Категории: ДомЗдоровьеЗоологияИнформатикаИскусствоИскусствоКомпьютерыКулинарияМаркетингМатематикаМедицинаМенеджментОбразованиеПедагогикаПитомцыПрограммированиеПроизводствоПромышленностьПсихологияРазноеРелигияСоциологияСпортСтатистикаТранспортФизикаФилософияФинансыХимияХоббиЭкологияЭкономикаЭлектроника |
Вопрос 4. Управление персоналом организации в целях обеспечения ее информационной безопасности.
Обучение сотрудников организации правилам обеспечения информационной безопасности работодателя. Общее ограничение: Следует учитывать, что в силу психологических факторов эта подготовка в глазах сотрудников, в отличие от профессионального обучения и повышения квалификации, всегда будет носить вторичный по значимости характер. Для большинства же высококвалифицированных специалистов, особенно руководителей среднего и высшего звена, она чаще всего будет вызывать плохо скрываемое раздражение (по крайней мере, до момента первого серьезного столкновения с реальными угрозами). Общие методические требования к организации подготовки: Ø распространение подготовки на все категории персонала организации, с дифференциацией ее форм и методов по должностным категориям обучаемых; Ø непрерывность подготовки, что обеспечивается регулярным проведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес организации; Ø привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений, обычно имеющих в глазах своих подчиненных больший авторитет; Ø использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своей и сторонних организаций; Ø использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи, демонстрация некоторых технических средств защиты и т.п.
Организация подготовки новых сотрудников организации: Это подготовка является необходимым элементом первичного обучения и адаптации зачисленного в штат персонала и дифференцирована по двум категориям сотрудников – молодых специалистов и сотрудников, уже имеющих опыт практической работы в других организациях. Для первой категории рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о безопасности работодателя. Кроме того, в силу своего возраста они более легкомысленны, амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектов угроз. Обучение данной категории сотрудников осуществляется в два этапа инструктажа: Ø со стороны специалиста службы безопасности; Ø со стороны непосредственного руководителя или персонального куратора (наставника).
Для второй категории подготовка проводится по сокращенной программе и включает изучение лишь специфических правил обеспечения безопасности в рамках исполняемых служебных обязанностей. Организация последующей подготовки сотрудников осуществляется службой безопасности дифференцированно по категориям сотрудников организации: Ø для высшего руководства – в форме специальных аналитических обзоров, ежемесячно представляемых им за подписью вице-президента по безопасности; Ø для руководителей структурных подразделений – в форме ежеквартальных встреч с вице-президентом по безопасности; Ø для остального персонала - в форме специального инструктажа, который не реже одного раза в квартал проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.
Контроль над сотрудниками организации: Субъекты контроля: Ø служба безопасности; Ø руководители структурных подразделений.
Объекты контроля: Ø исполнение сотрудниками установленных правил обеспечения информационной безопасности работодателя; Ø лояльность сотрудников.
Формы контроля: а). Профилактический контроль над соблюдением правил обеспечения безопасности проводится с использованием следующих методов: Ø плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты; Ø мониторинга ситуации с использованием специальных технических средств наблюдения; Ø мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений банка. б). Контроль личной лояльности персонала осуществляется службой безопасности в отношении сотрудников: Ø занимающих ключевые рабочие места, обеспечивающих доступ к особо конфиденциальной информации; Ø привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность: § необъяснимое объективными причинами внезапное улучшение материального положения сотрудника или контактирующих с ним родственников; § не вызванные служебной необходимостью контакты с представителями субъектов потенциальных угроз (конкурентов, криминальных структур и т.п.); § изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа; § зафиксированные регулярные высказывания недовольства работодателем, служебным положением, доходами и т.п.
Мотивация сотрудников организации в целях обеспечения ее информационной безопасности реализуется по двум направлениям. Специальные поощрения за активную работу по укреплению информационной безопасности. Они используются в отношении: Ø сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций; Ø сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности; Ø руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания относительно соблюдения правил обеспечения информационной безопасности; Ø любым сотрудникам организации, оказавшим службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.
Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности: а). Административного характера: Ø смещение с должности руководителя структурного подразделения: § неоднократно уличенного в сокрытии фактов нарушения соответствующих правил, допущенных его подчиненными; § допустившего утечку абсолютно конфиденциальной информации, повлекшую за собой стратегический ущерб для организации или ее контрагентов; § оказавшегося не в состоянии, несмотря на принятые ранее к нему меры воздействия, обеспечить в своем коллективе требуемое отношение к обеспечению информационной безопасности (т.е. наличие регулярных замечаний со стороны службы безопасности); Ø увольнение сотрудника за невыполнение принятых на себя трудовых обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности; Ø отказ в пролонгации трудового договора; Ø досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока; Ø перевод сотрудника на другое рабочее место (в том числе - в другом подразделении), не предполагающее доступа к конфиденциальной информации; Ø исключение сотрудника из резерва на выдвижение; Ø другие методы (объявление взыскания, выговора и пр.). б). Экономического характера: Ø лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда; Ø лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения; Ø отмена персональных или групповых социально-экономических льгот. в). Психологического характера: Ø индивидуальная беседа с руководителем или представителем службы безопасности организации; Ø обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.
Для подготовки к семинару:
1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы: 1. Почему угрозы разглашения конфиденциальной информации более опасны в случае нанесения пострадавшей организации имиджевого, а не имущественного ущерба? 2. В каких отраслях экономики наиболее опасна утечка конфиденциальной информации клиентов организации? 3. Кем должно проводиться обучение персонала правилам работы с конфиденциальной информацией? 4. Как должна реагировать служба безопасности в случае выявления факта системной утечки конфиденциальной информации из конкретного подразделения? 5. Вправе ли работодатель уволить сотрудника по подозрению в разглашении конфиденциальной информации, не подтвержденному доказательной базой? 2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов: 1. Технические средства для перехвата устной информации. 2. Основные методы перехвата информации в электронной форме. 3. Технические средства защиты от перехвата устной информации. 4. Программные средства защиты от несанкционированного доступа к конфиденциальной информации в электронной форме. 5. Режимные мероприятия, направленные на защиту конфиденциальной информации. 6. Правила обеспечения безопасности конфиденциальной информации на электронных носителях и организация контроля над их соблюдением. 7. Правила работы с конфиденциальными документами и организация контроля над их соблюдением. 8. Правила обеспечения безопасности конфиденциальной информации в устной форме и организация контроля над их соблюдением. 9. Санкции к сотрудникам организации, неумышленно допустившим разглашение конфиденциальной информации. 10. Санкции к сотрудникам организации, умышленно допустившим разглашение конфиденциальной информации.
Для подготовки к консультации:выпишите вопросы, ответы на которые вызвали у вас затруднение и требуют дополнительной консультации преподавателя. |
|
Последнее изменение этой страницы: 2017-07-07 lectmania.ru. Все права принадлежат авторам данных материалов. В случае нарушения авторского права напишите нам сюда... |