«Г.К. КОПЕЙКИН, В.К. ПОТЕМКИН ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ В СИСТЕМЕ УПРАВЛЕНИЯ ПЕРСОНАЛОМ УЧЕБНОЕ ПОСОБИЕ ИЗДАТЕЛЬСТВО САНКТ-ПЕТЕРБУРГСКОГО ГОСУДАРСТВЕННОГО УНИВЕРСИТЕТА ЭКОНОМИКИ И ФИНАНСОВ 2008 2 ББК 65.9 К 55 Копейкин ...»

2.Обучение, когда управление квалификацией пользователей ИТ включает:

- составление квалификационных требований (сертификат пользователя, определенный уровень квалификации или перечисление требуемых навыков) и отражение их в должностной инструкции по вакантной позиции;

- подбор персонала на предмет соответствия требованиям, включая профотбор, интервью, анкетирование, испытания;

- испытательный срок на время освоения программного продукта, достижения уровня самостоятельности в решении профессиональных задач с помощью ИТ;

- аттестация, результатом которой является оценка эффективности использования ИТ для решения профессиональных задач; реализуется в формах интервью, наблюдения, анализа тестовых заданий;

- непрерывное повышение квалификации в формах обеспечения доступа к программам, специальной литературе, обмену опытом между пользователями, а также специальные курсы.

Обеспечение информационной безопасности организации при увольнении сотрудника имеет свои особенности. При намерениях сотрудника уволиться (косвенное свидетельство - посещение соответствующих сайтов в Internet, рассылка резюме) рекомендуются следующие действия:

- вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль;

- в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов.

Если сотрудник уже объявил о своем увольнении, можно принять следующие меры:

- проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе;

- сделать резервную копию файлов пользователя;

- организовать передачу дел;

- постепенно, по мере передачи дел сокращать права доступа к информации;

- по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.

Если сотрудник уличен в промышленном шпионаже необходимо:

- немедленно лишить его всех прав доступа к ИТ;

- немедленно скорректировать права доступа к общим информационным ресурсам (базы данных, принтеры, факс). Перекрыть или изменить внешние входы в сеть;

- всем сотрудникам сменить пароли; при этом до сведения сотрудников доводится следующая информация: «Сотрудник N с (дата) не работает. При любых попытках контакта с его стороны немедленно сообщать в службу безопасности»;

- некоторое время контроль над ИС осуществлять в усиленном режиме.

6.4.Документооборот конфиденциальной информации Документ – материальный объект с информацией, закрепленной заданным человеком образом для ее передачи во времени и пространстве.

Делопроизводство – деятельность, охватывающая документирование и организацию работы с документами.

Техника документооборота значимой для организации и конфиденциальной информации имеет существенные отличия от открытого делопроизводства.

регламентирующего порядок документооборота, выступает приказ «Об охране конфиденциальной информации в организации». Приказом утверждаются:

- перечень сведений, составляющих коммерческую тайну организации;

- меры по охране коммерческой тайны в организации;

- круг лиц, имеющих доступ к информации, содержащей конфиденциальные сведения;

конфиденциальности.

В соответствии с правилами приказом руководителя организации назначается должностное лицо (лица), ответственное за учет, хранение и использование документов, содержащих конфиденциальные сведения.

Все документы, содержащие конфиденциальные сведения, подлежат учету и специальному обозначению. На документе проставляется гриф конфиденциальности в правом верхнем углу первого листа с указанием номера экземпляра. Такие грифы не являются грифами секретности, а лишь показывают, что право собственности на информацию, содержащуюся в документе, принадлежит организации и охраняется законодательно.

На обороте листа документа, имеющего гриф, или в резолюции на нем руководитель пишет фамилии тех должностных лиц, которым разрешено пользоваться этим документом.

Печатание документов с грифом конфиденциальности производится централизованно, в специально отведенном помещении (рабочем месте), исключающем доступ посторонних лиц. Отпечатанные и подписанные документы передаются для регистрации должностному лицу, ответственному за их учет. Черновики и варианты документа уничтожаются этим лицом с подтверждением факта уничтожения записью на копии исходящего документа «Черновик и варианты уничтожены.

Подпись. Дата».

Все документы, содержащие конфиденциальную информацию, регистрируются отдельно от остальной документации в «Журнале регистрации документов с грифом конфиденциальности» с указанием:

номера и даты регистрации, номера и даты для входящих документов, откуда поступил или куда направлен документ, краткого содержания документа, количества листов, количества экземпляров, исполнителя. Все листы журнала нумеруются, прошиваются и опечатываются. В конце журнала в заверительном листе указывается количество листов (цифрами и прописью).

