Государственная система защиты информации

Гл16

1. Типовые организационные структуры государственной системы защиты информации.

Цель охраны.

· поставить под надежную защиту ведущие отношения предприятия как внутри него, так и в сфере его предпринимательской деятельности;

· предупредить любые посягательства на предприятие, его коренные интересы в сфере предпринимательства;

· пресечь начавшееся посягательство на предприятие, его коренные интересы, приостановить либо вовсе исключить причинение предприятию, его коренным интересам морального, материального, физического и иного ущерба.

Формулировка "цели" требует выделения "ведущих отношений" внутри предприятия и в сфере его " предпринимательства. То есть речь идет о таких видовых связях, без которых немыслимо само существование предприятия, его нормальная жизнь и деятельность, а также его модернизация. "Ведущие отношения" необходимо искать в характере предпринимательства предприятия, в особенностях его, объектов, территорий, персонала и материальных ценностей, подлежащих охране.

Охране подлежат

а) стационарные объекты предприятия: здания; сооружения; коммуникации; средства производства;

продукция; территория; места хранения денежных средств, ценных бумаг и драгоценностей; средства связи и др.;

б) подвижные объекты частного предприятия: транспортные средства; информация; персонал; грузы; маршруты передвижения; деловые встречи; бизнес мероприятия; денежные средства, ценные бумаги и драгоценности и др.

Задачи охраны

1. Контроль объекта, закрытой территорий' и территории ограниченного доступа (в масштабах предприятия) с. целью обнаружения возможных опасных ситуаций (могущих дестабилизировать нормальную его работу, привести к повреждению, разрушению либо уничтожению его объектов и находящихся на них материальных ценностей, вызвать угрозу жизни и здоровью персонала) и принятие по ним своевременных адекватных решений.

2. Осуществление пропускного режима посетителей, транспортных средств и грузов на контролируемую территорию с целью установления личности и учета посетителей, ввоза вывоза материальных ценностей, предотвращения несанкционированного их перемещения, а также фиксацию следов скрытых и открытых попыток хищения имущества с охраняемой территории.

3. Обеспечение конфиденциальности в деятельности предприятия, его филиалов и проводимых бизнес мероприятий предотвращения несанкционированной передачи коммерческой информации за пределы охраняемого объекта, закрытой территории и территории ограниченного доступа.

4. Сопровождение материальных ценностей ценных бумаг и персонала предприятия с целью предотвращения причинения вреда либо утраты их в период транспортировки.

5. Защита объекта, закрытой территории и территорий ограниченного доступа, материальных ценностей, ценных бумаг и персонала предприятия от насильственных действии и вооруженных нападений со стороны преступных элементов.

6. Систематический анализ состояния охраняемых объектов, закрытых территорий и территорий ограниченного доступа с целью выработки рекомендаций руководству предприятия о необходимости совершенствования системы охраны.

Гл17

11. Основное назначение корпоративной нормативной базы службы безопасности .

12. Структура корпоративной нормативной базы службы безопасности.

13. Разделы типового формата положений о структурных подразделениях службы безопасности.

14. Перечень и краткая характеристика основных нормативных документов процедурного уровня ИБ.

15. Чем определяется срок жизненного цикла корпоративной нормативной базы по информационной безопасности.

ПБ[- идеология без-ти пр-тия]

16. Различие в определениях политики информационной безопасности.

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

17. Отличие нормативно-методических документов политики безопасности от нормативных документов процедурного уровня.

18. Особенности документального оформления политики безопасности, и чем они объясняются.

19. Типовое содержание политики безопасности, оформленной в виде единого документа.

Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала:

- определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации

- изложение целей и принципов информационной безопасности, сформулированных руководством

- краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например, таких как:

* соответствие законодательным требованиям и договорным обязательствам;

* требования в отношении обучения вопросам безопасности;

* предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

* управление непрерывностью бизнеса;

* ответственность за нарушения политики безопасности.

- определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности

- ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме.

Для того чтобы политика информационной безопасности не оставалась только «на бумаге» необходимо, чтобы она была:

- непротиворечивой – разные документы не должны по разному описывать подходы к одному и тому же процессу обработки информации

- не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей

- не налагала невыполнимых обязанностей и требований.

В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.

20. Назначение Концепции обеспечения информационной безопасности организации.

«Концепция обеспечения безопасности информации в автоматизированной системе организации» (далее - Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС организации, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС.

Основные положения и требования Концепции распространяются на все структурные подразделения организации, в которых осуществляется автоматизированная обработка подлежащей защите информации, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС.

21. Содержание Концепции обеспечения информационной безопасности организации.

В Концепции информационной безопасности должны быть отражены следующие вопросы:

• характеристика АС организации, как объекта информационной безопасности (объекта защиты):

• назначение, цели создания и эксплуатации АС организации

• структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами

• категории информационных ресурсов, подлежащих защите

• категории пользователей ас организации, режимы использования и уровни доступа к информации

• интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений;

• уязвимость основных компонентов АС организации

• цели и задачи обеспечения информационной безопасности организации и основные пути их достижения (решения задач системы защиты)

• перечень основных опасных воздействующих факторов и значимых угроз информационной безопасности:

• внешние и внутренние воздействующие факторы, угрозы безопасности информации и их источники

• пути реализации непреднамеренных субъективных угроз безопасности информации в АС организации

• умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала

• утечка информации по техническим каналам

• неформальная модель возможных нарушителей

• подход к оценке риска в АС организации;

• основные положения технической политики в области обеспечения безопасности информации АС организации

• принципы обеспечения информационной безопасности организации;

• основные меры и методы (способы) защиты от угроз, средства обеспечения требуемого уровня защищенности ресурсов АС:

• организационные (административные) меры защиты

• структура, функции и полномочия подразделения обеспечения информационной безопасности;

• физические средства защиты

• технические (программно-аппаратные) средства защиты

• управление системой обеспечения безопасности информации

• контроль эффективности системы защиты

• первоочередные мероприятия по обеспечению безопасности информации АС организации

• перечень нормативных документов, регламентирующих деятельность в области защиты информации

• основные термины и определения

22. Цель и задача аудита информационной безопасности.

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит – это, как правило, разовое мероприятие, проводимое по инициативе руководства организации или акционеров. Рекомендуется проводить внешний аудит регулярно, а, например, для многих финансовых организаций и акционерных обществ это является обязательным требованием. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании «Положения о внутреннем аудите» и в соответствии с планом, подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:

· анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов ИС

· оценка текущего уровня защищенности ИС;

· локализация узких мест в системе защиты ИС;

· оценка соответствия ИС существующим стандартам в области информационной безопасности;

· выработка рекомендаций по внедрению новых и повышению эффективности существующих механизмов безопасности ИС.

Пожалуй, этим и исчерпывается набор целей проведения аудита безопасности, но только в том случае, если речь идет о внешнем аудите. В число дополнительных задач, стоящих перед внутренним аудитором, помимо оказания помощи внешним аудиторам, могут также входить:

· разработка политик безопасности и других организационно-распорядительных документом по защите информации и участие в их внедрении в работу организации;

· постановка задач для ИТ персонала, касающихся обеспечения защиты информации;

· участие в обучении пользователей и обслуживающего персонала ИС вопросам обеспечения информационной безопасности;

· участие в разборе инцидентов, связанных с нарушением информационной безопасности;

· и другие.

Одной из стратегических задач, решаемых при проведении аудита информационной безопасности и получении соответствующего сертификата, является демонстрация надежности предприятия, его способности выступать в качестве устойчивого партнера, способного обеспечить комплексную защиту информационных ресурсов, что может быть особенно важно при осуществлении сделок, предполагающих обмен конфиденциальной информацией, имеющей большую стоимость (финансовыми сведениями, конструкторско-технологической документацией, результатами НИОКР и т.п.).

