Вопрос 4. Управление персоналом организации в целях обеспечения ее информационной безопасности.
Обучение сотрудников организации правилам обеспечения информационной безопасности работодателя.
Общее ограничение: Следует учитывать, что в силу действия психологических факторов в глазах сотрудников эта подготовка, в отличие от профессионального обучения и повышения квалификации, всегда будет носить вторичный по значимости характер. Для большинства же высококвалифицированных специалистов, особенно руководителей среднего и высшего звена, она чаще всего будет вызывать плохо скрываемое раздражение (по крайней мере, до момента первого серьезного столкновения с реальными угрозами).
Общие методические требования к организации подготовки:
Ø распространение подготовки на все категории персонала организации, с дифференциацией ее форм и методов по должностным категориям обучаемых;
Ø непрерывность подготовки, что обеспечивается регулярным проведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес организации;
Ø привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений, обычно имеющих в глазах своих подчиненных больший авторитет;
Ø использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своей и сторонних организаций;
Ø использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи, демонстрация некоторых технических средств защиты и т.п.
Организация подготовки новых сотрудников организации:
Это подготовка является необходимым элементом первичного обучения и адаптации зачисленного в штат персонала и дифференцирована по двум категориям сотрудников – молодых специалистов и сотрудников, уже имеющих опыт практической работы в других организациях.
Для первой категории рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о безопасности работодателя. Кроме того, в силу своего возраста они более легкомысленны, амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектов угроз. Обучение данной категории сотрудников осуществляется в два этапа:
Ø инструктаж со стороны специалиста службы безопасности;
Ø инструктаж со стороны непосредственного руководителя или персонального куратора (наставника).
Для второй категории подготовка проводится по сокращенной программе и включает изучение лишь специфических правил обеспечения безопасности в рамках исполняемых служебных обязанностей.
Организация последующей подготовки сотрудников осуществляется службой безопасности дифференцированно по категориям сотрудников организации:
Ø для высшего руководства – в форме специальных аналитических обзоров, ежемесячно представляемых им за подписью вице-президента по безопасности;
Ø для руководителей структурных подразделений – в форме ежеквартальных встреч с вице-президентом по безопасности;
Ø для остального персонала - в форме специального инструктажа, который не реже одного раза в квартал проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.
контроль над сотрудниками организации:
Субъекты контроля:
Ø служба безопасности;
Ø руководители структурных подразделений.
Объекты контроля:
Ø исполнение сотрудниками установленных правил обеспечения информационной безопасности работодателя;
Ø лояльность сотрудников.
Формы контроля:
а). Профилактический контроль над соблюдением правил обеспечения безопасности проводится с использованием следующих методов:
Ø плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты;
Ø мониторинга ситуации с использованием специальных технических средств наблюдения;
Ø мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений.
б). Контроль личной лояльности персонала осуществляется службой безопасности в отношении сотрудников:
Ø занимающих ключевые рабочие места, обеспечивающие доступ к особо конфиденциальной информации;
Ø привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность:
§ необъяснимое объективными причинами внезапное улучшение материального положения сотрудника или контактирующих с ним родственников;
§ не вызванные служебной необходимостью контакты с представителями субъектов потенциальных угроз (конкурентов, криминальных структур и т.п.);
§ изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа;
§ зафиксированные регулярные высказывания недовольства работодателем, служебным положением, доходами и т.п.
МОТИВАЦИЯ СОТРУДНИКОВ ОРГАНИЗАЦИИ в целях обеспечения ее информационной безопасности реализуется по двум направлениям.
Специальные поощрения за активную работу по укреплению информационной безопасности используются в отношении:
Ø сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;
Ø сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;
Ø руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности;
Ø любым сотрудникам организации, оказавшим службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.
Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности:
а). Административного характера:
Ø смещение с должности руководителя структурного подразделения:
§ неоднократно уличенного в сокрытии фактов нарушения соответствующих правил, допущенных его подчиненными;
§ допустившего утечку абсолютно конфиденциальной информации, повлекшую за собой стратегический ущерб для организации или ее контрагентов;
§ оказавшегося не в состоянии, несмотря на принятые ранее к нему меры воздействия, обеспечить в своем коллективе требуемое отношение к обеспечению информационной безопасности (т.е. наличие регулярных замечаний со стороны службы безопасности);
Ø увольнение сотрудника за невыполнение принятых на себя трудовых обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности;
Ø отказ в пролонгации трудового договора;
Ø досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока;
Ø перевод сотрудника на другое рабочее место (в том числе - в другом подразделении), не предполагающее доступа к конфиденциальной информации;
Ø исключение сотрудника из резерва на выдвижение;
Ø другие методы (объявление взыскания, выговора и пр.).
б). Экономического характера:
Ø лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда;
Ø лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения;
Ø отмена персональных или групповых социально-экономических льгот.
в) Психологического характера:
Ø индивидуальная беседа с руководителем или представителем службы безопасности организации;
Ø обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.
Для подготовки к семинару:
Ø Продумайте ответ на следующие предлагаемые к обсуждению вопросы:
1. Почему угрозы разглашения конфиденциальной информации более опасны в случае нанесения пострадавшей организации имиджевого, а не имущественного ущерба?
2. В каких отраслях экономики наиболее опасна утечка конфиденциальной информации клиентов организации?
3. Кем должно проводиться обучение персонала правилам работы с конфиденциальной информацией?
4. Как должна реагировать служба безопасности в случае выявления факта системной утечки конфиденциальной информации из конкретного подразделения?
5. Вправе ли работодатель уволить сотрудника по подозрению в разглашении конфиденциальной информации, не подтвержденному доказательной базой?
Ø Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:
1. Технические средства для перехвата устной информации.
2. Основные методы перехвата информации в электронной форме.
3. Технические средства защиты от перехвата устной информации.
4. Программные средства защиты от несанкционированного доступа к конфиденциальной информации в электронной форме.
5. Режимные мероприятия, направленные на защиту конфиденциальной информации.
6. Правила обеспечения безопасности конфиденциальной информации на электронных носителях и организация контроля над их соблюдением.
7. Правила работы с конфиденциальными документами и организация контроля над их соблюдением.
8. Правила обеспечения безопасности конфиденциальной информации в устной форме и организация контроля над их соблюдением.
9. Санкции к сотрудникам организации, неумышленно допустившим разглашение конфиденциальной информации.
10. Санкции к сотрудникам организации, умышленно допустившим разглашение конфиденциальной информации.
Ø Выполните тестовое задание для самопроверки:
1. Наибольшую опасность с позиции современной организации представляет разглашение конфиденциальной информации …
а) о деятельности самой организации;
б) о деятельности клиентов и партнеров организации,
в) вопрос не корректен, приоритета не выделяется.
2. Традиционный подход к ранжированию информации по степени конфиденциальности предполагает дифференциацию ее …
а) на три категории;
б) на четыре категории,
в) на пять категорий.
3. В современных условиях наиболее вероятна утечка конфиденциальной информации …
а) на электронных носителях;
б) на бумажных носителях,
в) в устной форме.
4. В отечественных условиях более вероятной причиной утечки конфиденциальной информации по вине сотрудников организации является …
а) осознанная нелояльность работодателю;
б) безответственность виновного сотрудника,
в) неэффективная защита информации самим работодателем.
5. Неумышленное разглашение конфиденциальной информации сотрудниками организации чаще всего является результатом …
а) нарушения правил работы с компьютерной информацией;
б) нарушения правил работы с конфиденциальными документами,
в) нарушения правил проведения деловых переговоров.
6. Разглашение конфиденциальной информации сотрудником организации в форме инициативного доноса на работодателя в налоговые или контролирующие органы государства обычно является следствием …
а) недовольства условиями найма, т.е. самим работодателем;
б) недовольства непосредственным руководителем,
в) как работодателем, так и непосредственным руководителем.
7. Наибольшую угрозу для современного работодателя представляет саботаж со стороны собственного сотрудника в форме умышленного уничтожения (или повреждения) …
а) электронных баз данных;
б) документов на бумажных носителях,
в) оборудования и других имущественных комплексов.