конфиденциальности принимаются и вскрываются специально назначенным должностным лицом или секретарем-референтом, если ему предоставлено такое право. При поступлении обязательно проверяется целостность корреспонденции, количество листов и экземпляров основного документа и приложений к нему. В случае отсутствия (недостачи) в конвертах (пакетах) документации с грифом конфиденциальности или наличия факта вскрытия составляется акт в двух экземплярах, один из которых направляется отправителю.

Документы, имеющие гриф конфиденциальности, формируются в отдельное дело. На обложке дела в правом верхнем углу ставится гриф конфиденциальности. На внутренней стороне обложки дела пишется список сотрудников, имеющих право пользоваться этим делом. Все листы нумеруются простым карандашом в правом верхнем углу. В начале подшивается внутренняя опись документов, содержащихся в нем, в конце дела подшивается заверительный лист.

Документы (дела) с грифом конфиденциальности хранятся в сейфе, который опечатывается должностным лицом, ответственным за работу с ними. Другие работники организации не имеют права доступа к сейфу.

При выдаче документов работник, получивший документ с грифом конфиденциальности, должен сверить номер (индекс) полученного документа с номером в журнале, проверить количество листов и поставить в журнале свою подпись. Движение (выдача и возврат) документов с грифом конфиденциальности отражается в «Журнале учета выдачи документов с грифом конфиденциальности» с указанием: номера документа, даты выдачи, наименования, количества экземпляров, количества листов в документе, кому выдан документ, подпись лица, получившего документ, отметки о возврате.

Выданные для работы документы с грифом конфиденциальности подлежат возврату в тот же день. С разрешения руководителя организации отдельные документы с грифом могут находиться у исполнителя в течение срока, необходимого для выполнения работы с ними при условии обеспечения сохранности на рабочем месте (сейф, кодовый замок).

При возврате документа с грифом конфиденциальности ответственное лицо сверяет номер документа по журналу, проверяет количество листов документа и в присутствии работника ставит в графе «отметка о возврате» подпись и дату возврата документа. Передача документов и дел другим работникам, имеющим допуск к этим документам, производится только через ответственное лицо с обязательной записью в журнале.

Запрещается изъятие из дел или перемещение документов с грифом конфиденциальности из одного дела в другое без разрешения руководителя организации и отметок в журнале. Документы с грифом конфиденциальности запрещено выносить из офиса. В исключительных случаях руководитель организации может разрешить сотруднику вынос документа для согласования, подписания с принятием необходимых мер безопасности.

Документы с грифом конфиденциальности должны копироваться только с разрешения руководителя в специально выделенном помещении в присутствии ответственного лица. Все копии берутся на учет с регистрацией в журнале. Каждый экземпляр готовится для заранее определенного адресата или исполнителя. Все бракованные копии документов подлежат немедленному уничтожению ответственным лицом.

Все дела с грифом конфиденциальности и журналы учета в обязательном порядке вносятся в номенклатуру дел организации. По окончании года специально созданная комиссия выполняет следующие работы:

- проверяет наличие всех документов с грифом;

- отбирает документы с грифом для архивного хранения;

- отбирает документы с грифом для уничтожения.

В случае установления факта утраты документов с грифом конфиденциальности немедленно ставится в известность руководитель организации и принимаются все меры к розыску документа. На утерянные документы после того, как их розыск не дал результатов, составляется акт, в журнале регистрации делается соответствующая отметка об утрате.

При увольнении сотрудника, ответственного за документы с грифом конфиденциальности, проводится проверка числящихся за ним документов и их передача вновь назначенному лицу. Акт приемапередачи этих документов утверждается руководителем организации. При прекращении трудовых отношений с организацией работника, допущенного к работе с конфиденциальной информацией, обязательства о неразглашении конфиденциальных сведений действуют в течение трех лет, если в трудовом контракте не оговорен другой срок.

Неприкосновенность личной жизни отражена в статье 12 Всеобщей декларации прав человека, согласно которой никто не должен подвергаться произвольному вмешательству в его личную, семейную или домашнюю жизнь, каждый имеет право на защиту закона от такого вмешательства.

