитию;

- отнесение информации к категории ограниченного доступа (государственной, служебной и коммерческой тайнам, иной конфиденциальной информации, подлежащей защите от неправомерного использования), а других ресурсов - к различным уровням уязвимости (опасности) и подлежащих сохранению;

- создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании предприятия;

- эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;

- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей предприятия.

3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ БЕЗОПАСНОСТИ

Организация и функционирование системы безопасности должны соответствовать следующим принципам:

1. Комплексность:

- обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями;

- обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;

- способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования предприятия.

Комплексность достигается:

- обеспечением соответствующего режима и охраны предприятия;

- организацией конфиденциального делопроизводства с ориентацией на защиту коммерческих секретов;

- мероприятиями по подбору и расстановке кадров;

- широким использованием технических средств безопасности и защиты информации;

- развернутой информационно-аналитической деятельностью.

1. Комплексность реализуется совокупностью правовых, организационных и инженерно-технических мероприятий.

2. Своевременность - упреждающий характер мер обеспечения безопасности. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирование обстановки, угроз безопасности предприятия, а также разработку эффективных мер предупреждения посягательств на законные интересы.

3. Непрерывность - постоянное обеспечение безопасности предприятия.

4. Активность - защита интересов предприятия с достаточной степенью настойчивости, широкое использование имеющихся сил и средств обеспечения безопасности и нестандартные меры защиты.

5. Законность - разработка системы безопасности на основе законодательства РФ в области предпринимательской деятельности, информатизации и защиты информации, частной охранной деятельности и других нормативных актов по безопасности.

6. Экономическая целесообразность - сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий "эффективность - стоимость").

7. Специализация - привлечение к разработке и внедрению мер по защите интересов предприятия специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности, имеющих опыт практической работы.

8. Взаимодействие и координация - осуществление мер обеспечения безопасности на основе четкого взаимодействия подразделений и служб предприятия.

4. ОБЪЕКТЫ ЗАЩИТЫ

К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:

- персонал предприятия (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, ценностям, хранилищам, осведомленные в сведениях, составляющих коммерческую тайну, работники внешнеэкономических служб и другие;

- финансовые средства, ТМЦ;

- информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;

- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);

- материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);

- технические средства и системы охраны и защиты материальных и информационных ресурсов.

Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.

Наибольшую уязвимость представляют финансовые и ТМЦ, особенно в процессе транспортировки, информационные ресурсы и некоторые категории персонала.

5. ОСНОВНЫЕ ВИДЫ УГРОЗ ИНТЕРЕСАМ ПРЕДПРИЯТИЯ

В общем плане к угрозам безопасности личности относятся:

- похищения и угрозы похищения сотрудников, членов их семей и близких родственников;

- убийства, сопровождаемые насилием, издевательствами и пытками;

- психологический террор, угрозы, запугивание, шантаж, вымогательство;

- нападение с целью завладения денежными средствами, ценностями и документами.

Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:

- взрывов;

- обстрелов из огнестрельного оружия;

- минирования, в том числе с применением дистанционного управления;

- поджогов;

- нападения, вторжения, захватов, пикетирования, блокирования;

- повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных:

- технологические аварии, пожары.

Цель подобных акций:

- срыв на длительное время нормального функционирования предприятия;

- нанесение серьезного морального и материального ущерба;

- вымогательство значительных сумм денег или каких-либо льгот.

Угрозы финансовым и товарным ресурсам проявляются в виде:

- не возврата ссуд;

- мошенничества;

- подложных платежных документов;

- хищения финансовых средств ТМЦ.

Угрозы информационным ресурсам проявляются в виде:

- разглашения конфиденциальной информации;

- утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;

- несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований.

Осуществление угроз информационным ресурсам может быть произведено:

- путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-математических воздействий на нее в процессе обработки и хранения;

- путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;

- через переговорные процессы между предприятием и иностранными или отечественными фирмами, используя неосторожное обращение с информацией;

- через отдельных сотрудников предприятия, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность;

- путем подкупа лиц, работающих на предприятии или структурах, непосредственно связанных с его деятельностью;

- путем неофициального доступа и съема конфиденциальной информации.

6. ПРАВОВЫЕ ОСНОВЫ СИСТЕМЫ БЕЗОПАСНОСТИ

Правовые основы безопасности предприятия определяют соответствующие положения Конституции Российской Федерации, Закон "О безопасности" и другие нормативные акты. Правовая защита персонала предприятия, материальных и экономических интересов организации и их клиентов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации. Защиту имущественных и иных материальных интересов и деловой репутации предприятия призваны обеспечивать также гражданское, арбитражное и уголовное законодательство.

Обеспечение информационной безопасности в предпринимательской среде регулируется законами Российской Федерации:

- "О государственной тайне";

- "Об информации, информатизации и защите информации";

- Указы Президента Российской Федерации "О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам" от 08.05.93 N 644;

- "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" от 03.04.95 N 334;

- "О создании Государственной технической комиссии при Президенте Российской Федерации" от 05.01.92 N 9.

