ПРОГРАММА ПО ДИСЦИПЛИНЕ «ОРГАНИЗАЦИОННАЯ ЗАЩИТА ИНФОРМАЦИИ»

1. ПРЕДМЕТ И СОДЕРЖАНИЕ КУРСА, МЕТОДЫ ЕГО ИЗУЧЕНИЯ
Система организационной защиты информации как предмет изучения. Место организационной защиты информации в системе комплексной защиты информации организации (предприятия, учреждения, ведомства). Организационная защита информации как один из основных инструментов обеспечения безопасности организации.
Цели и задачи курса и его место в подготовке специалистов по защите информации.
Особенности формирования терминологии научной дисциплины. Методы исследования проблем организационной защиты информации.
Взаимосвязь курса с правовыми, историческими, экономическими, социальными, социально-психологическими и техническими дисциплинами учебного плана по специальности «Организация и технология защиты информации». Развитие проблематики курсов «Теория и методология защиты информации» и «Документо-ведение» в курсе «Организационная защита информации». Курс «Организационная защита информации» как основа для изучения ряда дисциплин по выбору и специальных курсов.

2. ИСТОЧНИКИ И ЛИТЕРАТУРА
- Законодательные акты;
- Нормативные документы;
- Методические материалы;
- Периодические издания;
- Обязательная и дополнительная литература.

3. ПОНЯТИЕ «ОРГАНИЗАЦИОННАЯ ЗАШИТА ИНФОРМАЦИИ»
Сущность организационных методов защиты информации. Соотношение организационных методов защиты информации с правовыми и техническими. Организационные методы как реализация полномочий и их распределение между уровнями управления организацией.
Понятия «организационная защита информации» и «режим защиты информации». Различные подходы к определению понятия «организация защиты информации». Определение понятия по целям, по функциям, по структуре и т.д. Понятие «режим защиты информации». Режим защиты информации как составная часть организационной защиты информации. Понятие «система организационной защиты информации»; субъекты и объекты системы.

4. ОРГАНИЗАЦИОННЫЕ ИСТОЧНИКИ И КАНАЛЫ УТЕЧКИ. СИЛЫ, СРЕДСТВА И УСЛОВИЯ ОРГАНИЗАЦИОННОЙ ЗАШИТЫ ИНФОРМАЦИИ
Коммуникационный процесс и его базовые элементы: источник информации, отправитель, сообщение, канал, получатель. Источники конфиденциальной информации: люди, документы, изделия, технические носители и средства коммуникации. Организационные каналы передачи информации и каналы утечки информации и несанкционированного доступа к ней. Классификация организационных каналов утечки конфиденциальной информации. Основания классификации: по каналам коммуникации и источникам конфиденциальной информации; по источникам угроз; времени воздействия и места их возникновения; по направлениям деятельности организации и характеру конфиденциальной информации; по характеру взаимоотношений с партнерами; по способам и средствам несанкционированного доступа к конфиденциальной информации; по способам, средствам и методам защиты информации от утечки и несанкционированного доступа к ней; по степени формализации каналов утечки и т.д.
Основные организационные каналы утечки и несанкционированного доступа к информации: разглашение информации персоналом организации: разглашение информации при осуществлении сотрудничества с другими организациями, в частности в ходе переговоров, при проведении совещаний, при приеме в организации посетителей; при осуществлении рекламной и публикаторской деятельности.
Соотношение организационных и правовых методов защиты информации при взаимоотношениях с государственными и муниципальными организациями (налоговой инспекцией, санитарной и пожарной службами, органами статистики, правоохранительными органами и т.п.), с другими организациями на основе договоров (банками, адвокатскими конторами, аудиторскими фирмами, страховыми компаниями, службами связи, охранными агентствами и т.п.). Соотношение организационных и технических методов защиты информации при использовании технических, в гом числе электронных средств передачи, обработки, хранения конфиденциальной информации.
Совокупности каждого из методов защиты информации, используемых для перекрытия каналов утечки информации, как основные направления организационной защиты информации.

