Вопрос 4. Управление персоналом организации в целях обеспечения ее информационной безопасности.

Обучение сотрудников организации правилам обеспечения информационной безопасности работодателя.

Общее ограничение: Следует учитывать, что в силу действия психологических факторов в глазах сотрудников эта подготовка, в отличие от профессионального обучения и повышения квалификации, всегда будет носить вторичный по значимости характер. Для большинства же высококвалифицированных специалистов, особенно руководителей среднего и высшего звена, она чаще всего будет вызывать плохо скрываемое раздражение (по крайней мере, до момента первого серьезного столкновения с реальными угрозами).

Общие методические требования к организации подготовки:

Ø распространение подготовки на все категории персонала организации, с дифференциацией ее форм и методов по должностным категориям обучаемых;

Ø непрерывность подготовки, что обеспечивается регулярным проведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес организации;

Ø привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений, обычно имеющих в глазах своих подчиненных больший авторитет;

Ø использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своей и сторонних организаций;

Ø использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи, демонстрация некоторых технических средств защиты и т.п.

Организация подготовки новых сотрудников организации:

Это подготовка является необходимым элементом первичного обучения и адаптации зачисленного в штат персонала и дифференцирована по двум категориям сотрудников – молодых специалистов и сотрудников, уже имеющих опыт практической работы в других организациях.

Для первой категории рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о безопасности работодателя. Кроме того, в силу своего возраста они более легкомысленны, амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектов угроз. Обучение данной категории сотрудников осуществляется в два этапа:

Ø инструктаж со стороны специалиста службы безопасности;

Ø инструктаж со стороны непосредственного руководителя или персонального куратора (наставника).

Для второй категории подготовка проводится по сокращенной программе и включает изучение лишь специфических правил обеспечения безопасности в рамках исполняемых служебных обязанностей.

Организация последующей подготовки сотрудников осуществляется службой безопасности дифференцированно по категориям сотрудников организации:

Ø для высшего руководства – в форме специальных аналитических обзоров, ежемесячно представляемых им за подписью вице-президента по безопасности;

Ø для руководителей структурных подразделений – в форме ежеквартальных встреч с вице-президентом по безопасности;

Ø для остального персонала - в форме специального инструктажа, который не реже одного раза в квартал проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.

контроль над сотрудниками организации:

Субъекты контроля:

Ø служба безопасности;

Ø руководители структурных подразделений.

Объекты контроля:

Ø исполнение сотрудниками установленных правил обеспечения информационной безопасности работодателя;

Ø лояльность сотрудников.

Формы контроля:

а). Профилактический контроль над соблюдением правил обеспечения безопасности проводится с использованием следующих методов:

Ø плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты;

Ø мониторинга ситуации с использованием специальных технических средств наблюдения;

Ø мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений.

б). Контроль личной лояльности персонала осуществляется службой безопасности в отношении сотрудников:

Ø занимающих ключевые рабочие места, обеспечивающие доступ к особо конфиденциальной информации;

Ø привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность:

§ необъяснимое объективными причинами внезапное улучшение материального положения сотрудника или контактирующих с ним родственников;

§ не вызванные служебной необходимостью контакты с представителями субъектов потенциальных угроз (конкурентов, криминальных структур и т.п.);

§ изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа;

§ зафиксированные регулярные высказывания недовольства работодателем, служебным положением, доходами и т.п.

МОТИВАЦИЯ СОТРУДНИКОВ ОРГАНИЗАЦИИ в целях обеспечения ее информационной безопасности реализуется по двум направлениям.

Специальные поощрения за активную работу по укреплению информационной безопасности используются в отношении:

Ø сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;

Ø сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;

Ø руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности;

Ø любым сотрудникам организации, оказавшим службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.

Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности:

а). Административного характера:

Ø смещение с должности руководителя структурного подразделения:

§ неоднократно уличенного в сокрытии фактов нарушения соответствующих правил, допущенных его подчиненными;

§ допустившего утечку абсолютно конфиденциальной информации, повлекшую за собой стратегический ущерб для организации или ее контрагентов;

§ оказавшегося не в состоянии, несмотря на принятые ранее к нему меры воздействия, обеспечить в своем коллективе требуемое отношение к обеспечению информационной безопасности (т.е. наличие регулярных замечаний со стороны службы безопасности);

Ø увольнение сотрудника за невыполнение принятых на себя трудовых обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности;

Ø отказ в пролонгации трудового договора;

Ø досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока;

Ø перевод сотрудника на другое рабочее место (в том числе - в другом подразделении), не предполагающее доступа к конфиденциальной информации;

Ø исключение сотрудника из резерва на выдвижение;

Ø другие методы (объявление взыскания, выговора и пр.).

б). Экономического характера:

Ø лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда;

Ø лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения;

Ø отмена персональных или групповых социально-экономических льгот.

в) Психологического характера:

Ø индивидуальная беседа с руководителем или представителем службы безопасности организации;

Ø обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.

Для подготовки к семинару:

Ø Продумайте ответ на следующие предлагаемые к обсуждению вопросы: