Безопасность, связанная с управлением персоналом

Loading...

From the course by National Research University Higher School of Economics

Менеджмент информационной безопасности

8 оценки

National Research University Higher School of Economics

Менеджмент информационной безопасности

8 оценки

Целью курса является ознакомление слушателей с основными принципами организации защиты информации, местом деятельности по защите информации в политике государства и в деятельности организации. В процессе освоения курса слушатели получат навыки моделирования угроз безопасности информации на основе методики, разработанной уполномоченным органом (регулятором), оценки актуальности угроз, разработки проекта политики безопасности организации в соответствии с действующими стандартами и законодательством Российской Федерации, а также выбора систем обнаружения компьютерных атак для защиты ИС от активных вредоносных воздействий нарушителей. Для освоения материала курса будут полезны основные знания в области компьютерных сетей. Их наличие позволит понять принципы действия систем обнаружения атак, принципы их выбора и размещения в защищаемой системе. Большинство вопросов курса не требует специальных предварительных знаний и полностью рассматривается в рамках лекций. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

From the lesson

Политика безопасности организации

Добро пожаловать на четвертую неделю курса! Данный модуль пригодится Вам для того, чтобы познакомить Вас с политикой безопасности организации. После окончания этой недели Вы сможете: сформулировать основные принципы разработки и внедрения политики безопасности организации; перечислить основные вопросы, которые необходимо рассмотреть в политике безопасности организации; сформулировать принципы, которые необходимо зафиксировать в политике безопасности организации; подготовить план мероприятий по внедрению и поддержанию политики безопасности организации. Смотрите видеоролики и в случае возникновения вопросов присоединяйтесь к обсуждению на форуме недели, желаем успехов в освоении материала!

Понятие политики безопасности3:03

Назначение и содержание политики безопасности6:34

Вопросы, рассматриваемые в политике безопасности3:09

Организационные аспекты информационной безопасности7:46

Управление активами6:07

Безопасность, связанная с управлением персоналом6:05

Физическая безопасность7:25

Управление доступом8:25

Вопросы эксплуатации информационных систем6:08

Управление инцидентами и непрерывностью бизнеса6:43

Соответствие требованиям обязательств организации3:21

Жизненный цикл политики безопасности7:33

Meet the Instructors

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[МУЗЫКА] Следующим разделом

политики безопасности, о котором мы поговорим, является раздел,

относящийся к безопасности, связанной с управлением персоналом.

В данном разделе наиболее желательно достичь такой цели,

как обеспечение условий, при которых все лица,

взаимодействующие с объектом информатизации,

будь то сами пользователи информационной системы, другие сотрудники, подрядчики,

представители третьих лиц, осознают свои обязанности и способны их выполнять.

Такие условия, в свою очередь, призваны снизить риски хищения, мошенничества,

нецелевого использования средств обработки информации.

Для достижения таких целей основные рекомендации следующие.

Во-первых, декларирование обязанностей сотрудника,

связанных с обеспечением безопасности информации,

еще до непосредственного трудоустройства сотрудников.

Желательно еще на этапе формирования вакансии сформулировать

должностную инструкцию для данной должности, в которую включить раздел,

относящийся к обязанностям сотрудника по обеспечению безопасности информации,

и представить эти обязанности соискателю уже на, возможно,

одном из первых собеседований.

Если по той или иной причине соискатель не готов такие обязанности исполнять,

то желательно рассматривать другие кандидатуры

и не обеспечивать его трудоустройство.

Следующая рекомендация связана с проверкой всех кандидатов на должности,

а также подрядчиков, представителей третьих лиц при работе с конфиденциальной

информацией, особенно составляющей предусмотренную законом тайну,

оформление соответствующих соглашений.

То есть с одной стороны, проверка, с другой стороны — документирование

обязанностей таких лиц в случае, если им предстоит работать с информацией,

содержащей ту или иную тайну, особенно предусмотренную законом, например,

коммерческую тайну или персональные данные.

В данном разделе желательно сформулировать следующие положения.