5. ОСОБЕННОСТИ СИСТЕМЫ ОРГАНИЗАЦИОННОЙ ЗАЩИТЫ ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ ГОСУДАРСТВЕННУЮ И КОММЕРЧЕСКУЮ ТАЙНУ
Отличительные особенности системы организационной защиты государственной и коммерческой тайны, обусловленные характером защищаемой информации и правом собственности на нее. Организационные особенности: распределение функций ОЗИ и их структуры.
Организационно-правовые особенности: распределение между уровнями государственного управления процессами ОЗИ прав на регулирование процессов защиты, санкций и ответственности, предусмотренных законодательством.
Управленческие особенности: распределение между уровнями государственного управления процессами защиты ГТ полномочий, управленческих функций и задач.

6.ПОРЯДОК ЗАСЕКРЕЧИВАНИЯ И РАССЕКРЕЧИВАНИЯ КОНФИДЕНЦИАЛЬНЫХ СВЕДЕНИЙ, ДОКУМЕНТОВ И ИЗДЕЛИЙ
Установление и изменение степени секретности сведений, содержащихся в работах, документах и изделиях.
Правила отнесения сведений, составляющих государственную тайну, к различным степеням секретности. Присвоение грифа и изменение грифа секретности работам, документам и изделиям. Понятие "рассекречивание сведений". Основания для рассекречивания конфиденциальных сведений, документов и изделий.

7. ПОДБОР ПЕРСОНАЛА НА ДОЛЖНОСТИ, СВЯЗАННЫЕ С РАБОТОЙ С КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ
Персонал организации как источник конфиденциальной информации и один из основных каналов ее разглашения.
Особенности подбора персонала на должности, связанные с работой с конфиденциальной информацией. Должности, составляющие с точки зрения защиты информации «группы риска»: руководящий состав организации, средний управленческий персонал, исполнители, сотрудники, осуществляющие технологические процессы передачи, обработки и хранения информации и др.
Оценка кандидатов на должности, связанные с доступом к конфиденциальной информации. Основные критерии оценки: уровень профессиональной подготовки, знаний, умений и наличие практического опыта работы; личностные характеристики. Методы проверки кандидатов на должности.
Состав документов, необходимых при подборе и приеме сотрудников на должности, связанные с доступом к конфиденциальной информации. Особенности документирования трудовых отношений с персоналом, обладающим конфиденциальной информацией.

8. ДОПУСК К СЕКРЕТНОЙ ИНФОРМАЦИИ
Понятие «допуск». Формы допусков, их назначение и классификация. Основные принципы допускной работы. Номенклатура должностей работников, подлежащих оформлению на допуск и порядок ее составления, утверждения. Документальное оформление для отправки на согласование.
Процедура оформления и переоформления допусков и ее документирование, подлежащих согласованию с органами государственной безопасности. Особенности оформления допуска, не требующего такого согласия. Снижение формы допуска и восстановление имевшегося допуска. Аннулирование допуска. Порядок выдачи справок о форме допуска, учет, уничтожение. Особенности инструктажа и документальное оформление контракта об оформлении допуска к государственной тайне.
Учет и хранение допусков. Порядок уничтожения допусков, справок о допуске и контракта об оформлении допуска к государственной тайне.

9. ОРГАНИЗАЦИЯ ДОСТУПА К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Понятие «доступ к защищаемой информации». Условия правомерного доступа. Задачи режима защиты информации, решаемые в процессе регулирования доступа.
Понятие «разрешительная система доступа», основные требования, предъявляемые к ней. Цели и задачи разрешительной системы. Порядок разработки, примерная структура и содержание Положения о разрешительной системе доступа. Организация работы по обеспечению контроля за ее выполнением. Формы разрешительных документов. Организация работ по созданию разрешительной системы. Положение о разрешительной системе доступа.
Особенности доступа к конфиденциальной информации различных категорий персонала. Обязанности лиц, допущенных к защищаемым сведениям.

