Кадровое обеспечение функционирования КСЗИ.
Распределение функций по защите информации
1. Функции руководства предприятия

• принятие управленческих решений,
• контроль их выполнения
• применение управленческих воздействий, направленных на достижение поставленных в решениях задач.

2. Функции службы защиты информации:

• организация планирования, разработки и проведения мероприятий по защите информации ограниченного доступа при проведении работ с ее носителями;
• координация деятельности структурных подразделений предприятия по вопросам защиты информации ограниченного доступа, контроль выполнения ими нормативных документов по защите такой информации;
• анализ деятельности предприятия по защите информации ограниченного доступа, выявление возможных каналов ее утечки и подготовка предложений по их закрытию;
• учет и анализ нарушений режима обеспечения сохранности информации ограниченного доступа;
• участие в работе по отнесению сведений к различным категориям информации ограниченного доступа, разработке перечней такой информации, нормативно-методических документов по обеспечению ее защиты;
• участие в проведении служебных расследований в случае утраты либо хищения носителей информации ограниченного доступа, других нарушений режима обеспечения сохранности такой информации, а также по фактам ее разглашения;
• организация проведения профилактической работы с работниками предприятия по соблюдению режима обеспечения сохранности информации ограниченного доступа;
• разработка перечней должностей работников, подлежащих допуску к информации ограниченного доступа;
• контроль разработки и осуществление мероприятий по защите информации ограниченного доступа;
• осуществление мероприятий, обеспечивающих доступ к информации ограниченного доступа только тех работников, которым она необходима для выполнения должностных обязанностей;
• проведение инструктажа работников, допущенных к информации ограниченного доступа, контроль знания ими требований нормативных документов по режиму обеспечения ее сохранности;
• ведение учета осведомленности работников в информации ограниченного доступа;
• участие в обеспечении пропускного режима, охраны предприятия и режимных территорий, контроле несения службы охраной;
• участие в определении эффективности инженерно-технических средств охраны и разработке предложений по их совершенствованию;
• организация и ведение учета носителей информации ограниченного доступа;
• контроль соблюдения установленного порядка работы с носителями информации ограниченного доступа.

3. Функции специальных комиссий:

• экспертные комиссии, предусмотренные ст. 14 Закона РФ «О государственной тайне»;
• внутренние проверочные комиссии;
• советы по безопасности.

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в АС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба защиты (служба компьютерной безопасности, отдел защиты информации, подразделение по информационной безопасности).
Служба представляет собой штатное или нештатное подразделение, создаваемое для организации квалифицированной разработки системы защиты информации и обеспечения ее функционирования.
Организационно-правовой статус службы защиты определяется следующим образом:

• численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;
• служба защиты должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;
• штатный состав службы защиты не должен иметь других обязанностей, связанных с функционированием АС;
• сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;
• руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты информации;
• службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

СлЗИ может быть создана на базе внутреннего резерва предприятия. Основное преимущество использования внутреннего резерва – привлекаемые сотрудники СлЗИ могут быть хорошо ознакомлены со спецификой самого предприятия и особенностями обеспечения ЗИ. Недостаток – недостаточная профессиональная подготовка. Следовательно, надо организовать подготовку и переподготовку кадров.
Общероссийский классификатор профессий рабочих, должностей служащих и тарифных разрядов (ОКПДТР)
1. Техник по защите информации (1, 2, 3 категория, среднее профессиональное образование и стаж работы/без предъявления стажа работы)
2. Специалист по защите информации (1, 2 категория, высшее профессиональное (техническое) образование и стаж работы/ без предъявления стажа работы).
3. Главный специалист по защите информации (высшее профессиональное (техническое) образование и стаж работы по защите информации не менее 5 лет).
4. Инженер по защите информации (Высшее профессиональное (техническое) образование без предъявления требований к стажу работы или среднее профессиональное (техническое) образование и стаж работы в должности техника по защите информации I категории не менее 3 лет либо других должностях, замещаемых специалистами со средним профессиональным образованием, не менее 5 лет)
5. Начальник отдела (лаборатории, сектора) по защите информации (Высшее профессиональное (техническое) образование и стаж работы по защите информации на инженерно-технических и руководящих должностях не менее 5 лет.)
6. Начальник самостоятельного научно-исследовательского отдела (лаборатории, бюро, группы) по комплексной защите информации
7. Начальник самостоятельного научно-технического отдела (бюро, группы) по комплексной защите информации
8. Руководитель аналитической группы подразделения по комплексной защите информации
9. Руководитель группы подразделения по комплексной защите информации
Этапы кадрового обеспечения:
1. Прием на работу:
Методы отбора и оценки:

