Курс лекций по дисциплине Организация работ подразделений защиты информации
Курс лекций
по дисциплине: МДК 01.03 Организация работ подразделений защиты информации
для групп специальности 10.02.01 Организация и технология защиты информации
Разработчик: Плаксо В.А., преподаватель спец.дисциплин ГБПОУ Колледж связи №54 имени П.М. Вострухина
Москва, 2016
СОДЕРЖАНИЕ TOC \o "1-1" \h \z \u Лекция № 1. Структура службы информационной безопасности PAGEREF _Toc467792685 \h 3Лекция № 2. Функции основных групп службы безопасности PAGEREF _Toc467792686 \h 6Лекция № 3. Минимальный штатный состав СБ и обязанности сотрудников PAGEREF _Toc467792687 \h 11Лекция № 4. Цели и задачи СБИ PAGEREF _Toc467792688 \h 18Лекция № 5. Функции службы защиты информации PAGEREF _Toc467792689 \h 20Лекция № 6. Организация деятельности службы безопасности PAGEREF _Toc467792690 \h 22Лекция № 7. Организационные основы и принципы деятельности службы PAGEREF _Toc467792691 \h 24Лекция № 8. Пакет документов для СИБ PAGEREF _Toc467792692 \h 27Лекция № 9. Лицензирование видов деятельности службы безопасности предприятия PAGEREF _Toc467792693 \h 30Лекция № 10. Управление службой защиты информации. Методы управления PAGEREF _Toc467792694 \h 33Лекция № 11. Управление СЗИ. Функции процессов управления PAGEREF _Toc467792695 \h 35Лекция № 12. Управление СЗИ Принципы управления PAGEREF _Toc467792696 \h 40Лекция № 13. Организация информационно-аналитической работы. Цели PAGEREF _Toc467792697 \h 43Лекция № 14. Организация информационно-аналитической работы. Этапы PAGEREF _Toc467792698 \h 48Лекция № 15. Организация работы с персоналом предприятия PAGEREF _Toc467792699 \h 52Лекция № 16. Организация работы с персоналом предприятия PAGEREF _Toc467792700 \h 56
Лекция № 1. Структура службы информационной безопасности
План
Общая структурная схема службы защиты информации
Основные направления деятельности СУИБ
Общая структурная схема службы защиты информации
Управление КСЗИ должно осуществляться специализированной организационной структурой (системой управления информационной безопасностью — СУИБ), которая будет координировать действия подразделений (служб) организации, эксплуатирующей АС, контролировать реализацию политики безопасности информации и пресекать выявленные нарушения. Рассмотрим возможную структуру СУИБ без привязки к конкретной организационно-штатной структуре (Рис. 1. СУИБ).
СУИБ строится как самостоятельная структура организации, подчиняющаяся непосредственно руководителю (заместителю руководителя) организации. В состав СУИБ обычно входит специализированное подразделение (отдел обеспечения безопасности информации, далее — отдел ОБИ), уполномоченные сотрудники подразделений и территориально разобщенных объектов, на которых распоряжением руководителя организации кроме основных задач дополнительно возложено решение задач по обеспечению безопасности информации (нештатные администраторы опасности, далее — администратор БИ); они управляют деятельностью (по вопросам обеспечения безопасности информации) и тесно взаимодействуют с администраторами АС (ее сегментов) и администраторами баз данных.
Примерная структура отдела ОБИ и основные взаимодействующие подразделения приведены на рис. 2.2. В состав отдела входят группы специалистов: главных и ведущих специалистов по защите информации, инженеров-программистов, отвечающих за отдельные направления в работе (за анализ состояния информационных баз, определение требований к защищенности различных подсистем АС и выбор методов и средств обеспечения их защиты, а также за разработку необходимых нормативнометодических и организационно-распорядительных документов по вопросам обеспечения безопасности информации; за эффективное применение и администрирование штатных для операционных и систем управления базами данных и дополнительных специализированных средств защиты и анализа защищенности ресурсов автоматизированных систем).
Отдел ОБИ является самостоятельным структурным подраздением организации и подчиняется заместителю руководителя организации, отвечающему за безопасность. Начальник отдела ОБИ назначается и освобождается от занимаемой должности по согласованию с руководителем организации.
Основные направления деятельности СУИБ
К основные направления деятельности СУИБ относится:
выработка подходов к обеспечению безопасности информации и их практическая реализация, сбор статистических данных с целью анализа и выявления источников угроз и уязвимостей;
составление и ведение схемы информационных потоков, проведение их анализа с целью выявления недостатков в организации КСЗИ, составление и выполнение планов по их устранению.
координация усилий всех подразделений по вопросам обеспечения безопасности информации на предприятии;
взаимодействие с подразделениями ОБИ организаций, yчреждений, использующих информационные ресурсы;
организация и выполнение технологических операций по предоставлению прав доступа сотрудникам к информационным ресурсам и средствам их обработки в соответствии с решениями, принятыми в установленном порядке;
непосредственное обеспечение защиты информационных ресурсов, обрабатываемых с применением технических средств обработки, управление СЗИ;
обеспечение защиты информации, циркулирующей в помЕщениях;
доведение требований по обеспечению безопасности информации до сторонних организаций (партнеров), обращающися к информационным ресурсам;
проведение инструктажей сотрудников по мерам обеснечения безопасности информации, обучение их работе с использованием средств защиты информации;
учет, хранение и выдача носителей информации, генерация паролей, ключей пользователей, используемых в СЗИ, контроль соответствия ПО АС эталонному;
контроль правильности выполнения сотрудниками требований безопасности информации и расследование случаев их нарушения;
оказание консультационной и технической поддержки пользо вателям АС при выполнении ими обязанностей по обеспечению безопасности информации;
постановка и решение научно-технических задач и реализация технологических процедур в области обеспечения безопасности информации.
Для проведения соответствующих мероприятий по защите объекта должна быть создана специальная служба безопасности.
Задачи службы безопасности
Задачи службы безопасности крупного объекта заключаются в следующем:
определение основных направлений работы по обеспечению безопасности деятельности объекта и его персонала, а также сохранности материальных ценностей и информации;
организация работы системы защиты объекта, разработка системы защиты на предпроектной стадии, участие в разработке технического проекта и его реализации, прикатил всех элементов системы защиты, поддержание системы защиты в работоспособном состоянии;
разработка нормативов работы с информацией всех категорий, контроль за соблюдением правил обработки, хранения и пересылки конфиденциальной информации;
разработка мер безопасности и правил обработки, хранения и транспортировки материальных ценностей и ценных бумаг, контроль за выполнением соответствующих нормативов;
организация обучения персонала объекта правилам соблюдения и поддержания режима безопасности деятельности объекта, проведение ежегодных квалификационных тестов;
организация и проведение (совместно с другими подразделениями объекта) мероприятий по защите;
взаимодействие с правоохранительными органами по вопросам безопасности персонала и имущества объекта.
Рис. 1. Отдел информационной безопасности
На схеме рис.2 показана структура службы безопасности и ее место в составе крупного объекта. Численный состав службы зависит от размеров объекта и может составлять десятки и сотни человек.
1194816-67284
Рис. 1. Структура службы
безопасности
Возможны два принципиальных
подхода к созданию службы безопасности.
Первый - обратиться в специализированную
фирму, обладающую по Закону "О частной детективной и охранной деятельности" правом оказывать такие услуги. Но это небезопасно. Предприниматель доверяется посторонней фирме. Второй - создать собственную службу безопасности, При этом следует учитывать, что для небольшой фирмы вовсе не обязательно иметь свои подразделения для реализации всех шести функций. Иногда достаточно трех-четырех квалифицированных специалистов, которые смогут взять на себя обязанность СБ с привлечением на абонентской основе необходимых специалистов
Лекция № 2. Функции основных групп службы безопасности
План
Группа режима
Группа охраны и сопровождения
Техническая группа 4)Детективная группа
5)Должностные обязанности
Группа режима
В ведении сотрудников этой службы находятся все вопросы, связанные с регламентацией деятельности персонала объекта и его посетителей.
Сотрудники группы режима
определяют перечень сведений, составляющих коммерческую тайну, если таковые сведения не упомянуты в общегосударственных документах;
разрабатывают положения и инструкции о порядке работы с конфиденциальной информацией и сведениями, составляющими тайну;
организуют и ведут закрытое делопроизводство, учет пользования, хранение и размножение документов и других, носителей конфиденциальной информации;
осуществляют допуск персонала объекта к работе с конфиденциальной информацией, разрабатывают и осуществляют проверки выполнения сотрудниками объекта регламента работы с такой информацией;
участвуют в работе по повышению квалификации персонала, работающего с документами и другими носителями конфиденциальной информации;
организуют и проводят изучение кандидатов для приема на работу, связанную с допуском к информации различных категорий конфиденциальности.
Группа охраны и сопровождения
Сотрудники этой группы обеспечивают физическую охрану объекта и его помещений с использованием соответствующих систем и средств, выявляют угрозы безопасности деятельности объекта, осуществляют защиту от угроз и их ликвидацию.
Кроме того, сотрудники этой группы участвуют
в организации прохода персонала и посетителей в различные зоны безопасности;
в наблюдении за обстановкой вокруг объекта и на его территории;
в экстренных действиях при возникновении угроз чрезвычайных обстоятельств;
в контроле работоспособности элементов системы защиты и их проверке;
в мероприятиях по обеспечению безопасности транспортировки ценных грузов и документов.
При необходимости эта группа обеспечивает охрану отдельных лиц из числа персонала объекта Техническая группа
Совместно с группой охраны сотрудники этой группы участвуют в обеспечении безопасности деятельности объекта с помощью технических средств защиты - систем сигнализации, наблюдения, связи и т.п. Сотрудники группы отвечают за бесперебойную работу всех технических средств системы защиты объекта, ремонтируют и настраивают аппаратуру защиты, готовят и реализуют предложения по повышению эффективности и совершенствованию технических средств защиты.
Кроме того, сотрудники этой группы выполняют задания
по планированию и проведению мероприятий по специальной защите объекта и его помещений;
по техническому обеспечению мероприятий детективной группы (а при необходимости участвуют в их проведении);
по настройке и ремонту различных технических средств и оборудования, используемого в особо важных помещениях объекта;
по выбору, заказу, приобретению и установке различных технических средств для службы безопасности объекта.
В связи с тем что сотрудники технической службы должны иметь доступ в любые помещения объекта, необходимо особо тщательно отбирать и проверять кандидатов для работы в ее составе. Детективная группа
Это специализированное подразделение разрабатывает и проводит специальные мероприятия по изучению отдельных лиц из числа персонала объекта, посетителей и клиентов фирмы и жителей ближайшего к объекту окружения, в действиях которых содержатся угрозы безопасности деятельности объекта. Кроме того, сотрудники детективной группы
проверяют кандидатов для приема на работу на объекте;
по отдельным заданиям руководства разрабатывают и проводят специальные мероприятия в отношении фирм-конкурентов;
поддерживают контакты с правоохранительными органами по всем вопросам обеспечения безопасности деятельности объекта.
Для средних объектов (фирм) создаются группы безопасности, состоящие из сотрудников охраны и техников по настройке и ремонту средств защиты. Существует практика размещения разнообразных небольших предприятий и фирм в одном большом здании. Всеми вопросами безопасности в таких случаях занимается единая для всего здания служба безопасности, как правило, охраняющая помещения и персонал всех находящихся в здании фирм.
Условно сотрудников службы информационной безопасности можно разделить по функциональным обязанностям:
Сотрудник группы безопасности. В его обязанности входит обеспечение контроля за защитой наборов данных и программ, помощь пользователям и организация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема имеет своего сотрудника группы безопасности.
Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль за выполнением планов непрерывной работы и восстановления (при необходимости) и за хранением резервных копий.
Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль за состоянием защиты набор данных, ужесточение защиты в случае необходимое, а также координирование работы с другими администраторами.
Руководитель группы. В его обязанности вход разработка и поддержка эффективных мер защиты по обработке информации для обеспечения сохранное данных, оборудования и программного обеспечения, контроль за выполнением плана восстановления и последующее руководство административными группами в подсистемах ИС (при децентрализованном управлении)
В небольших организациях функции руководите службы обычно выполняет либо глава фирмы, либо его заместитель.
Количественный состав службы безопасности ограничен и зависит, прежде всего, от возможностей сам фирмы. Возможны различные варианты состава так группы. Кроме того, перечень необходимых знаний навыков, а также функциональных обязанностей входящих в группу защиты информации может существенно отличаться в зависимости от назначения структуры и задач, решаемых в конкретной ИС.
Должностная инструкция инженера по защите информации
ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая должностная инструкция определяет функциональные обязанности, права и ответственность Инженера по защите информации.
Инженер по защите информации назначается на должность и освобождается от должности в установленном действующим трудовым законодательством порядке приказом директора предприятия.
Инженер по защите информации подчиняется непосредственно .
На должность Инженера по защите информации назначается лицо, имеющее: 1.4.1. Требования к квалификации. Высшее профессиональное (техническое) образование без предъявления требований к стажу работы или среднее профессиональное
(техническое)
образование и стаж работы в должности техника по защите информации I категории не менее 3 лет либо других должностях, замещаемых специалистами со средним профессиональным образованием, не менее 5 лет.
Инженер по защите информации должен знать:
постановления, распоряжения, приказы, методические и нормативные материалы по вопросам, связанным с обеспечением технической защиты информации; - специализацию предприятия и особенности его деятельности;
методы и средства получения, обработки и передачи информации;
научно-техническую и другую специальную литературу по техническому обеспечению защиты информации;
технические средства защиты информации;
программно-математические средства защиты информации;
порядок оформления технической документации по защите информации;
каналы возможной утечки информации;
методы анализа и защиты информации;
организацию работ по защите информации;
инструкции по соблюдению режима проведения специальных работ; - отечественный и зарубежный опыт в области технической разведки и защиты информации;
основы экономики, организации производства, труда и управления; - основы трудового законодательства; - правила и нормы охраны труда.
1.6. В период временного отсутствия Инженера по защите информации его обязанности возлагаются на .
ФУНКЦИОНАЛЬНЫЕ ОБЯЗАННОСТИ
Функциональные обязанности Инженера по защите информации определены на основе
и в объеме квалификационной характеристики по должности Инженера по защите информации и могут быть дополнены, уточнены при подготовке должностной инструкции исходя из конкретных обстоятельств.
Инженер по защите информации:
Выполняет работу по проектированию и внедрению специальных технических и программно-математических средств защиты информации, обеспечению организационных и
инженерно-технических мер защиты информационных систем, проводит исследования с целью нахождения и выбора наиболее целесообразных практических решений в пределах поставленной задачи.
Осуществляет подбор, изучение и обобщение научно-технической литературы, нормативных и методических материалов по техническим средствам и способам защиты информации.
Участвует в рассмотрении проектов технических заданий, планов и графиков проведения работ по технической защите информации, в разработке необходимой технической документации.
Составляет методики расчетов и программы экспериментальных исследований по технической защите информации, выполняет расчеты в соответствии с разработанными методиками и программами.
Проводит сопоставительный анализ данных исследований и испытаний, изучает возможные источники и каналы утечки информации.
Осуществляет разработку технического обеспечения системы защиты информации, техническое обслуживание средств защиты информации, принимает участие в составлении
рекомендаций и предложений по совершенствованию и повышению эффективности защиты информации, в написании и оформлении разделов научно-технических отчетов.
Составляет информационные обзоры по технической защите информации. Выполняет
оперативные задания, связанные с обеспечением контроля технических средств и механизмов системы защиты информации, участвует в проведении проверок учреждений, организаций и предприятий по выполнению требований нормативнотехнической документации по защите информации, в подготовке отзывов и заключений на нормативно-методические материалы и техническую документацию.