С развитием информационных технологий информация о личности зачастую рассматривается как товар и как источник власти. Естественна в таком случае реакция общества на защиту этой информации. Первые законодательные акты по проблеме защиты персональных данных появились в 70-х годах прошлого столетия в ФРГ (земля Гессен) как реакция на создание крупных компьютерных центров и баз данных, созданных в целях автоматизации административной работы.

Законодатели полагали, что автоматическая обработка данных о гражданах без принятия мер по их защите несет угрозу личной свободе граждан. Уже в 1985г. вступила в силу Конвенция Совета Европы «О защите личности в связи с автоматической обработкой персональных данных».

В Российской Федерации право на защиту информации о личности является одним из важнейших прав и свобод гражданина, закрепленных в Конституции страны. В основе законодательных актов, регламентирующих порядок получения, обработки, хранения и передачи персональной информации, следующие общие принципы:

- целевой направленности, т.е. обработка персональной информации осуществляется исключительно в целях, установленных федеральным законодательством;

- системности, т.е. объем и содержание персональной информации должны полностью соответствовать целевой направленности ее использования;

- социальной ориентации, т.е. использование персональной информации не должно быть направлено против интересов личности и общества.

Личностная значимость персональной информации лежит в основе возможных угроз экономической безопасности организации. Практика свидетельствует о нарушениях работодателями условий работы с персональной информацией, в числе которых:

- требование предоставления дополнительной информации (о частной жизни, здоровье, материальном обеспечении и др.);

- использование персональной информации о сотрудниках в качестве товара (в рекламных, коммерческих, политических целях);

- несоблюдение режима защиты персональной информации (утечки, хищения, утрата информации).

Эти нарушения формируют спектр угроз и рисков, связанных с персональной информацией. К числу подобных угроз можно отнести:

- угрозы кадровой стабильности организации в связи с неуверенностью работников в личной безопасности, бесцеремонным вторжением администрации и иных третьих лиц в их личную жизнь;

- угрозы кадровому потенциалу организации в связи со снижением предложений рабочей силы для работы в организации, где не обеспечивается режим конфиденциальности информации о личности;

- угрозы информационной и экономической безопасности организации в связи с реализацией ответных реакций оскорбленных работников;

- угрозы личной безопасности топ-менеджмента и работников организации в связи с утечкой значимой персональной информации (о доходах, о качестве жизни, о компетенции и др.).

Законодательство Российской Федерации устанавливает режим защиты персональных данных. В статье 11 Закона РФ «Об информации, информатизации и защите информации» отражено, что сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица не допускается без его согласия, кроме как на основании судебного решения, а деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию.

Граждане и организации имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности; они имеют право знать, кто и в каких целях использует или использовал эту информацию.

Ограничение доступа граждан и организаций к информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.

Учитывая серьезность вопроса, в Трудовой кодекс Российской Федерации введена глава 14, где определены правила обработки, хранения и передачи персональных данных работника.

Статья 85 ТК РФ устанавливает, что персональная информация – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.

При обработке и хранении персональных данных работника работодатель и его представители обязаны:

- строго соблюдать законодательство РФ при определении целевого назначения, объема и содержания персональных данных;

- получать персональные данные у работника либо с его письменного согласия у третьей стороны;

- предупреждать работника о целях, способах получения персональных данных, характере их использования и последствиях отказа работника дать письменное согласие на их получение;

- ознакомить работника под расписку с документами организации, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области.

Работодатель не имеет права получать и обрабатывать персональную информацию, касающуюся политических, религиозных убеждений, членства работника в общественных организациях, состояния его здоровья, частной жизни за исключением случаев, предусмотренных федеральным законодательством.

При передаче персональных данных работодатель обязан:

- не сообщать персональные данные третьей стороне, в т.ч. в коммерческих целях, без письменного согласия работника;

- разрешать доступ к персональным данным только специально уполномоченным лицам;

-осуществлять передачу персональных данных в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под расписку.

В целях защиты персональных данных от неправомерного использования или утраты работодатель обязан:

- обеспечить за счет собственных средств и в порядке, установленном Федеральным законом, режим секретности (конфиденциальности) при хранении, обработке и передаче персональных данных;

- предупредить лиц, получающих персональные данные работника о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

- при передаче персональных данных работника его представителям ограничивать эту информацию только теми данными, которые необходимы для выполнения указанными представителями их функций.

В целях защиты своих персональных данных, хранящихся у работодателя, работники имеют право:

- на полную информацию об объеме их персональных данных и порядке их обработки;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий записей персональных данных;

- на определение своих представителей для защиты своих персональных данных;

- на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

- на требование об исключении или исправлении неверных или неполных персональных данных;

- на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

Законодательством установлена ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника.

