ТОР 5 статей: Методические подходы к анализу финансового состояния предприятия Проблема периодизации русской литературы ХХ века. Краткая характеристика второй половины ХХ века Характеристика шлифовальных кругов и ее маркировка Служебные части речи. Предлог. Союз. Частицы КАТЕГОРИИ:
|
Вопрос 4. Управление персоналом организации в целях обеспечения ее информационной безопасности.Обучение сотрудников организации правилам обеспечения информационной безопасности работодателя. Общее ограничение: Следует учитывать, что в силу действия психологических факторов в глазах сотрудников эта подготовка, в отличие от профессионального обучения и повышения квалификации, всегда будет носить вторичный по значимости характер. Для большинства же высококвалифицированных специалистов, особенно руководителей среднего и высшего звена, она чаще всего будет вызывать плохо скрываемое раздражение (по крайней мере, до момента первого серьезного столкновения с реальными угрозами). Общие методические требования к организации подготовки: Ø распространение подготовки на все категории персонала организации, с дифференциацией ее форм и методов по должностным категориям обучаемых; Ø непрерывность подготовки, что обеспечивается регулярным проведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес организации; Ø привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений, обычно имеющих в глазах своих подчиненных больший авторитет; Ø использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своей и сторонних организаций; Ø использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи, демонстрация некоторых технических средств защиты и т.п. Организация подготовки новых сотрудников организации: Это подготовка является необходимым элементом первичного обучения и адаптации зачисленного в штат персонала и дифференцирована по двум категориям сотрудников – молодых специалистов и сотрудников, уже имеющих опыт практической работы в других организациях. Для первой категории рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о безопасности работодателя. Кроме того, в силу своего возраста они более легкомысленны, амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектов угроз. Обучение данной категории сотрудников осуществляется в два этапа: Ø инструктаж со стороны специалиста службы безопасности; Ø инструктаж со стороны непосредственного руководителя или персонального куратора (наставника). Для второй категории подготовка проводится по сокращенной программе и включает изучение лишь специфических правил обеспечения безопасности в рамках исполняемых служебных обязанностей. Организация последующей подготовки сотрудников осуществляется службой безопасности дифференцированно по категориям сотрудников организации: Ø для высшего руководства – в форме специальных аналитических обзоров, ежемесячно представляемых им за подписью вице-президента по безопасности; Ø для руководителей структурных подразделений – в форме ежеквартальных встреч с вице-президентом по безопасности; Ø для остального персонала - в форме специального инструктажа, который не реже одного раза в квартал проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях. контроль над сотрудниками организации: Субъекты контроля: Ø служба безопасности; Ø руководители структурных подразделений. Объекты контроля: Ø исполнение сотрудниками установленных правил обеспечения информационной безопасности работодателя; Ø лояльность сотрудников. Формы контроля: а). Профилактический контроль над соблюдением правил обеспечения безопасности проводится с использованием следующих методов: Ø плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты; Ø мониторинга ситуации с использованием специальных технических средств наблюдения; Ø мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений. б). Контроль личной лояльности персонала осуществляется службой безопасности в отношении сотрудников: Ø занимающих ключевые рабочие места, обеспечивающие доступ к особо конфиденциальной информации; Ø привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность: § необъяснимое объективными причинами внезапное улучшение материального положения сотрудника или контактирующих с ним родственников; § не вызванные служебной необходимостью контакты с представителями субъектов потенциальных угроз (конкурентов, криминальных структур и т.п.); § изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа; § зафиксированные регулярные высказывания недовольства работодателем, служебным положением, доходами и т.п. МОТИВАЦИЯ СОТРУДНИКОВ ОРГАНИЗАЦИИ в целях обеспечения ее информационной безопасности реализуется по двум направлениям. Специальные поощрения за активную работу по укреплению информационной безопасности используются в отношении: Ø сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций; Ø сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности; Ø руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности; Ø любым сотрудникам организации, оказавшим службе безопасности реальную помощь в выявлении источников угроз информационной безопасности. Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности: а). Административного характера: Ø смещение с должности руководителя структурного подразделения: § неоднократно уличенного в сокрытии фактов нарушения соответствующих правил, допущенных его подчиненными; § допустившего утечку абсолютно конфиденциальной информации, повлекшую за собой стратегический ущерб для организации или ее контрагентов; § оказавшегося не в состоянии, несмотря на принятые ранее к нему меры воздействия, обеспечить в своем коллективе требуемое отношение к обеспечению информационной безопасности (т.е. наличие регулярных замечаний со стороны службы безопасности); Ø увольнение сотрудника за невыполнение принятых на себя трудовых обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности; Ø отказ в пролонгации трудового договора; Ø досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока; Ø перевод сотрудника на другое рабочее место (в том числе - в другом подразделении), не предполагающее доступа к конфиденциальной информации; Ø исключение сотрудника из резерва на выдвижение; Ø другие методы (объявление взыскания, выговора и пр.). б). Экономического характера: Ø лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда; Ø лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения; Ø отмена персональных или групповых социально-экономических льгот. в) Психологического характера: Ø индивидуальная беседа с руководителем или представителем службы безопасности организации; Ø обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.