Готовит предложения по заключению соглашений и договоров с другими учреждениями, организациями и предприятиями, предоставляющими услуги в области технических средств защиты информации, составляет заявки на необходимые материалы, оборудование, приборы.
Участвует в проведении аттестации объектов, помещений, технических средств, программ, алгоритмов на предмет соответствия требованиям защиты информации по соответствующим классам безопасности.
Проводит контрольные проверки работоспособности и эффективности действующих
систем и технических средств защиты информации, составляет и оформляет акты контрольных проверок, анализирует результаты проверок и разрабатывает предложения по совершенствованию и повышению эффективности принимаемых мер.
Изучает и обобщает опыт работы других учреждений, организаций и предприятий по использованию технических средств и способов защиты информации с целью повышения
эффективности и совершенствования работ по ее защите и сохранению государственной тайны.
Выполняет работы в установленные сроки на высоком научно-техническом уровне, соблюдая требования инструкций по режиму проведения работ.
ОТВЕТСТВЕННОСТЬ
Инженер по защите информации несет ответственность за:
Невыполнение своих функциональных обязанностей.
Недостоверную информацию о состоянии выполнения полученных заданий и поручений, нарушение сроков их исполнения.
Невыполнение приказов, распоряжений директора предприятия, поручений и заданий начальника отдела.
Нарушение Правил внутреннего трудового распорядка, правил противопожарной безопасности и техники безопасности, установленных на предприятии.
УСЛОВИЯ РАБОТЫ
Режим работы Инженера по защите информации определяется в соответствии с Правилами внутреннего трудового распорядка, установленными на предприятии.
Лекция № 3. Минимальный штатный состав СБ и обязанности сотрудников
Минимальный штатный состав СБ и обязанности сотрудников
Директор
Обеспечивает выполнение предприятием всех обязательства перед федеральным, региональным и местным бюджетами, государственными внебюджетными социальными фондами, поставщиками, заказчиками и кредиторами, включая учреждения банка, а также хозяйственных и трудовых договоров (контрактов и бизнес-планов).
Организует производственно-хозяйственную деятельность на основе широкого использования новейшей техники и технологии, прогрессивных форм управления и организации труда, научно-обоснованных нормативов материальных, финансовых и трудовых затрат, изучения конъюнктуры рынка и передового опыта (отечественного и зарубежного) в целях всемерного повышения технического уровня и качества продукции (услуг), экономической эффективности ее производства, рационального использования производственных резервов и экономного расходования всех видов ресурсов
Руководитель службы защиты информации
Для обеспечения работоспособности разработанной системы защиты информации необходимо создать специальный отдел в составе организации, занимающийся данными вопросами - Службу защиты информации (СлЗИ).
Начальник СлЗИ является новой штатной единицей. На эту должность необходимо взять профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования - высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты. Руководитель СлЗИ должен выполнять следующие функции:
вырабатывать политику обеспечения защиты информации и обеспечивать ее реализацию;
отвечать за функционирование СлЗИ и обеспечение защиты конфиденциальной информации;
осуществлять планирование и непосредственное руководство работой СлЗИ, нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка;
принимать личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании;
разрабатывать планы действий в чрезвычайных ситуациях, проводить регулярную учебу с подчиненными;
руководить проведением служебных расследований;
организовывать взаимодействие СлЗИ с другими подразделениями;
разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую;
организовывать разработку рекомендаций по совершенствованию функционирования СЗИ;
осуществлять руководство отделом охраны;
кроме того, выполнять функции юриста: разработка, ведение и обновление основополагающих
документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации.
Отвечает за:
информационную и экономическую безопасность предприятия, сохранность материальных , финансовых и иных ценностей , а также личную физическую безопасность руководства и сотрудников корпорации.
Обязанности начальника СБ.
Осуществление непосредственного руководства деятельностью сотрудников СБ.
Организация всей системы мер безопасности, осуществление взаимодействия ее составляющих элементов.
Планирование процесса обеспечения безопасности.
Разработка руководящих документов и инструкций по вопросам безопасности.
Проведение занятий по повышению профессионального мастерства с сотрудниками СБ.
Контроль за осуществлением работы по всем линиям деятельности СБ 7)Составление и систематизация документов учета и отчетности. 8)Обеспечение конфиденциальности в приоритетных направлениях работы СБ и контроль за этим.
Обеспечение личной безопасности руководства корпорации и ее сотрудников.
Составление инструкций и проведение занятий с сотрудниками фирмы по вопросам безопасности.
Курирование линии защиты КТ.
Инспекция, ревизия, контроль.
Рабочее взаимодействие с частными структурами безопасности и правоохранительными органами.
Сотрудник сектора охраны и режима.
Сотрудник режима - отвечает за организацию и работу режимов секретности, допуска, сохранности мат.средств и проверки кадров.
Обязанности сотрудника.
Документальная и техническая организация системы защиты КТ.
Обеспечение режима секретности документов составляющих КТ (секретное делопроизводство).
Обеспечение режима допуска и доступа.
Контроль посетителей и транспорта.
Режим учета сохранности и перемещения материальных ценностей, ценных бумаг, наличных финансовых средств и т.п. с позиции безопасности.
Охрана и защита здания, помещений, оборудования.
Режим (система)подбора, проверки и оформления кадров (совместно с сотрудником ОК и с помощью сотрудника КР).
Обеспечение безопасности в экстремальных условиях, предупреждение критических ситуаций в случаях пожаров, чрезвычайных обстоятельств и стихийных бедствий. Противопожарная безопасность.
Инспекция, ревизия, контроль.
10). Расследование случаев нарушения режимов.
Сотрудник сектора обеспечения безопасности, экономической разведки, пром. Контрразв.
Отвечает за организацию и обеспечение безопасности внешней деятельности Обязанности оперативного сотрудника.
Экономическая разведка - добыча, накопление и первичный анализ информации о конкурентах, партнерах, клиентах и др. внешних связях. Совместно с сотрудником ИАР оценка и прогноз работы с этими связями с точки зрения безопасности.
Получение конкретной информации о готовящейся угрозе безопасности и разработка предложений по ее недопущению, локализации и пресечению, (внешняя контрразведка).
Совместно с сотрудником КР и ОП пресечение внешних факторов угрожающих безопасности и решение возникающих в ходе этого вопросов.
Выявление сильных и слабых сторон связей и определение путей подхода к ним. 5)Регламентация взаимодействия с внешними организациями и государственными органами.
6)Связь и взаимодействие с частными структурами безопасности и информационными агентствами.
сотрудник группы безопасности.
Отвечает за организацию и обеспечение внутренней безопасности. Обязанности оперативного сотрудника КР.
Оперативный поиск лиц сотрудничающих с враждебной структурой внутри корпорации.
Работа по выявлению, предупреждению и пресечению устремлений и деятельности спецслужб противника по:
добыче экономических секретов корпорации, сбору нежелательной информации о делах корпорации, организации и проведению ТА в отношении корпорации, ее сотрудников и руководства,
Выявление и противодействие попыткам нанести экономический, финансовый и материальный ущерб фирме и ее сотрудникам, в том числе пресечение обычных имущественных преступлений (совместно с сотрудником режима).
Выявление, предупреждение и пресечение возможной противоправной, мошеннической и иной негативной деятельности сотрудников предприятия в ущерб его безопасности.
Отслеживание психологического климата внутри корпорации, определение уровня критического настроения отдельных сотрудников к руководству и порядку, предупреждение нежелательных последствий пограничных настроений. Информирование руководства.
Совместно с сотрудником ИАР создание базы данных по линии КР и прогнозирование возможных угроз безопасности.
Расследование происшествий связанных с вопросами безопасности.
Аналитик
Отвечает за организацию и проведение информационно-аналитической работы.
Обязанности сотрудника ИАР.
Обобщение, анализ, систематизация и обработка оперативной информации полученной по линии Р, КР,
Определение достоверности и значимости оперативной информации. 3)Совместно с сотрудником Р работа по созданию информационных баз данных о внешних связях из открытых источников и сведений добытых оперативным путем.
Составление аналитических справок и выводов о наличии и степени угроз интересам корпорации, а так же представление необходимой информации для выработки оптимальных управленческих решений по вопросам стратегии и тактики устойчивой экономической деятельности.
Накопление и систематизация всей доступной информации по новейшим технологиям безопасности, статистике и методам экономического шпионажа и терроризма , подготовка конкретных предложений по совершенствованию системы безопасности (совместно с начальником отдела).
Совместно с сотрудником КР создание базы данных по оперативной работе внутри корпорации.
Поиск и накопление общедоступных баз данных (адресные справки, карты, схемы, справочники и т.д., банковская, коммерческая информация и т. д.) 8)Создание базы данных по функционированию всей системы безопасности: структурная модель, штатный состав, документация по организации, технические средства, финансовые средства и их движение, документация по защите КТ, отчетная документация.
Совместно с начальником отдела (службы) проведение постоянного анализа состояния системы безопасности (недостатки, причины, пути устранения, новые предложения).
Сотрудник сектора технической защиты.
Отвечает за инженерно-техническое обеспечение системы безопасности.
Обязанности инженера ТС.
1). Инженерно-техническая защита КИ:
-выявление технических каналов утечки информации и их защита, техническое обеспечение защиты конфиденциальности переговоров и встреч. поиск, обнаружение, контроль и блокирование попыток несанкционированного доступа к информации с помощью техники,
защита баз и банков компьютерных систем, локальной компьютерной сети (если есть) от разрушения информации и доступа к ней. разработка криптографических и программно-аппаратных средств защиты.
Оборудование офиса средствами охранной и тревожной сигнализации (совместно с сотрудником режима), средствами закрытой связи.
Оборудование офиса средствами пожарной безопасности (совместно с сотрудником режима).
Резервные мероприятия.
Руководитель группы
На основе единоличия руководит деятельностью отдела режима и охраны по выполнению возложенных на отдел задач и функций.
Назначает проведение проверок состояния и эффективности работы по обеспечению сохранения коммерческих секретов, режима безопасности, охраны и технического ее обеспечения.
Требует от сотрудников представления объяснений по фактам, которые привели или могли привести к утечке информации, составляющей коммерческую тайну.
Ходатайствует о поощрении сотрудников, активно участвующих в работе по предупреждению утечки охраняемых сведений, выполнении требований режима и охраны.
Юрист
Обработка поступающей и отправляемой корреспонденции, доставка ее по назначению.
Осуществление контроля за сроками исполнения документов.
Организация работы по регистрации, учету и хранению документальных материалов текущего пользования.
Разработка номенклатуры дел, осуществление контроля за правильным формированием дел в подразделениях и подготовкой материалов к своевременной сдаче в архив.
Разработка и внедрение предложений по совершенствованию системы делопроизводства.
Печатание и размножение секретных документов и документов с грифом "Коммерческая тайна".
Участие в подготовке созываемых и проводимых руководством закрытых совещаний и организация их технического обслуживания.
Получение, учет, исполнение и документирование поступающих и разрабатываемых документов, организация оптимального документооборота, обеспечение отправки, размножения и надежного хранения документов, их сохранности и своевременного уничтожения, а также проверка их наличия и контроль своевременного и правильного их исполнения.
Разработка нормативных документов, направленных на обеспечение сохранности коммерческой тайны.
Участие в разработке, пополнении и обновлении "Перечня сведений, составляющих коммерческую тайну".
Участие в процессе обучения персонала работе с документами, содержащими коммерческую тайну.
9. Администратор безопасности системы
Знать реальные возможности и технические характеристики средств наблюдения.
Обеспечивать проведение аттестации технических средств обеспечения производственной и трудовой деятельности в выделенных помещениях.
Вести на каждое выделенное помещение паспорт и схему расположения технических средств в помещении и учет технических средств защиты.
Регулярно проверять работоспособность технических средств обеспечения производственной деятельности, т.к. отдельные их неисправности приводят к неконтролируемому возникновению каналов утечки информации.
Разрабатывать организационные, организационно-технические и технические мероприятия по обеспечению Инженерно-технической защиты информации и обеспечивать их своевременное и качественное выполнение.
Обеспечивать проведение специальных исследований приобретенных и устанавливаемых вновь технических средств обработки информации, связи, звукозаписи, звуковоспроизведения, усилительных установок, установок громкоговорящей связи и промышленного телевидения и тому подобных систем, привлекая для этого специализированные организации.
Организовывать и проводить обучение сотрудников по вопросам, связанным с особенностями использования технических средств и мероприятий по локализации технических каналов утечки информации.
10. Начальник СлЗИ является новой штатной единицей. На эту должность необходимо брать профессионала и специалиста в области защиты информации, а также хорошо знающего юридическую сторону этой проблемы, имеющего опыт руководства и координации работы подобных служб. Требования - высшее профессиональное образование и стаж работы в области защиты информации не менее 5 лет, хорошее знание законодательных актов в этой области, принципов планирования защиты.
Руководитель СлЗИ должен выполнять следующие функции:
вырабатывать политику обеспечения защиты информации и обеспечивать ее реализацию;
отвечать за функционирование СлЗИ и обеспечение защиты конфиденциальной информации;
осуществлять планирование и непосредственное руководство работой СлЗИ,
нести персональную ответственность за выполнение службой возложенных на нее задач, за неукоснительное исполнение подчиненными своих должностных обязанностей и правил внутреннего трудового распорядка;
принимать личное участие в проведении наиболее сложных мероприятий по обеспечению защиты информации в компании;
разрабатывать планы действий в чрезвычайных ситуациях, проводить регулярную учебу с подчиненными;
руководить проведением служебных расследований;
организовывать взаимодействие СлЗИ с другими подразделениями;
разработка инструкций по работе с коммерческой тайной для персонала, допущенного к работе с документами, ее содержащую;
организовывать разработку рекомендаций по совершенствованию функционирования СЗИ;
осуществлять руководство отделом охраны;
кроме того, выполнять функции юриста: разработка, ведение и обновление основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты конфиденциальной информации.
Лекция № 4. Цели и задачи СБИ
План
Цели обеспечения безопасности предприятия.
Задачи службы
Цели обеспечения безопасности предприятия
Целями обеспечения безопасности предприятия являются: oзащита законных прав предприятия во взаимоотношениях с государственными органами, российскими и зарубежными партнерами и конкурентами; поддержание устойчивости порядка управления предприятием;
сохранение собственности предприятия, ее рационального и эффективного использования в направлении удовлетворения общественных потребностей;
повышение конкурентоспособности производимых товаров и услуг, создание благоприятной рыночной конъюнктуры для их реализации в условиях конкуренции на внутреннем и мировом рынке; рост прибылей предприятия;
достижение внутренней и внешней организационной стабильности деятельности предприятия, надежности кооперированных связей и недопущение односторонней зависимости от случайных и недобросовестных партнеров;
укрепление дисциплины труда и его производительности, формирование стимулов и условий повышения деловой активности сотрудников предприятия;
максимально полное информационное обеспечение экономической, производственной и научно-технической деятельности предприятия, сохранение государственной и коммерческой тайны прав на интеллектуальную собственность, повышение эффективности использования имеющейся информации в мероприятиях по повышению деловой репутации предприятия среди российских и зарубежных партнеров.
К целям системы защиты информации предприятия также относится: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, предприятия, общества, государства; предотвращение несанкционированных действий по уничтожению, модификации,
искажению, копированию, блокирования информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и
системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение лично тайны и конфиденциальности персональных данных, имеющихся в информационных системах; - документированной информации в соответствии с законодательство.