10. ТЕКУЩАЯ РАБОТА С ПЕРСОНАЛОМ, ОБЛАДАЮЩИМ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ
Профессиональная ориентация и обучение персонала. Ознакомление сотрудника с правилами, процедурами и методами защиты информации. Организация обучения персонала. Основные формы обучения и методы контроля знаний.
Мотивация персонала к выполнению требований по защите информации. Основные формы воздействия на персонал как методы мотивации: использование различных форм вознаграждения, управление карьерой, привлечение к участию в прибылях, воспитание «фирменного патриотизма» и др.
Организация контроля за соблюдением персоналом требований режима защиты информации. Методы проверки персонала.
Основные меры по защите информации при увольнении сотрудника. Документирование процедуры увольнения сотрудника.

11. ОРГАНИЗАЦИЯ СЛУЖЕБНОГО РАССЛЕДОВАНИЯ ПО ФАКТАМ РАЗГЛАШЕНИЯ ПЕРСОНАЛОМ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Понятие «служебное расследование по фактам разглашения информации». Цели и задачи служебного расследования.
Основания для проведения служебного расследования. Процедура служебного расследования. Меры, принимаемые по результатам расследования. Документирование хода и результатов служебного расследования.

12. ОРГАНИЗАЦИЯ ОХРАНЫ ТЕРРИТОРИИ, ЗДАНИЙ, ПОМЕЩЕНИЙ И ПЕРСОНАЛА
Понятие «охрана». Цели и задачи охраны. Объекты охраны: территория, здания, помещения, персонал, информационные ресурсы и другие материальные и финансовые ценности. Особенности их охраны.
Виды и способы охраны. Понятие о рубежах охраны. Многорубежная система охраны. Факторы выбора приемов и средств охраны.

13. ОРГАНИЗАЦИЯ ПРОПУСКНОГО И ВНУТРИОБЪЕКТОВОГО РЕЖИМОВ
Понятие «пропускной режим». Цели и задачи пропускного режима. Организация пропускного режима. Основные положения инструкции об организации пропускного режима и работе бюро пропусков.
Понятие пропуска. Виды пропусков и отличительных шифров. Порядок оформления и выдачи пропусков.
Контрольно-пропускные пункты, их оборудование и организация работы.
Порядок прохода и проезда на территорию организации. Порядок вывоза (выноса), ввоза (вывоза) материальных ценностей и документации на/с территории организации. Понятие «внутриобъектовый режим». Его основное назначение при ведении конфиденциальных работ и обращении с охраняемыми изделиями и документам.! Порядок определения перечня предметов, запрещенных к проносу/провозу на режимную территорию. Общие требования внутриобъектового режима.
Порядок передвижения работников и перевозки охраняемых изделий по режимной территории объекта. Порядок допуска работников в помещения, где ведутся конфиденциальные работы. Организация контроля за выполнением распорядка дня лицами, работающими на режимных объектах. Создание отдельных (выделенных) производственных зон (зон доступа) по типу и степени конфиденциальности работ с самостоятельными системами организации и контроля доступа.
Методика проектирования системы пропускного и внутриобъектового режимов и оценки эффективности их функционирования.

14. ТРЕБОВАНИЯ К ПОМЕЩЕНИЯМ И ХРАНИЛИЩАМ, В КОТОРЫХ ВЕДУТСЯ ЗАКРЫТЫЕ РАБОТЫ И ХРАНЯТСЯ КОНФИДЕНЦИАЛЬНЫЕ ДОКУМЕНТЫ И ИЗДЕЛИЯ
Понятие режимных помещений и требования, предъявляемые к ним. Особенности оборудования помещения, где ведутся конфиденциальные работы. Порядок назначения комиссии для аттестации помещений на пригодность их для ведения конфиденциальных работ.
Порядок лицензирования.
Документальное оформление после обследования помещений на пригодность. Назначение ответственных лиц, имеющих право вскрывать и опечатывать режимные помещения.
Оборудование специальных хранилищ, сейфов и металлических шкафов, предназначенных для хранения конфиденциальных изделий и документов. Порядок приема-сдачи под охрану режимных помещений.

