- •Введение
- •1 Актуальность создания системы обеспечения корпоративной безопасности
- •1.2 Составляющие корпоративной безопасности
- •1.2.1 Физическая безопасность
- •1.2.2 Организационно-техническая безопасность
- •1.2.3 Экономическая безопасность
- •1.2.4 Безопасность контента
- •1.3 Информационная безопасность
- •2 Организационно–технические основы создания систем корпоративной безопасности
- •2.1 Структура, задачи и цели службы безопасности
- •2.2 Коммерческая разведка и контрразведка
- •2.3 Каналы утечки конфиденциальной информации
- •2.4 Принципы работы с персоналом
- •3 Результаты проектирования
- •3.1 Исходные данные для проектирования
- •3.1.2 Процесс оценки уязвимости
- •3.1.3 Оценка риска
- •3.2 Описание объекта
- •3.3 Инженерно-техническая укрепленность объекта защиты
- •3.4 Описание автоматизированной системы охраны «Орион» и ее внедрение на объекте защиты
- •3.4.1 Автоматическая установка пожарной сигнализации безадресная
- •3.4.2 Система оповещения и управления эвакуацией людей при пожаре
- •3.4.3 Система охранной сигнализации безадресная
- •3.4.4 Система контроля доступа
- •3.4.5 Система телевизионного видеоконтроля
- •3.5. Разработка проекта комплексной системы защиты информации ооо «Бухучет Сервис»
- •3.6. Введение в эксплуатацию системы защиты информации
2.4 Принципы работы с персоналом
По данным статистики до 80% убытков многие современные фирмы несут из-за участия сотрудников в тех или иных неблаговидных деяниях. При этом степень лояльности характеризуют следующие данные: 34 % сотрудников абсолютно лояльны к компании; 8 % – скорее лояльны; 31 % – вынужденно лояльны; 27 % – нелояльны. Угрозы безопасности со стороны персонала возникают по причинам низкой квалификации, моральной неудовлетворенности работой, изза наличия вредных привычек и др.
Универсальных методов, как обезопасить компанию от негативных действий сотрудников, нет, однако возможности снизить такую опасность, держать ее под контролем и избежать нежелательных последствий, имеются. Эти возможности связаны с проведением осознанной, организованной, последовательной и целенаправленной кадровой политики в коллективе, которая базируется на трех основных принципах: прием и отбор персонала с помощью современных методов; продуманная и грамотно построенная система вознаграждения и служебного роста; организационная культура, поддерживающая климат взаимоотношений, благоприятный для совместной работы.
Усилия руководства предприятия должны быть сосредоточены на следующих основных направлениях работы с сотрудниками, допущенными к конфиденциальной информации:
изучение морально-деловых качеств сотрудников предприятия;
повышение ответственности сотрудников всех категорий за сохранение в тайне доверенных по службе сведений конфиденциального характера;
проведение профилактической работы по предупреждению утечки конфиденциальной информации путем ее разглашения;
повышение уровня теоретических знаний и практических навыков сотрудников в вопросах защиты конфиденциальной информации;
создание и поддержание устойчивого морально-психологического климата в коллективе предприятия;
создание и применение системы стимулирования труда сотрудников, допущенных к конфиденциальной информации.
Обеспечение безопасности компании включает систематическую работу с персоналом, контроль сотрудников и управление их поведением.
Возможные непреднамеренные или умышленные нанесения ущерба компании нельзя считать случайными актами – это достаточно сложные, обусловленные многими факторами негативные процессы. Необходимо проводить сбор и анализ информации о них, в том числе:
организовать психодиагностику сотрудников с помощью собственных ресурсов или с привлечением внешних структур;
инициировать наблюдение руководителей за поведением сотрудников и стандартизированное оформление отчетов для сбора и анализа информации о выполнении должностных обязанностей, дисциплине, профессионализме, контактах с коллегами и руководством, степени удовлетворенности результатами труда, конфликтах и проблемах, возникающих в коллективе, роли сотрудников в группе, влиянии на трудовую деятельность и психологический климат;
собирать мнения коллег о сотрудниках (коммуникабельность, авторитет, конфликтность, личностные качества, профессионализм);
собирать информацию о прежней трудовой деятельности сотрудников: местах и условиях работы, должностях, поведении, причинах увольнения;
собирать информацию о жизни сотрудников вне компании (материальные условия, отношения в семье, интересы и увлечения, круг общения, связи, отношения с правоохранительными органами) – силами службы безопасности и коммерческой контрразведки в рамках обычной проверки сотрудников;
собирать информацию об условиях труда сотрудников, их взаимоотношениях внутри коллектива, отношении к руководству, выполняемой работе.