Задачи и функции службы
Задачи обеспечения безопасности предприятия определяются необходимостью достижения названных целей и представляют собой требования на разработку и реализацию взаимосвязанных мер: oсвоевременного выявления угроз жизненно важным интересам предприятия, причин и условий, благоприятствующих нанесению предприятию материального и морального ущерба, нарушению его нормальному функционированию и развитию, отработка механизма оперативного регулирования на угрозы и негативные тенденции в развитии;
эффективного пресечения посягательств на законные интересы предприятия, использования юридических, экономических, организационных, социальнопсихологических, технических средств и средств массовой информации в выявлении и ослаблении источников угрозы его безопасности;
максимально полного возмещения и локализации наносимого предприятию ущерба неправомерными действиями физических и юридических лиц, ослаблении негативного влияния последствий
подрыва безопасности и неблагоприятных условий его деятельности на достижение стоящих перед предприятием целей;
формирования надежных гарантий поддержания законности, взаимовыгодности, добросовестности сотрудничества предприятия, организационной стабильности его внешних и внутренних связей;
обеспечения личной безопасности руководства, ведущих специалистов и лиц их семейств.
Основными задачами СБ являются:
обеспечение безопасности выполнения всех видов деятельности предприятия и сохранности информации и сведений, составляющих служебную и коммерческую
тайну;
выявление и принятие мер, направленных на предотвращение возможности постороннего неправомерного вмешательства в деятельность структурных подразделений предприятия;
пресечение возможных каналов утечки информации и сведений, составляющих служебную и коммерческую тайну;
4)защита документов и переписки от фальсификации и подделок;
5)организация в зданиях предприятия (фирмы), включая склады, архивы и др., надежного пропускного и внутриобъектового режима и их охраны, внедрение имеющихся средств технического оснащения и охранной сигнализации;
6)обеспечение физической сохранности имущества предприятия, в том числе материальных носителей информации, содержащей коммерческие и иные секреты (документов, изделий, материалов, магнитных носителей и т.п.), а также личной безопасности персонала и клиентуры предприятия;
обеспечение режима безопасности при проведении всех видов деятельности, включая: встречи, переговоры, совещания, заседания и т.п. как на федеральном, так и на международном уровне;
предотвращение утечки информации, содержащей коммерческую тайну, в процессе производственной и иной деятельности предприятия, в том числе по техническим каналам утечки при использовании электронно-вычислительной техники и других технических средств;
организация учета, хранения и уничтожения документов, содержащих коммерческую тайну, а также постоянного контроля за соблюдением установленного порядка размножения документов, составляющих коммерческую тайну предприятия;
разработка и осуществление комплекса мероприятий по ограничению круга лиц, имеющих доступ к сведениям, составляющим коммерческую тайну предприятия;
получение совместно с другими подразделениями аналитическим и другим законным путем информации о конкурентах, клиентах и лицах из числа персонала, в действиях которых содержится угроза интересам предприятия, в частности, признаки возможной подготовки и осуществления неправомерных действий, связанных с недобросовестной конкуренцией, и подготовка предложений руководству по
нейтрализации этих угроз;
оценка маркетинговых ситуаций и неправомерных действий ЗЛ и
конкурентов;
разработка и проведение мероприятий по обеспечению защиты коммерческой тайны предприятия при осуществлении внешних связей (международных, научнотехнических, торгово-экономических и иных);
проведение воспитательно-профилактической работы с персоналом (а также его обучение) по вопросам обеспечения безопасности предприятия и защиты коммерческих секретов;
15)организация взаимодействия с правоохранительными организациями по вопросам безопасности персонала и имущества предприятия.
Лекция № 5. Функции службы защиты информации
Функции СИБ
Подразделение СИБ выполняет следующие конкретные функции:
руководит работами по правовому и организационному регулированию безопасности деятельности предприятия и защиты КИ;
участвует в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности предприятия и защиты КГ, в частности. Устава, Коллективного договора, Правил внутреннего трудового распорядка, Положений о подразделениях, трудовых договоров, соглашений, должностных инструкций руководства, специалистов и сотрудников;
разрабатывает и пополняет «Перечень сведений, составляющих коммерческую тайну» и другие документы, регламентирующие порядок и организацию безопасности предприятия;
разрабатывает и осуществляет совместно с другими подразделениями мероприятия по обеспечению безопасности деятельности предприятия, по охране средств и имущества предприятия и его клиентов;
разрабатывает и осуществляет меры по сохранности информации и сведений, составляющих служебную и коммерческую тайну;
осуществляет контакты с правоохранительными органами и другими СБ и обмен с ними информацией в установленном порядке в целях выполнения задач, возложенных на СБ и в интересах изучения криминогенной обстановки;
проводит, привлекая соответствующие подразделения, служебные расследования по факторам нарушения требований безопасности в деятельности предприятия и его работников, несоблюдения правил охраны средств и имущества предприятия, сотрудников и его клиентов, разглашения служебной и коммерческой тайны;
организует и обеспечивает пропускной и внутриобъектовый режим в зданиях предприятия, порядок несения службы охраной, контролирует со-блюдение требований установленного режима работниками предприятия и его клиентами;
осуществляет методическое руководство аналогичными службами в учреждениях и организациях предприятия и контроль за их деятельностью, оказывает им практическую помощь в осуществлении возложенных на них задач;
участвует в определении инженерно-технических средств охраны предприятия и разрабатывает предложения по их приобретению;
осуществляет физическую охрану имущества и материальных ценностей предприятия, его сотрудников и клиентов;
осуществляет охрану и защиту наиболее важных персон из числа
руководителей и специалистов предприятия, а также членов их семей;
осуществляет изучение всех сторон производственной деятельности предприятия, открытой информации о конкурентах для своевременной корректировки перечня сведений, составляющих коммерческую тайну, и выявления и закрытия возможных каналов утечки коммерческих секретов;
14)осуществляет контроль за соблюдением требований по защите коммерческой тайны;
проводит учет и анализ нарушений режимных требований; готовит список лиц, допущенных к коммерческой тайне в соответствии с разработанными прерогативами, а также проводит выделение и учет помещений, где руководителем предприятия после проведения соответствующей аттестации разрешено хранение носителей коммерческих секретов и проведение закрытых работ;
разрабатывает совместно с руководством разрешительной системы доступа работников и командированных лиц к носителям коммерческих секретов, аналитический анализ ее эффективности;
осуществляет организацию и ведение конфиденциального делопроизводства, размножение документов, содержащих коммерческие секреты, их учет, хранение исполнителями работ, а также уничтожение документов;
осуществляет организацию спецархива магнитных носителей информации, в том числе налаживание их строгого учета, хранения, копирования и уничтожения с целью исключения возможности утечки закрытой информации;
проводит разработку и осуществление мероприятий по защите информации, составляющей коммерческую тайну при ее обработке средствами вычислительной техники;
20)обеспечивает функционирование криптографических средств защиты информации в соответствии с нормативными требованиями;
оказывает содействие руководителям подразделений предприятия в разработке и осуществлении защитных мер в процессе производственной и иной деятельности (рекомендуется при необходимости включать специальные условия в контракты, договора по обеспечению безопасности);
разрабатывает и осуществляет меры по предупреждению утечки информации при переписке с заказчиком, в том числе с иностранным, оформляет материалы, предназначенные к опубликованию в открытой печати, для использования на конференциях, выставках, в рекламной деятельности, а также при проведении собраний, совещаний;
своевременно доводит до соответствующих исполнителей
классифицированные документы, необходимые для производственной деятельности;
осуществляет подготовку приказов, распоряжений, инструкций, правил и других руководящих документов предприятия по безопасности и защите коммерческой тайны;
организует и участвует в расследовании случаев нарушения безопасности и разглашения коммерческой тайны и утраты секретных документов;
26)организует обучение и проверку уровня подготовки допущенных к закрытым работам и опасному производству лиц по вопросам обеспечения
безопасности;
организует и контролирует состояние охраны предприятия, специальных помещений, хранилищ ценностей и закрытой информации, а также пропускного и внутриобъектового режима;
осуществляет контроль за правильным и своевременным оформлением кадровым подразделением документов на лиц, принимаемых на работу, проводит их инструктаж по вопросам безопасности;
разрабатывает требования на установку технических средств охраны (ТСО), организует их монтаж, эксплуатацию и ремонт, осуществляет оценку эффективности их использования.
Лекция № 6. Организация деятельности службы безопасности
Деятельность Службы безопасности определяется ее целями и обеспечивает комплексное решение поставленных перед ней задач на основе стратегии и взаимосвязи тактических приемов подготовки и проведения мероприятий по обеспечению безопасности. СБ состоит из структурных единиц, осуществляющих разработку режимов безопасности, установление и поддержание этих режимов, а также контроль за их соблюдением.
По решению Правления (дирекции) предприятия могут создаваться временные структуры с привлечением ведущих специалистов предприятия для решения сложных комплексных задач обеспечения безопасности, определяемых конкретными целями и складывающейся обстановкой. Для решения поставленных задач СБ предприятия в общем плане осуществляет:
254813-46247административно-распорядительную функцию, которая реализуется путем подготовки решений по установлению и поддержанию режимов безопасности, определению полномочий, прав, обязанностей и ответственности должностных лиц по вопросам обеспечения безопасности предприятия, а также по осуществлению представительских функций предприятия в данной области его деятельности;
254813-46247хозяйственно-распределительную функцию, которая реализуется путем участия СБ в определении ресурсов, необходимых для решения задач безопасности предприятия, в подготовке и проведении мероприятий по обеспечению сохранности имущества и интеллектуальной собственности предприятия, их рациональному использованию;
254813-46247учетно-контрольную функцию, которая реализуется выделением критически важных направлений финансово-коммерческой деятельности и организацией своевременного обнаружения угроз финансовой стабильности и устойчивости предприятия, оценкой их источников, налаживанием контроля за опасными ситуациями, ведением учета негативных факторов, влияющих на безопасность предприятия, а также накоплением информации о недобросовестных конкурентах, ненадежных партнерах, лицах и организациях, посягающих на жизненно важные интересы государственного предприятия;
254813-46247социально-кадровую функцию, которая реализуется участием СБ в расстановке кадров, выявлении негативных тенденций в трудовых коллективах, возможных причин и условий социальной напряженности, в предупреждении и локализации конфликтов, инструктаже работников предприятия по вопросам безопасности, формировании у них чувства ответственности за соблюдение установленных режимов безопасности. СБ участвует в решении вопросов, связанных с командированием в установленном порядке специалистов предприятия за границу.
254813-46189организационно-управленческую функцию, которая реализуется путем оказания управленческого воздействия на создание, поддержание и своевременную реорганизацию постоянной организационной структуры и управления процессом обеспечения безопасности предприятия, гибких временных структур по отдельным направлениям работы, организации взаимодействия и координации между их отдельными звеньями для достижения заданных программных целей;
254813-46247планово-производственную функцию, которая реализуется разработкой комплексной программы и отдельных целевых планов обеспечения безопасности предприятия, подготовкой и проведением мероприятий по их осуществлению, установлению и поддержанию режимов безопасности;
254813-45987254813839147организационно-техническую функцию, которая реализуется путем материальнотехнического и технологического обеспечения режимов безопасности на предприятии, освоением специальной техники и достижений соответствующего потребностям обеспечения безопасного уровня, содействием в освоении новых прогрессивных видов техники и технологий режимно-секретной и другой специальной деятельности; научно-методическую функцию, которая реализуется путем накопления и распространения передового опыта обеспечения безопасности предприятия, организацией обучения его штатного контингента, научной разработки возникающих перед предприятием проблем обеспечения безопасности и методического сопровождения его деятельности в этой сфере;
- информационно-аналитическую функцию, которая реализуется путем целенаправленного сбора, накопления и обработки информации, относящейся к сфере безопасности, создания и использования необходимых для этого технических и методических средств аналитической обработки информации, организации информационного обеспечения заинтересованных подразделений и отдельных лиц предприятия в сведениях, имеющихся в СБ.
Лекция № 7. Организационные основы и принципы деятельности службы
План
Правовое обеспечение службы.
Принципы организации службы.
Гарантии безопасности объектов защиты
Правовое обеспечение службы
Основные положения, состав и организация службы безопасности имеют юридическую силу в том случае, если они зафиксированы в основополагающих правовых, юридических и организационных документах предприятия. Правовые основы безопасности фирмы определяют соответствующие положения Конституции Российской Федерации, законы «О безопасности», «О коммерческой деятельности» и другие нормативные акты.
Правовая защита персонала, материальных и экономических интересов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.
Защиту имущественных и иных материальных интересов и деловой репутации призваны обеспечивать также гражданское, гражданско-процессуальное и арбитражное и арбитражно-процессуальное законодательство.
Обеспечение информационной безопасности регулируется законами Российской Федерации «О государственной тайне», «Об информации, информатизации и защите информации», указом Президента РФ № 188 от 06.03.97 «О конфиденциальности информации».
Существующие правовые условия обеспечения безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противодействие противоправным посягательствам на предпринимательскую деятельность в различных ее сферах.
Успешное и эффективное решение задач обеспечения безопасности конкретного предприятия достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников предприятия и службы безопасности. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава коммерческого предприятия и кончая функциональными обязанностями каждого сотрудника
В основу деятельности службы безопасности положены:
деятельности и сохранность коммерческой тайны;
Закон о предприятиях и предпринимательской деятельности;
Кодекс законов о труде (КЗОТ);
Устав предприятия, коллективный договор, трудовые договоры, правила внутреннего трудового распорядка сотрудников, должностные обязанности руководителей, специалистов, рабочих и служащих.
Принципы организации службы
Принципы организации СБ выражают основополагающие требования к стратегии и тактике, организации и осуществлению мероприятий по защите жизненно важных интересов предприятия, концентрируют опыт успешного решения задач в этой сфере деятельности.
Законность. Меры безопасности предприятия разрабатываются на основе норм права в пределах определенной данным типовым положением компетенции с применением всех дозволенных Законом методов обнаружения и пресечения правонарушений в сфере безопасности.
Самостоятельность и ответственность. СБ располагают всеми необходимыми для своей деятельности видами ресурсов, при использовании которых обеспечивается строгое соответствие производимых затрат и достигаемых результатов, материальная ответственность инициаторов и исполнителей соответствующих мероприятий за результаты своей деятельности.
Экономическая целесообразность и прибыльность. Мероприятия по обеспечению безопасности предприятия не должны приводить к ухудшению экономических показателей деятельности предприятия, а стабильность его прибылей является главным критерием оценки качества работы СБ, определения размеров материального вознаграждения их сотрудников.
Специализация и профессионализм. Кадровый состав подразделений безопасности специализируются по направлениям комплексного обеспечения безопасности предприятия. Профессиональная подготовка сотрудников СБ предприятия должна позволять широко использовать научные достижения и передовой опыт организации работ обеспечению безопасности объектов. В противном случае противодействия ЗЛ становятся проблематичными.
Программно-целевое планирование. Деятельность СБ предприятия по обеспечению безопасности осуществляется на основании комплексной программы и разрабатываемых на ее основе планов работ и отдельных мероприятий.
Взаимодействие и координация. Меры безопасности осуществляются на основе взаимодействия скоординированности усилий всех заинтересованных подразделений предприятия, а также установления необходимых связей с внешними организациями (органами государственного управления, правоохранительными органами, другими предприятиями и фирмами). Деятельность в сфере безопасности не должна нарушать нормальных условий работы предприятия на других направлениях.
Гласность в сочетании с необходимой конспирацией. Руководящие органы предприятия регулярно «формируют своих сотрудников о мероприятиях по обеспечению безопасности. В оправданных ситуациях меры безопасности могут носить конспиративный характер. Конспиративность мер безопасности предполагает специальную организацию контроля руководящих органов СБ предприятия за их применением, соблюдением необходимых правил-процедур.