8. Коды и пароли, используемые для ограничения доступа к конфиденциальной информации на электронных носителях, позиционируются …
а) как информация для служебного пользования;
б) строго конфиденциальная информация,
в) абсолютно конфиденциальная информация.
9. Использование организацией компьютеров, лишенных дисководов и разъемов для подключения автономных носителей информации служит профилактическим методом защиты компьютерной информации …
а) от несанкционированного копирования;
б) от умышленного или неумышленного инфицирования вирусами;
в) от внешних для организации хакеров.
10. Конфиденциальную информацию, разглашение которой представляет для организации стратегическую угрозу, наиболее целесообразно хранить …
а) в электронной форме;
б) в электронной форме, предварительно ее продублировав;
в) на бумажных носителях.
Ø Выполните типовые задания:
1. Проведите систематизацию сведений, содержащихся в приведенном ниже перечне, по степени их конфиденциальности. Заполните для этого правую графу таблицы.
| Гриф конфиденциальности | Сведения |
| Абсолютно конфиденциально | |
| Строго конфиденциально | |
| Конфиденциально | |
| Для служебного пользования |
Перечень конфиденциальных сведений:
Ø сведения из личных дел сотрудников;
Ø информация о движении средств по счетам организации;
Ø информация о клиентов организации, переданная на доверительной основе
Ø информация о перспективных научно-технических разработках;
Ø сведения о применяющихся организацией авторских технологиях внутрифирменного менеджмента;
Ø сведения о готовящихся к заключению контрактах;
Ø информация о результатах маркетингового мониторинга обслуживаемого организацией рынка;
Ø информация о системах защитной сигнализации;
Ø внутренняя служебная переписка организации;
Ø информация о численности сотрудников конкретных подразделений;
Ø информация о планируемых на следующий квартал финансовых показателях деятельности организации;
Ø информация об изменениях в ассортиментной и нишевой политиках организации;
Ø информация об объемах товарных запасов на складе организации.
2. Определите категории сотрудников организации, дифференцированные по вероятности разглашения ими конфиденциальной информации работодателя, заполнив для этого правую графу приведенной ниже таблицы:
| Категории риска | Группы сотрудников организации |
| Категория «повышенного риска» | |
| Категория «минимального риска» | |
| Категория «среднего риска» |
3. Сформулируйте завершающую часть соответствующих пунктов должностной инструкции руководителя структурного подразделения, заполнив для этого правую графу приведенной ниже таблицы:
| Раздел должностной инструкции | Содержание соответствующего пункта |
| Функциональные обязанности | В случае выявления факта грубого нарушения подчиненным сотрудником установленных правил работы с конфиденциальной информацией, руководитель подразделения обязан … |
| Функциональные права | В случае выявления фактов, вызывающих сомнения в потенциальной лояльности подчиненного сотрудника, руководитель подразделения вправе … |
| Функциональная ответственность | В случае сокрытия от службы безопасности факта мелкого нарушения подчиненным установленных правил работы с конфиденциальной информацией, влекущего за собою штрафные санкции, руководитель подразделения несет ответственность … |
4. Определите субъектов контроля над соблюдением сотрудниками указанных ниже правил обеспечения информационной безопасности работодателя, заполнив для этого правую графу приведенной ниже таблицы.
| Правила обеспечения информационной безопасности | Субъекты контроля |
| Правила работы с конфиденциальными документами | |
| Правила работы с конфиденциальными базами электронных данных | |
| Правила проведения деловых переговоров | |
| Правила неразглашения коллегам конфиденциальных сведений |
5. Определите санкции за указанные ниже нарушения конкретным сотрудником правил обеспечения информационной безопасности работодателя, заполнив для этого правую графу таблицы.
| Нарушение | Санкции |
| Неумышленное нарушение правил обеспечения компьютерной безопасности, допущенное вторично | |
| Разглашение конфиденциальной информации в присутствии коллег по работе | |
| Умышленная передача конкурентам информации, составляющей коммерческую тайну | |
| Зафиксированная попытка несанкционированного проникновения в конфиденциальные базы данных |
Для подготовки к консультации:выпишите вопросы, ответы на которые вызвали у вас затруднение и требуют дополнительной консультации преподавателя.