При практическом решении задач обеспечения безопасности предпринимательской деятельности необходимо опираться на акты:

- постановление Правительства РСФСР от 05.12.91 N 35 "О перечне сведений, которые не могут составлять коммерческую тайну";

- "Положение о сертификации средств защиты информации", утвержденное постановлением Правительства Российской Федерации от 26.06.95 N 608 "О сертификации средств защиты информации";

- Положение о государственной системе защиты информации от ИТР и от утечки по техническим каналам, утвержденное постановлением Правительства РФ от 15.09.93 N 912-51;

- "Положение о государственном лицензировании деятельности в области защиты информации", утвержденное совместным решением Гостехкомиссии и ФАПСИ при Президенте Российской Федерации от 27.04.94 N 10.

Успешное и эффективное решение задач обеспечения безопасности ОАО достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников структурных подразделений и служб.

7. ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Техническое обеспечение безопасности должно базироваться:

- на системе стандартизации и унификации;

- на системе лицензирования деятельности;

- на системах сертификации средств защиты;

- на системе сертификации ТС и ПС объектов информатизации;

- на системе аттестации защищенных объектов информатизацией.

Основными составляющими обеспечения безопасности ресурсов предприятия являются:

- система физической защиты объектов предприятия и его финансовых ресурсов;

- система безопасности информационных ресурсов.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

- систему инженерно-технических и организационных мер охраны;

- систему контроля и регулирования доступа;

- систему мер (режима) выявления и контроль за вероятными каналами утечки информации;

- систему мер возврата материальных ценностей (или компенсации).

Система охранных мер должна предусматривать:

- несколько рубежей построения охраны (территории, здания, помещения) по нарастающей;

- комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

- надежную инженерно-техническую защиту вероятных путей несанкционированного проникновения на охраняемые объекты;

- устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;

- высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителям.

Система контроля и регулирования доступа должна предусматривать:

- объективное определение "надежности" лиц, допускаемых к работе;

- максимальное ограничение количества лиц, допускаемых на объекты;

- установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;

- четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;

- определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;

- оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;

- высокую подготовленность и защищенность персонала (нарядов) контрольно- пропускных пунктов.

Система мер (режим) сохранности ценностей и контроля должна предусматривать:

- строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения ТМЦ);

- максимальное ограничение посещений режимных зон лицами, не участвующими в работе;

- максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;

- организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;

- организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;

- обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;

- соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;

- организацию тщательного контроля на каналах возможной утечки информации;

- оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.

На объектовую службу безопасности возлагается:

- обнаружение факта незаконного изъятия ТМЦ из обращения или хранения;

- оперативное информирование правоохранительных органов о событиях и критических ситуациях;

- возможность установления субъекта и время акции;

- проведение поиска возможного места хранения утраченных средств в районе объекта.

Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности. Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

- защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;

- защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН).

В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:

- реализация разрешительной системы допуска исполнителей к работам, документам и информации конфиденциального характера;

- ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;

- разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;

- учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;

- криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

- снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;

- снижение уровня акустических излучений;

- электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;

- активное зашумление в различных диапазонах;

- противодействие оптическим и лазерным средствам наблюдения;

- проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;

- предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

- обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;

- персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;

- надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;

- разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;

- контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;

- очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;

- целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа. Положение о персональной ответственности сотрудников реализуется с помощью:

- росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;

- индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;

- проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения.

Условие надежности хранения реализуется с помощью:

- хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;

- выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;

- использования криптографического преобразования информации в автоматизированных системах.

Правило разграничения информации по уровню конфиденциальности реализуется с помощью:

- предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

Система контроля за действиями исполнителей реализуется с помощью:

- организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;

- регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;

- сигнализации о несанкционированных действиях пользователей.

Защита информации от утечки за счет побочных электромагнитных излучений и наводок (ПЭМИН).

Основным направлением защиты информации от утечки за счет ПЭМИН является уменьшение отношения информативного сигнала к помехе до предела, определяемого "Нормами эффективности защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН", при котором восстановление сообщений становится принципиально невозможным. Решение этой задачи достигается как снижением уровня излучений информационных сигналов, так и увеличением уровня помех в соответствующих частотных диапазонах.

Первый способ реализуется выбором системно-технических и конструкторских решений при создании технических средств ЭВМ в "защищенном исполнении", а также рациональным выбором места размещения технических средств относительно направлений возможного перехвата информативного сигнала.

Второй способ реализуется в основном за счет применения активных средств защиты в виде "генераторов шума" и специальной системы антенн.

Защита информации в линиях связи.