Виновные несут дисциплинарную, административную, гражданскоправовую или уголовную ответственность. Так, статья 151 ГК РФ предусматривает возможность компенсации гражданину морального вреда в случае нарушения его личных неимущественных прав (личная и семейная тайна, деловая репутация, неприкосновенность частной жизни и др.). Статья 137 УК РФ устанавливает уголовную ответственность за нарушение неприкосновенности частной жизни гражданина.

и экономическая безопасность организации Глава 7. Поведение персонала как источник угроз Поведение - это последовательность действий человека, доступных наблюдению. Типы поведения работников зависят:

- от уровня развития коллектива: неосознанное невыполнение, осознанное невыполнение, осознанное выполнение, неосознанное выполнение (высшая стадия);

- от типа ценностных ориентаций работников: нормативное (в рамках правовых норм), девиантное (отклоняющееся от принятых в обществе норм), противоправное (несоблюдение норм права);

- от стереотипа личности: ригористический (подчинение служебному долгу), автономный (свобода организационного выбора), мобилизационный (психологическая готовность к работе), прессинговый (подчиненность рабочим операциям во времени и пространстве).

Угрозы, исходящие от сотрудников:

- нарушение установленного порядка использования технических средств, создающих условия для несанкционированного доступа к конфиденциальной информации;

- нарушение установленного режима сохранности сведений конфиденциального характера;

- нарушение установленного в организации режима безопасности;

- нарушение установленного порядка финансовой отчетности в организации;

- преступные и иные противоправные действия по личным мотивам или в интересах третьих лиц.

Источниками кадровых рисков выступают: экономическое поведение, организационное поведение, инновационное поведение, деструктивное поведение работников.

Экономическое поведение - это поведение, связанное с перебором экономических альтернатив с целью рационального выбора, т.е. выбора, в котором минимизируются издержки и максимизируется чистая выгода.

В основе экономического поведения лежат ценностные ориентации людей (деньги, статус, роль, идеалы).

Стратегии экономического поведения:

- минимум труда - минимум дохода;

- минимум труда - максимум дохода;

- максимум труда - гарантированный доход;

- максимум труда - максимум дохода.

Закономерности экономического поведения:

- поведение человека в рамках одной стратегии регулируется исключительно его мотивами;

- переход от одной стратегии к другой регулируется системой стимулов:

- стратегия «минимум труда - минимум дохода», возникая, как вынужденная реакция человека на ситуацию, формирует у работника чувства «внутреннего увольнения», подавленности, способствует становлению терминаторного поведения.

Организационное поведение - это поведение работников, вовлеченных в определенные управленческие процессы, т.е. управляемое поведение.

В основе организационного поведения лежат установки и мотивы работника по выполнению возложенных на него и (или) делегированных ему функций в рамках принятых в организации норм и правил. Характер рисков здесь зависит от способа делегирования функций работнику:

- полное делегирование, когда подчиненный выполняет работу и несет за нее полную ответственность;

- ограниченное делегирование, когда подчиненный выполняет работу, а ответственность разделяет с начальником;

- нулевое делегирование, когда подчиненный выполняет работу, а ответственность за нее несет начальник;

- делегирование наоборот, когда подчиненный перекладывает работу на начальника.

Для нейтрализации возможных рисков при делегировании полномочий необходимо соблюдать следующие условия:

- соответствие передаваемых сотруднику полномочий характеру решаемых задач;

- возможность реализации делегируемых полномочий данным сотрудником;

- соответствие масштаба ответственности индивидуальным возможностям сотрудника;

- контролируемая ответственность за выполнение задания;

- корректировка полномочий и ответственность сотрудника в соответствии с изменением задания;

- мотивирование расширения прав и ответственности повышением оплаты труда, ростом влияния или лидерства.

Причины, тормозящие распространение делегирования полномочий:

а) со стороны руководителя:

- отсутствие доверия к подчиненным;

- боязнь риска;

- трудность осуществления контроля;

- ощущение угрозы от сильной личности;

- усложнение процесса принятия решений;

- недостаточность коммуникаций с подчиненными;

б) со стороны подчиненных:

- проще спрашивать руководителя, чем самому делать;

- боязнь критики со стороны начальства;

- отсутствие прав и ресурсов;

- перегруженность работой;

- отсутствие уверенности в себе;

- отсутствие стимулов для дополнительной ответственности.