15. ОРГАНИЗАЦИЯ ПОДГОТОВКИ И ПРОВЕДЕНИЯ СОВЕЩАНИЙ И ПЕРЕГОВОРОВ ПО КОНФИДЕНЦИАЛЬНЫМ ВОПРОСАМ
Основные требования, предъявляемые к подготовке и проведению совещания и переговоров по конфиденциальным вопросам. Порядок назначения ответственных лиц и их обязанности по проведению совещаний и переговоров. Подготовка программы проведения закрытого совещания. Составление списков участников совещания.
Определение состава информации, используемой в ходе совещания, переговоров. Порядок подготовки перечня вопросов, подлежащих обсуждению по степени важности. Порядок прохода приглашенных лиц на совещание, переговоры; ведение ими записей; особенности использования технических средств документирования информации. Документирование хода совещаний и их результатов. Порядок регистрации приглашенных лиц, необходимые документы, предъявляемые ими.
Требования к помещениям, где проводятся совещания и переговоры по конфиденциальным вопросам. Порядок реализации режимных мер в ходе подготовки и проведения закрытого совещания и переговоров.

16. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПРИЕМЕ В ОРГАНИЗАЦИИ ПОСЕТИТЕЛЕЙ И КОМАНДИРОВАННЫХ ЛИЦ
Требования режима защиты информации при приеме в организации посетителей. Порядок доступа посетителей и командированных лиц к конфиденциальной информации. Порядок пребывания посетителей на территории и в помещениях организации. Организация контроля исполнения режимных требований в период пребывания в организации посетителей.
Обязанности лиц, участвующих в работе с посетителями. Порядок отчетности о результатах работы с посетителями.

17. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПРИЕМЕ В ОРГАНИЗАЦИИ ИНОСТРАННЫХ ПРЕДСТАВИТЕЛЕЙ
Функции и полномочия РСО или СБ при приеме иностранцев. Требования к программе приема иностранцев. Основные положения плана мероприятий по обеспечению режима конфиденциальности в период пребывания иностранцев на объекте.
Организация работы с иностранцами. Требования к помещениям, в которых проводится прием представителей другой страны.
Порядок ознакомления иностранцев со сведениями, составляющими конфиденциальную информацию.
Особенности документирования в процессе переговоров. Порядок пересылки (передачи) документации этим лицам.
Обязанности лиц, участвующих в работе с иностранцами. Порядок отчетности о результатах работы с иностранцами.

18. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ РЕКЛАМНОЙ И ПУБЛИКАТОРСКОЙ ДЕЯТЕЛЬНОСТИ
Рекламная и публикаторская деятельность как реализация принципа открытости организации, возможности обеспечения социального контроля. Соотношение принципов открытости и «разумной закрытости» в деятельности организации. Понятие «реклама». Основные виды и формы рекламы. Общие требования режима защиты информации в процессе рекламной и других форм деятельности по продвижению на рынке товаров, услуг и имиджа организации. Особенности защиты информации, определяемые направлениями деятельности организации, целями продвижения, характером рекламируемых товаров и услуг, содержанием и характером рекламных обращений, видами, формами и средствами рекламы. Наиболее уязвимые с точки зрения защиты информации виды, формы и средства рекламы.
Основные методы защиты информации в рекламной деятельности; совокупности методов, используемых в различных видах рекламы.
Понятия «публикаторская деятельность», «связи с прессой и общественностью».
Общие требования режима защиты информации при осуществлении организации публикаторской деятельности и связей с прессой и общественностью.
Необходимость обеспечения прав личности на интеллектуальную собственность, научную и социальную активность при реализации мер по защите информации.
Организация работы по защите информации при осуществлении публикаторской деятельности и связей с прессой; участие в ней Службы безопасности.
Методы оценки эффективности защитных мероприятий в рекламной и публикаторской деятельности.

19. ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ПОДГОТОВКЕ МАТЕРИАЛОВ К ОТКРЫТОМУ ОПУБЛИКОВАНИЮ
Понятие «публикация в открытой печати».
Общие требования режима защиты конфиденциальной информации при опубликовании материалов в открытой печати. Особенности защиты информации при опубликовании материалов, определяемые характером деятельности организации, целями публикации, содержанием и характером публикации.
Организация работ по защите информации при открытом опубликовании материалов. Организационно-правовое регулирование процессов защиты информации, составляющей государственную тайну. Государственные, ведомственные и организационные нормативные акты, регламентирующие защиту государственной тайны в печати.
Задачи функции РСО (СБ) по защите конфиденциальной информации при открытом опубликовании материалов.
Порядок создания и функционирования Экспертных комиссий предприятий. Порядок представления и рассмотрения материалов, предназначенных для опубликования. Основания к принятию решений по результатам рассмотрения и оценки материалов. Документирование процессов рассмотрения материалов и принятия решений.

20. АНАЛИТИЧЕСКАЯ РАБОТА КАК ОСНОВА УПРАВЛЕНИЯ СИСТЕМОЙ ОРГАНИЗАЦИОННОЙ ЗАШИТЫ ИНФОРМАЦИИ
Понятие, цели и задачи аналитической работы по защите информации.
Анализ методик аналитической работы, обеспечивающих управляемость системы организационной защиты информации- Технология аналитической работы; основные ее этапы. Первый этап. Определение проблемы, формулирование целей и предварительных гипотез (или версий). Разработка программы (проекта) исследования.
Второй этап. Сбор информации. Отбор и анализ источников информации. Категории источников. Методы их оценки с точки зрения надежности. Внутренние и внешние источники.
Категории исходных данных: первичные и вторичные; стратегические, тактические и сигнальные; базовые, текущие и умозрительно-оценочные. Первичная группировка данных; формы их учета.
План сбора информации. Методы сбора (получения) информации. Методы оценки информации с точки зрения ее объективности и достоверности. Определение состава собираемых данных.
Третий этап. Анализ собранной информации - производство аналитического продукта, его распространение (использование). Процедура производства аналитического продукта: поиск смысловых логических связей между явлениями, фактами, событиями, людьми в соответствии с программой исследования и формулирования выводов, подтверждающих или опровергающих гипотезу.
Основные методы анализа: сравнение, сопоставление или противопоставление, классификация, в том числе многомерная, моделирование, графические методы, в том числе метод сети связей и ДР-Представление и оформление полученных результатов. Основные формы представления аналитического продукта.
Формы распространения и использования результатов аналитического исследования.
Использование аналитических методов при определении объектов и субъектов защиты, их взаимоотношений; при проектировании построения, функционировании и оценке эффективности системы организационной защиты информации.

21. ПЛАНИРОВАНИЕ ПРОЦЕССОВ ОРГАНИЗАЦИОННОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Сущность планирования как одной из основных функций управления системой организационной защиты информации. Цели планирования. Оценка и анализ состояния системы ОЗИ, как основа планирования.
Стратегические и тактические планы. Соотношение планов ОЗИ с планами организации. Разновидности планов; их содержание и форма.
Методы планирования. Особенности программно-целевого планирования.

22. КОНТРОЛЬ ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ОРГАНИЗАЦИОННОЙ ЗАШИТЫ ИНФОРМАЦИИ
Сущность контроля как функции управления. Цели контроля. Функции контроля: сбор, обработка и анализ информации о фактических результатах деятельности по защите информации, сравнение их с планами, выявление отклонений и анализ причин отклонений; разработка мероприятий, необходимых для достижения целей ОЗИ. Учет и отчетность по ОЗИ. как основа контроля.
Объекты контроля. Методы контроля: анализ, наблюдение, проверка, сравнение, учет и др. Методика оценки эффективности контроля. Документирование процесса и результатов контроля как основа анализа, планирования и организационно-правового регулирования структур и процессов ОЗИ.