Для подготовки к семинару:
Ø Продумайте ответ на следующие предлагаемые к обсуждению вопросы: 1. Почему угрозы разглашения конфиденциальной информации более опасны в случае нанесения пострадавшей организации имиджевого, а не имущественного ущерба? 2. В каких отраслях экономики наиболее опасна утечка конфиденциальной информации клиентов организации? 3. Кем должно проводиться обучение персонала правилам работы с конфиденциальной информацией? 4. Как должна реагировать служба безопасности в случае выявления факта системной утечки конфиденциальной информации из конкретного подразделения? 5. Вправе ли работодатель уволить сотрудника по подозрению в разглашении конфиденциальной информации, не подтвержденному доказательной базой? Ø Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов: 1. Технические средства для перехвата устной информации. 2. Основные методы перехвата информации в электронной форме. 3. Технические средства защиты от перехвата устной информации. 4. Программные средства защиты от несанкционированного доступа к конфиденциальной информации в электронной форме. 5. Режимные мероприятия, направленные на защиту конфиденциальной информации. 6. Правила обеспечения безопасности конфиденциальной информации на электронных носителях и организация контроля над их соблюдением. 7. Правила работы с конфиденциальными документами и организация контроля над их соблюдением. 8. Правила обеспечения безопасности конфиденциальной информации в устной форме и организация контроля над их соблюдением. 9. Санкции к сотрудникам организации, неумышленно допустившим разглашение конфиденциальной информации. 10. Санкции к сотрудникам организации, умышленно допустившим разглашение конфиденциальной информации. Ø Выполните тестовое задание для самопроверки: 1. Наибольшую опасность с позиции современной организации представляет разглашение конфиденциальной информации … а) о деятельности самой организации; б) о деятельности клиентов и партнеров организации, в) вопрос не корректен, приоритета не выделяется. 2. Традиционный подход к ранжированию информации по степени конфиденциальности предполагает дифференциацию ее … а) на три категории; б) на четыре категории, в) на пять категорий. 3. В современных условиях наиболее вероятна утечка конфиденциальной информации … а) на электронных носителях; б) на бумажных носителях, в) в устной форме. 4. В отечественных условиях более вероятной причиной утечки конфиденциальной информации по вине сотрудников организации является … а) осознанная нелояльность работодателю; б) безответственность виновного сотрудника, в) неэффективная защита информации самим работодателем. 5. Неумышленное разглашение конфиденциальной информации сотрудниками организации чаще всего является результатом … а) нарушения правил работы с компьютерной информацией; б) нарушения правил работы с конфиденциальными документами, в) нарушения правил проведения деловых переговоров. 6. Разглашение конфиденциальной информации сотрудником организации в форме инициативного доноса на работодателя в налоговые или контролирующие органы государства обычно является следствием … а) недовольства условиями найма, т.е. самим работодателем; б) недовольства непосредственным руководителем, в) как работодателем, так и непосредственным руководителем. 7. Наибольшую угрозу для современного работодателя представляет саботаж со стороны собственного сотрудника в форме умышленного уничтожения (или повреждения) … а) электронных баз данных; б) документов на бумажных носителях, в) оборудования и других имущественных комплексов. 8. Коды и пароли, используемые для ограничения доступа к конфиденциальной информации на электронных носителях, позиционируются … а) как информация для служебного пользования; б) строго конфиденциальная информация, в) абсолютно конфиденциальная информация. 9. Использование организацией компьютеров, лишенных дисководов и разъемов для подключения автономных носителей информации служит профилактическим методом защиты компьютерной информации … а) от несанкционированного копирования; б) от умышленного или неумышленного инфицирования вирусами; в) от внешних для организации хакеров. 10. Конфиденциальную информацию, разглашение которой представляет для организации стратегическую угрозу, наиболее целесообразно хранить … а) в электронной форме; б) в электронной форме, предварительно ее продублировав; в) на бумажных носителях. Ø Выполните типовые задания: 1. Проведите систематизацию сведений, содержащихся в приведенном ниже перечне, по степени их конфиденциальности. Заполните для этого правую графу таблицы.
Перечень конфиденциальных сведений: Ø сведения из личных дел сотрудников; Ø информация о движении средств по счетам организации; Ø информация о клиентов организации, переданная на доверительной основе Ø информация о перспективных научно-технических разработках; Ø сведения о применяющихся организацией авторских технологиях внутрифирменного менеджмента; Ø сведения о готовящихся к заключению контрактах; Ø информация о результатах маркетингового мониторинга обслуживаемого организацией рынка; Ø информация о системах защитной сигнализации; Ø внутренняя служебная переписка организации; Ø информация о численности сотрудников конкретных подразделений; Ø информация о планируемых на следующий квартал финансовых показателях деятельности организации; Ø информация об изменениях в ассортиментной и нишевой политиках организации; Ø информация об объемах товарных запасов на складе организации. 2. Определите категории сотрудников организации, дифференцированные по вероятности разглашения ими конфиденциальной информации работодателя, заполнив для этого правую графу приведенной ниже таблицы:
3. Сформулируйте завершающую часть соответствующих пунктов должностной инструкции руководителя структурного подразделения, заполнив для этого правую графу приведенной ниже таблицы:
4. Определите субъектов контроля над соблюдением сотрудниками указанных ниже правил обеспечения информационной безопасности работодателя, заполнив для этого правую графу приведенной ниже таблицы.
5. Определите санкции за указанные ниже нарушения конкретным сотрудником правил обеспечения информационной безопасности работодателя, заполнив для этого правую графу таблицы.
Для подготовки к консультации: выпишите вопросы, ответы на которые вызвали у вас затруднение и требуют дополнительной консультации преподавателя. Не нашли, что искали? Воспользуйтесь поиском:
|