Одной из важных задач аудита может быть установление того, насколько предприятие способно противодействовать внутренним угрозам в лице сотрудников, целенаправленно действующих, чтобы нанести тот или иной ущерб предприятию и имеющих для этого различные возможности. В частности, для этого могут быть исследованы:

· процедуры отбора и принятия новых сотрудников на работу, а также их предварительной проверки;

· процедуры контроля за деятельностью сотрудников (отслеживания их действий);

· процедуры регистрации пользователей и назначения им прав в информационных системах;

· распределение функций между различными сотрудниками и минимизация их привилегий, а также возможное наличие избыточных прав у некоторых пользователей и администраторов.

Основными этапами проведения аудита являются:

1. инициирование проведения аудита;

2. непосредственно осуществление сбора информации и проведение обследования аудиторами;

3. анализ собранных данных и выработка рекомендаций;

4. подготовка аудиторского отчета и аттестационного заключения.

1. Аудит должен быть инициирован руководством предприятия с достаточно четко сформулированной целью на определенном этапе развития информационной системы или системы обеспечения информационной безопасности предприятия (например, после завершения одного из этапов внедрения). В случае если аудит не является комплексным, на начальном этапе необходимо определить его непосредственные границы:

· перечень обследуемых информационных ресурсов и информационных систем (подсистем);

· перечень зданий, помещений и территорий, в пределах которых будет проводиться аудит;

· основные угрозы, средства защиты от которых необходимо подвергнуть аудиту;

· элементы системы обеспечения информационной безопасности, которые необходимо включить в процесс проверки (организационное, правовое, программно-техническое, аппаратное обеспечение);

2. Основная стадия – проведение аудиторского обследования и сбор информации – как правило, должно включать в себя:

· анализ имеющейся политики информационной безопасности и другой организационной документации;

· проведение совещаний, опросов, доверительных бесед и интервью с сотрудниками предприятия;

· проверку состояния физической безопасности информационной инфраструктуры предприятия;

· техническое обследование информационных систем – программных и аппаратных средств (инструментальная проверка защищенности).

Прежде чем приступить собственно к аудиту информационной безопасности, аудиторам (в частности, если проводится внешний аудит) необходимо ознакомиться со структурой предприятия, его функциями, задачами и основными бизнес-процессами, а также с имеющимися информационными системами (их составом, функциональностью, процедурами использования и ролью на предприятии). На начальном этапе аудиторы принимают решения о том, насколько глубоко и детально будут исследованы отдельные элементы информационной системы и системы защиты информации. Также необходимо заранее скоординировать с пользователями информационных систем процедуры проверки и тестирования, требующие ограничения доступа пользователей (такие процедуры по возможности должны проводиться в нерабочее время или в периоды наименьшей загрузки информационной системы).

3. Качественный анализ действующей на предприятии политики безопасности является отправной точкой для проведения аудита. Одна из первых задач комплексного аудита — установление того, в какой степени действующая политика соответствует объективным потребностям данного предприятия в безопасности, могут ли действия в рамках данной политики обеспечить необходимый уровень защищенности информации и средств ее обработки, хранения и передачи. Это, в свою очередь, может потребовать проведения дополнительной оценки значимости основных информационных активов предприятия, их уязвимости, а также существующих рисков и угроз.Анализ политики также может включать оценку таких ее характеристик, как:

· полнота и глубина охвата всех вопросов, а также соответствие содержания политик нижнего уровня целям и задачам, установленным в политиках верхнего уровня;

· понятность текста политики для людей, не являющихся техническими специалистами, а также четкость формулировок и невозможность их двойного толкования;

· актуальность всех положений и требований политики, своевременность учета всех изменений, происходящих в информационных системах и бизнес-процессах.

