Разработка системы подготовки персонала хозяйствующего субъекта, использующего в работе конфиденциальную информацию

Размещено на http://www.allbest.ru/

ДЕПАРТАМЕН ОБРАЗОВАНИЯ ГОРОДА МОСКВЫ

Государственное бюджетное профессиональное образовательное учреждение

города Москвы

ДИПЛОМНАЯ РАБОТА

Разработка системы подготовки персонала хозяйствующего субъекта, использующего в работе конфиденциальную информацию

Основная профессиональная образовательная программа по специальности

090905 Организация и технология защиты информации

Москва 2015



Введение

Проблемы разработки системы подготовки персонала хозяйствующего субъекта, использующего в работе конфиденциальную информацию и ее анализ, постоянно находятся в центре внимания не только специалистов по разработке и использованию этих систем, но и широкого круга пользователей.

Комплекс всех организационных мер по работе с персоналом предприятия, включает в себя систему обучения персонала, систему привлечения нарушителей к ответственности, и постоянное поддержание атмосферы ответственного отношения к вопросам безопасности, долен в определенной мере, уменьшить негативное влияние человеческого фактора на защищённость информационных систем и состояния информационной безопасности.

Психолого-профессиональная надежность сотрудников находится в прямой зависимости от наличия у них потенциальных возможностей для решения профессиональных задач, на данном рабочем месте. Для того чтобы это оценить, необходимо прежде всего осуществить аттестацию рабочих мест. На основе аттестации рабочих мест удается решить две основные задачи:

· Составить психологический и профессиональный портреты идеального кандидата на работу;

· Выбрать критерии отнесения кандидата к группам пригодности.

Актуальность темы дипломной работы заключается в том, что персонал является частью системы управления корпоративной безопасности.

Целью дипломной работы является разработка системы подготовки персонала, использующего в работе конфиденциальную информации.

Объект исследования является департамент информационной безопасности и работа с персоналом.

Предмет исследования является разработка системы подготовки персонала работающего с конфиденциальной информации в организации, фирме, предприятии.



Глава 1. Департамент информационной безопасности и работа с персоналом

1.1 Департамент информационной безопасности

Департамент информационной безопасности предприятия представляет собой самостоятельное структурное подразделение предприятия, непосредственно выполняющее ключевые функции защиты информационных ресурсов.

Его основными задачами, как правило, являются:

· Организация и координация работ по обеспечению комплексной защиты информации на предприятии ;

· Контроль за выполнением установленных требований и оценка эффективности работы подразделений и персонала предприятия по обеспечению информационной безопасности;

· Выполнение отдельных административных и технических функций по обеспечению информационной безопасности ,в т.ч.:

- формирование, поддержка и документальное обеспечение политики информационной безопасности на всех уровнях;

- внедрение различных средств защиты информации;

- администрирование отдельных информационных систем.

Состав задач департамента и его внутренняя организационная структура в каждом конкретном случае определяется такими особенностями функционирования предприятия, как:

· Значимость информационных ресурсов в работе предприятия и характер существующих угроз;

· Отношения руководства и собственников предприятия к вопросам информационной безопасности и их управленческая квалификация;

· Функциональность и характер используемых информационных систем, их роль в бизнес-процессах;

· Организация работы и структура ИТ-службы

· Финансовое состояние предприятия

Таким образом, решение о составе и структуре департамента в каждом случае должно быть индивидуальным и учитывающим все основные условия.

Функции, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия могут включать в себя:

· Консультирование руководителей и собственников предприятия по вопросам разработки и совершенствования политики информационной безопасности;

· Самостоятельная разработка политики безопасности, ее согласования и представление ее руководству предприятия для утверждения, а также внесение необходимых изменений по мере изменения условия работы предприятия;

· Формирования требований и регламента процедур пересмотра политики безопасности, отдельных правил, типовых и других документов;

· Управление обучением персонала компании ( контроль за полнотой и правильностью материалов учебных программ ,связанных с той информационной безопасностью, обеспечение своевременности прохождения обучения и т.п);

· Консультирование специалистов и руководителей подразделений предприятия по вопросам соответствия разрабатываемых внутренних документов отдельных подразделений требованиям политики безопасности предприятия;

· Контроль соответствия внутренних организационных документов предприятия, требованием политики информационной безопасности, а также согласование таких документов при утверждении.

Функции, связанные с внедрением средств защиты информации могут включать в себя:

· Анализ своевременных программных и аппаратных средств защиты информации и связанных с ними методик защиты, а также рынка доступных средств защиты информации, применяемых для различных целей, и подготовка обоснованных предложений по приобретению определенных продуктов определенных поставщиков;

· Привлечение сторонних экспертов и консультантов для анализа закупаемых и используемых средств защиты информации с точки зрения их надежности, а также с точки зрения целесообразности их применения (внедрения).

· Подготовку обоснованных решений о выборе между самостоятельной разработкой средств защиты информации(например, программных модулей, осуществляющих шифрование данных) и передачей их разработки сторонним компаниям.

Функции, связанные с администрированием информационных систем и систем защиты информации могут включать в себя:

· Выполнение некоторых функций по администрированию отдельных информационных систем, а так же администрирование и конфигурирование систем защиты информации( межсетевых экранов, систем предприятия (в частности, подключенных к его локальной сети);

· Привлечение сторонних организаций для осуществления текущего администрирования информационных систем и систем защиты информации, а так же для консультационной и технической поддержки при возникновении инцидентов, связанных с информационной безопасностью;

· Реагирование на различные инциденты, связанные с нарушением информационной безопасностью;

· Участие в восстановлении работоспособности информационных систем после сбоев и нарушений в работе.