Гарантии безопасности объектов защиты
Деятельность СИБ заключается в создании нормативных, организационных и материальных гарантий безопасности объектов защиты, которые включают в себя выявление, предупреждение и пресечение посягательств на сотрудников предприятия, на порядок управления и законные права предприятия, его имущество, интеллектуальную собственность, благоприятную финансово-коммерческую конъюнктуру, устойчивость хозяйственно-коммерческих связей, социально-психологическую обстановку, на производственную и технологическую дисциплину, научно-технологические лидерство и достижения и охраняемую информацию.
Нормативные гарантии заключаются в разработке, толковании и реализации норм права, установлении пределов их действия, в формировании необходимых правоотношений, определении и обеспечении правомерного поведения подразделений и работников предприятия по поводу его безопасности, использовании мер государственного и административного принуждения, применении санкций к физическим и юридическим лицам, посягающим на законные интересы предприятия, постоянном совершенствовании юридической технологии деятельности СБ.
Организационные гарантии формируются путем разработки, построения и поддержания высокой работоспособности общей организационной структуры управления процессом выявления и подавления угроз деятельности предприятия, использования эффективного механизма ее оптимального функционирования, соответствующей подготовки кадров, а также принятия мер по гармонизации интересов и консолидации усилий сотрудников предприятия на достижение целей обеспечения его безопасности.
Материальные гарантии формируются за счет выделения и использования финансовых, технических, кадровых, интеллектуальных, информационных и иных ресурсов предприятия, обеспечивающих своевременное выявление, ослабление и подавление источников угрозы, предотвращение и локализацию возможного ущерба и создание благоприятных возможностей и условий деятельности предприятия. Данные гарантии наполняют правовые и организационные меры безопасности практическим содержанием, создают реальную основу развития атмосферы безопасности предприятия.
Лекция № 8. Пакет документов для СИБ
Для обеспечения полноценной организационной и правовой защиты информации необходимо разработать пакет документов, включающий в себя :
Положение о конфиденциальной информации предприятия;
Перечень документов предприятия, содержащих конфиденциальную информацию; Инструкция по защите конфиденциальной информации в информационной системе предприятия;
Предложения по внесению изменений в Устав предприятия; Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
Соглашение о неразглашении конфиденциальной информации предприятия с сотрудником;
Обязательство сотрудника о неразглашении конфиденциальной информации предприятия при увольнении;
Предложения о внесении изменений в Правила внутреннего распорядка предприятия
(в части регламентации мер физической защиты информации и вопросов режима); Предложения о внесении изменений в должностное (штатное) расписание предприятия (штат Службы защиты информации);
Предложения о внесении дополнений в должностные инструкции всему персоналу;
Ведомость ознакомления сотрудников предприятия с Положением о
конфиденциальной информации и Инструкцией по защите конфиденциальной
информации в предприятия;
План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации;
Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);
- Предложения о внесении дополнений в стандартные договор с контрагентами. Эти документы играют важную роль в обеспечении безопасности предприятия. Основы создания службы защиты информации, системы защиты конфиденциальной информации заключаются а следующем:
Определение объектов защиты;
Выявление угроз и оценка их вероятности;
Оценка возможного ущерба;
Обзор применяемых мер защиты;
Организационные, финансовые, юридические и пр. виды обеспечения мер
защиты;
Внедрение мер защиты; Контроль;
Документационное обеспечение защиты должно начинать с внесения дополнений в Устав предприятия: «Предприятие имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты. Общество имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений предприятия на основании договоров, контрактов и других документов».
Для разработки всех документов, затрагивающих вопросы работы с конфиденциальной информацией необходимо в первую очередь разработать «Положение о конфиденциальной информации». Формат всех документов, регулирующих защиту конфиденциально информации, утверждается приказом руководителя. Положение же является основным документом предприятия, регламентирующим вопросы оборота
конфиденциальной информации. Все базовые моменты, связанные с этим процессом, закладываются именно здесь.
Положение содержит основные обязанности сотрудников по обеспечению сохранности конфиденциальной информации. Для усиления этой составляющей системы защиты необходимо обязанность персонала доводить также в форме включения в должностные инструкции и дополнительно выдавать специальные памятки. Все это должно происходить строго под роспись.
Неотъемлемым приложением к Положению является Перечень документов, содержащих конфиденциальную информацию. Его наличие носит принципиальный характер, так как невозможно требовать от работников неразглашения абстрактной конфиденциальной информации, как иногда указывают в обязательных документах: «сохранять ноу-хау, деловые секреты, служебные сведения». Защищается только документированная информация, следовательно, необходим как можно конкретнее описать все группы и виды конфиденциально документации.
В качестве основы для установления контроля над доступом к информации компании берется классификация информации по уровню конфиденциальности, в зависимости от содержания и возможных последствий в случае утраты информации или злоупотреблений.
Следующий документ, входящий в состав документации внедрения — Соглашение с сотрудником (обязательство сотрудника) о неразглашении конфиденциальной информации предприятия, подписываемое сотрудником при приеме на работу. В нем должно содержаться следующее:
Обязательство о сохранении конфиденциальной информации;
Право сотрудника на служебное использование информации;
Ответственность сотрудника за нарушение данного обязательства. Перед подписанием обязательства целесообразно также предъявлять для ознакомления кандидатам на работу выдержки из законодательства, кратко обосновывающие правовую защиту и описывающие санкции за неправомерное обращение с информацией, в том числе уголовно-правовые. Продолжением обязанностей сотрудника по неразглашению информации является документ, декларирующий подтверждение сотрудником данных обязательств при увольнении, а именно «Заявление о подтверждении обязательств неразглашения конфиденциальной информации предприятия при увольнении». Документ не является бесспорным с юридической точки зрения, так как после увольнения трудовые отношения, в рамках которых действуют обязательства сотрудника, прекращаются.
Однако целесообразно предлагать увольняющимся такое заявление к подписании, и по реакции бывшего сотрудника можно будет оценить реальную значимость для конкретного человека данных им обещаний. В то же время, в случае нанесения ущерба предприятию разглашением конфиденциальных сведений уволенным, такое обязательство, скорее всего, будет принято судом как дополнительно доказательство его вины. Кроме того, об этом можно будет без зазрения совести сообщить его новому работодателю.
Отношение контрагентов и партнеров к тайне организации необходимо устанавливать самой организации. Для этого необходимо внести во все стандартные формы договорной документации разделов конфиденциальности:
Каждая из сторон согласилась считать текст настоящего договора, а также весь объем информации, переданной и передаваемой сторонами друг другу в ходе исполнения обязательств, возникающих из настоящего договора, конфиденциальной информацией другой стороны.
Стороны принимают на себя обязательство никаким образом не разглашать (делать доступной любым третьим лицам, кроме случаев наличия у третьих лиц соответствующих полномочий в силу прямого указания федерального закона, либо случаев, когда другая сторона в письменной форме даст согласие на предоставление конфиденциальной информации, определяемой в соответствии с п. 1 настоящего договора, третьим лицам конфиденциальную информацию другой стороны, к которой она получила доступ при заключении настоящего договора и в ходе исполнения обязательств, возникающих из него.
Настоящие обязательства исполняются сторонами в пределах срока действия договора и в течение одного года после прекращения действия договора, если не будет оговорено иное.
Каждая из сторон обязуется возместить другой стороне в полном объеме все убытки, причиненные последней разглашением ее конфиденциальной информации в нарушение п.п. 1—3 настоящего договора.
Клиент (поставщик и пр.) не вправе использовать свое положение как стороны по настоящему договору в целях и интересах третьих лиц.
Стороны обязуются незамедлительно предупредить другую сторону о возникновении неуправляемых факторов или процессов, могущих повлечь за собой нарушение конфиденциальности сторон.
Служба защиты информации принимает меры по сохранению коммерческой тайны путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, обработки информации с грифом конфиденциальности на защищенных ЭВМ, внесение требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства. Все работы с документами, содержащими конфиденциальную информацию, регламентируются положением о конфиденциальном делопроизводстве.
Защита и обработка конфиденциальных документов предусматривает: " порядок определения информации, содержащей коммерческую тайну, и сроков ее
действия;
систему допуска сотрудников, командированных и частных лиц к сведениям,
составляющим коммерческую тайну;
обеспечение сохранности документов на бумажных и магнитных носителях с грифом
конфиденциальности;
обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну; принципы организации и проведения контроля за обеспечением режима при работе со
сведениями, составляющими коммерческую тайну; ответственность за разглашение сведений, утрату документов, содержащих
коммерческую тайну.
Допуск сотрудников к сведениям, составляющим коммерческую тайну, осуществляется Генеральным директором и руководителем СлЗИ.
Руководитель СлЗИ ответственен за подбор лиц, допускаемых к сведениям с грифом, обязан обеспечить контроль за тем, чтобы, к этим сведениям получали доступ только те лица, которым такие сведения необходимы для выполнения своих служебных обязанностей.
Лекция № 9. Лицензирование видов деятельности службы безопасности предприятия
Лицензирование видов деятельности службы безопасности предприятия
В соответствии с Федеральным законом «О лицензировании отдельных видов деятельности» от 8.08.2001 года №128-ФЗ деятельность различных подразделений службы безопасности предприятия подпадает под требования этого закона, по которому подлежит лицензированию (при наличии этих видов деятельности): предоставление услуг в области шифрования информации; деятельность:
по выявлению электронных устройств, предназначенных для негласного получения информации;
разработке и производству средств защиты конфиденциальной информации;
технической защите конфиденциальной информации;
предупреждению и тушению пожаров;
разработка, производство и приобретение с целью продажи спецсредств для негласного получения информации;
негосударственная (частная) охранная и сыскная деятельность.
Подлицензией понимается специальное разрешение на осуществление конкретного вида деятельности при обязательном соблюдении лицензионных требований и условий, выданное лицензирующим органом юридическому или физическому лицу.
Лицензирование - процесс, связанный с предоставлением лицензий, переоформлением документов, подтверждающих наличие лицензии, приостановлением, возобновлением или контролем лицензирующих органов за соблюдением правил выполнения лицензионных видов деятельности.
Срок действия лицензии не может быть менее чем 5 лет, в отдельных случаях предусматривается бессрочное действие лицензии.
Существует определенный порядок принятия решения о предоставлении лицензии, которая может быть выдана лицензирующим органом на основании следующих документов:
заявление о предоставлении лицензии;
копии учредительных документов и копии свидетельства о госрегистрации; • копии свидетельства о постановке на учет в налоговом органе;
документ, подтверждающий уплату лицензионного сбора.
Дополнительные условия и правила лицензирования существуют при получении разрешений определенных видов деятельности в области защиты информации (решение Гостехкомиссии и ФАПСИ от 27.04.94г. №10) и деятельности по технической защите конфиденциальной информации (Постановление Правительства РФ 30.04.02г. №290).
Эту систему лицензирования организуют государственные органы по лицензированию, которыми являются Государственная техническая комиссия при Президенте Российской Федерации (Гостехкомиссия России) и Федеральное агентство правительственной связи и информации при Президенте Российской'Федерации (ФАПСИ).
Государственные органы по лицензированию в пределах их компетенции, установленной законодательством Российской Федерации, осуществляют лицензирование деятельности предприятия в области защиты информации в соответствии с существующими перечнями видов деятельности.
Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию Гостехкомиссией России
Сертификация, сертификационные испытания защищенных технических средств обработки информации (ТСОИ), технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств по требованиям безопасности, программных средств защиты информации, программных средств контроля защищенности информации.
Аттестация систем информатизации, автоматизированных систем управления, систем связи и передачи данных, технических средств приема, передачи и обработки подлежащей защите информации, технических средств и систем, не обрабатывающих эту информацию, но размещенных в помещениях, где она обрабатывается (циркулирует), а также помещений, предназначенных для ведения переговоров, содержащих охраняемые сведения, на соответствие требованиям руководящих и нормативных документов по безопасности информации и контроль защищенности информации в этих системах, технических средствах и помещениях.
Разработка, производство, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средств обработки информации, программных средств защиты информации, программных средств контроля защищенности информации.
Проектирование объектов в защищенном исполнении.
Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.
Перечень видов деятельности предприятий в области защиты информации, подлежащих лицензированию ФАПСИ
Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка и ремонт шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи, а также предоставление услуг по шифрованию информации.
Эксплуатация государственными предприятиями шифровальных средств, предназначенных для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.
Разработка, производство, проведение сертификационных испытаний, реализация, монтаж, наладка, установка, ремонт, сервисное обслуживание специализированных защищенных ТСОИ, технических средств защиты информации, технических средств контроля эффективности мер защиты информации, защищенных программных средствобработки информации, программных средств защиты информации, программных средств контроля защищенности информации, предназначенных для использования в высших органах.
Подготовка и переподготовка кадров в области защиты информации по видам деятельности, перечисленным в данном перечне.
Лицензия на право деятельности по защите информации (далее - лицензия) выдается предприятию государственным органом по лицензированию по представлению органа государственной власти Российской Федерации на конкретные виды деятельности на три года, по истечении которых осуществляется ее перерегистрация в порядке, установленном для выдачи I/ лицензии.
Лицензия выдается подавшему заявку на ее получение предприятию-заявителю, располагающему производственной и испытательной базой, нормативной и методической документацией, научным и инженерно-техническим персоналом, при условии их соответствия требованиям государственного органа по лицензированию на основании результатов экспертизы деятельности предприятия по заявленному направлению работ. С этими требованиями заявитель имеет право ознакомиться в государственном органе по лицензированию.
Для получения лицензии в этом случае представляется расширенный комплект документов: заявление; представление органа государственной власти Российской Федерации; материалы экспертизы, подтверждающие наличие необходимых условий для проведения работ по заявленным видам деятельности, а также профессиональную пригодность руководителя предприятия-заявителя или лиц, уполномоченных им для руководства лицензируемой деятельностью; копии документов о государственной регистрации предпринимательской деятельности и устава предприятия.
Отказ в выдаче лицензии производится в случаях, если отсутствуют необходимые условия для проведения работ по заявленному виду деятельности; профессиональная подготовка руководителя предприятия-заявителя, или лиц, уполномоченных им для руководства лицензируемой деятельностью, не соответствует установленным требованиям; в представленных для получения лицензии документах указаны недостоверные сведения; заявитель в установленном законом порядке признан виновным в недобросовестной конкуренции в лицензируемой деятельности.
Лекция № 10. Управление службой защиты информации. Методы управленияПлан
1) Методы управления СБП. Методы управления СБП
Основной целью деятельности СБП является своевременное пересечение (нейтрализация) противоправных посягательств на экономические интересы, персонал предприятия, предотвращение материального и физического вреда, а также предотвращение и пресечение преступлений, административных проступков и гражданско- правовых конфликтов и т.д.
Формулирование цели управления зависит от многих факторов: финансовых возможностей предприятия-учредителя, его географического месторасположения, возможности набрать из числа жителей данной территории квалифицированный состав сотрудников службы безопасности и т.д.
На основе сформулированной цели проектируется и создается оргструктура службы безопасности. Анализ изученных документов службы безопасности свидетельствует, что наибольшее распространение получили линейная и линейно-штабная структура. Линейная структура характеризуется четким единоначалием - каждый сотрудник подчинен только одному вышестоящему лицу.
Линейно-штабная структура представляет собой линейную структуру, дополненную штабным органом (штабом), на который возлагаются дополнительные функции управления. Такая структура создается обычно тогда, когда большое количество сотрудников или их территориальная разобщенность не позволяют начальнику службы безопасности эффективно управлять.
Эффективное функционирование службы безопасности предполагает предварительную проработку многих вопросов. Среди них особое значение приобретает проектирование оргструктуры службы безопасности и ее ресурсного обеспечения, т.к. без решения этих вопросов ее деятельность вообще невозможна. Собственно говоря, употребляемый нами многозначный термин «организация» среди многих значений имеет и такое, как создание нужной структуры и необходимых ресурсов.