• тестирование;
• изучение личных документов, документов об образовании, трудовой деятельности на предыдущих местах работы, рекомендаций, характеристик;
• проверка подлинности личных документов и документов об образовании;
• изучение и подтверждение полноты и точности сведений, изложенных в анкетных материалах и автобиографии;
• проведение конкурсов на замещение вакансий;
• аттестование сотрудников предприятия в целях подтверждения профессиональной квалификации, возможного выдвижения на более высокие должности, для создания резерва кандидатов на продвижение по службе;
• проверка с использованием баз учета органов внутренних дел (наличие судимости, нахождение под следствием, в розыске и т.п.);
• проверка финансового состояния и кредитной истории.
• Подбор кадров для КСЗИ осуществляется в зависимости от ряда факторов:
• характера выполняемых работ;
• объема выполняемых работ;
• наличия кооперации;
• особенностей технологического процесса;
• выполняемых функций по защите обработки КИ.
• Юридическое обеспечение — заключение контракта и получение у сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой и других тайн, в том числе:
• обязанности сохранять в тайне информацию ограниченного доступа, полученную в ходе трудовой деятельности и после прекращения трудовых отношений;
• права собственности предприятия на результаты интеллектуальной деятельности работника, созданные в рамках выполнения трудового договора;
• обязанности работника возвратить полученные в ходе трудовой деятельности носители информации ограниченного доступа;
• обязанность не использовать сведения, составляющие коммерческую тайну предприятия, после смены места работы в ходе трудовой деятельности на других предприятиях;
• обязанности выполнять требования по защите информации ограниченного доступа, установленные как законодательством, так внутренними правилами и инструкциями предприятия;
• обязанности использовать технические средства обработки информации и средства связи (телекоммуникации), принадлежащие предприятию, только в служебных целях.

2. Обучение:

• обучение персонала, обеспечивающего защиту информации с ограниченным доступом
•  вечерняя и заочная, в учебных заведениях высшего и среднего профессионального образования,
•  на курсах подготовки, переподготовки и повышения квалификации,
•  на рабочем месте под руководством более опытного работника,
•  при стажировке в однопрофильных организациях,
•  инструктажи, конференции и т.д.
• обучение персонала, использующего в своей работе такую информацию
• .организация подготовки персонала по вопросам зашиты информации непосредственно на предприятии, под руководством сотрудников службы защиты информации;
• подготовка (переподготовка) специалистов в области защиты государственной тайны, конфиденциальной информации, в том числе и по сложным техническим направлениям этой деятельности.

3. Адаптация:

• ознакомлением с техникой безопасности, режимами работы, с рабочим местом, навыками владения средствами и предметами труда;
• знакомство с работой органов управления и обеспечения работы предприятия (отдел кадров, администрация и т. д.), со сферой жизни коллектива, связанной с бытом и отдыхом;
• профессиональная адаптация;
• социально-психологическая адаптация, связанная с вхождением нового работника в первичный коллектив.

4. Мотивация - процесс побуждения себя и других к деятельности для достижения личных целей или целей организации
Эффективность работы специалистов зависит от 2-х параметров:

• способность выполнять требуемые функции - профессиональный потенциал (опыт, навыки работы, знания);
• желание выполнять требуемые функции (мотивация), психофизиологическое состояние.

На мотивацию влияют следующие факторы:

• вознаграждение;
• положительная оценка выполняемой работы;
• возможность профессионального роста;
• уровень общей культуры.

5. Текущая работа с действующим персоналом СлЗИ:

• расстановка сотрудников по направлениям ЗИ;
• организация социальной и профессиональной адаптации сотрудников в коллективе СлЗИ;
• организация системы оплаты и стимулирования труда;
• оценка результатов деятельности любого сотрудника;
• организация продвижения по службе наиболее перспективных сотрудников;
• организация подготовки руководителей СлЗИ на базе внутреннего резерва;
• организация подготовки и переподготовки сотрудников;
• исследование коллектива СлЗИ с точки зрения неформальной организации.

6. Увольнение
7. Система подготовки резерва - процесс замещения освобождающихся должностей.
Система подготовки резерва предполагает решение следующих задач:

• выявление сотрудников организации, имеющих потенциал для занятия соответствующих должностей;
• подготовка этих сотрудников к работе в данной должности;
• обеспечение плавного замещения освободившейся должности и утверждения в ней нового сотрудника.

Подготовка резерва может осуществляться путем применения различных методов (метод наставничества, постепенная адаптация).
Обеспечение благоприятного псих. климата в коллективе как элемент системы
Возникновение конфликта в коллективе сказывается на качестве ЗИ и качестве управления.
Знание причин конфликтов позволяет руководству СлЗИ использовать различные способы для их предотвращения и решения:

• разъяснения сотрудникам предприятия необходимости обеспечения ЗИ;
• определение конкретных прав и обязанностей сотрудников СлЗИ и закрепление их в нормативных документах;
• определение некоторого арбитра, который мог бы решить возникший конфликт;
• создание и определение необходимой концепции ЗИ как одной из целей безопасности пред-тия и информирования о них всех заинтересованных подразделений и сотрудников;
• разработка системы вознаграждений сотрудников за выполнение норм и правил по ЗИ;
• разработка всей необходимой организационно-правовой и нормативно-методической базы, регламентирующей обеспечение ЗИ на предприятии.

В целом, можно сказать, какой бы ни была природа конфликта, его причины необходимо выявить, саму проблемную ситуацию следует внимательно изучить и на этой основе управлять конфликтом. Если конфликты на предприятии (в коллективах основных подразделений, в службе защиты) возникают стихийно и постоянно, если они не управляемые, это может привести либо к снижению эффективности функционирования, либо даже к полному разрушению системы. Управляемые же конфликты могут иногда давать положительные результаты.