ЭБ_нормоконтроль(сделанный) (1198207), страница 10

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 10)

Показатели формируются в Таблицы оценки, каждому показателю эффективности деятельности, включенному в таблицы оценки, в зависимости от его значимости присваивается максимальное значение (в процентах). Сумма которых для каждого сотрудника должна быть равна 100% (результативная деятельность).

Фактические значения определяются каждым сотрудником по формуле (3.1):

О_общ = Ор1 + Ор2 +...+ Ор_n, (3.1)

где:

О_общ - общая оценка результативности деятельности;

Ор1, Ор2, ..., Ор_n - оценка Показателя деятельности;

n - количество Показателей деятельности (рекомендуемо не более 10).

Значение показателя деятельности за оцениваемый период (месяц, квартал) рассчитывается по формуле (3.2.):

Ор = Ор_n max * K, (3.2)

Где К – коэффициент выполнения, рассчитанный по данным, приведенным в Таблице 3.3.

Применение показателей эффективности и их привязка к материальному стимулированию сотрудников позволит:

• сформулировать цели деятельности

• установить реальные показатели достижения цели

• установить единые требования к определению и оценке результативности деятельности сотрудников (подразделений).

Понимание целей и задач, информированность о критериях оценки деятельности позволит снизить социальную напряженность и ускорит реализацию поручений, выполнение плановых показателей, намеченных стратегии обеспечения экономической безопасности.

Система безопасности предприятия представляет собой множество взаимосвязанных элементов, обеспечивающих безопасность предприятия и достижение им целей бизнеса. Предполагаем, что реализация предлагаемых мероприятий позволит ФГУП ГВСУ № 6 преодолеть сложившуюся кризисную ситуацию и обеспечит его развитие.

4 Анализ системы информационной безопасности ФГУП «ГУСС «Дальспецстрой» при Спецстрое России»

4.1 Основная характеристика информационной безопасности. Возможные каналы утечки информации на предприятии

Одной из функциональных составляющих экономической безопасности любого хозяйствующего субъекта является информационная безопасность (далее – ИБ), означающая состояние защищенности хозяйствующего субъекта от внутренних и внешних информационных угроз, оказывающих дестабилизирующее влияние на безопасность предприятия, в том числе .вследствие нарушений режима конфиденциальности коммерчески значимой информации.

Вопросы обладания, режима использования, передачи информации, как объекта публичных, гражданских и иных правовых отношений регулируются в настоящее время Федеральным законом от 27.07.2006 № 149-ФЗ (в редакции Федерального закона от 19.12.2016 № 442-ФЗ) «Об информации, информационных технологиях и о защите информации» [6].

В то же время, остается открытым вопрос по законодательному закреплению понятия «коммерческая информация», в результате права хозяйствующего субъекта на установление режима коммерческой тайны осуществляются по инициативе обладателя такой информации с использованием собственных сил и средств.

Силы обеспечения ИБ на предприятии - это подразделения и должностные лица, уполномоченные на решение задач по обеспечению информационной безопасности.

Средства обеспечения ИБ - правовые, организационные, технические и другие средства, используемые силами обеспечения ИБ.

Система обеспечения ИБ – это совокупность сил обеспечения ИБ, осуществляющих скоординированную и спланированную деятельность, и используемых ими средств обеспечения ИБ.

Система ИБ предприятия включает юридические, организационные и материальные гарантии, позволяющие оперативно вести работу по выявлению, предупреждению и пресечению неправомерных посягательств на объекты защиты частных интересов, связанных с использованием коммерческой информации. Нет и не может существовать типовых методик, позволяющих определить наиболее приемлемую структуру обеспечения ИБ для всех хозяйствующих субъектов, так как она индивидуальна и зависит от масштабов и направлений деятельности, обеспеченности ресурсами (трудовыми и материально-техническими), объемом хозяйственных связей и характеристиками самой защищаемой информации.

Следует отметить, что такое понятие, как угрозы интересам коммерческих организаций и меры по их предупреждению содержаться в утвержденной Указом президента Российской Федерации от 05.12.2016 № 646 Доктрине информационной безопасности Российской Федерации [13]. Таким образом вопрос необходимости защиты информации хозяйствующих субъектов, как основных составляющих экономики страны, сегодня рассматривается на государственном уровне [48].

Защита информации (далее - ЗИ) представляет собой совокупность правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2. соблюдение конфиденциальности информации ограниченного доступа;

3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы, обязаны обеспечить:

1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2. своевременное обнаружение фактов несанкционированного доступа к информации;

3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6. постоянный контроль за обеспечением уровня защищенности информации;

7. нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации. [6].