Общеизвестно, что любое оргструктурное формирование создается для реализации определенных функций. Применительно к службе безопасности предприятия эти функции определены ст. 3 закона РФ «О частной детективной и охранной деятельности в Российской Федерации».
Этим законом (ст.14) предусмотрена должность руководителя службы безопасности, которая на практике реализуется в виде начальника службы безопасности (здесь сказался прошлый опыт деятельности в правоохранительных органах персонала службы безопасности). Совершенно очевидно, что если персонал службы безопасности по количеству большой, неизбежно встает вопрос о заместителях начальника службы безопасности. Их может быть несколько (обычно по количеству подразделений службы безопасности).
Как правило, заместитель начальника службы безопасности является одновременно руководителем одного из подразделении и, в свою очередь, также имеет одного или нескольких заместителей. Не вызывает сомнений целесообразность создания таких подразделений, как канцелярия и бухгалтерия (в случае, если службу безопасности не обслуживает единая бухгалтерия предприятия-учредителя).
В крупных службах безопасности, где возникает необходимость создания штабных подразделений, так как начальники службы безопасности просто физически не способны на должном уровне выполнять такие управленческие функции, как анализ, планирование, контроль и т.д., исполнение этих обязанностей помощниками положение дел не меняет, так как в этом случае возникает необходимость их повседневного руководства, что опять-таки не под силу начальнику службы безопасности, и он вынужден будет назначить одного из них координатором деятельности других, а это, по сути, означает выполнение обязанностей начальника штаба.
Предложенная схема оргструктуры может время от времени уточняться и пересматриваться.
Любая оргструктура, даже самая оптимальная, не сможет дать ожидаемых результатов, если ее не дополнить внутренними нормативными актами, регулирующими деятельность всех подразделений и сотрудников службы безопасности. Образно выражаясь, «кость» (оргструктура) должна обрасти «мясом» (нормативными документами). Причем эти нормативные акты условно можно разделить на две группы: непосредственно относящиеся к деятельности самой службы безопасности и к деятельности других служб (подразделений, сотрудников) предприятия.
Методы управления службой безопасности подразделяются на три группы: экономические; организационно-распорядительные; социально-психологические.
Руководители службы безопасности должны безупречно владеть всеми методами управления в их единстве. Для этого они должны знать особенности каждого из них.
Экономические методы управления строятся на использовании различных экономических стимулов, таких, например, как заработная плата. Умелое использование этого стимула с учетом уровня профессионализма, стажа работы, результатов деятельности сотрудника и т.д. позволяет эффективно организовать работу отдельных сотрудников в рамках службы безопасности.
Организационно-распорядительные методы управления (приказы, распоряжения, указания, инструкции и т.д.) подразделяются на три группы: распорядительные, организационно-стабилизирующие и дисциплинирующие. Особое внимание в деятельности службы безопасности следует уделить таким нормативам (производные от организационно- стабилизирующих методов) как нормативы времени выполнения той или иной деятельности, численности сотрудников того или иного подразделения и т.д. Такие нормативы обычно перенимаются из опыта работы органов внутренних дел, ФСБ и т.д., с поправкой на специфику деятельности службы безопасности предприятия, фирмы.
Социально-психологические методы основаны на использовании моральных стимулов к труду и воздействуют на личность сотрудника службы безопасности с помощью психологических приемов с целью превращения задания в осознанный долг, внутреннюю потребность человека. Это достигается посредством приемов, которые носят личностный характер (личный пример, авторитет и т.д.). На уровне коллектива службы безопасности действуют методы, включающие оценку индивидуальных качеств сотрудников и выработку ориентиров, создающих условия для максимального проявления их профессиональных качеств.
Структура процесса управления в самом общем виде состоит из трех стадий, каждая из которых включает в себя последовательно осуществляемые этапы или операции: 1. Сбор, обработка, обобщение и анализ информации 2. Выработка и принятие управленческого решения.
3. Организация исполнения управленческого решения.
При разработке управленческих подходов для решения конкретных вопросов по предотвращению различных угроз необходимо учитывать различные режимы функционирования СПБ: повседневной деятельности, повышенной готовности и при чрезвычайном положении (кризисной ситуации).
Лекция № 11. Управление СЗИ. Функции процессов управления
Функции процессов управления
При рассмотрении основных процессов управления выделяют следующие типовые функции:
Прогнозирование.
Планирование.
Организация.
Регулирование.
Мотивация.
Контроль.
В системе управления все эти функции должны быть объединены в целостный процесс, хотя из методических соображений целесообразно рассматривать их отдельно. Рассмотрим далее указанные функции с учетом специфики деятельности службы безопасности.
Прогнозированиепредполагает составление заключения (прогноза) о будущих событиях и тенденциях развития службы безопасности. Прогнозные оценки бывают оперативными (с упреждением не более одного месяца), краткосрочными (от 1 месяца до 1 года), среднесрочными (от 1 года до 5 лет). Составляются они как привлеченными со стороны специалистами, так и сотрудниками службы безопасности (в первую очередь сотрудниками штаба).
Качество прогнозных оценок повышается, если они составляются сотрудниками службы безопасности с помощью приглашенных экспертов-специалистов в той или иной области. Представляется, что наиболее целесообразным было бы составление следующих видов прогнозных оценок:
криминологических;
рисковых (коммерческий, финансовый и т.д.) в предпринимательской деятельности;
экономических, физических, информационных и т.д., определяющих безопасность предприятия.
Так, в работе [7] описан набор признаков, свидетельствующих о возможных условиях для реализации преступного замысла в отношении охраняемого объекта:
Выявление на объекте или на прилегающей территории тайников, приспособленных преступниками для сохранения похищенного; приспособлений, с помощью которых можно проникнуть на объект; смесей, отбивающих у собаки желание работать и т.д.
Обнаружение охраной или сотрудниками объекта подготовленных, но замаскированных мест возможного проникновения на объект, например в районе прохождения коммуникаций через капитальные перекрытия и стены, возле длительное время неиспользуемых «черных» ходов и запасных выходов с объекта.
Обнаружение оторванных и приставленных к забору досок, выпиленных или выдолбленных камней, кирпичей или плит в ограждении или стене объекта.
Информация о случаях кражи с объектов дефицитного портативного газосварочного оборудования, а также установленные службой безопасности факты приобретения такого рода оборудования лицами с сомнительным прошлым, ранее судимыми, теми, о ком имеется информация, подтверждающая их связь с преступным миром.
Информация об участившихся встречах криминальных элементов с бывшими сотрудниками фирмы или ее охраны.
Факты краж или нападений преступников на конструктивно схожие объекты, но не охраняемые.
Факты угроз в адрес собственника объекта, которые могут быть как бы последней попыткой склонения фирмы (ее руководителя) к выплате определенного процента от прибыли преступникам.
Фиксируемые охраной факты появления возле объекта лиц, действия которых напоминают тренировочные занятия по ознакомлению с местностью, проникновению на объект или по обработке иных специальных навыков и приемов.
Случаи «хулиганского» разбивания стекол на объекте, стуков в двери и окна, телефонные звонки от имени людей, «ошибшихся» номером.
Участившиеся случаи задержания посторонних на территории объекта, а также попытки неизвестных лиц проникнуть на территорию объекта без определенных намерений.
Обнаружение охраной внутри объекта переброшенных снаружи мотков проволоки, досок, крупных камней, которые могут использоваться преступниками для провоцирования срабатывания сигнализации и отвлечения охраны.
Случаи возникновения драк и хулиганских проявлений возле объекта, повреждение автомашины сотрудников охраны, факты неожиданного отключения света на объекте.
Попытки криминальных элементов устроиться на работу в фирму.
Возникновение повышенного интереса и внимания к фирме со стороны коммерческих структур непосредственно перед прибытием на объект ценных грузов (если это обстоятельство ранее не рекламировалось).
Признаки возможной связи сотрудников фирмы с криминальными элементами.
Планирование предполагает определение целей, задач службы безопасности на предстоящий период деятельности, средств и времени на их достижение. Наиболее распространенными в деятельности служб безопасности являются комплексные и специальные планы.
Комплексные планы охватывают все сферы деятельности службы безопасности и включают в себя, как правило, такие разделы, как организационные вопросы обеспечения всех видов безопасности предприятия (в рамках компетенции службы безопасности), работу с кадрами, ресурсное обеспечение, контроль и т.д. Наиболее приемлемая форма составления такого плана имеет следующий вид:
№ Содержание Срок Отвеств. Форма представления Отметка об
п/п планируемого исп. за исп. результатов исполнении
мероприятия
выполненного мероприятия 1 II III IV V VI
.
Специальные планы разрабатываются на случай возникновения чрезвычайных происшествий и чрезвычайных ситуаций (нападения на объект, угроза взрыва бомбы, захват заложников, наводнение, пожар и т.д.).
Организация - как функция состоит в установлении постоянных и временных взаимоотношений между всеми подразделениями службы безопасности, определение порядка и условий ее функционирования. Это процесс включает в себя следующие элементы:
. Определение рациональных форм разделения труда. В сфере управления существует следующее технологическое разделение труда: технические исполнители (секретари, машинистки, операторы ЭВМ), специалисты (юристы, аналитики и т.д.) и руководители службы безопасности и его подразделений.
. Распределение работ среди работников, групп работников. В первую очередь, такое обязательное распределение происходит между такими группами работников, как детективы и охранники (в рамках соответствующих подразделений). Во вторую очередь, работа распределяется между отделениями, секторами и группами, являющимися структурными единицами подразделений (отделов) службы безопасности. И лишь в третью очередь, работа распределяется между самими работниками. Материальное выражение такого распределения работ находит в разработке положений о подразделениях, его структурных единицах и должностных инструкциях.
. Разработка структуры органов управления. В службе безопасности орган управления состоит из трех уровней. Высший уровеньпредставлен начальником службы безопасности и его заместителем. Эта группа управленческих работников обеспечивает интересы и потребности руководителей предприятия- учредителя, вырабатывает политику службы безопасности и способствует ее практической реализации. Руководители среднего уровня управления (начальники подразделений) обеспечивают реализацию политики функционирования службы безопасности, разработанной высшим руководством, и отвечают за доведение более детальных заданий до своих подчиненных, а также за их выполнение. Низший уровень управления представлен младшими руководителями (начальниками отделений, групп, секторов), которые отвечают за доведение конкретных заданий до непосредственных исполнителей, а также за их выполнение.
. Регламентация функций, подфункций, работ, операций. Такую регламентацию следует проводить, начиная последовательно с функций и заканчивая операциями. Отражать их необходимо в уставе, положениях об отделах, отделениях, группах и секторах (функции), должностных и служебных инструкциях (работы, операции). При этом очень важно обеспечить эту регламентацию таким образом, чтобы соблюдалась определенная соподчиненность между функциями, подфункциями, работами и операциями.
. Установление прав и обязанностей органов управления и их с о т р у д н и к о в . Правами и обязанностями наделяются как структурные подразделения службы безопасности, так и еѐ сотрудники. При этом важно таким образом установить обязанности, чтобы для их реализации были предоставлены соответствующие права (совпадение объема прав и обязанностей). Отражаются права и обязанности в уставе службы безопасности, положениях и должностных инструкциях. Следует при этом избегать отождествления прав и обязанностей сотрудников с правами и обязанностями службы безопасности и подразделений.
. Подбор и расстановка кадров. Подбор кандидатов для работы в службе безопасности происходит в соответствии с требованиями, предусмотренными в законе «О частной детективной и охранной деятельности в Российской Федерации». Но в отличие от процедуры подбора кадров, где практически все вопросы жестко регламентированы, руководителям службы безопасности предоставлены определенные возможности в расстановке кадров. Такая расстановка возможна как по горизонтали, так и по вертикали.
Регулирование представляет собой «наладку» системы, приведение ее в нормальное рабочее состояние и необходимость в ней возникает в силу изменения внешних условий либо из-за возникновения каких-то нарушений, «сбоев» в функционировании самой системы. Посредством этой функции достигается поддержание управляемых процессов в рамках, заданных программой, регламентом, планом. Орган управления службы безопасности через эту функцию должен обеспечить сохранение заданных параметров следующими приемами:
А. Выравнивание отклонений. Так, если в сравнении с аналогичным периодом прошлого года резко возросло количество краж с охраняемого объекта, то проводится комплекс мероприятий по значительному их снижению (профилактические беседы, рейды, операции и т.д.). В результате применения этого приема управляемая подсистема приводится к некой норме, удовлетворяющей руководство службы безопасности и предприятия-учредителя.
Б. Компенсация возмущений. Возмущающее воздействие внешней среды на деятельность сотрудников службы безопасности выражается иногда в отрицательном воздействии на их поведение. Такое воздействие может выражаться, например, в отказе руководства повысить им зарплату в условиях высокой инфляции, резком увеличении нагрузки и т.д. В таком случае необходимо включить так называемые компенсаторные механизмы, к примеру предоставить сотрудникам ряд материальных льгот (бесплатные питание и проезд в общественном транспорте и т.д.), увеличить количество отгулов и т.д. Реакция на возмущающее воздействие должна быть своевременной и эффективной.
В. Устранение воздействия помех. Помехи в деятельности службы безопасности могут быть как естественные (землетрясения, наводнения и т.д.), так искусственные (нападения на охраняемый объект, дискредитация руководства предприятия в средствах массовой информации, поджоги помещений и т.д.). Необходимо предварительно составить перечень (каталог) таких возможных помех и отработать систему.
Мотивация - это процесс побуждения сотрудников службы безопасности к деятельности для достижения целей самой службы и ее подразделений. Мотивация представляет собой совокупность сил, побуждающих сотрудника осуществлять деятельность с затратой определенных усилий, на определенном уровне старания и добросовестности, с определенной степенью настойчивости в направлении достижения определенных целей.
В основе любой теории мотивации лежат потребности человека, которые можно удовлетворить вознаграждениями. Причем выделяют внешние вознаграждения (заработная плата, премии и т.д.) и внутренние - чувство успеха при достижении цели, получаемое от самой работы.
Для практических целей достаточна типология с использованием трех типов мотивации: I тип - сотрудники, ориентированные преимущественно на содержательность и общественную значимость труда; II тип - преимущественно ориентированные на оплату труда и другие нетрудовые ценности; III тип - сотрудники, у которых значимость разных ценностей сбалансирована.
Среди потребностей, которые обладают конкретными мотивационно-трудовыми значениями, можно выделить следующие:
потребность в самоуважении (добросовестная трудовая деятельность независимо от контроля и оплаты труда ради положительного собственного мнения о себе как о человеке и работнике);
потребность в самоутверждении (высокие количественные и качественные показатели в труде ради одобрения и авторитета, похвалы, положительное отношение со стороны коллектива и руководства);
потребность в признании (направленность трудового поведения на доказательство своей профессиональной пригодности и способностей);
потребность в самовыражении (высокие показатели в работе основе творческого отношения к ней);
потребность в активности (трудовая деятельность как самоцель, стремление к поддержанию через активность здоровья и самочувствия целостности личности);
потребность в стабильности (восприятие работы как способа поддержания существующего образа жизни, достигнутого достатка);
потребность в общении (установка на трудовую деятельность вообще и частные фрагменты работы как условия и повод для человеческих контактов и знакомств; хорошая работа как основа и тема общения).
Перечисленные моральные потребности как мотивы к труду не могут заменить собой материальные планы и ожидания. Вот почему руководители службы безопасности должны использовать в своей деятельности все формы материального и морального стимулирования своих подчиненных, добиваясь высокой мотивации их труда.
Контрольсостоит в процессе соизмерения (сопоставления) фактически достигнутых результатов с запланированными. Эффективная система контроля должна соответствовать следующим требования:
а) контроль должен быть всеобъемлющим;
б) контроль следует сосредоточить на результате;
в) система контроля должна быть простой;
г) контроль не может быть ни целенаправленным, ни нейтральным;
д) контроль должен быть постоянным.