После проверки основных положений политики безопасности в процессе аудита могут быть изучены (проверены) действующие классификации информационных ресурсов по степени критичности и конфиденциальности, а также другие документы, имеющие отношениек обеспечению информационной безопасности:

· организационные документы подразделений предприятия (положения об отделах, должностные инструкции);

· инструкции (положения, методики), касающиеся отдельных бизнес-процессов предприятии;

· кадровая документация, обязательства о неразглашении сведений, данные сотрудниками, свидетельства о прохождении обучения, профессиональной сертификации, аттестации и ознакомлении с действующими правилами;

· техническая документация и пользовательские инструкции для различных используемых программных и аппаратных средств (как разработанных самим предприятием, так и приобретенных у сторонних поставщиков): межсетевых экранов, маршрутизаторов, операционных систем, антивирусных средств, систем управления предприятием и т.п.

Основная работа аудиторов в процессе сбора информации заключается в изучении фактически предпринимаемых мер по обеспечению защиты информационных активов предприятия, таких как:

· организация процесса обучения пользователей приемам и правилам безопасного использования информационных систем;

· организация работы администраторов информационных и телекоммуникационных систем и систем защиты информации (правильность использования программных и аппаратных средств администрирования, своевременность создания и удаления учетных записей пользователей, а также настройки их прав в информационных системах, своевременность замены паролей и обеспечение их соответствия требованиям безопасности, осуществление резервного копирования данных, ведение протоколов всех производимых в процессе администрирования операций, принятие мер при выявлении неисправностей и т.п.);

· организация процессов повышения квалификации администраторов информационных систем и систем защиты информации;

· обеспечение соответствия необходимых (в соответствии с политикой безопасности и должностными обязанностями) прав пользователей информационных систем и фактически имеющихся;

· организация назначения и использования специальных ("суперпользовательских") прав в информационных системах предприятия;

· организация работ и координации действий при выявлении нарушений информационной безопасности и восстановлении работы информационных систем после сбоев и нападений (практическое выполнение "аварийного плана");

· предпринимаемые меры антивирусной защиты (надлежащее использование антивирусных программ, учет всех случаев заражения, организация работы по устранению последствий заражений и т.п.);

· обеспечение безопасности приобретаемых программных и аппаратных средств (наличие сертификатов и гарантийных обязательств, поддержка со стороны поставщика при устранении выявленных недостатков и т.п.);

· обеспечение безопасности самостоятельно разрабатываемого программного обеспечения (наличие необходимых требований в проектной документации информационных систем, качество программной реализации механизмов защиты и т.п.);

· организация работ по установке и обновлению программного обеспечения, а также контроля за целостностью установленного ПО;

· предпринимаемые меры по обеспечению учета и сохранности носителей информации (дисков, дискет, магнитных лент и т.п.), а также по их безопасному уничтожению после окончания использования;

· эффективность организации взаимодействия сотрудников предприятия – пользователей информационных систем – со службой информационной безопасности (в частности, по вопросам реагирования на инциденты и устранения их последствий).

Одним из важных направлений аудиторской проверки является контроль того, насколько своевременно и полно положения и требования политики безопасности и других организационных документов доводятся до персонала предприятия. В том числе, необходимо оценить, насколько систематически и целенаправленно осуществляется обучение персонала (как при занятии должностей, так и в процессе работы), и, соответственно, дать оценку тому, в какой мере персонал понимает все предъявляемые к нему требования, осознает свои обязанности, связанные с обеспечением безопасности, а также возможную ответственность, которая может наступить при нарушении установленных требований.

Результаты анализа могут быть представлены как в виде обобщенных кратких формулировок, характеризующих защищенность информации предприятия (адресованных руководству и собственникам предприятия), так и в виде перечня конкретных замечаний и предложений, относящихся к отдельным участкам работы (адресованных руководителю департамента информационной безопасности, руководителю службы безопасности, функциональным директорам и руководителям структурных подразделений предприятия).