К основным видам линий связи, используемых для передачи информации, можно отнести проводные (телефонные, телеграфные), радио и радиорелейные, тропосферные и космические линии связи. При необходимости передачи по ним конфиденциальной информации основным направлением защиты информации, передаваемой по всем видам линий связи, от перехвата, искажения и навязывания ложной информации является использование логического преобразования информации, а на небольших расстояниях, кроме того, использование защищенных волоконно-оптических линий связи.

Для защиты информации должны использоваться средства криптографической защиты данных гарантированной стойкости для определенного уровня конфиденциальности передаваемой информации и соответствующая ключевая система, обеспечивающая надежный обмен информацией и аутентификацию (подтверждение подлинности) сообщений.

Безопасное использование технических средств информатизации.

В целях противодействия такому методу воздействия на объекты информатики, для технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специальных установок и оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями.

8. УПРАВЛЕНИЕ СИСТЕМОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ

Исходя из представленных в концепции задач, принципов организации и функционирования системы безопасности, основных угроз безопасности предприятия, целесообразно выделить следующие основные направления деятельности по обеспечению его безопасности:

- информационно-аналитических исследований и прогнозных оценок безопасности, в том числе экономической;

- сохранности и физической защиты финансовых средств и объектов;

- безопасности информационных ресурсов.

Основными задачами направления информационно-аналитических исследований и прогностических оценок безопасности являются:

- организация работ по выявлению конфиденциальной информации, обоснованию уровня ее конфиденциальности и документальному оформлению в виде перечней сведений, подлежащих защите;

- сбор экономической и научно-технической информации для обеспечения эффективности деловых сношений с зарубежными и отечественными партнерами, выявление в их числе несостоятельных, ненадежных предпринимателей, а также лиц, связанных с криминальными структурами;

- учет официальных претензий правоохранительных и контролирующих органов к возможным партнерам на рынке, фирмам, банкам и т. п.;

- изучение, анализ и оценка криминальной обстановки, в том числе состояния экономической преступности в производственной сфере по стране и в регионе;

- выявление и прогнозирование уязвимых мест в деятельности, реальных и потенциальных угроз безопасности предприятия, разработка и осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;

- анализ и прогнозирование негативных тенденций социально-экономического развития предприятия с точки зрения влияния на ее безопасность;

- информационное обеспечение руководства предприятия в области безопасности;

- координация деятельности подразделений Службы безопасности и обеспечения взаимодействия со всеми структурными подразделениями предприятия в решении проблемы безопасности.

Одним из основных направлений работы Службы безопасности является охрана сотрудников и клиентов банка от любых противоправных посягательств на их жизнь, материальные ценности и личную информацию. Основными задачами Службы безопасности в плане сохранности материальных ценностей и физической защиты объектов являются:

- установление режима охраны производственных объектов и объектов жизнедеятельности;

- осуществление допускного и пропускного режимов;

- обеспечение защищенного хранения ценностей и документов (носителей информации), оснащение современными инженерно-техническими средствами охраны;

- организация физической защиты ценностей в процессе их внутри объектовой транспортировки;

- организация личной безопасности определенной категории руководящего состава и ведущих специалистов из так называемой группы повышенного риска;

- обеспечение взаимодействия всех структур, участвующих в обеспечении физической защиты.

Основными задачами Службы безопасности в плане обеспечения безопасности информационных ресурсов являются:

- организация и осуществление разрешительной системы допуска исполнителей к работе с документами и сведениями ограниченного доступа;

- организация хранения и обращения с конфиденциальными документами (носителями информации);

- осуществление закрытой переписки и шифрованной связи;

- организация и координация работ по защите информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи;

- обеспечение безопасности в процессе проведения конфиденциальных совещаний, переговоров;

- осуществление контроля за сохранностью конфиденциальных документов (носителей информации), за обеспечением защиты информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.

Основными задачами Службы безопасности в работе с персоналом являются:

- набор персонала: создание резерва потенциальных кандидатов по всем должностям; безопасность конфиденциальный делопроизводство

- набор персонала, как правило, проводится из внутренних (перемещение и продвижение по службе своих сотрудников) и внешних (найм по объявлениям и по личным рекомендациям) источников. Основным требованием при этом должны стать объективная оценка не только поступающего на работу сотрудника, но и предлагаемой ему работы;

- отбор кандидатов. К основным группам качеств для сравнения кандидатов относятся: профессиональные, образовательные, организационные и личные. Основным требованием при отборе является тщательное изучение деловых, моральных и этических данных каждого кандидата путем глубокого изучения трудового прошлого кандидата;

- заключение контракта и получение у сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой тайны;

- обучение кандидатов перед допуском к работе предусматривает введение в должность, обучение установленным правилом выполнения порученного дела, обеспечения безопасности и защиты информации;

- текущий контроль (мониторинг) за деятельностью сотрудника по повышению его бдительности в отношении угроз безопасности предприятия;

- своевременное выявление и устранение конфликтных ситуаций в работе с персоналом.

Размещено на Allbest.ru