Субъектами контрольной деятельности в службе безопасности являются руководитель предприятия-учредителя, члены совета (комитета) безопасности предприятия, руководители службы безопасности и его подразделений (в рамках своей компетенции). Кроме этого, внешними субъектами контроля могут быть сотрудники лицензионно-разрешительных подразделений органов внутренних дел и прокуратуры.
Подконтрольными объектами могут быть деятельность подразделений, состояние технической укрепленности охраняемого объекта, защищенность коммерческой тайны, система профессиональной подготовки и переподготовки сотрудников службы безопасности и т.д. Выбор объекта контроля определяется его способностью влиять (положительно или отрицательно) на деятельность службы безопасности в целом. В рамках подконтрольного объекта очень важны его составные элементы, после определения которых можно непосредственно приступить к контролю. Так, в рамках проверки состояния защиты коммерческой тайны на предприятии должны быть изучены:
соблюдение норм, правил хранения и охраны в помещениях,
спецхранилищах, на рабочих местах носителей информации;
ведение учета и обеспечение личной ответственности за выполнение данной функции;
соблюдение порядка хранения-и уничтожения засекреченных сведений;
соблюдение требований порядка обращения с носителями коммерческой тайны;
меры по предотвращению несанкционированного выноса носителей коммерческой тайны за территорию предприятия.
Лекция № 12. Управление СЗИ Принципы управления
План
Принципы управления СБП.
Виды обеспечения деятельности СБП.
Управление безопасностью предприятия в кризисных ситуациях
Принципы управления СБП
Принципы управления службой безопасности определяют требования к системе структуре и организации процесса управления. В рамках службы безопасности это следующие принципы:
Научность. Основное содержание этого принципа заключается в требовании, чтобы все управленческие действия осуществлялись на базе применения научных методов и подходов. Между прочим, этот принцип требует от руководителей службы безопасности и его подразделений внимательного изучения управленческой и специальной литературы по проблемам обеспечения безопасности предприятия.
Единонапичие и коллегиальность. Сущность этого принципа заключается в том, что на основе мнений низовых руководителей и рядовых исполнителей конкретных решений, вышестоящий начальник пользуется правом единоличного решения вопросов, входящих в его компетенцию.
Принцип системности и комплексности.Системность означает необходимость использования элементов теории больших с систем, системного анализа в каждом управленческом решении. Комплексность в управлении означает необходимость всестороннего охвата управляемой системы, учета всех сторон, всех направлений, всех свойств. Этот принцип требует от руководителей службы безопасности выработки у себя аналитико-синтетического склада мышления.
Принцип системности и комплексности. Этот принцип состоит в оптимальном распределении (делегировании) полномочий при принятии управленческих решений. Здесь следует руководствоваться таким правилом: тот, кому предстоит выполнять управленческое решение должен его самостоятельно разработать и, с учетом возможных корректив вышестоящего руководства, активно добиваться его реализации.
Принцип плановости.Сущность этого принципа состоит в установлении основных направлений и пропорций службы безопасности в перспективе. Практическая реализация этого принципа означает, что все сотрудники, подразделения и службы безопасности в целом должны планировать свою деятельность в такой последовательности: служба безопасности - подразделения - сотрудник.
Принцип сочетания прав, обязанностей и ответственности. Этот принцип
предполагает, что каждый сотрудник службы безопасности должен выполнять возложенные на него обязанности, при этом он наделяется адекватными ему правами и несет ответственность за качество их выполнения.
Обеспечение деятельности службы безопасности
Для успешного функционирования и эффективного управления службой безопасности необходимо обеспечить ее материально-техническими, финансовыми, кадровыми и информационными ресурсами.
Среди них первостепенное значение имеютфинансовые ресурсы. Без финансового обеспечения деятельности службы безопасности бессмысленно вообще говорить о ее функционировании.
Поскольку служба безопасности не вправе самостоятельно зарабатывать деньги путем заключения договоров с другими клиентами, именно на предприятии- учредителе лежит обязанность финансирования ее деятельности. Но это не означает, что руководство службы безопасности должно занимать в этом вопросе пассивную позицию. Напротив, обоснованные текущие и прогнозные оценки в финансовых потребностях службы безопасности и основанные на них точные расчеты должны стать правилом, а не исключением. Финансовую политику службы безопасности определяют, конечно, ее руководители, но при этом активную помощь им должна оказывать бухгалтерская служба.
В функции этой службы входит ведение табеля, учета рабочего времени; начисление зарплаты, премий и т.д.; учет выплат за различные услуги; перечисление денег; выдача сотрудникам их денежного содержания; оплата счетов и т.д. Поскольку руководители службы безопасности не являются, как правило, специалистами в финансовых вопросах, наиболее целесообразно свое внимание сосредоточить им на некоторых ключевых моментах.
Полное и качественное обеспечение деятельности службы безопасностиматериально-техническими ресурсами- не только средство, но и условие повышения эффективности работы его сотрудников.
Наконец, последнее по счету, но не по важности, обеспечение деятельности службы безопасностиинформационными ресурсами.
Прежде всего, следует определить потребность и объемы минимума информации, без которых функционирование службы безопасности вообще невозможно. Такую информацию можно условно разделить на три блока («Среда функционирования предприятия», «Состояние безопасности внутри предприятия» и «Внутриорганизационная деятельность службы безопасности»), после чего в рамках каждого блока разработать перечень необходимых сведений.
В 1-й блок «Среда функционирования предприятия» возможно включение сведений о предприятиях-конкурентах, правоохранительных и контрольно-надзорных органах, рыночной конъюнктуре, криминогенной ситуации в районе месторасположения предприятия, нормативных актах, регулирующих деятельность предприятия-учредителя и т.д.
Во 2-й блок «Состояние безопасности внутри предприятия» целесообразно включить следующие сведения: состояние преступности среди персонала, наличие или отсутствие коммерческой тайны, источники (каналы) и суммы материального ущерба, наносимого предприятию, анализ насильственных преступлений, совершенных против его персонала, эффективность работы юрисконсульта (юридической службы), о сотрудниках предприятия, имеющих доступ к конфиденциальной информации, с корыстно-насильственной мотивацией, связанных с сохранностью товарноматериальных ценностей; местонахождении и правилах работы с документацией, содержащей коммерческую тайну; месторасположении и состоянии сохранности изделий (описания процесса), составляющих секрет предприятия и т.д.
Наконец, в 3-м блоке «Внутриорганизационная деятельность службы безопасности» желательно иметь сведения о составе и структуре службы безопасности, перемещениях сотрудников, дисциплинарной практике, результатах проверок, состоянии законности и т.д.
Управление безопасностью предприятия в кризисных ситуациях
Служба безопасности должна быть . всегда готова к возникновению критических (кризисных) ситуаций, проявляющихся в результате столкновения интересов бизнеса и преступного мира.
Кризисная ситуация - это проявление фактов угроз со стороны отдельных лиц или групп. Кризисная ситуация может проявляться и развиваться по-разному: медленно или спонтанно, мгновенно.
При оценке и анализе кризисной ситуации очень важно как можно быстрее определиться с ответом на вопрос, способна ли СБП справиться с ситуацией своими силами либо для ее разрешения необходимо привлечение правоохранительных органов. Однако в любом случае, учитывая возможность возникновения кризисных ситуаций, любая фирма стремится создать в составе СБП отдельное формирование, именуемоеКРИЗИСНАЯ ГРУППА. Она создается из числа ключевых фигур фирмы: директор, руководители линейных подразделений, филиалов, служб, юрист, главный бухгалтер и др. Кризисная группа может быть создана на постоянной основе с непременным включением в число ее членов:
руководителя фирмы;
юриста;
финансиста;
руководителя службы безопасности.
Руководство кризисной группой может быть возложено на главу фирмы. Перечисленные лица, как правило, в силу своего служебного положения, обладания специальными знаниями, опытом располагают реальными возможностями достаточно эффективно воздействовать на обстоятельства, в условиях которых возникает и протекает кризисная ситуация, не выпуская при этом рычагов влияния на повседневную коммерческую и производственную деятельность.
В каждом конкретном случае в состав кризисной группы могут включаться и иные специалисты.
Кризисная группа решает следующие задачи: - оценка обстановки;
принятие неотложных мер по безопасности;
управление деятельностью фирмы в экстренных условиях;
обеспечение оперативного взаимодействия с органами правопорядка.
Главнаяцель создания кризисной группы - противодействие внешним угрозам безопасности фирмы. Рабочие заседания группы должны проходить в условиях предельной конфиденциальности.
Как правило, деятельность кризисной группы регламентируется типовым планом действий руководства и персонала фирмы. В зависимости от складывающейся ситуации планы могут быть следующего вида, а именно, план действий:
при угрозе взрыва;
захвате заложников или похищении сотрудников фирмы;
вымогательстве;
нападении на помещения фирмы; - нападении на инкассаторов.
Типовые кризисные планы являются документами конфиденциального характера, доступ к которым должен иметь узкий круг лиц. Составляться подобные планы должны не более чем в двух-трех экземплярах. Один хранится у руководителя, другой - у начальника службы безопасности, третий может находиться у лица, замещающего руководителя фирмы в его отсутствие.
Осуществляя планирование, надо исходить из того, что план - это не набор мероприятий, а последовательная линия поведения, стратегия деятельности фирмы в конкретной кризисной ситуации, направленная на обеспечение эффективной безопасности.
Лекция № 13. Организация информационно-аналитической работы. Цели
План
Цели и задачи информационно-аналитической работы
Направления и методы аналитической работы
Этапы выполнения информационно-аналитических исследований производственных ситуаций
Методы выполнения аналитических исследований Цели и задачи информационно-аналитической работы
Информационно-аналитическая деятельностьслужбы безопасности предприятия представляет собой системное получение, анализ и накопление информации с элементами прогнозирования по вопросам, относящимся к безопасности предприятия, и подготовка рекомендаций руководству о правомерной защите от противоправных посягательств. Служба безопасности проводит аналитическую работу не только с целью предотвратить утрату собственной информации, но и с целью получения информации о конкурентах. Являясь ядром такого понятия, как «разведка в бизнесе», аналитическая обработка информации позволяет получать по различным оценкам от 80 до 90% необходимой информации при использовании только открытых источников.
Для проведения информационно-аналитической работы в составе службы безопасности предприятия вводится информационно-аналитическое подразделение (ИАП). В зависимости от конкретных условий такое подразделение может называться иначе (информационно-разведывательное, аналитической работы и т.д.) ИАП должно представлять собой комплексную систему анализа, контроля и прогнозирования внешней и внутренней ситуации, складывающейся вокруг предприятия, обеспечивающую его достоверной и аналитически обработанной информацией.
Практика показывает, что наиболее эффективно такие подразделения функционируют как ядро службы безопасности. В первую очередь это объясняется тем, что основным потребителем аналитически обработанных данных является сама служба безопасности как подразделение, наиболее нуждающееся в аналитически обработанных данных, работающее на опережение и прогнозирование событий. Кроме того, в ходе аналитической работы очень часто используются конфиденциальные сведения, что также подтверждает рациональность размещения ИАП в службе безопасности. В настоящее время ИАП предприятия рассматривается как основной поставщик аналитически обработанной информации для нужд всех подразделений предприятия. Основной задачей ИАС становится информационно-аналитическое обеспечение принятия решений по вопросам основной деятельности предприятия. Сотрудники предприятия могут заказать аналитический отчет по интересующему вопросу для принятия более рационального и взвешенного решения. В этой связи важной проблемой становится обеспечение информационной безопасности аналитически обработанных данных, представляющих собой ценный информационный ресурс предприятия. Кроме того, защита информации внутри ИАП представляет собой крайне сложную задачу, так как специфика аналитической работы в ряде случаев вступает в прямое противоречие с нормами защиты информации. Обеспечение такого важного принципа, как дробление информации в работе реальных ИАП практически невозможно, так как это тормозит работу всей информационно-аналитической работы, где сотрудники должны иметь представление обо всей картине событий. Сокрытие какой-либо информации в ходе такой работы может привести их к ложным выводам и заключениям.
При выполнении информационно-аналитической работы необходимо решить следующие задачи:
■обеспечить своевременное поступление надежной и всесторонней информации по интересующим вопросам;
■описать сценарии действий конкурентов, которые могут затрагивать текущие интересы предприятия;
■осуществлять постоянный мониторинг событий во внешней конкурентной среде и на рынке, которые могут иметь значение для интересов предприятия;
■обеспечить безопасность собственных информационных ресурсов;
■обеспечить эффективность и исключить дублирование при сборе, анализе и распространении информации.
Таким образом, деятельность ИАП службы безопасности должна быть направлена на прогнозирование ситуаций, а также формирование соответствующих информационных комплексов, необходимых для эффективного принятия оптимальных решений.
Направления и методы аналитической работы
Направления аналитической работы определяются ИАП с учетом конкретных особенности предприятия. К основным направлениям аналитической работы можно отнести анализ объекта защиты, угроз, каналов несанкционированного доступа к информации, комплексной безопасности предприятия, нарушений режима конфиденциальности, а также анализ подозрений утраты конфиденциальной информации. Направления аналитической работы ИАП предприятия могут быть постоянными, периодическими и разовыми (рис.1.).
Рис.1.Направления аналитической работы
Постоянные направления аналитической работы являются наиболее важными. Периодические и разовые направления аналитической работы характеризуются своей жесткой зависимостью от постоянных направлений. Промежутки времени, через которые проводятся исследования в области периодических направлений аналитической работы, всецело зависят от результатов анализа по постоянным направлениям.
Не менее важными являются периодические направления аналитической работы, которые проводятся через определенные промежутки времени с целью контроля эффективности и возможности внесения улучшений в действующую в фирме систему защиты информации. К такому виду направлений аналитической работы, прежде всего, относится анализ степени безопасности предприятия. Очевидно, что постоянная и каждодневная аналитическая работа по данному направлению не имеет смысла. Вполне достаточно проводить анализ через определенные, специально установленные промежутки времени. Это направление аналитической работы находится в прямой зависимости от анализа состава угроз - постоянного направления аналитической работы.
Разовые направления аналитических исследований также являются очень важными в силу того факта, что бывают вызваны чрезвычайными обстоятельствами, происшествиями, неожиданно появившимися проблемами и требуют проведения исследований в кратчайшие сроки. Типичным примером разового направления аналитической работы анализ нарушения режима конфиденциальности на предприятии.
Каждое предприятие ведет индивидуальные направления аналитической работы и самостоятельно решает, следует ли разрабатывать их постоянно, периодически или только по мере надобности. Направления аналитической работы могут быть различными, но логикавзаимодействия и система связей между направлениями исследований должны сохраняться. Принципиально важными являются ключевые направления, работа по которым ведется постоянно. Такими направлениями, например, является анализ информации для обнаружения каналов НСД или разглашения информации. Результаты аналитической работы показывают степень безопасности условий функционирования предприятия и являются основой для построения и совершенствования системы защиты предприятия. Поиск предполагаемого или предотвращение действующего канала НСД к информации возможны только при наличии постоянного контроля и анализа объекта защиты.
Обнаружение каналов НСД к конфиденциальной информации предприятия входит в число постоянных направлений аналитической работы и в общем виде включает в себя:
■анализ источников конфиденциальной информации; ■анализ каналов объективного распространения информации; ■аналитическую работу с источником угрозы информации.