4. Окончательным результатом анализа и обобщения данных, полученных в процессе аудита, является отчет (заключение), который может включать в себя:

· оценку состояния (уровня) защищенности информационных ресурсов и информационных систем;

· заключения о практическом выполнении требований, предусмотренных политикой информационной безопасности предприятия и иными требованиями и документами;

· заключение о степени соответствия фактического уровня информационной безопасности требованиям определенных стандартов и нормативных документов;

· предложения по усовершенствованию политики информационной безопасности и реализации дополнительных практических мероприятий в этой сфере (как организационных, так и технических), а также о тех мерах, которые необходимо реализовать для прохождения сертификации на соответствие определенному стандарту (если по результатам проведенного аудита сделан вывод о том, что текущий уровень защищенности информационных ресурсов предприятия не соответствует таким требованиям);

· заключение о степени соответствия политики безопасности предприятия и всего комплекса мер по защите информации требованиям действующего законодательства и ведомственных нормативных актов;

· оценки экономической эффективности вложений в те или иные средства защиты информации, а также организационные мероприятия (отдачи от них);

· количественная (денежная) оценка возможных потерь от тех или иных нарушений, которые могут произойти при существующем уровне обеспечения информационной безопасности, а также расчет необходимых вложений, которые необходимо осуществить для достижения определенного уровня защищенности.

Также по результатам аудита могут быть сформулированы дополнительные рекомендации, касающиеся:

· пересмотра отдельных бизнес-процессов и процедур;

· совершенствования работы с персоналом предприятия;

· внедрения и использования современных технических (программных и аппаратных) средств обработки и защиты информации;

· организации работы по защите информации;

· выбора приоритетов в процессе устранения существующих недостатков.

23. Методология деятельности по обеспечению безопасности объекта на основе политики безопасности.

24. Перечень контрольных мероприятий и действий по оценке уровня безопасности объекта.

Контрольные мероприятия подразделяются на внутренние и внешние. Внутренние контрольные мероприятия осуществляются силами работников, ответственных за обеспечение безопасности ПДн. При проведении внешних контрольных мероприятий привлекаются сторонние организации.

Кроме того, контрольные мероприятия подразделяются на плановые и внеплановые.

Плановые контрольные мероприятия проводятся периодически в соответствии с утвержденным Планом проведения контрольных мероприятий и направлены на постоянное совершенствование системы защиты персональных данных .

Внеплановые контрольные мероприятия проводятся на основании решения инженера по безопасности группы информационных технологий. Решение о проведении внеплановых контрольных мероприятий может быть принято в следующих случаях:

· по результатам расследования инцидента информационной безопасности;

· по результатам внешних контрольных мероприятий, проводимых регулирующими органами.

Кроме того, любой работник вправе подготавливать обоснованные предложения о необходимости проведения внеплановых контрольных мероприятий и предоставить их лицу, ответственному за обеспечение безопасности ПДн.

Гл 18

КПР

25. Определение понятия «режимный объект» и видов обеспечения его безопасности.

"режимные объекты"- объекты, на которых ведутся работы с использованием сведений, составляющих государственную тайну, и для функционирования которых установлены специальные меры безопасности. [Указ Президента РФ от 30 ноября 1995 г. N 1203 "Об утверждении перечня сведений, отнесенных к государственной тайне"

Пропускной режим - совокупность правил, мероприятий и процедур, определяющих порядок допуска лиц и транспортных средств, их перемещения по объектам и территории ГОУ ВПО «УГТУ - УПИ», а также регламентирующий порядок перемещения материальных ценностей и имущества (внос, вынос, ввоз, вывоз) с объекта - на объект.

Внутриобъектовый режим – совокупность организационных и технических мероприятий, и правил, направленных на обеспечение безопасности сотрудников Предприятия, установленного внутреннего порядка, сохранения государственной и служебной тайны, предотвращения хищения материальных ценностей, документов, поддержание надлежащего внутреннего трудового распорядка на объектах Предприятия.