Инновационное поведение - реакция работников на организационноэкономические и технологические нововведения в организации. В основе реакций психологические барьеры к нововведениям, проявляющиеся в сознании и поведении работников.

Мотивы сопротивления работников нововведениям:

- они вынуждены рисковать, а это противоречит их натуре;

- они чувствуют, что в результате изменений могут оказаться лишними;

- они чувствуют неспособность выполнять новую роль;

- они чувствуют, что потеряют лицо в глазах руководителя;

- они не способны или не желают учиться.

Стадии перехода работника от исполнительности к сопротивлению:

- отрицание и недоверие как неуверенность в себе;

- злость и поиск виновных в собственных бедах;

- выгадывание времени и диагностика ситуации;

- отступление на другие позиции;

- осознание реальности и подготовка новой программы;

- реализация программы и изменение поведения.

Поведение руководителя сводится к нейтрализации психологических барьеров неприятия нововведений работниками. Здесь возможны следующие ошибки руководителя:

- не объяснены цели перемен - боязнь и враждебность подчиненных;

- работники отстранены от планирования перемен - чужим рекомендациям не верят;

- не учтены традиции и стереотипы поведения - боязнь изменения стандартов поведения;

- нарушены межличностные отношения - боязнь потерять привычных собеседников;

- произведены перемещения работников - переводы воспринимаются болезненно;

- инициатор не пользуется уважением - естественное недоверие сотрудников.

Поведение в кризисных ситуациях во многом определяет уровень безопасности в организации. Наиболее вероятна реализация угроз в ситуациях, определяемых как кризисные. Любая кризисная ситуация характеризуется наличием угроз, дефицитом времени для принятия решения, давлением окружающих на лиц, принимающих решение.

Поведение персонала в кризисной ситуации определяют следующие основные факторы:

- неопределенность, внезапность, быстротечность события;

- нехватка времени на анализ ситуации;

- отсутствие или высокий темп поступления информации;

- степень подготовленности персонала и руководства;

- соответствие (отсутствие) инструкций, регламентирующих действия в кризисной ситуации;

- функциональное состояние персонала в данный момент.

Восприятие кризисной ситуации может инициировать следующие варианты поведения лица, принимающего решение:

- неосознание ситуации как кризисной, а, следовательно, отсутствие необходимости немедленного реагирования;

- обнаружение симптомов кризисной ситуации, которая воспринимается как контролируемая;

- осознание кризисной ситуации, неконтролирование ситуации адекватными действиями.

Управление в условиях кризисной ситуации, чтобы быть эффективным, должно учитывать следующие рекомендации:

- в случае возникновения кризисной ситуации должна начать работать особая сеть связей, обеспечивающая скорость, одновременность передачи информации и ее фильтрацию;

перераспределение функций: одна группа обеспечивает контроль морального климата в организации, другая – поддерживает обычную работу с минимальным уровнем срывов, третья особая группа организует выход из кризисной ситуации;

- особая группа, подготовленная заранее, должна состоять из нескольких специализированных звеньев, руководимых штабом во главе с руководителем организации.

При разработке оперативных мер по нейтрализации кадровых рисков используется прием формирования модели нарушителя. Здесь учитываются следующие параметры:

- численность нарушителей в группе;

- категории лиц, к которым может принадлежать нарушитель;

- цели нарушителя;

- способы достижения целей;

- возможные исходные положения нарушителя;

- сведения, необходимые нарушителю, период их актуальности;

- профессиональная подготовка нарушителя;

- оснащенность техническими средствами и инструментом;

- полномочия для внутренних нарушителей;

- характер действий нарушителя и возможный наносимый ущерб.

Объектом нападения в первую очередь являются конфиденциальная информация, а также сотрудники предприятия. Объектом диверсий может являться технологическое оборудование, готовая продукция.

Модель нарушителя включает следующие группы:

1.Персонал, ответственный за хранение материальных ценностей.

Эта группа потенциальных нарушителей является весьма опасной, несмотря на свою малочисленность, ввиду их высоких полномочий и специфики выполнения задач. Они наиболее информированы о системе хранения, организации и способах охраны материальных ценностей предприятия.

Целью действий нарушителей данного типа является обогащение за счет организации хищений, незаконного использования служебных возможностей.

2.Отдельные рабочие, неквалифицированные расхитители.

Эта группа потенциальных нарушителей многочисленна. В рамках трудовых обязанностей рабочие могут обладать достаточно высокими полномочиями по доступу к технологическому оборудованию и материальным ценностям.