Рассмотрим данные направления более подробно:
Аналитическое исследование источников конфиденциальной информациипредусматривает:
■выявление и классификацию существующих и возможных конкурентов и соперников предприятия, криминальных структур и отдельных преступных элементов;
■выявление и классификацию максимально возможного числа источников конфиденциальной информации предприятия;
■выявление, классификацию и ведение перечня реальногосостава циркулирующей на предприятии конфиденциальной информации;
■изучение данных учета осведомленности сотрудников в тайне предприятия;
■ведение и анализ полноты перечня защитных мер, существующих на предприятии.
Аналитическая работа с источником угрозы конфиденциальной информации предусматривает:
■выявление и классификацию максимального состава источников угрозы конфиденциальной информации;
■анализ риска возникновения угрозы;
■разработку превентивных мероприятий по локализации и ликвидации объективных угроз.
В области внешних источников угрозы аналитическая работа связана с маркетинговыми исследованиями, анализ внутренних источников угрозы имеет целью выявление и изучение недобросовестных интересов и злоумышленных устремлений отдельных сотрудников предприятия и партнеров. Анализ возникновения угроз рекомендуют вести по такой схеме: вначале нужно выяснить, кто является злоумышленником и что ему нужно, затем, исходя из имеющихся у него средств и возможностей, будет гораздо легче спрогнозировать, как именно он попытается достигнуть своей цели.
Анализ угроз является одним из самых важных разделов аналитической работы и представляет собой ответ на вопрос, от чего или кого следует защищать определенные ранее объекты защиты. Источники угрозы конфиденциальной информации - объективные и субъективные события, явления, факторы, действия и обстоятельства, содержащие опасность для ценной информации. К объективным источникам можно отнести: экстремальные ситуации, несовершенство технических средств и др. Субъективные источники связаны с человеческим фактором и включают: злоумышленников различного рода, посторонних лиц, посетителей, неквалифицированный или безответственный персонал, психически неполноценных людей, сотрудников, обиженных руководством предприятия и др. Источники угрозы могут быть внешними и внутренними. Внешние источники находятся вне предприятия и представлены чрезвычайными событиями, а также организационными структурами и физическими лицами, проявляющими определенный интерес к фирме. Внутренние источники угрозы связаны с фатальными событиями в здании предприятия, а также с персоналом. Однако наличие источника угрозы само по себе не является угрозой. Угроза реализуется в действиях [10].
Таким образом, наличие, ведение и результаты постоянной аналитической работы определяют структуру и содержание системы защиты информации и направления еѐ совершенствования. При отсутствии серьезной аналитической работы становится практически невозможным выявление и контроль каналов несанкционированного доступа к ценной, конфиденциальной информации предприятия.
Лекция № 14. Организация информационно-аналитической работы. Этапы
План
Этапы выполнения информационно-аналитических исследований производственных ситуаций.
Методы выполнения аналитических исследований
Этапы выполнения информационно-аналитических исследований производственных ситуаций
Ведение аналитической работы возможно только при наличии необходимой информации, поэтому в первую очередь нужно определить, какая именно информация будет необходима для работы и где можно ее получить.
Выделяют следующие этапы выполнения информационно-аналитической работы
(рис.1.):
Рис.1. Этапы выполнения информационно-аналитической работы
Интерпретация информации является первым этапом информационно- аналитической работы. Под интерпретацией подразумевается выявление истинного значения той или иной информации. Язык описания информации зачастую может допускать неоднозначность еѐ понимания, поэтому в каждом конкретном случае необходимо выявить истинный смысл поступившей информации. На этом этапе аналитики сталкиваются с проблемой выделения не относящейся к делу информации.
Выделение посторонней информации составляет следующий этап аналитической работы. Этот процесс является одним из самых сложных и ответственных моментов во всей процедуре. Избыток информации, так же как и ее недостаток, представляет собой серьезную проблему и затрудняет проведение аналитической работы. Так, выделение нескольких ключевых моментов анализа гораздо более эффективно, чем разбрасывание между многими разрозненными данными. Кроме того, на этом этапе существует опасность отбросить важную информацию. Это может произойти в случае неправильной интерпретации сведений на предыдущем этапе.
Оценка информации составляет следующий этап. Под оценкой понимается метод ранжирования источников информации, самой информации и способов ее получения. Используют такую систему оценок информации, при которой специалистаналитик может выразить свою точку зрения относительно надежности и достоверности полученных сведений. Так, оценка источника информации осуществляется следующими понятиями: надежный источник, не всегда надежный источник или ненадежный источник. Оценка информации - подтвержденная другими фактами, возможно правдивая, сомнительная или неправдоподобная и т.д.
На этапе оценки необходимо установить, насколько информация может соответствовать истине. При этом нужно учитывать, что можно получить не соответствующую истине информацию следующих типов:
дезинформацию, доведенную до сведения источника;
преднамеренно или непреднамеренно искаженную источником.
Для своевременного выявления искаженной информации, а также для успешной борьбы с дезинформацией необходимо различать факты и мнения, учитывать субъективные характеристики источника и его предполагаемое отношение к выдаваемому сообщению. В качестве страховочных мер всегда нужно иметь дублирующие источники, информации и стараться исключать все лишние промежуточные звенья передачи информации.
Следующим этапом являетсяпостроение предварительных версий, объясняющих место основных полученных фактов в цепи событий. Первым шагом является составление списка сведений, приготовленных для анализа. Затем необходимо выделить в анализируемых данных ключевые моменты и отделить их от менее важных. Полученные сведения должны быть четко классифицированы по степени достоверности источника, самих сведений и способа их получения.
Далее необходимо выявить все возможные гипотезы, которые могут объяснять ключевые события, и, расположив их по степени вероятности, поочередно проверять на стыкуемость со всеми данными. Если обнаружено значительное расхождение какой-либо предварительной гипотезы с полученными сведениями, то следует переходить к следующей гипотезе. Таким образом, выбираются наиболее вероятные предположения. На этом этапе возникает проблема противоречия в анализируемых сведениях. Для ее преодоления необходимо сравнить оценки информации и источника, даты получения спорных сведений. Решающее же значение имеет интуиция, знания и опыт аналитика, проводящего анализ.
Следующим этапом является определение потребности в уточняющей информации, а также выяснение, какая именно информация необходима и почему. На этом этапе выявляются пробелы в информации. Часть пробелов может быть быстро установлена, так как является результатом недостаточного исследования, другая же часть пробелов в информации может и не быть обнаружена аналитиком, потому что упущена на этапе сбора самих сведений. Очевидно, что второй вид пробелов в информации является гораздо более опасным.
Выявив пробелы в информации, нужно определить их важность для дальнейшего анализа. Нельзя до бесконечности откладывать составление аналитического отчета под предлогом того, что в информации выявлены пробелы, т.к. информация имеет свойство быстро устаревать и достоверность еѐ теряется.
На основе выполнения вышеперечисленных этапов приступают к подготовке аналитических отчетов по определенному вопросу, выработке конкретных выводов и предложений. Отчеты могут быть представлены в различных формах.
В литературе выделяют три основных вида аналитических отчетов. Первый вид называют тактическим отчетом. К этому типу относятся экстренные отчеты по какому- либо вопросу небольшого объема, которые необходимы для срочного принятия решения. Такие отчеты составляются по разовым направлениям аналитической работы. Второй вид составляют стратегические отчеты. Они содержат более полную информацию и менее ограничены сроками. В них включается подробная предыстория данной проблемы и прогноз ее дальнейшего развития, причем для построения реалистичной гипотезы анализируется вся предшествующая информация по данной теме. Отчеты такого типа соответствуют постоянным направлениям аналитической работы. Третий вид представлен периодическими отчетами, основной отличительной особенностью которых является то, что они готовятся по определенному графику и направлены на анализ основных направлений деятельности предприятия.
В настоящее время рекомендуется использовать следующую форму изложения данных аналитического отчета:
Заключение. Здесь должны содержаться ответы на вопросы, какова степень важности полученной информации, ее значение для принятия конкретных решений, идет ли речь о каких-либо угрозах, подозрениях, выявленных негативных факторах и т.п., какое отношение имеет предмет отчета к другим областям аналитической работы.
Рекомендации. В этом разделе должны быть указаны конкретные направления дальнейших действий службы безопасности и других структурных подразделений предприятия для улучшения системы безопасности, предотвращения утраты информации, принятия наиболее эффективных решений и т.п.
Обобщение информации. Здесь излагают самую существенную информацию без излишней детализации.
Источники и надежность информации. В этом разделе должны быть указаны предполагаемые оценки надежности данных и источника на момент написания отчета, так как для принятия решений необходимо оценить надежность материалов, являющихся их базой.
Основные и альтернативные гипотезы. Обязательно должны указываться рассмотренные в ходе анализа наиболее вероятные гипотезы, что помогает принимать более взвешенные и адекватные решения, а также позволяет еще раз оценить правильность выбранной гипотезы.
Недостающая информация. Четко указывается, какая именно дополнительная информация необходима для подтверждения окончательной гипотезы и принятия решения.
Рассмотренная структурная схема проведения аналитического исследования позволяет предоставить в распоряжение специалиста, принимающего решение на его основе, структурированный массив конкретной информации. Методы выполнения аналитических исследований
Основным назначением всех аналитических методов является обработка полученных сведений, установление взаимосвязи между фактами, выявление значения этих связей и выработка конкретных предложений на основе достоверной и полной, аналитически обработанной информации. Существует широкий спектр специальных методов анализа информации: графические, табличные, матричные и т.п., например, диаграммы связи и матрицы участников, схемы потоков данных, временные графики, графики анализа визуальных наблюдений VIA и графики оценки результатов РЕRТ.
С помощьюдиаграмм связей выявляется наличие связи между субъектами, вовлеченными в конкретную ситуацию, подвергающуюся анализу, а также области общения, соприкосновения этих субъектов. На диаграмме связей отмечают как наиболее прочные, так и вспомогательные связи между субъектами. Анализируются все связи без исключения, так как в ходе развития событий и получения дополнительной информации вспомогательные связи могут выступить на первый план. Для большей наглядности следует также указывать на диаграмме связи должностей (для физических лиц) или род деятельности (для юридических лиц).
Матрицы связей отражают частоту взаимодействия субъектов за определенный период времени. Такой метод анализа дополняет диаграммы связей, позволяет оценить характер взаимодействий между субъектами через частоту таких взаимодействий. При использовании этого метода анализа до его начала необходимо отделить маловажные и не имеющие отношения к делу, пусть даже частые, взаимодействия субъектов.
Схемы потоков информации позволяют оценить то, каким образом происходят события. С их помощью можно анализировать пути движения информации среди субъектов анализа, т.е. оценивать положение каждого субъекта в общей группе и выявлять неустановленные связи между субъектами, используя определенную, специально подготовленную информацию как индикатор.
Временные графики используются для регистрации событий. Такая форма представления данных помогает не только эффективнее анализировать события, но и более рационально планировать меры противодействия.
Графики анализа визуальных наблюденийVIAявляются составной частью графиков оценки результатовРЕRТ. Оба графика составляются по принципу разбивки сложной операции на составные элементы. Такой принцип позволяет наглядно отражать ход событий. В зарубежных странах графики VIA и РЕRТ применяются для анализа тяжких преступлений и террористической деятельности, для повышения эффективности работы предприятий.
При проведении аналитической работы можно использовать какой- либо из перечисленных методов или их комбинацию.
В настоящее время в работе ИАП предприятий широко используют возможности современной вычислительной техники. Это относится к созданию баз данных по тематике аналитической работы и непосредственно к процессу анализа. Статистический анализ не выполняется вручную, для этого применяются специальные программы статистической обработки данных, предназначенные для аналитической работы.
В последнее время для аналитической работы все чаще применяются так называемыеэкспертные системы. Такие системы представляют собой класс компьютерных программ, которые выдают советы, проводят анализ, выполняют классификацию, дают консультации и ставят диагноз. Экспертные системы не только выполняют все эти функции, но и на каждом шаге могут объяснить аналитику причину той или иной рекомендации и последовательность анализа. В отличие от человекааналитика у экспертных систем нет предубеждений, они не делают поспешных выводов, не поддаются влиянию внешних факторов. Такие системы работают систематизировано, рассматривая все детали, выбирая наилучшую альтернативу из всех возможных. Несомненным преимуществом экспертных систем является и то, что, будучи введены в машину один раз, знания сохраняются навсегда, как бы обширны они ни были.
В настоящее время в распоряжении сотрудников ИАП предприятия находится множество методов ведения аналитической работы, среди которых они могут выбрать наиболее эффективный с их точки зрения метод, либо пользоваться своим собственным, уникальным методом. В работу ИАП предприятий также должны широко внедряться современные компьютерные технологии как в форме современных баз данных и новейших статистических программ, так и в форме практического применения искусственного интеллекта - экспертных систем.
Лекция № 15. Организация работы с персоналом предприятия
План
1)Подбор и подготовка кадров Подбор и подготовка кадров
В настоящее время стало очевидным, что без активного вовлечения в процесс обеспечения информационной безопасности предприятия всех сотрудников, имеющих доступ к конфиденциальной информации, результат не может быть полным. Специалисты по защите информации приводят данные, утверждающие, что определяющей фигурой в обеспечении сохранности ценных сведений предприятия является его сотрудник.
Анализ угроз информации позволил выделить следующие виды угроз информационным ресурсам, которые могут исходить от людей различных групп. По возрастании степени опасности информационным ресурсам, исходящей от них, выделяют следующие группы [24]:
некомпетентные служащие;
хакеры и крэкеры;
неудовлетворенные своим статусом служащие;
нечестные служащие;
инициативный шпионаж;
организованная преступность; • политические диссиденты;
террористические группы.
С учетом этого представляется целесообразным с целью обеспечения информационной безопасности предприятия уделять большее внимание подбору и изучению кадров, проверке любой информации, указывающей на их сомнительное поведение и компрометирующие связи.
При профотборе сотрудников для работы на коммерческих предприятиях рекомендуется придерживаться следующих этапов процедуры отбора персонала (Рис.1)
Рис. 1 Этапы процедуры отбора персонала Д'
Первый этап. Предварительное собеседование.
На этом этапе осуществляется предварительная беседа, которая реализуется в нескольких вариантах и может носить как поверхностный, так и углубленный характер. При поверхностном собеседовании в основном ограничиваются уточнением отдельных, наиболее значимых сведений и постановкой нескольких, совершенно конкретных вопросов. Такое собеседование проводиться, как правило, в случаях массового отбора кандидатов.
Первую ознакомительную беседу следует проводить по стандартной формализованной форме, что позволяет в дальнейшем осуществлять компьютерную обработку ответов кандидата и достаточно быстро получать обобщенные результаты собеседования.
Практика показывает, что предварительные беседы с лицами, принимаемыми на работу, могут использоваться для добывания через них информации о предприятиях, где они работали ранее, конкурентах, о состоянии рынка и т.д.
Для избежание подобных недоразумений следует в самом начале встречи четко и однозначно уточнить вопрос о подписании кандидатом каких-либо внутренних документов на прежнем рабочем месте, обязывающих его соблюдать режим неразглашения коммерческой тайны.
Второй этап. Сбор и оценка информации о кандидатах.
На этом этапе осуществляется углубленная оценка личных и деловых качеств кандидата на работу. При этом для служб безопасности предприятия представляется наиболее важным добывание сведений биографического характера не только на проверяемое лицо, но и его родственников, а также выявление дружеских, служебных и родственных связей.
Затем в ходе этого этапа на основе анализа документов, представленных самим кандидатом, а также данных, полученных через отдел кадров и службу безопасности, выявляются кандидаты, с которыми есть смысл вести дальнейшую работу, а также те, которые явно не соответствуют требованиям, предъявляемым к будущим сотрудникам.
По некоторым данным зарубежных и российских коммерческих служб и агентств, осуществляющих подбор персонала, уже на этом этапе отпадает, как правило, от 10 до 30% претендентов [10].
Третий этап. Тестовые примеры и иные научные методики проверки кандидатов.