Установление пропускного и внутриобъектового режимов предусматривает:

− организацию контрольно-пропускных пунктов (далее - КПП) или постов с функциями КПП на входах (выходах) на охраняемые территории (в охраняемые помещения);

− создание бюро пропусков;

− определение перечня должностных лиц и работников, имеющих право входа на охраняемые территории (в охраняемые помещения);

− введение системы постоянных, временных, разовых и материальных пропусков, определение порядка их учета, выдачи, замены, перерегистрации, возврата и уничтожения;

− установление специальных шифров, магнитных карт и других идентификаторов личности, дающих их обладателю право прохода на определенные объекты, охраняемые территории (в охраняемые помещения);

− определение перечня должностных лиц, имеющих право давать разрешение на выдачу пропуска соответствующего вида и на простановку специальных шифров (Приложение №1);

− определение перечня предметов, запрещенных к вносу (ввозу) на охраняемую территорию (в охраняемые помещения);

− организацию охраны режимных территорий (режимных помещений), создание охраняемого периметра режимных территорий (локальных зон) и его оснащение необходимыми техническими средствами охраны.

26. Цель и задачи организации пропускного режима.

Пропускной режим

2.1. Цели, задачи, элементы пропускного режима.

2.1.1. Пропускной режим- совокупность правил, мероприятий и процедур, регламентирующих порядок допуска лиц и транспортных средств на охраняемую территорию ГОУ ВПО «УГТУ-УПИ», а также порядок движения материальных ценностей (внос, вынос, ввоз, вывоз) на его объектах.

2.1.2. Пропускной режим предназначен для исключения:

возможности несанкционированного доступа физических лиц и транспортных средств на объекты Университета;

бесконтрольного посещения работниками и посетителями режимных (специальных) помещений без служебной необходимости;

возможности ввоза (вноса) на объекты Университета веществ и предметов, с помощью которых можно совершить противоправное деяние;

возможности несанкционированного выноса (вывоза), хищения с объектов материальных ценностей, документов, информационных носителей и т.д.

2.1.3. Пропускной режим включает в себя:

порядок доступа работников Университета, посетителей и других лиц;

порядок вноса (выноса) и ввоза (вывоза) товарно-материальных ценностей;

порядок въезда, выезда и парковки транспортных средств;

порядок передвижения лиц по территории Университета;

порядок работы и оборудования контрольно-пропускных пунктов;

порядок работы подразделения охраны на территории Университета.

порядок досмотра работников и студентов Университета, а также иных лиц при допуске их на объекты Университета.

порядок оснащения объектов техническими средствами контроля доступа, ограждением, а также устройствами контроля и ограждения примыкающих территорий;

2.1.4. Для организации допуска лиц и автотранспорта в контролируемые зоны ГОУ ВПО «УГТУ-УПИ», в Университете создаются контрольно-пропускные пункты. Контрольно-пропускные пункты строятся и оборудуются в каждом конкретном случае по типовым или индивидуальным проектам.

2.1.5. Количество контрольно-пропускных пунктов, через которые осуществляется доступ на охраняемую территорию, должно устанавливаться с учётом обеспечения эффективной работы Университета и обслуживаться достаточным количеством сотрудников Службы безопасности ГОУ ВПО «УГТУ-УПИ».

2.1.6. Контрольно-пропускные пункты должны быть оборудованы надёжными средствами связи, освещением, турникетами, металлическими воротами, оснащенными автоматизированными, дистанционными системами открытия, тревожной сигнализацией, техническими средствами для досмотра работников и иных лиц при допуске их на охраняемую территорию, а также специальными устройствами для досмотра транспортных средств и грузов.

2.1.7. В помещениях контрольно-пропускного пункта должны быть оборудованы стенды с образцами действующих в Университете удостоверений и пропусков, а также образцами подписей должностных лиц, имеющих право подписи постоянных, временных, разовых и материальных пропусков.

Контрольно-пропускной режим (как часть системы безопасности) должен соответствовать действующему законодательству, уставу предприятия, а также иным нормативно-правовым актам, регулирующим деятельность предприятия.