Целью действий данной категории нарушителей может являться личное обогащение. Причиной неправомерных действий может являться незнание правил обеспечения сохранности материальных ценностей, неопытность, безответственность.

3.Организованные группы.

Эта группа потенциальных нарушителей, ввиду своей достаточной квалификации несет в себе трудно распознаваемые угрозы. В частности может:

- в случае доступа к инженерно-техническим средствам защиты вносить в них неконтролируемые изменения;

- встраивать в используемые механизмы безопасности средства несанкционированного доступа и просто блокировать работу инженернотехнических средств защиты.

Последствия от воздействия нарушителей данного типа характеризуются как наносящие значительный материальный ущерб, а в отдельных случаях могут носить катастрофический характер.

4.Сотрудники, имеющие доступ к управлению технологическими процессами и конфиденциальной информации.

информированность и большие права по доступу на технические объекты.

Они, как правило, в силу занятости не придерживаются рекомендуемого службой безопасности порядка деятельности, что может позволить недобросовестному рабочему совершить какие-либо незаконные действия от их лица.

Для нейтрализации угроз данной группы нарушителей необходимо применять жесткие меры административной ответственности за нарушение режима безопасности.

5.Администраторы автоматизированных систем.

Большинство неправомерных действий администраторов поддается прогнозированию. Администраторы в большинстве случаев имеют прямой доступ к информации обслуживаемых систем. Ими могут быть воспроизведены все ситуации, препятствующие функционированию сети (останов, сбой серверов; изменение топологии сети; создание незарегистрированных узлов сети; создание незарегистрированных точек входа и выхода из локальной сети; уничтожение и/или модификация программного обеспечения; создание множественных, ложных информационных сообщений). Кроме того, указанной группе доступен несанкционированный съем информации, блокирование работы отдельных пользователей, перестройка планов маршрутизации и политики доступа в сеть.

Эту группу можно проконтролировать, введя должность администратора безопасности, передав ему функции контроля изменения структуры и внутренней политики сети, а также оснастив анализаторами сети и блокировав изменения с помощью установки активного оборудования оснащенного средствами разграничения доступа.

6.Программисты.

Эта группа потенциальных нарушителей, ввиду своей достаточной квалификации несет в себе трудно распознаваемые угрозы. В частности может:

- в случае доступа к реальным базам данных вносить неконтролируемые изменения в базы данных;

- встраивать в используемые информационные системы средства несанкционированного доступа и системы блокировки работы по условному ключу или команде.

В качестве объекта нападения может использоваться любая информация служебного характера. В случае, если технический специалист действует в интересах третьих лиц, служебная информация ограниченного распространения может стать достоянием этих лиц.

Указанную группу можно проконтролировать, введя должность администратора безопасности.

7.Руководители.

Их отличительной особенностью является информированность и большие права по доступу в системы. Руководители обычно не ведут должного учета использования своих прав доступа в систему, в силу занятости не придерживаются рекомендуемых рамок при смене пароля, что может позволить постороннему пользователю, подобрав пароль, совершить какие-либо действия от их лица.

8.Сотрудники, уволенные с работы, имевшие доступ к автоматизированным системам.

Их отличительная особенность - мотивы совершения преступлений, связанные с обидами, желанием отомстить за увольнение с работы.

Указанная группа потенциальных нарушителей может обладать специфическими возможностями, которые в первую очередь зависят от бывших прав нарушителя при работе в системе. Из наиболее часто встречающихся ситуаций следует отметить продажу информации о внутренней организации дел, распорядке делопроизводства. В случае, если уволен технический сотрудник, предмет продажи – информация о топологии сети, построении информационных систем, его именах и паролях в системе.

Последствия от воздействия нарушителей данного типа характеризуются как наносящие значительный материальный ущерб.

Глава 8.Обеспечение безопасности при работе с персоналом 8.1.Техника собеседования при приеме на работу Угрозы при работе с персоналом возникают на почве:

- полиролевого поведения человека по отношению к ресурсам организации (владение, распоряжение, пользование);

- морально-этических установок и экономических предпочтений человека (мотивация, профессионализм);

- психики человека, т.е. свойств его личности (характер межличностных отношений, волевые качества).

Цель проверки работника – минимизировать риски реализации угроз, связанных с персоналом на всех этапах «жизненного цикла»

работника.