Во-первых, перечислить роли и обязанности сотрудников и прочих лиц,

взаимодействующих с объектом информатизации,

связанные с информационной безопасностью.

То есть для каждого сотрудника и прочих лиц сформулировать требования,

которые они должны выполнять при работе с информацией, а если речь идет о лицах,

не являющихся сотрудниками, то принципы их взаимодействия с системой: что им

должно быть разрешено, а что, соответственно, нет.

Например, в каком помещении может находиться посетитель, а где нет,

как его следует отгородить от рабочего места сотрудников с тем, чтобы избежать,

например, утечки конфиденциальной информации, и подобные вопросы.

Во-вторых, в данном разделе желательно рассмотреть вопросы проверки кандидатов на

постоянную работу или разовый доступ к информации на территории

объекта информатизации в соответствии с требованиями законодательства,

инструкциями, правилами этики, требованиями бизнеса,

классификацией информации в организации.

То есть желательно разработать эту самую процедуру проверки кандидатов,

о которой говорилось в рекомендациях.

В-третьих, желательно рассмотреть пункт трудового договора

с сотрудником и договоров с третьими лицами,

устанавливающих ответственность и ответственность организации,

то есть обеих сторон такого соглашения, в вопросах информационной безопасности.

Четвертым аспектом являются вопросы поддержания и повышения осведомленности

всех взаимодействующих с организацией лиц об угрозах и проблемах в области

информационной безопасности и их обязательствах,

связанных с такими угрозами и проблемами,

а также их оснащение необходимыми средствами защиты информации.

То есть желательно разработать некую формальную процедуру, по которой все лица,

так или иначе взаимодействующие с объектом информатизации,

своевременно извещаются о новых угрозах в области информационной безопасности,

возникающих проблемах в работе информационной системы,

и при этом они должны быть оповещены об их обязательствах,

связанных с наступлением таких ситуаций.

А также им должно быть предоставлено все необходимое для того,

чтобы эти обязательства они могли выполнить.

Здесь же желательно рассмотреть вопросы контроля соблюдения вопросов

информационной безопасности руководством всех уровней,

то есть предусмотреть некую формальную процедуру контроля за руководством.

Это могут быть отчеты либо назначение какой-то отдельной службы,

которая контролирует именно соблюдение информационной безопасности.

Но так или иначе, этот аспект должен быть проконтролирован.

Здесь же следует рассмотреть вопросы обучения и тренинга,

своевременного информирования сотрудников организации и при необходимости

других лиц по вопросам, связанным с безопасностью информации.

Дисциплинарные меры, которые могут быть приняты в случае нарушения требований

политики безопасности,

также желательно сформулировать в данном разделе политики безопасности.

Несмотря на то,

что до самих дисциплинарных взысканий дело может доходить довольно редко,

сами дисциплинарные меры также являются достаточно сильным сдерживающим фактором,

который мотивирует сотрудников не нарушать требования политики безопасности.

Ну и таким образом повышается общий уровень защищенности информации в

организации.

В этом же разделе следует рассмотреть вопросы прекращения прав доступа,

сохранности и возврата активов организации при прекращении или смене занятости

сотрудников, то есть вопросы, связанные с корректной обработкой, например,

увольнения или перевода сотрудника на другую должность.

Речь идет о том, чтобы были соответствующим образом прекращены или

изменены его права в системе, чтобы ранее уволенный сотрудник не мог по-прежнему под

своими учетными данными, то есть логином и паролем, успешно проходить процедуру

авторизации в системе и реализовывать свои бывшие

рабочие обязанности, но теперь уже, возможно, в совсем других целях.

[МУЗЫКА]

[МУЗЫКА]

Ознакомьтесь с нашим каталогом

Присоединяйтесь бесплатно и получайте персонализированные рекомендации, обновления и предложения.

Coursera делает лучшее в мире образование доступным каждому, предлагая онлайн-курсы от ведущих университетов и организаций.

© Coursera Inc., 2018 Все права защищены.

Загрузить из App Store

Загрузить в Google Play