Информация о сотруднике может быть получена из следующих источников:
личные документы об образовании, трудовая книжка, автобиография, медицинские документы;
результаты собеседования при приеме на работу в виде отчета;
результаты тестов, психологические и профессиональные характеристики сотрудника;
результаты опросов, полученные от руководителей и коллег с помощью опросных листов;
отчеты руководителей или экспертов о сотрудниках, построенные в виде ответов на заранее сформулированные вопросы с индивидуальной направленностью (поскольку здесь представляет интерес определенный круг конкретных тем);
текущие трудовые документы – поощрения и взыскания, приказы о повышении и перемещении по службе, предоставлении отпуска, оказании материальной помощи, медицинские документы;
данные коммерческой контрразведки – отчеты о финансовом положении, семейных делах, интересах и увлечениях, криминальных связях (эта конфиденциальная информация может быть получена с помощью наблюдения за жизнью сотрудника, контактов с соседями, бывшими коллегами и начальством, а также путем обмена конфиденциальной информацией с правоохранительными органами).
От того насколько сотрудник предприятия подготовлен профессионально в области защиты информации, какими он обладает морально-деловыми и психологическими качествами, всецело зависит его способность противостоять возможным попыткам получения злоумышленниками или представителями организаций-конкурентов важной для них информации, отнесенной данным предприятием к категории конфиденциальной.
Высокий уровень подготовки сотрудников предприятия в вопросах защиты конфиденциальной информации позволит также максимально снизить вероятность появления непреднамеренных ошибок в обращении с этой информацией (ее носителями), наличие которых также потенциально создает предпосылки к ее получению недоброжелателями. И наоборот, проявление сотрудниками предприятия низких профессиональных навыков и отрицательных морально-деловых качеств значительно снизит эффективность системы защиты конфиденциальной информации на предприятии в целом, так как никакие меры организационного и технического характера не скомпенсируют возможную утечку информации со стороны сотрудников предприятия.
Причинами разглашения конфиденциальной информации допущенным к ней персоналом предприятия чаще всего становятся следующие факторы и обстоятельства:
недостаточный уровень знаний положений нормативных актов и внутренних организационно-распорядительных документов предприятия, регламентирующих деятельность по защите информации;
слабый контроль со стороны руководителей всех уровней за состоянием защиты информации и эффективностью принимаемых мер по недопущению утечки этой информации;
недостаточное внимание к вопросам организации работы с персоналом предприятия, изучению морально-деловых качеств сотрудников предприятия, допущенных к конфиденциальной информации;
несвоевременное принятие эффективных и действенных мер по предотвращению разглашения персоналом предприятия конфиденциальной информации, а также мер по фактам нарушений норм и правил защиты информации сотрудниками предприятия.
Наряду с перечисленными факторами и обстоятельствами к утечке охраняемой информации могут также привести различные экстремальные ситуации, возникающие в служебных помещениях предприятия, чрезвычайные происшествия и стихийные бедствия, локальные неисправности в системах коммуникации и жизнеобеспечения. В таких ситуациях охраняемая информация потенциально может стать достоянием лиц, не допущенных к ней, временно находящихся на территории предприятия (прибывших для решения различных задач и вопросов открытого характера). В связи с этим важно иметь необходимую информацию о лицах, не являющихся сотрудниками предприятия, которым предоставлено право его посещения (нахождения на его территории) для решения различных вопросов и задач. Заблаговременно определяется круг таких лиц, включающий прежде всего:
сотрудников организаций-партнеров и других взаимодействующих с предприятием в рамках его основной деятельности организаций и структур;
работников органов государственной власти, местного самоуправления, территориальных и надзорных органов;
представителей средств массовой информации регионального и местного уровня;
работников муниципальных (районных) коммунальных служб;
работников предприятий питания и бытового обслуживания, обеспечивающих жизнедеятельность предприятия;
инкассаторов, сотрудников банковских структур, подразделений федеральной почтовой и фельдъегерской связи.
Вопросы охраны конфиденциальности информации, к которой допускается работник предприятия, отражены в Трудовом кодексе РФ.
В соответствии с его положениями в трудовом договоре могут содержаться условия о неразглашении работником охраняемой законом тайны. Трудовой договор, заключенный с работником предприятия, может быть расторгнут работодателем в случае однократного грубого нарушения работником трудовых обязанностей разглашения охраняемой законом тайны, ставшей известной работнику в связи с исполнением им трудовых обязанностей. Работа с персоналом предприятия должна проводиться в плановом порядке, на постоянной основе. Неотъемлемой частью этой работы является распределение руководством предприятия задач и функций между должностными лицами и структурными подразделениями, определение приоритетности и очередности выполнения этих функций и задач.
Руководство предприятия, использующего в своей работе конфиденциальную информацию независимо от ее вида и степени конфиденциальности, а также сотрудники перечисленных подразделений, могут в своей деятельности опираться на положения Федерального закона «О коммерческой тайне». Данный закон составляет правовую основу организации и проведения работы с персоналом предприятия, допущенным к сведениям, в установленном порядке отнесенным к коммерческой тайне.
В нем закреплен принцип добровольности доступа к коммерческой тайне работника предприятия (в случае, если иное не предусматривается трудовым договором). Установлены обязанности работодателя по отношению к сотруднику предприятия в связи с охраной конфиденциальности информации, составляющей коммерческую тайну.
Работодатель обязан:
ознакомить под расписку работника, которому для выполнения его трудовых обязанностей нужен доступ к информации, составляющей коммерческую тайну, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
создать работнику необходимые условия для соблюдения им установленного работодателем режима коммерческой тайны.