Работодатель желает получить ответы на вопросы:

- не имеет ли кандидат на вакантную должность вредных наклонностей;

- есть ли судимость и (или) нахождение под следствием;

- правильно ли сообщил данные о прежних местах работы;

- лоялен ли по отношению к руководству фирмы;

- не имеет ли каких - либо связей с конкурентами;

- не вынашивает ли криминальные замыслы.

Отсюда столь серьезное и постоянное внимание человеческому фактору в системе мер, обеспечивающих безопасность в обществе, в организации.

История свидетельствует:

- арабы предлагали подозреваемому прикоснуться языком к раскаленному мечу. Если человек обжигал язык, он признавался виновным. Замечено: у виновного во рту пересыхает слюна, и он получает ожог;

- в Китае использовали тот же принцип, только подозреваемый отвечал на вопросы с сухим рисом во рту. Если рис не намокал, то человек признавался виновным;

- в Индии называли подозреваемому ряд слов, включая слова, связанные с преступлением. Человек должен был отвечать любым словом и одновременно бить в гонг. Замечено: при ответе на ключевое слово пауза длиннее, удар сильнее;

- в Африке подозреваемым давали птичье яйцо и предлагали передавать его друг другу. Замечено: виновный в преступлении раздавит хрупкое яйцо;

- в Европе практиковался «судебный ломоть» - сухой хлеб. Если у подозреваемого были трудности с глотанием, он признавался виновным;

- Ибн Сина (Средняя Азия) предлагал наблюдать за пульсом подозреваемого при перечислении ключевых слов, имеющих отношение к преступлению. Если пульс прерывался, человек признавался причастным к преступлению;

- Чезаре Ломброзо (Италия) измерял у подозреваемого во время допроса давление крови, определяя тем самым причастность его к преступлению. Замечено: у лгуна возникают физиологические изменения в организме (давление, пульс);

- Леонард Килер (США) одновременно регистрировал у подозреваемого дыхание, относительное давление крови, электрическую активность кожи на первом в мире полиграфе «Килер».

Эти приемы проверки безвозвратно ушли в прошлое. В современных организациях ведущее место занимает проверка сведений, сообщаемых о себе работником, в т.ч. документально. Эти процедуры осуществляются с письменного согласия работника от имени организации службой безопасности или службой управления персоналом. При этом используется метод официальных запросов.

Однако непосредственное общение с человеком – претендентом на вакантную должность при некоторой подготовке и наблюдательности может дать ответы на многие вопросы, в частности – правдив ли собеседник. Проиллюстрируем это примерами.

Вербальные приемы диагностики:

- вариант «поймать на противоречиях». В интервью вставить вопросы, совпадающие по смыслу, но различающиеся по формулировке.

Ответы должны совпадать;

- вариант «рекомендация». Прямо спрашивают, кто из бывших сотрудников мог бы дать характеристику его личных и деловых качеств.

При неискренности возможно замешательство;

- вариант «ловушка». Задается ряд вопросов по специальности (по владению языком, компьютером).

Невербальные приемы диагностики:

- вариант «жесты». Прикрытие рта, прикосновение ко рту, к носу, потирание глаз, почесывание шеи – свидетельство затруднения в ответе;

- вариант «отведение взгляда или частые моргания». Если человек менее половины времени разговора не смотрит в глаза собеседнику, то его считают неискренним;

- вариант «нервные движения». Если человек внезапно начинает совершать мелкие неконтролируемые движения (поправлять одежду, прическу, смахивать что-то, переставлять мелкие предметы, менять позу), это должно насторожить;

- вариант «хрипота и покашливание». Ложь создает горловой мышечный спазм;

- вариант «повышение тембра голоса». Принято считать, что голос высокого тембра идет от головы, от ума, а голос низкого тембра - от сердца, от чувств. Если человек прилагает усилия для «конструирования»

фразы, его голос повышается (неискренность?);

- вариант «неоконченные фразы». Человек недоговаривает некоторые фразы и делает после этого паузы. Это свидетельствует о внутреннем столкновении с препятствием в виде информации, которую хотели бы скрыть.

Техника диагностики в ходе собеседования с кандидатом:

- вопрос «Расскажите немного о себе». Обратите внимание, как кандидат излагает биографические данные: подчеркивает свое желание работать или говорит о своей квалификации, говорит кратко, точно, ясно, держится спокойно, уверенно;

- вопрос «Какие видите сложности в жизни и как с ними справляетесь (как смотрите на жизнь)?» Возможные выводы: пессимист, оптимист, умеет взаимодействовать с людьми или нет;

- вопрос «Чем привлекает работа у нас в данной должности?»