Обеспечения информационной безопасности основывается, как и обеспечение экономической безопасности в целом, на следующих основных принципах:

1. Системность при выработке и реализации систем защиты информации предполагает определение возможных угроз информационной безопасности и выбор методов и средств, направленных на противодействие данного комплекса угроз;

2. Комплексность систем защиты - означает, что при решении вопросов обеспечения информационной безопасности необходимо ориентироваться на весь набор средств защиты данных – программные, технические, правовые, организационные и т.д.;

3. Непрерывность защиты - предполагает, что защита информационных объектов должна обеспечиваться непрерывно, как в штатном режиме, так и при выполнении регламентных и ремонтных работ, во время настройки и конфигурирования информационных систем и сервисов;

4. Разумная достаточность – означает необходимость компромисса между затратами на защиту информационных объектов и возможными потерями при реализации информационных угроз;

5. Гибкость управления и применения – определяется, как наличие возможности изменения применяемых средств, оперативного включения или исключения используемых средств защиты данных, добавления новых механизмов защиты;

6. Сертификация механизмов защиты. Средства информационной безопасности сами могут представлять собой угрозу информационной системе или объекту. Для предотвращения такого класса угроз требуют, чтобы алгоритмы и механизмы защиты допускали лицензированную проверку (сертификацию) на безопасность и следование стандартов, а также на возможность их применение в совокупности с другими средствами защиты данных;

7. Простота применения защитных мер и средств. При проектировании систем защиты информации необходимо помнить, что реализация предлагаемых мер и средств будет проводится пользователями (часто не являющихся специалистами в области ИБ). Поэтому для повышения эффективности мер защиты необходимо, чтобы алгоритм работы с ними был понятен пользователю. Кроме того, используемые средства и механизмы ИБ не должны нарушать нормальную работу пользователя с автоматизированной системой (резко снижать производительность, повышать сложность работы и т.п.).

Первоочередной мерой при построении системы ИБ, является определение каналов утечки информации.

Каналы утечки информации — это методы и пути утечки информации из информационной системы хозяйствующего субъекта.

Так же каналы утечки информации могут характеризоваться, как паразитная (нежелательная) цепочка носителей информации, один или несколько из которых являются (могут быть) правонарушителем или его специальной аппаратурой.

ФГУП «ГУСС «Дальспецстрой» при Спецстрое России» (ФГУП «Главное военно строительное Управление № 6») имеет контур обработки информации составляющей государственную тайну, контур обработки конфиденциальной информации и контур обработки информации, составляющей персональные данные.

Исходя из этого, ФГУП «ГУСС «Дальспецстрой» при Спецстрое России» (ФГУП «Главное военно-строительное Управление № 6») (далее – ФГУП СУ № 6) определены следующие четыре группы каналов утечки информации (одновременно учитывая степень их актуальности).

1. Первая группа – каналы, связанные с доступом к техническим средствам системы обработки данных, но не требующие изменения компонентов системы. К таким каналам относятся:

• акустоэлектрический канал (применение подслушивающих устройств) – для ФГУП СУ № 6 неактуален, в связи с отсутствием в информационной системе технических средств, позволяющих осуществить голосовой ввод информации. Так же в ФГУП СУ № 6 в связи со спецификой деятельности отсутствуют конференц-залы, в которых допускается обсуждение конфиденциальной информации;

• канал перехвата побочных электромагнитных излучений и наводок, возникающих в технических средствах при обработке информации – актуален, в связи с большим количеством технических средств и систем;

• оптический канал утечки, как в части визуального съема информации с целью запоминания, так и в части использования технических средств фото- и видеосъемки – актуален, в связи с большим количеством устройств визуального отображения информации, расположением административного здания ФГУП СУ № 6 вблизи строений, не принадлежащих предприятию (жилые здания ул. Запарина 66, Дзержинского 38 «а» и 45 «а», административное здание по адресу Дзержинского 41).

1. Вторая группа – каналы, связанные с доступом к техническим средствам системы и изменением структуры ее компонентов, в том числе:

• хищение и копирование носителей информации – актуально, «человеческий фактор» является одним из наиболее трудно устранимых каналов утечки информации;

• внедрение вредоносных программ и технических устройств съема информации в технические средства системы – актуально, в связи с подключением информационной системы к сетям общего пользования, доступности портов для подключения съемных носителей информации.

1. Третья группа – каналы, связанные с несанкционированным использованием линий и систем связи, вывод из строя механизмов защиты информационной системы, в том числе:

• прослушивание телефонных переговоров – неактуально, телефонные переговоры регламентированы, и обсуждение конфиденциальных вопросов запрещено (прописано локальными НПА);

• перехват информации при передаче ее через сеть «Интернет» - неактуально, передача данных через сеть Интернет защищена средствами криптографической защиты информации, изолирована от выхода в общую сеть.

1. Четвертая группа – несанкционированное получение информации путем подкупа сотрудников предприятия (или самими сотрудниками, имеющими злой умысел), имеющих непосредственный доступ к ней – актуально, «человеческий фактор» является одним из наиболее трудно устранимых каналов утечки информации.

4.2 Уровни формирования информационной безопасности

Анализ основ ИБ показал, что обеспечение режима ИБ является задачей комплексной. С одной стороны, информационная безопасность предполагает, как минимум, обеспечение трех ее составляющих - доступность, целостность и конфиденциальность данных.

С другой стороны, информацией и информационными системами в буквальном смысле «пронизаны» все сферы общественной деятельности, и влияние информации на общество все нарастает, поэтому обеспечение информационной безопасности также требует комплексного подхода.

Характеристики

Список файлов ВКР