Основными целями создания контрольно-пропускного режима являются:

· защита законных интересов предприятия, поддержание порядка внутреннего управления;

· защита собственности предприятия, ее рациональное и эффективное использование;

· рост прибылей предприятия;

· внутренняя и внешняя стабильность предприятия;

· защита коммерческих секретов и прав на интеллектуальную собственность.

Контрольно-пропускной режим как часть системы безопасности позволяет решить следующие задачи:

· обеспечение санкционированного прохода сотрудников и посетителей, ввоза (вывоза) продукции и материальных ценностей, ритмичной работы предприятия;

· предотвращение бесконтрольного проникновения посторонних лиц и транспортных средств на охраняемые территории и в отдельные здания (помещения);

· своевременное выявление угроз интересам предприятия, а также потенциально опасных условий, способствующих нанесению предприятию материального и морального ущерба;

· создание надежных гарантий поддержания организационной стабильности внешних и внутренних связей предприятия, отработка механизма оперативного реагирования на угрозы и негативные тенденции;

· пресечение посягательств на законные интересы предприятия, использование юридических, экономических, организационных, социально-психологических, технических и иных средств для выявления и ослабления источников угроз безопасности предприятия.

Контрольно-пропускной режим можно определить как систему обеспечения нормативных, организационных и материальных гарантий выявления, предупреждения и пресечения посягательств на законные права предприятия, его имущество, интеллектуальную собственность, производственную дисциплину, технологическое лидерство, научные достижения и охраняемую информацию и как совокупность организационно-правовых ограничений и правил, устанавливающих порядок пропуска через контрольно-пропускные пункты сотрудников объекта, посетителей, транспорта и материальных ценностей.

27. Нормативная основа организации пропускного режима и каково ее общее содержание.

Практическое решение вопросов, связанных с организацией пропускного режима, оформляется в виде "Инструкции о пропускном режиме". Указанная инструкция должна определять систему организационно-правовых охранных мер, устанавливающих разрешительный порядок (режим) прохода (проезда) на объект (с объекта), и может включать:

1. Общие положения. В этом разделе указываются:

· нормативные документы, на основании которых составлялась инструкция;

· определение контрольно-пропускного режима и цель его введения;

· должностные лица, на которых возлагается организация и практическое руководство контрольно-пропускной системой;

· санкции к нарушителям контрольно-пропускного режима;

· требования к оборудованию различных помещений.

2. Порядок пропуска сотрудников предприятия, командированных лиц и посетителей через контрольно-пропускные пункты. В этом разделе рекомендуется:

· перечислить все КПП и их назначение, описание, расположение и установить их единую нумерацию;

· изложить требования к оборудованию КПП;

· установить порядок прохода сотрудников и посетителей на территорию объекта и в категорированные помещения;

· определить права и основные обязанности контролеров КПП;

· установить помещения, где запрещается принимать посетителей и представителей сторонних организаций.

3. Порядок допуска на объект транспортных средств, вывоза продукции, документов и материальных ценностей. В этом разделе указываются:

· порядок допуска на территорию объекта (с объекта) автотранспорта, принадлежащего объекту;

· порядок въезда и стоянки на территории объекта транспорта, принадлежащего сотрудникам на правах личной собственности;

· порядок пропуска автомашин сторонних организаций, прибывших с грузом в адрес объекта в рабочее и нерабочее время;

· порядок вывоза (ввоза) товарно-материальных ценностей;

· правила оформления документов на вывоз (вынос) материальных ценностей с территории объекта.

4. Виды пропусков, порядок их оформления. В этом разделе определяются:

· виды пропусков, их количество и статус;

· описание пропусков;

· порядок оформления и выдачи пропусков;

· порядок замены и перерегистрации пропусков;

· мероприятия при утрате пропуска сотрудником.

5. Обязанности должностных лиц по поддержанию контрольно-пропускного режима.

6. Учет и отчетность, <