Функции, связанные с контролем выполнения требований политики информационной безопасности и проведением аудитов могут включать в себя:

· Сбор и анализ сведений о нарушениях различных требований политики безопасности, поступающих из различных источников(в том числе и от администраторов информационных систем) и определена приоритетных направлений контрольной работы;

· проверку состояния(правильности введения) текущей хозяйственной и кадровой документации отдельных подразделений предприятия, связанной с обеспечением информационной безопасностью;

· организацию контрольных проверок защищенности отдельных элементов информационных систем;

· привлечение сторонних организаций для проведения аудитов информационной безопасности на предприятии, проверок надежности информационных систем.

Кроме перечисленных функций, непосредственно связанных с защитой информационных ресурсов, а также большое значение имеет выполнение задач, связанных с охраной имущества предприятия и решением задач, которые связаны с обеспечением безопасности предприятия в более широком смысле. В частности, для обеспечение информационной безопасности имеет значение выполнение таких функций, как:

· охрана территорий и имущества предприятия, а также охрана персонала;

· обеспечение соблюдения пропускного режима

· наблюдение за территорией и помещениями

· организация внутренних служебных проверок и расследований, а также взаимодействия с правоохранительными органами

· контроль за соблюдением временного режима работы, а также за соблюдением правил внутреннего распорядка.



1.2 Организационная структура и персонал департамента информационной безопасности

На практике департамент является подразделением, либо напрямую подчиняющемся первому лицу предприятия, либо входящим в качестве структурной единицы в службу безопасности предприятия. Сотрудники департамента находятся в административном и функциональном подчинении у руководителя департамента, который несет ответственность за обеспечение информационной безопасности на предприятии. Вывод департаментов информационной безопасности из структуры ИТ-служб на предприятиях является одним из важных своевременных тенденций в управлении бизнесом, информационным технологиями и информационной технологиями и информационной безопасности, т.к, по мнению некоторых специалистов, у этих подразделений имеются некоторые частично взаимопротиворечащие интересы и поэтому некоторые задачи не могут быть эффективно решены в рамках одного выполнения определенных функций

· отдел (группа, бюро) нормативной документации

· отдел (группа, бюро) аудита информационной безопасности

· отдел (группа, бюро) внедрения информационных систем и систем защиты информации

Отдел нормативной документации решает задачи, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия. Также в состав такого отдела могут входить юристы. Аналогичный кадровый состав может быть у отдела внутреннего аудита информационной безопасности. При этом к квалификации сотрудников Отдела нормативной документации, как правило, должны предъявляться гораздо более высокие профессиональные требования.

Отдел администрирования информационных систем, а так же отдел внедрения информационных систем и систем защиты информации, как правило, должны включать в себя специалистов по информационным технологиям и средствам защиты информации, имеющих значительный опыт внедрения и эксплуатации корпоративных информационных систем.

1.3 Работа с персоналом предприятия

Практическая реализация всех положений сформированной политики информационной безопасности потребует от предприятия длительных практических усилий. Одним из основных и наиболее сложных направлений работы является работа с персоналом, цели которой:

· Отбор и предварительная проверка персонала, принимаемого на работу

· Обучение сотрудников

· Психическая подготовка с целью противостояния методам т.н. «специальной инженерии»

В одной из своих книг известный специалист по проблемам информационной безопасности Брюс Шнайер заметил, что в общей системе мер по защите информации «математический аппарат является безупречным, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны». Это высказывание наиболее ярко и наглядно демонстрирует важность целенаправленных мероприятий по подбору, расстановке и работе с кадрами предприятия с той целью, что бы в работе инф систем не возникало «узких мест». Основной причиной, определяющей значимость человеческого фактора в общей системе защиты информации значимость человеческого фактора в общей системе защиты информации, является то, что при всей развитости современных средств автоматизации информационные системы по-прежнему представляют собой человека-машинные комплексы и их систем функционирования во многом зависит от работы отдельных людей. Именно по этой причине неадекватное обращение служащих предприятия с компонентами информационной системы может нанести серьезный ущерб информационной безопасности при наличии детально проработанных политик безопасности и высокоэффективных программных и аппаратных средство защиты информации.

Начальная стадия работы - подбор и расстановка кадров - может иметь насколько аспектов. В первую очередь, основным критерием для назначения на определение должности, связанные с работой со сведениями, которые составляют государственную тайну, являются получение соответственных форм допуска. В соответствии с требованием действующих нормативно-правовых актов перечень должностей, при назначении на которые необходимо оформлять специальный допуск, устанавливается руководителем предприятия, несет ответственность за обеспечение режима секретности, а с другой - с тем, что для выполнения функциональных обязанностей сотрудники предприятия необходимо работать с определенными сведениями и, соответственно, иметь определенный уровень допуска.

Также при подборе и расстановке кадров могут применяться менее форматизированные методы. Это могут быть различные методики психологической оценки, включающей в себя:

· Анализ мотивационных аспектов личности;

· Оценку уровня познавательных способностей личности

· Оценку активности личности в достижении поставленной цели, умение объективно оценивать ситуацию и людей, умение вырабатывать оптимальную стратегию поведения.

Такого рода анализ может быть необходим как в отношении специалистов и руководителей, которые работают с информацией, подлежащей защите.

