Вопрос 4. Управление персоналом организации в целях обеспечения ее информационной безопасности.

Обучение сотрудников организации правилам обеспечения информационной безопасности работодателя.

Общее ограничение: Следует учитывать, что в силу психологических факторов эта подготовка в глазах сотрудников, в отличие от профессионального обучения и повышения квалификации, всегда будет носить вторичный по значимости характер. Для большинства же высококвалифицированных специалистов, особенно руководителей среднего и высшего звена, она чаще всего будет вызывать плохо скрываемое раздражение (по крайней мере, до момента первого серьезного столкновения с реальными угрозами).

Общие методические требования к организации подготовки:

Ø распространение подготовки на все категории персонала организации, с дифференциацией ее форм и методов по должностным категориям обучаемых;

Ø непрерывность подготовки, что обеспечивается регулярным проведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес организации;

Ø привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений, обычно имеющих в глазах своих подчиненных больший авторитет;

Ø использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своей и сторонних организаций;

Ø использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи, демонстрация некоторых технических средств защиты и т.п.

Организация подготовки новых сотрудников организации:

Это подготовка является необходимым элементом первичного обучения и адаптации зачисленного в штат персонала и дифференцирована по двум категориям сотрудников – молодых специалистов и сотрудников, уже имеющих опыт практической работы в других организациях.

Для первой категории рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о безопасности работодателя. Кроме того, в силу своего возраста они более легкомысленны, амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектов угроз. Обучение данной категории сотрудников осуществляется в два этапа инструктажа:

Ø со стороны специалиста службы безопасности;

Ø со стороны непосредственного руководителя или персонального куратора (наставника).

Для второй категории подготовка проводится по сокращенной программе и включает изучение лишь специфических правил обеспечения безопасности в рамках исполняемых служебных обязанностей.

Организация последующей подготовки сотрудников осуществляется службой безопасности дифференцированно по категориям сотрудников организации:

Ø для высшего руководства – в форме специальных аналитических обзоров, ежемесячно представляемых им за подписью вице-президента по безопасности;

Ø для руководителей структурных подразделений – в форме ежеквартальных встреч с вице-президентом по безопасности;

Ø для остального персонала - в форме специального инструктажа, который не реже одного раза в квартал проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.

Контроль над сотрудниками организации:

Субъекты контроля:

Ø служба безопасности;

Ø руководители структурных подразделений.

Объекты контроля:

Ø исполнение сотрудниками установленных правил обеспечения информационной безопасности работодателя;

Ø лояльность сотрудников.

Формы контроля:

а). Профилактический контроль над соблюдением правил обеспечения безопасности проводится с использованием следующих методов:

Ø плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты;

Ø мониторинга ситуации с использованием специальных технических средств наблюдения;

Ø мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений банка.

б). Контроль личной лояльности персонала осуществляется службой безопасности в отношении сотрудников:

Ø занимающих ключевые рабочие места, обеспечивающих доступ к особо конфиденциальной информации;

Ø привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность:

§ необъяснимое объективными причинами внезапное улучшение материального положения сотрудника или контактирующих с ним родственников;

§ не вызванные служебной необходимостью контакты с представителями субъектов потенциальных угроз (конкурентов, криминальных структур и т.п.);

§ изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа;

§ зафиксированные регулярные высказывания недовольства работодателем, служебным положением, доходами и т.п.

Мотивация сотрудников организации в целях обеспечения ее информационной безопасности реализуется по двум направлениям.

Специальные поощрения за активную работу по укреплению информационной безопасности. Они используются в отношении:

Ø сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;

Ø сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;

Ø руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания относительно соблюдения правил обеспечения информационной безопасности;

Ø любым сотрудникам организации, оказавшим службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.

Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности:

а). Административного характера:

Ø смещение с должности руководителя структурного подразделения:

§ неоднократно уличенного в сокрытии фактов нарушения соответствующих правил, допущенных его подчиненными;

§ допустившего утечку абсолютно конфиденциальной информации, повлекшую за собой стратегический ущерб для организации или ее контрагентов;

§ оказавшегося не в состоянии, несмотря на принятые ранее к нему меры воздействия, обеспечить в своем коллективе требуемое отношение к обеспечению информационной безопасности (т.е. наличие регулярных замечаний со стороны службы безопасности);

Ø увольнение сотрудника за невыполнение принятых на себя трудовых обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности;

Ø отказ в пролонгации трудового договора;

Ø досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока;

Ø перевод сотрудника на другое рабочее место (в том числе - в другом подразделении), не предполагающее доступа к конфиденциальной информации;

Ø исключение сотрудника из резерва на выдвижение;

Ø другие методы (объявление взыскания, выговора и пр.).

б). Экономического характера:

Ø лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда;

Ø лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения;

Ø отмена персональных или групповых социально-экономических льгот.

в). Психологического характера:

Ø индивидуальная беседа с руководителем или представителем службы безопасности организации;

Ø обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.

Для подготовки к семинару:

1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:

1. Почему угрозы разглашения конфиденциальной информации более опасны в случае нанесения пострадавшей организации имиджевого, а не имущественного ущерба?

2. В каких отраслях экономики наиболее опасна утечка конфиденциальной информации клиентов организации?

3. Кем должно проводиться обучение персонала правилам работы с конфиденциальной информацией?

4. Как должна реагировать служба безопасности в случае выявления факта системной утечки конфиденциальной информации из конкретного подразделения?

5. Вправе ли работодатель уволить сотрудника по подозрению в разглашении конфиденциальной информации, не подтвержденному доказательной базой?

2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:

1. Технические средства для перехвата устной информации.

2. Основные методы перехвата информации в электронной форме.

3. Технические средства защиты от перехвата устной информации.

4. Программные средства защиты от несанкционированного доступа к конфиденциальной информации в электронной форме.

5. Режимные мероприятия, направленные на защиту конфиденциальной информации.

6. Правила обеспечения безопасности конфиденциальной информации на электронных носителях и организация контроля над их соблюдением.

7. Правила работы с конфиденциальными документами и организация контроля над их соблюдением.

8. Правила обеспечения безопасности конфиденциальной информации в устной форме и организация контроля над их соблюдением.

9. Санкции к сотрудникам организации, неумышленно допустившим разглашение конфиденциальной информации.

10. Санкции к сотрудникам организации, умышленно допустившим разглашение конфиденциальной информации.

Для подготовки к консультации:выпишите вопросы, ответы на которые вызвали у вас затруднение и требуют дополнительной консультации преподавателя.