Этот этап характеризуется тем, что кандидат подвергается комплексными психологическими тестированиями. В настоящее время используются многочисленные методы и процедуры персонального очного тестирования, поскольку они характеризуются быстротой реализации и достаточно высокой эффективностью. Следует иметь в виду тот факт, что каждый из этих методов имеет определенные ограничения, нарушения, которых способны серьезно исказить полученные результаты.
Обычно тестовые методики подразделяются на четыре большие группы.
Личностные опросные листы. Тесты данного класса представляют собой перечни вопросов, которые требуют от испытуемых лиц однозначно выразить согласие или несогласие с их содержанием. После тестирования ответы анализируются по специальному алгоритму оператором-психоаналитиком. На основе полученных данных формируются психологические характеристики испытуемых претендентов. К таким тестам относятся: тест СМИЛ, тест Кеттела, тест Азенка, тест РСК, тест КУСОРТ, тест Томаса и тест УСК.
Бланковые методики. Эти процедуры представляют собой наборы заданий различной степени сложности, которые предъявляются испытуемому лицу на карточках либо бланках. Кандидат должен найти правильный ответ, выбрав его из предлагаемых ему вариантов, или предложить свой индивидуальный вариант решения задачи. Подобные тесты используются для оценки так называемого "индекса интеллекта" либо степени сформированности отдельных психофизиологических функций. К подобным методикам относятся в первую очередь тесты Равена, Векслера, методика компасов, таблица Шульца и другие.
Проективные методики. Эти процедуры представляют собой еще более усложненный тип тестов. Полученные с их помощью результаты могут быть достоверно интерпретированы лишь за редким исключением только специалистами, имеющими большой опыт работы с этими методиками. К этой группе тестов относятся цветовой тест Люшера, пятна Рорхана, тест Розенцвейга.
Приборные методики - это комплексные процедуры с использованием сложных технических устройств, которые предназначены для всесторонней оценки психофизиологических характеристик испытуемых лиц. В российской практике профессионального отбора кандидатов на работу в коммерческие структуры подобные методики используются пока еще редко, поскольку для их реализации требуются специальные помещения, оборудование и специалисты-психофизиологи.
Четвертый этап. Исследование результатов тестирований.
На этом этапе выполняется аналитическая обработка и комплексный анализ результатов тестирований. Данный этап при профотборе является наиболее ответственным, поскольку именно от него во многом зависит успех всей предшествующей работы.
В настоящее время обработка материалов тестирования осуществляется с использованием ЭВМ, что значительно ускоряет этот процесс и позволяет избегать ошибок, снижает вероятность субъективных оценок.
Объективно и всесторонне оценивая существующие тестовые методики, необходимо подчеркнуть следующее: их специфика сегодня такова, что получить однозначный ответ о надежности будущего сотрудника пока все еще не предоставляется возможным. С помощью тестирований достигается лишь возможность сформулировать весьма полный набор характеристик изучаемого кандидата. При этом их глубина и точность в значительной мере зависят от использования пакета методик, а также от тщательности соблюдения
0рганизационная работа с персоналом предприятия операторами инструкций по тестированию и, конечно, их квалификации, опыта, знания характерных особенностей тестируемого контингента сотрудников.
При сравнительном анализе нескольких кандидатур рекомендуется придерживаться следующей последовательности [10]:
определение среди кандидатов тех лиц, которые по своим психологическим параметрам явно не подходят для планируемой работы;
выявление среди тестируемого контингента тех лиц, в отношении которых можно высказать весьма обоснованные подозрения о наличии у них каких-либо психических нарушений;
фиксирование тех кандидатов, которые не обладают качествами, противопоказанными для принятия на работу, хотя при этом профессионально значимые черты пока не сформированы либо сформированы, но в недостаточной степени;
выделение из группы кандидатов тех лиц, которые по своим психологическим характеристикам соответствуют требованиям профессиограммы полностью или частично.
Таким образом, всех кандидатов по ряду формальных признаков можно разделить на четыре основные группы. С тестируемыми лицами, попавшими в первую и вторую группы, дальнейшая работа не целесообразна. Из состава третьей группы в дальнейшем на собеседования можно приглашать тех, чьи психологические характеристики позволяют предполагать быстрое развитие у этих лиц профессионально значимых качеств. Членов четвертой группы рекомендуется практически без исключения допускать ко второму собеседованию.
Пятый этап. Заключительное собеседование.
Итоговое собеседование является основным этапом приема кандидата на работу. Опыт показывает, что именно на данном этапе сотрудники кадровых аппаратов и руководители предприятий допускают наибольшее количество ошибок. Их главная причина кроется в том, что к самому факту собеседования относятся, как правило, формально. Имеется в виду то обстоятельство, что к данному моменту решение либо уже в целом принято, либо сформировано на 90-95%. Именно поэтому заключительная беседа с кандидатом сводится зачастую к уточнению лишь некоторых второстепенных вопросов и порой к окончательному согласованию отдельных пунктов трудового договора [22].
Перед началом заключительного. собеседования рекомендуется составить примерный план беседы, обычно включающий следующие основные пункты:
выделение основных вопросов, требующих уточнения и разъяснения, итоги которых способны повлиять на окончательное решение о приеме кандидата на работу. Например, выявление истинного стремления поступить на работу, трудно объяснимая глубокая осведомленность о характере будущей деятельности, криминальные либо сомнительные причины увольнения с прежнего места работы;
прогнозирование вероятного поведения представителей кадровой службы и руководства, если в ходе собеседования вскроются новые и неожиданные
обстоятельства, ставящие под сомнение возможность зачисления кандидата на работу;
выбор оптимального времени, продолжительности, места проведения собеседования, которые должны быть удобными и приемлемыми для обеих сторон.
Выделяют три этапа заключительной беседы.
Начальный этап собеседования. В подобной беседе большое значение приобретает начальная фаза общения представителя предприятия с кандидатом.
Заключительное собеседование рекомендуется начинать с.обсуждения нейтральных тем и вести его, проявляя дружелюбие и максимальное внимание к собеседнику, рассматривая его в качестве вероятного кандидата на работу. На этой же стадии желательно ознакомить кандидата с некоторыми официальными документами, рекламными материалами, образцами, которые бы позволили ему сформировать собственное представление о данной организации. На этом вступительная часть беседы обычно завершается.
Структура содержания центральной части собеседования. Наиболее ответственной является основная часть беседы. Ее следует строить таким образом, чтобы кандидат отвечал на поставленные вопросы развернутыми предложениями, отражая в них те аспекты своей биографии, которые представляются важными для данного коммерческого предприятия. К числу наиболее значимых вопросов этой фазы собеседования традиционно относят следующие [10]:
основные побудительные мотивы, по которым кандидат решил предложить свои услуги данному предприятию;
перспективные планы кандидата;
отрицательные моменты, которые возникали по месту предыдущей работы кандидата;
личные и деловые связи, характер отношений с руководителями и сотрудниками на предыдущем месте работы.
При оценке ответов кандидата на вопросы представляется возможным достаточно глубоко оценить продуманность, устойчивость и окончательный характер решения кандидата.
Завершения итоговой беседы. Если в ходе собеседования не удалось выявить каких-либо фактов, которые бы делали сомнительным вопрос о приеме кандидата на работу, рекомендуется переходить к заключительному этапу - подписанию трудового контракта или договора. Эту часть беседы целесообразно проводить в официальной обстановке. Кандидату на работу следует предоставить возможность тщательно ознакомиться с текстом соглашения, особенно в части, касающейся его персональных обязательств перед данной коммерческой структурой.
Лекция № 16. Организация работы с персоналом предприятия
План
Проверка персонала на благонадежность
Заключение контрактов и соглашений о секретности.
Особенности увольнения сотрудников, владеющих конфиденциальной информацией
Проверка персонала на благонадежность
С точки зрения обеспечения безопасности конфиденциальной информации предприятия являются обязательными следующие функции службы безопасности по проверке сотрудников на благонадежность:
определение степени вероятности формирования у кандидата преступных наклонностей в случаях возникновения в его окружении определенных благоприятных обстоятельств, таких как персональное распоряжение финансовыми ресурсами, возможность контроля за движением наличных средств и ценных бумаг, доступ к материально-техническим ценностям, работа с конфиденциальной информацией и т.д.;
выявление у кандидата имевших место ранее преступных наклонностей, судимостей, связей с криминальной средой.
Для добывания подобной информации используются возможности подразделений предприятия, в первую очередь, службы безопасности, отдела кадров, юридического отдела, подразделений медицинского обеспечения, а также некоторых сторонних организаций, таких как, детективных агентств, бюро по занятости населения,
диспансеров и пр.
Для сбора сведений такого характера применяются в рамках закона "О частной детективной и охранной деятельности в РФ" следующие методы: опрос, анкетирование, целевые беседы с лицами по месту жительства кандидатов и на предыдущих местах их учебы или работы, наведение справок через медицинские учреждения.
Кроме того, представители кадровой службы предприятия должны быть абсолютно уверены в том, что проводят тесты, собеседования и встречи именно с теми лицами, которые выступают в качестве кандидатов на работу. Это достигается тщательной проверкой паспортных данных, а также получения фотографий кандидатов без очков, контактных линз, парика, макияжа.
Рекомендуется настаивать на получении набора цветных фотографий кандидата, которые могут быть использованы в случае необходимости для предъявления жильцам по месту его проживания или коллегам по работе. Использование в кадровой работе цветных фотографий, соответствующих паспортным данным, предпочтительнее также в связи с тем, что они четко и без искажений передают цвет волос, кожи, возраст и характерные приметы.
В последнее время широко практикуется почерковедческая экспертиза, которая позволяет определить многие черты характера кандидата: темперамент, выдержку, волевые качества, собранность, аккуратность, грамотность, общеобразовательный уровень и пр., а также предрасположенность к совершению неблаговидных и нечестных поступков.
В том случае, если результаты работы проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые бы препятствовали приему на работу данного кандидата, с ним заключается трудовое соглашение, в большинстве случаев предусматривающие определенный испытательный срок от 1до 3 месяцев.
Процесс проверки руководящих кадров имеет свои особенности. Необходимо подчеркнуть следующие важное обстоятельство - лица, принимаемые на ответственные вакантные должности предприятия, должны подвергаться стандартной проверке, включающей:
достаточно продолжительные процедуры сбора и верификации установочно- биографических сведений с их последующей аналитической обработкой;
предоставление рекомендательных писем от известных предпринимательских структур с их последующей проверкой;
проверки по учетам правоохранительных органов;
установки по месту жительства и по предыдущим местам работы;
серии собеседований и тестов с последующей психоаналитической обработкой результатов.
По мнению экспертов, даже каждый, взятый в отдельности из упомянутых методов проверки достаточно эффективен. В совокупности же достигается весьма высокая степень достоверности информации о профессиональной пригодности и надежности кандидата, его способностях к творческой работе на конкретном предприятии.
Заключение контрактов и соглашений о секретности
Обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений.
Обязательство (подписка, соглашение) о неразглашении конфиденциальных сведений представляет собой правовой документ, которым претендент добровольно и немедленно сообщать непосредственному руководителю и службе безопасности об утере носителей конфиденциальной информации, документов, дел, конфиденциальных материалов, изделий и т.п. В заключительной части контракта указывается степень ответственности за разглашение тайны фирмы или несоблюдение правил защиты информации.
После подписания приказа о приеме на работу в отделе кадров формируется личное дело сотрудника, включающее стандартный набор документов. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
Серьезное влияние на вопросы безопасности коммерческих предприятий оказывают процедуры увольнения сотрудников. К сожалению, отдельных руководителей порой мало интересуют чувства и переживания персонала, который по тем или иным причинам попадает под сокращение или самостоятельно изъявляет желание покинуть предприятие. Опыт показывает, что такой подход приводит к серьезным негативным последствиям.
Современные психологические подходы к процессу увольнения позволяют выработать следующую принципиальную рекомендацию: каковы бы ни были причины увольнения сотрудника, он должен покидать коммерческую организацию без чувства обиды, раздражения. Только в этом случае можно надеяться на то, что увольняемый сотрудник не предпримет противоправных необдуманных действий из чувства мести.
Таким образом, представители кадровых подразделений и служб безопасности должны быть четко ориентированы на выяснение истинных мотивов увольнения всех категорий сотрудников. Зачастую причины, на которые ссылается сотрудник при увольнении, и подлинные мотивы, побудившие его к такому шагу, существенно отличаются друг от друга.
Поэтому главная задача состоит в том, чтобы определить истинную причину увольнения сотрудника, попытаться правильно ее оценить и решить, целесообразно ли в данной ситуации предпринимать попытки к искусственному удержанию данного лица в коллективе либо отработать и реализовать процедуру его спокойного и бесконфликтного увольнения.
При поступлении устного или письменного заявления об увольнении рекомендуется во всех без исключения случаях провести с сотрудником беседу с участием руководства предприятия. Однако до беседы целесообразно предпринять меры по сбору следующей информации об увольняемом сотруднике:
характер его взаимоотношений с коллегами в коллективе;
отношение к работе;
уровень профессиональной подготовки;
наличие конфликтов личного или служебного характера;
ранее имевшие место высказывания или пожелания перейти на другое место работы;
доступ к информации, в том числе составляющей коммерческую тайну;
вероятный период устаревания сведений, составляющих коммерческую тайну для данного предприятия;
предполагаемое в будущем место работы увольняющегося сотрудника.
В зависимости от предполагаемого результата беседа может проводиться в официальном тоне либо иметь форму доверительной беседы, задушевного разговора, обмена мнениями. Однако каковы бы ни были планы в отношении данного сотрудника, разговор с ним должен быть построен таким образом, чтобы последний ни в коей мере не испытывал чувства униженности, обиды, оскорбленного достоинства. Если руководством предприятия все же принято решение не препятствовать увольнению сотрудника, а по своему служебному положению он располагал доступом к конфиденциальной информации, то в этом случае отрабатывается несколько вариантов сохранения в тайне коммерчески сведений. Так, оформление официальной подписи о неразглашении данных, составляющих коммерческую тайну, либо устная договоренность о сохранении увольняемым сотрудником секретов предприятия.
В тех случаях, когда увольнения сотрудников происходят по инициативе предприятия, рекомендуется действовать следующим образом. В этих обстоятельствах не следует поспешно реализовывать принятое решение. Если увольняемое лицо располагает какими-либо сведениями, составляющими коммерческую тайну, то нужно предварительно и под благовидным предлогам перевести его на другой участок работы в такое подразделение, в котором отсутствует подобная информация. Кроме того, таких лиц традиционно стремятся сохранить в структуре предприятия до тех пор, пока не будут приняты меры к снижению возможного ущерба от разглашения ими сведений, составляющих коммерческую тайну, либо найдены адекватные средства защиты конфиденциальных данных.
Только лишь после реализации этих мер рекомендуется приглашать на собеседование подлежащего увольнению сотрудника и объявлять конкретные причины, по которым предприятие отказывается от его услуг. После объявления об увольнении рекомендуется внимательно выслушать доводы, аргументы и замечания сотрудника в отношении характера работы, стиля руководства и т д. Если подходить не предвзято и объективно к подобной критике, то эти соображения могут быть использованы в дальнейшем весьма эффективно в интересах предприятия.
При окончательном расчете обычно- рекомендуется поблагодарить сотрудника за работу и независимо от личных характеристик увольняемых сотрудников взять у него подписку о неразглашении конфиденциальных сведений, ставших известными в процессе работы.
В любом случае после увольнения сотрудников, осведомленных о сведениях, составляющих коммерческую тайну, целесообразно используя возможности службы безопасности предприятия или частного детективного агентства проводить контроль за ними по их новому месту работы и прогнозировать возможности утечки конфиденциальных данных.