Помимо тщательного подбора, одной из важных основ работы с персоналом является его обучение способам обеспечения информационной безопасности и безопасной работе с информационными системами. В общем случае сотрудник предприятия не может быть допущен к выполнению своих должностных обязанностей и работе с информационными системами до тех пор, пока он не пройдет обучение, по вопросам информационной безопасности и не будет:

· Детально ознакомлен со всем действующими на предприятии требованиями и общими правилами;

· Полностью обучен методам и приемам обеспечения информационной безопасности, необходимым для выполнения его должностных обязанностей;

· Ознакомлен со всеми возможными мерами ответственности

В завершении всей предварительной работы сотрудник должен дать все необходимые обязательства о неразглашении конфиденциальных данных, а так же письменно засвидетельствовать, что он полностью ознакомлен с основными положениями политики безопасности. Также одним из инструментов обучения персонала предприятия может быть периодическое ознакомление персонала с реальными приемами недавно произошедших инцидентов, связанных с информационной безопасностью. Кроме того, дополнительное обучение персонала предприятия может производиться в случаях:

· Внедрения новых автоматизированных информационных систем;

· Изменения бизнес - процессов предприятия;

· Изменений требования политик безопасности

Также доступ к интегрированным информационным системам потенциально может дать доступ к ранее недоступной информации и предоставить ранее отсутствовавшие возможности влиять на различные информационные потоки.

В процессе обучения определенную значимость может иметь разъяснение рациональных причин, по которым предприятие принимает именно такую политику безопасности. Это может служить как для лучшего понимания и усвоения положений политики безопасности, так и для определенной разрядки психологической напряжённости, неизбежно возникающей при принятии ограниченных мер и возложения дополнительных обязанностей, необходимость которых не всегда очевидна и понята как рядовым сотрудникам, так и специалистам.

Отдельным направлением обучения и повышения квалификации может быть развитие у персонала компании навыков противодействия методам т.н. социальной инженерии (социотехникой). Использование для незаконного проникновения в информационные системы методов социальной инженерии связанно с т.н «человеческим фактором», который представляет собой совокупность определенных психологических склонностей и особенности мышления и поведения, которые свойственны практически всем людям, к числу таких склонностей и особенностей можно отнести:

· Неспособность адекватно оценить опасность в некоторых ситуациях

· Специфическое отношение к редко происходящим событиям (притупление внимания)

· Излишнее доверие и полагание на средства автоматизации

· Подверженность манипулированию, основная, например, на желание помочь людям и т.д

Именно с использованием некоторых психологических особенностей такого рода осуществляются многие наиболее успешные.

Большую значимость в общей системе мер по преодолению влияния человеческого фактора имеет повседневная работа с персоналом. Помимо обучения персонала и примирения, дисциплинированных мер воздействия, одной из основных задач такой работы являются, постоянное напоминание всем сотрудникам о необходимости соблюдения правил информационной безопасности. Конкретные способы, при помощи которых такие напоминания могут быть сделаны, будут зависеть от предпочтений руководителей предприятия, сложившихся корпоративной культуры, специфики бизнес-процессов и других обстоятельств. Характерными способами такого, как предприятие может постоянно напоминать своим сотрудника о необходимости соблюдать осторожность, являются:

· Размещение и периодическая смена напоминания о необходимости соблюдать требования политики информационной безопасности на предметах, постоянно находящихся в поле зрения

· Периодическая рассылка соответствующих брошюр, бюллетеней и буклетов, а также и буклетов, а также сообщений по электронной почте

· Использование голосовой почти и громкой связи для периодической передачи сообщения о необходимости соблюдения правил информационной безопасности и т.п.

Таким образом, комплекс всех организационных мер по работе с персоналом предприятия, включающий в себя систему обучения персонала, систему привлечения нарушителей к ответственности, и постоянное поддержание атмосферы ответственного отношения к вопросам безопасности, долен в определенной мере, уменьшить негативное влияние человеческого фактора на защищённость информационных систем и состояния информационной безопасности.

1.4 Система корпоративной безопасности

1.4.1 Структура системы корпоративной безопасности

Безопасность любой фирмы в конечном итоге является функцией от ее адаптационных возможностей и особенностей среды, в которой она осуществляет свою деятельность. В свою очередь и среда, и сама фирма, компания, организация априори содержат в себе факторы угрозы, т.к некие элементы, которые в случае активизации при определенных условиях могут нанести непоправимый ущерб их жизненно важным центрам.

Таким образом, любая отдельно взятая фирма или организация в своем становлении выступает одновременно в дух ролях - как в виде субъекта, активно управляющего процессом обеспечения собственной безопасности, так и в качестве объекта, нуждающегося в защите от воздействия внешних и внутренних факторов угрозы, способных привести к деструктивным процессам.

Любая вновь образованная фирма или организация в своем становлении и развитии проходит несколько этапов. Каждый из этапов характеризуется своим, присущим именно ему соотношением адаптационных возможностей и факторов угрозы, а соответственно, и уровнем надежности системы корпоративной безопасности.

На первом этапе решаются вопросы адаптации к рынку. Если при этом фирма занимает свободную или достаточно простую нишу на рынке товаров и услуг, то какое-то время чувствует себя сравнительно безопасно, не ощущая реальной угрозы со стороны внешних сил, даже при отсутствии мощной системы корпоративной безопасности. В этом случаем устойчивость ее деятельности будут зависеть, прежде всего от профессионализма персонала и управленческой компетенции менеджеров. Этот период обычно длится весьма недолго.

Второй этап характеризуется повышенной активностью, связанной с практической реализацией своих целей. Он сопровождается вступлением в целый спектр взаимодействий со средой, что проявляется, прежде всего в установлении многочисленных деловых контактов с партнёрами и потребителями.

Такая активность обязательно привлекает внимание к ней со стороны конкурентов и криминальных структур. Как следствие, возникает задача создание эффективной системы корпоративной безопасности. Основными психологическими критериями надежности становятся управленческая компетентность высшего управленческого звена в областях управления корпоративной безопасностью и рефлексивного управления, профессионализм службы безопасности, высокая исполнительская дисциплина сотрудников

Третий этап является наиболее сложным в развитии любой фирмы или организации. На этом этапе фирма либо прекращает свое существование, не справившись с возникшими трудностями, либо продолжает свое развитие и закрепление на рынке. Не последняя роль в вопросах выживания отводится и системе корпоративной безопасности

Таким образом, управление безопасностью фирмы, компании, организации становится самостоятельной задачей и объектом деятельности специально подготовленных менеджеров, групп или подразделений.

Учитывая то обстоятельство, что помимо службы безопасности в реализации системы мер обеспечения корпоративной безопасности фирмы, компании, организации принимают участие и сотрудники других подразделений, возникает потребность ввести должность менеджера по безопасности. Основными функциональными обязанностями этого менеджера будут:

· Контроль за эффективностью, стабильностью функционирования системы безопасности фирмы, компании, организации, соответствием ее текущему состоянию среды

· Координация взаимодействия между всеми участниками процесса обеспечения корпоративной безопасности

· Управление процессом обеспечения корпоративной безопасности в критических и экстремальных условиях

Характерной особенностью процесса управления корпоративной безопасностью является тот факт, что в него вовлекаются практически все сотрудники фирмы в составе подразделения и индивидуально. При этом один и тот же сотрудник может в разное и даже в одно и то же время выступить и в качестве субъекта управления, и в качестве объекта защиты, и даже в качестве фактора угрозы корпоративной безопасности.

Таким образом, деятельность по обеспечению корпоративной безопасности может быть охарактеризована как индивидуально-групповая. Безопасность фирмы в целом зависит от адекватности или неадекватности действий и поступков каждого члена команды, выполняющее определенные функциональные обязанности создается специальная система - система корпоративной безопасности.

Создание системы безопасности начинается, как правило, с разработки проекта блок-схемы и конструкций системы. При этом главное внимание уделяется трем основным фактором.

1) Анализу угроз безопасности данному объекту

2) Оценке вероятности актуализации этих угроз

3) Выработке адекватных средств и методов защиты

Ядром системы корпоративной безопасности должна быть служба безопасности. Структура, численность и задачи службу корпоративной безопасности разрабатываются на основании результатов экспертизы, представлено в форме развернутого заключения.

Вторым подразделением, которое постоянно решает вопросы обеспечения корпоративной безопасности, является служба персонала.

На основе информации, полученной в результате анализа угроз и прогноза их актуализации, осуществляются разработка концепции и новой схемы обеспечения корпоративной безопасности или корректировка уже существующей. Эта процедура проводится регулярно по результатам мониторинга поля угроз.

Когда концепция и принципиальная схема системы безопасности построена, их привязывают к специфическим особенностям объекта для максимального использования имеющихся структур и систем.

Основным элементом системы является служба безопасности. Полнокровная служка безопасности включает в себя несколько подразделений , например, такие:

· Служба охраны (включая телохранителей, водителей - телохранителей, охранников - инкассаторов, охранников по сопровождению ценных грузов)

· Служба экономической безопасностью

· Группа защиты информации и информационно - аналитического обеспечения

· Группа обслуживания технических средств защиты

· Группа маркетинга разведки

· Группа психологической поддержки

Такую полнокровную службу безопасности может себе позволить, только достаточно богатая фирма, имеющая многочисленный персонал.

Большинство средних и малых коммерческих фирм ограничиваются службой безопасностью, ориентированной прежде всего на выполнение охранных функций.

Каждая из перечисленных групп выполняет свои довольно специфические функции, определяющие характер требований к профессиональной и психологической пригодности, к надежности своих сотрудников.

Схематично система корпоративной безопасности отображена на рисунке 1. Как и любая система, система корпоративной безопасности нуждается в управлении.

Рисунок 1. Корпоративная безопасность

1.5 Субъекты управления системой корпоративной безопасности

Под субъектами управления корпоративной безопасностью мы будем понимать те подразделения и отдельных сотрудников, кто целенаправленно воздействует на систему с целью противодействия факторам внешней и внутренней угрозы. К субъектам управления процессом обеспечения корпоративной безопасности компании относятся

· Высшее руководство

· Менеджер по безопасности

· Руководители основных подразделений

· Служба персонала

· Служба безопасности или ЧОП

1.5.1 Руководство как субъект управления корпоративной безопасности

Руководству фирмы, компании организации принадлежит ключевая роль в разработке концепции корпоративной безопасности, определении необходимого уровня защиты, выдачи санкций на проведение острых оперативных мероприятий, финансировании деятельности, поддерживающие работоспособность системы корпоративной безопасности.

Для решения всех этих задач каждый руководитель должен быть знаком хотя бы с азами управления безопасностью. Кроме того, руководство непосредственно управляет двумя подразделениями:

· Информационно-аналитическими

· Маркетинговой разведкой

1.5.1.1 Менеджер по безопасности

Это новый тип менеджеров, подготовка которых в вузах началась сравнительно недавно, Основной его задачей является координация действий всех участников процессе обеспечения корпоративной безопасности. Далеко не все руководитель фирмы осознали необходимость введения в штат этой должности, считая, что наличие службы безопасности решает все проблемы. Подробное мнение ошибочно, так как в обеспечении корпоративной безопасности, особенно в крупных фирмах, участвует большое число независимых друг от друга подразделений, и координировать их действия должен специально подготовленный менеджер, ознакомленный со спецификой деятельности каждого из них.

1.5.1.2 Служба персонала

Служба персонала непосредственно связана с процессом управления корпоративной безопасностью. В ее функции входит решение таких задач, как подбор и расстановка кадров, мониторинг происходящего логического климата, выявление негативных тенденций в коллективе, аттестация персонала, увольнение сотрудников. Каждое из этих действий имеет непосредственное отношение к обеспечению корпоративный безопасности фирмы.

1.5.1.3 Служба безопасности

Ведущая роль в обеспечении безопасности фирмы принадлежит службе безопасности и ее команде. Деятельность службы безопасности включает в себя выполнение следующих функций:

· Разведывательных

· Контрразведывательных

· Охранных

· Фискальных

· Карательных

Такая многоплановость деятельности определяет и сложность структуры службы, и специфику отношения к ней остальных сотрудников фирмы, компании, организации. Понимая необходимость ее наличия, определенные группу сотрудников в то же время относятся к службе безопасности как к фактору помехи и угрозы собственной деятельности

В зависимости от принятой концепции безопасности личный состав службы безопасности может быть как постоянный, так и переменной частью персонала компании. Постоянной часть она считается в том случае, если сотрудники службы безопасности являются одновременно сотрудниками компании. Переменной- если сотрудники службы безопасности является прикомандированными к фирме сотрудниками какого-либо частного охранного предприятия (ЧОПа)

Политика фирмы в отношении службы безопасности может реализоваться в одной из следующих форм:

· Для выполнения охранных функций приглашаются охранная фирма

· Охранные функции возлагаются на охранную фирму, а вопросы внутренней безопасности и защите информации обеспечиваются силами собственной службой безопасностью.

· Все вопросы корпоративной безопасности решаются силами собственной службы безопасностью.

Каждый из предложенных вариантов имеет свои сильные и слабые стороны.

В первом варианте, отдав функции охраны профессионалам, руководство фирмы избавляется от необходимости решать вопросы обеспечения целостности и неприкосновенности собственных объектов.

Но, покупая услуги охранных фирм, следует учитывать, что при этом теряются функции контроля, за качеством подбора исполнителей, их квалификацией и профессиональной надежность. Вне зоны внимания остается большой круг вопросов, имеющих существенное значение для создания комплексной системы безопасности, так как эти вопросы носят глубоко интимный характер для фирмы и их нельзя доверять посторонним.

Второй вариант более предпочтителен, так как он предлагает разделение функций. Рутинная работа по физической охране объектов возлагается на плечи охранной фирмы. Что же касается объектов, возлагается на плечи охранной фирмы. Что же касается вопросов обеспечения внутренней безопасности, то все что входит в компетенцию собственной службы безопасности.

Одним из недостатков второго варианта является необходимость координации действий между двумя фактическими самостоятельными и независимыми структурами, работающими на одну цель.

Третий вариант фактически лишен недостатков двух других, но, выбирая его, руководство фирмы вынуждено брать на себя решение вопросов по разработке собственной концепции и собственной политики корпоративной безопасности. персонал безопасность отбор корпоративный

Первой трудностью на этом пути становится профессионального опыта работы в этом направлении. Решение проблемы путем приема на работу в качестве руководителей служб безопасности, бывших сотрудников правоохранительных органов не дает ожидаемого положительного эффекта, так как принадлежность к правоохранительным органам еще не является гарантией достаточной профессиональной подготовки сотрудника для решения поставленных перед ним задач в новых для него условиях.

Служба безопасности должна решать две большие группы задач:

· Обеспечение корпоративной безопасности компании

· Обеспечение собственной безопасности

Занимаясь выполнением своих функциональных задач, сотрудники службы безопасности сталкиваются с множеством проблем.

К ним, в частотности, относятся:

1) Профилактика попыток совершения противоправных действий в отношении руководства и сотрудников фирмы

2) Предварительное расследование чрезвычайных происшествий, фактов использования наркотиков, мошенничества, воровства среди сотрудников компании

3) Разработка поддержания системы информационной безопасности

4) Обеспечения руководства компании и ее владельцев информацией обо всех случаях, затрагивающих безопасность компании

5) Взаимодействие с местными властями п правоохранительными органами в случае проведения различных расследований и пр.

6) Обеспечение технической и профессиональной поддержки всем членом правления в случае выдвижения обвинений в совершении противоправных действий

7) Взаимодействие с СБ других фирм в целях поддержания мер безопасности на оптимальном уровне

8) Обеспечения обратной связи СБ с персоналом и руководством фирмы

9) Помощь в подборе и обучении профессионалов

10) Проведение маркетинговой разведки

11) Осуществление спец проверки кандидатов на работу

1.5.2 Характер взаимодействия сотрудников службы безопасности с другими субъектами корпоративной безопасности

При реализации своих служебных функций сотрудники службы безопасности вступают в конфликтное взаимодействие с основным персоналом компании, так как вынуждены, предъявлять к персоналу требование, имеющие ограничительно-дискриминационные характер.

Таким образом, отдельные представители службы безопасности на уровне взаимодействия с представителями других подразделений или с людьми, посещающие фирму с теми или иными целями, вступают в субъект-субъектные отношения.

Наиболее часто вступают во взаимодействие с персоналом фирмы сотрудники охраны.

Охранник постоянно контактирует с сотрудниками других служб и может оказать существенное влияния на формирование правильного отношения инструкций и положения о службе безопасности, быть всегда вежливыми, сдержанными, корректными.

Охранник, представляющий компанию, должен быть:

· Честным

· Мужественным

· Бдительным

· Высоко дисциплинированным

· Лояльным.

Неграмотные действия при предотвращении порчи или кражи собственности, получение взяток или презентов, нарушения правил компании или увлечении сколькими делами любого вида - все это должно являться причиной для немедленного увольнения.

Некоторые обязанности, такие, как патрульные осмотры, со временем становятся монотонными из-за своей рутиной природы. Однако это не должно влиять на качество работы охранника, не должно рассматриваться как смягчающее обстоятельство в случаях нарушения охранником своих функциональных обязанностей.

Необходимо незамедлительно и надлежащим образом выполнять приказы, отданные прямыми вышестоящими и непосредственными начальниками .

Предписания обычно определяют неправомочность оставления поста охранником до прихода смены или до приказа о смене. Охранник не должен допускать, чтобы личные симпатии или анти симпатии влияли на выполнение работы

Наиболее важными качествами, которые должен обладать охранник, являются:

· Вежливость

· Сдержанность

· Интерес

Необходимо, чтобы охрана была заинтересована в своей работе.

1.5.3 Манера поведения

Приятный внешний вид охранника является важным фактором для создания хорошего впечатления. Каждый охранник должен соблюдать личную гигиену и быть опрятным в одежде.

Курение в униформе и на дежурстве должно быть запрещено, за исключением курения в комнатах и помещениях, специально предназначенных для использования охраны вне дежурства.

Ниже приведен список пунктов, которые могут быть внесены в инструкции для охраны:

· Быть вежливыми, тактичными и дружелюбными;

· Быть благородными и уверенным в своем умении;

· Быть искренним;

· Не угрожать и не быть воинственным;

· Не увлекаться оскорбительными выражениями и не демонстрировать личную мстительность;

· Улучать свои манеры настолько, насколько это возможно;

· Быть уравновешенными и сохранять самообладание в любых ситуациях.

1.6 Персонал как субъект процесса управления корпоративной безопасностью

Выступая в качестве субъекта управления процессом обеспечения и поддержания корпоративной безопасности, каждый сотрудник должен осознавать свою роль в этом процессе. Его задачами, прежде всего являются:

· Сохранение сведений, представляющих коммерческую тайну;

· Точное выполнение требований сотрудников службы безопасности, связанное с их функциональными обязанностями ;

· Адекватное реагирование на факторы угрозы различной природы, умение эффективно действовать в чрезвычайных ситуациях;

· Своевременное информирование службы безопасности о фактах событиях, представляющие реальную угрозу корпоративной безопасности.



Вывод по главе 1

В первой главе описывается структура департамента информационной безопасности как основной структурной единицы, отвечающей за комплексную защиту информации на предприятии. Раскрывается внутренняя структура департамента, основные задачи и направления его деятельности, методы работы.



Глава 2. Три составляющие эффективной системы обеспечения корпоративный безопасности

2.1 Задачи эффективной системы корпоративной безопасности

Эффективная система корпоративной безопасности должна обеспечивать решение трех групп задач:

· Выявление факторов угрозы;

· Профилактика наступления негативных последствий их актуализации;

· Пресечение негативных явлений и процессов, реально угрожающих корпоративной безопасности.

2.2 Выявление факторов угрозы

Выявление факторов угрозы постоянно занимаются два подразделения:

· Служба безопасности;

· Служба персонала.

При этом служба безопасности в большей степени ориентирована на изучение факторов внешней угрозы. Служба персонала - преимущественно на внутренних.

Решение этой задачи у службы персонала сводится в следующим аспектам деятельности:

· Оценка и прогноз надежности персонала на стадии отбора;

· Аттестация персонала;

· Мониторинг психологического климата в подразделениях;

· Выявление групп корпоративного риска.



2.3 Оценка и прогноз надежности персонала на стадии отбора

Суммарная надежность персонала, а следовательно, и уровень корпоративной безопасности во многом зависят от стратегических принципов, которыми руководитель учредители фирмы при комплектовании команды.

Специалисты выделяют несколько критериев надежности персонала, и в идеале сотрудник фирмы должен соответствовать каждому из них.

1.Профессиональная надежность.

Она обеспечивается уровнем квалификации и опыта, соответствующим требованием выполняемой работы. Профессионально надежный водитель не допустит аварии, секретарь не забудет напомнить своему патрону о важном звонке, бухгалтер не подставит фирмы под штраф за неуплату налога, а менеджер не закупит партию заведомо негодного товара.

2.Психологическая надежность

Определяется свойствами темперамента, характера, личности, позволяющим работнику уверенно и бесперебойно действовать в любой ситуации, включая неожиданные и нештатные. Сюда же относится способность работать в условиях длительных стрессов и перегрузок.

3. Моральная надежность

Этим термином обычно обозначается преданность сотрудника своей организации, лояльность, чувство ответственности перед ней, отношение к делу как к своему собственному, личному.

Надежность персонала является производной от стратегии формирования штата. На практике реализуются следующие стратегии:

· Набор и пополнение команды по принципу личного знакомства и на основе рекомендации близких друзей и знакомых;

· По объявлением в средствах массовой информации;

· Используя услуги рекрутинговых фирм;

· Комбинированный метод;

· Отсутствие устойчивой стратегии.

Подбор персонала по принципу: «Я его хорошо знаю», «Они надежный человек» в той или иной степени оправдан для малых предприятий на ранних стадий их восстановления. Однако в своей основе он содержит ряд факторов, снижающих уровень безопасности фирмы или организации.

Во-первых, далеко не всегда учредителями фирмы являются люди, имеющие необходимый уровень компетенции в той области, которой они собираются заниматься. В этом случае отсутствие знаний заменяется энтузиазмом и опытом, приобретенным в процессе деятельности. Основной лозунг: «Главное ввязаться в драку, а там посмотрим»

Во-вторых, принцип личной преданности руководителям фирмы может перерасти в зависимость последних от своих сотрудников. Трудно уволить человека, с которым ты начинал и который так тебе предан, даже если он является балластом в настоящее время,

Кроме того, «первые» сотрудники очень болезненно реагируют на появление в составе команды новых лиц, которые отодвигают их на вторые и третьи роли.

В-Третьих, при расширении фирмы руководители часто обращаются с призывом подобрать новых сотрудников своим коллегам, а они, в свою очередь, начинают рекомендовать своих друзей и знакомых, сознательно или подсознательно отдавая предпочтение тем, кто обычно ниже их по квалификации (не станет конкурентом)

Таким образом, профессиональный суммарный потенциал фирмы не только увеличится, но и падает. При этом ставится под угрозу и исполнительская дисциплина за счет образования часто конкурирующих друг с другом за влияние на руководителей микро групп, а это, в свою очередь, ставит под угрозу корпоративную безопасность фирмы и ее конкурентоспособность.

Пополнение штата за счет объявлений в средствах массовой информации содержит в себе несколько потенциальных угроз:

· Риск принять на работу сотрудников с недостаточной профессиональной компетенцией;

· Проникновение на фирму лиц, засланных конкурентами или криминальными структурами с целью промышленного шпионажа или разложения ее изнутри.

Особенно сильна эта угроза проявляется в ситуациях, когда на фирме, в компании или организации отсутствует система квалифицированного психолого-профессионального отбора сотрудников.

Пополнение штата с использованием услуг рекрутинговых фирм могут себе позволить далеко не все фирмы. Однако те из них, кто обладает надлежащими средствами, могут прибегнуть к такой стратегии. Следует отметить, что в этом случае надежность рекомендованных кандидатов на работу будет зависеть от уровня квалификации сотрудников рекрутинговой фирмы.

Тем не менее высокий профессионализм сотрудников рекрутинговой фирмы не является гарантией того, что среди предложенных ею кандидатов не окажется лиц, «представленных» конкурентами и криминальными структурами либо тех, кто по своим личностным качествам не сможет адаптироваться к коллективу. Профилактикой подобных негативных явлений может стать входной контроль, осуществляемый кадровой службой и службой безопасности.

Там, где руководители не уделяют должного внимания вопросам организации подбора, отбора, сопровождения, обучения, ротации персонала, где кадровая политика строится спонтанно, без учета законов формирования команды, уповая только на собственной безопасности, становится сложной проблемой.

Использования комбинированного метода из-за его непредсказуемости не позволяет службе персонала и службе безопасности построить эффективную систему подбора и отбора кадров.

Термины «подбор» и «отбор кадров» в литературе часто используются как синонимы. Выполняются они, в общем-то, одну и ту же функцию, но все же имеются существенные отличия в тактике их применения и надежности конечного результата.

Подбор кадров подразумевает целенаправленный поиск кандидатов на работу и их предварительное изучение до стадии личного контакта.

Отбор персонала подразумевает выбор кандидата на работу из числа тех, кто сам изъявил желание работать на фирме, тех, кто предложен рекрутинговой компанией или тех, кто остался в результате подбора.

Вариант подбора более предпочтителен с точки зрения безопасности, так как благодаря активности внимателя снижается вероятность попадания в штат сотрудников, подставленных конкурентами.

2.4 Аттестация сотрудников

Одна из целей аттестации персонала - выявление среду сотрудников фирмы тех, кто находится в состоянии внутриролевых конфликтов типа «Я-Роль» и «Роль-я».

Работая на фирме, каждый сотрудник приобретает новый профессиональный опыт, меняются системы его ценностных ориентаций и ведущих потребностей. Такое развитие сопровождается периодическим возникновением у сотрудника внутриролевых конфликтов.

Аттестация должна носить регулярный характер и преследовать следующие цели:

· Оценку соответствия уровня профессиональной подготовки сотрудника требованиям занимаемой должности;

· Выявление скрытых резервов совершенствования структуры управления.

Каждая из задач непосредственно связана с процессом обеспечения корпоративной безопасности.

Степень соответствия уровня подготовки сотрудника имеет положительную корреляцию с его надежности как исполнителя, если ее отклонения не превышает 10% интервала, отрицательную корреляцию за границами этого коридора.

Наибольшую угрозу безопасности фирмы представляют сотрудники, знания, умения и навыки которых выше требуемых по должности, так как они могут стать причиной нарушения системы управления. Эту категорию сотрудников необходимо либо включать в резерв выдвижения, либо в перевести на участок с большим кругом задач, либо увольнять.

Сотрудники, уровень знаний, умений и навыков которых несколько ниже требуемого, так же представляют угрозу безопасности фирмы, не меньшую, поскольку негативное воздействие этого фактора можно существенно снизить за счет корпоративного или внешнего обучения или перераспределения обязанностей в сторону снижения нагрузки.

При аттестации менеджеров оценке подлежат:

· Управленческая компетентность;

· Стиль управления и его соответствие уровню развития подчиненной команды;

· Наличие и тип авторитета.

У специалистов и менеджеров бывают разные возможности для роста в рамках компании. При сложившейся практике движение вверх для всех категорий сотрудников фирмы возможно только в том случае, если они переходят из категории специалистов в категорию менеджеров. Однако, сменив род деятельности, многие из них по типу своего мышления остаются специалистами.

Не имея возможности приобрести истинный авторитет руководителя, они , чтобы удержаться на руководящих постах и скрыть свою управленческую некомпетентность, вынуждены прибегать к методам завоевания ложных авторитетов.

К таким авторитетам, прежде всего, относятся:

· Авторитет «панибратства» ( в коллективе декларируются равноправие и демократичность общения, при которых каждый сотрудник подразделения имеет свободный доступ в кабинет руководителя в любое время и по любому вопросу). Такой тип авторитета часто формируется у специалистов, перешедших на первую менеджерскую должность в своем коллективе;

· Авторитет «адвоката» (руководитель замалчивает ошибки и промахи в работе своих подчиненных перед вышестоящими инстанциями, со всем разбираясь сам). У него формируется досье на каждого сотрудника, а в подразделении создается атмосфера круговой поруки;

· Авторитет «кнута» (каждый промах или ошибка жестоко наказывается). Такой авторитет существенно сказывается на творческом потенциале команды, нарушает психологический климат;

· Авторитет «пряника» (любое добросовестное выполнение функциональных обязанностей поощряется непропорционально затраченным усилиям). Такой авторитет снижает исполнительскую дисциплину.

· Авторитет «эксперта» (руководитель продолжает чувствовать себя специалистом). Попытки менеджера оставаться экспертом во всех вопросах, решаемых его командой, как правило, нарушает ритм работы команды, и снижают ответственность специалистов за качество выполняемой ими работы. В конечном итоге надежность команды снижается.

Все перечисленные авторитеты в конечном итоге приводят к возмущениям в управленческих информационных потоках, а следовательно, и к снижению корпоративной безопасности.

В процессе аттестации целесообразно использовать специально разработанные анкеты, собеседования, отзывы руководителей и ведущих специалистов.



2.5 Мониторинг Психологического климата в коллективе

Важным индикатором явных и скрытых негативных процессов в коллективе фирмы или отдельных ее подразделениях является состояние психологического климата. Наиболее опасными тенденциями являются:

· Появление неформальных лидеров;

· Формирование микрогрупп негативной направленности;

· Появление отверженных, изгоев;

· Возникновение конфликтов между отдельными сотрудниками и микро группами.

Все эти вопросы решаются с использованием метода измерения групповой сплоченности - социометрии.

Появление неформальных лидеров свидетельствует о снижении авторитета менеджеров, нарушения в управленческой вертикали, появлении сотрудников, переросших свою роль в рамках команды.

Микрогруппы с фатальной неизбежностью образуются в группах численностью более 7 человек. Наибольшую опасность представляют микрогруппы, которые, преследуя свои групповые цели, вступают в конфликт с другими микрогруппами, нарушая тем самым ритм продуктивной деятельности всей команды.

Появление в группе отверженных и большого числа взаимных отвержений является тревожным симптомом, так как свидетельствует о нарушении внутригрупповых контактов. Отверженные из-за обиды на всех могут стать каналом утечки информации, представляющей коммерческую тайну.

В процессе формирования команды или ее доукомплектования психолого-профессиональный отбор целесообразно осуществлять в несколько этапов в соответствии со стратегией.



2.6 Выявление групп корпоративного риска

В ходе мониторинга и путем сопровождения персонала служба персонала совместно со службой безопасности должна выявить тех сотрудников, которые могут быть отнесены к группам корпоративного риска. В составе фирмы можно выделить два типа таких групп:

1. Условная группа лиц, которая в связи с характером своей деятельности или статусом в компании с наибольшей вероятностью может стать объектом целенаправленного негативного воздействия со стороны внешних факторов угрозы. К этой категории принадлежат те сотрудники, которые имеют отношения к материалам, содержащим коммерческую тайну, занимают руководящие посты, позволяющие им принимать важные решения и т.п.

2. Условная группа лиц, которая по своим психологическим характеристикам легко пропадает под негативное влияние, независимо от того, является ли это влияние целенаправленным, фоновым или латентным фактором внутренней угрозы. В нее попадают прежде всего те, кто увлекается азартными играми, имеет склонность к употреблению алкоголя или наркологических веществ, конфликтные, эгоистичные, излишне честолюбивые, имеющие дорогостоящие хобби не соответствующие их заработной плате и т.п.

1. Профилактика негативных последствий актуализации факторов угрозы.

Профилактическая работа является одним из основных условий успешного функционирования системы безопасности. Этот вид деятельности можно условно разделить на два направления - общая профилактика и частная профилактика.

Основное их различие заключается в том, что общая профилактика осуществляется для защиты от абстрактных, генерализированных факторов угрозы. Ее основная задача - подготовить систему к отражению возможных негативных воздействий. Это своего рода усиление иммунитета. Охранная сигнализация, видеосистемы - это, по сути, варианты методов общей профилактики. Они предназначены для защиты от абстрактного правонарушения.

Общепрофилактические методы предусматривают, прежде всего, наличие концепции формирования надежной и работоспособной команды, систему мер по формированию у сотрудников фирмы, компании, организации сознательного отношения к соблюдению требований, режимов, мероприятий, проводимых службой безопасности в целях обеспечения корпоративной безопасности, к выработке первичных умений и навыков поведения в сложных и экстремальных ситуациях.

Основными методами при проведении общепрофилактических мероприятий являются:

· Психологический и профессиональный отбор кандидатов на работу;

· Групповые инструктажи;

· Лекционные и семинарские занятия;

· Групповые тренинги и тренировки.

Что касается частной профилактики, то она проводится в отношении конкретного объекта. Целью частной профилактики в рассматриваемом случае является предупреждение негативных последствий деструктивного воздействия факторов внешней угрозы на отдельных членов команды или на фирму, компанию, организацию в целом, а также защита фирмы, компании, организации от действий членов их команды, умышленных или просто ошибочных, но представляющих угрозу для корпоративной безопасности.

...