Собеседник должен привести серьезные и конкретные доводы, а не расхожие фразы типа «Меня привлекает серьезная фирма, перспективы роста и др.»;

- вопрос «Почему считаете себя достойным занять эту должность, в чем ваши преимущества перед другими кандидатами?» Лучший вопрос для кандидата, чтобы без ложной скромности показать свои главные достоинства. Настораживает, если здесь кандидат будет оперировать только формально-биографическими характеристиками;

- вопрос «Назовите ваши сильные стороны?» Собеседник аргументированно, конкретно перечисляет собственные, необходимые для данной работы сильные стороны. Настораживает, если услышите словесные штампы типа: «Я общительный, аккуратный, исполнительный»;

- вопрос «Назовите ваши слабые стороны?» Умный обязательно свои недостатки выставит, как достоинства (трудоголик – вместо:

неорганизован);

- вопрос «Почему ушли с предыдущей работы?» Привычка конфликтовать является устойчивой характеристикой и обязательно проявится в ответе. Положительный факт - собеседник подчеркнет позитивные причины ухода (желание полнее реализовать свои возможности);

- вопрос «Получали ли другие предложения работы?» Мнение о работнике повысится, если будет положительный ответ с заинтересованностью именно в этой работе;

- вопрос «Не помешает ли личная жизнь данной работе, связанной с дополнительными нагрузками (ненормированный рабочий день, длительные командировки)?» Вопрос чаще задают женщинам, в обход законодательства пытаются ставить дополнительные жесткие условия (не оформлять больничный лист, не брать отпусков без оплаты);

- вопрос «Как представляете свое положение через 5 (10) лет?»

Положительный факт, если карьера планируется;

- вопрос «Какие изменения вы бы произвели на новой работе?»

Инициатива хороша при знании вопроса, в противном случае – пустословие;

- вопрос «К кому можно обратиться за отзывом о вашей работе?»

Утаивание подобной информации сразу обнаружит отсутствие положительных рекомендаций;

- вопрос «На какую зарплату рассчитываете?» Суждение - «кто себе цены не знает, тот всегда продешевит».

8.2.Техника оценки, продвижения, стимулирования персонала Наибольшую остроту проблема безопасности приобретает при аттестации, служебных перемещениях, стимулировании, высвобождении работников, т.е. при осуществлении процедур, известных как управление персоналом.

Нормативными регуляторами поведения работников в организации здесь выступают:

- корпоративная культура - система ценностей, принятых в организации;

- кадровая политика - система мер и норм работы с персоналом.

Аттестация - процедура оценки работника и принятия решения о дальнейшем его использовании в организации. По сути, это текущая проверка работника, в ходе которой оцениваются:

- профессиональные навыки (знания, опыт);

- моральные установки (принципиальность, честность);

- волевые качества (энергичность, упорство, работоспособность);

- деловые качества (инициативность, самостоятельность, целеустремленность, исполнительность, оперативность).

Методы аттестации:

- биографический метод оценки сотрудников по их биографиям и характеристикам;

- сравнительный метод, или метод стандартных оценок, когда сопоставляются фактические данные сотрудника с требуемыми (эталоном) или набором качеств (матрицей);

- метод суммированных оценок с начислением условных баллов за интенсивность проявления тех или иных качеств;

- метод тестирования сотрудников на основе оценки степени удачности ответов на заданные вопросы (ситуации);

- игровой метод, являющийся более сложной вариацией метода тестирования, когда сотруднику предлагается для решения проблемная ситуация;

- метод ранжирования, когда сотруднику присваивается определенный ранг среди прочих лиц;

- графический метод построения профиля личности.

Эксперты, участвующие в процессе аттестации, на этапе принятия решения об оценке работника используют методы:

- простые: принцип большинства, принцип диктатора;

- сложные: метод Дельфи (многотуровый), принцип Парето (принимается решение, которое невыгодно менять всем), принцип Курно (решение рационально и не ущемляет интересы каждого), принцип Эджворта (оптимальное среди коалиций экспертов решение).

Результаты аттестации наряду с персональными данными включаются в базу данных (досье) сотрудника, обеспечивая режим минимизации рисков.

Служебные перемещения – это реализация мер, определяемых как карьера работника. Карьера - продвижение работника по служебной лестнице: изменение профессии, специальности, квалификации, статуса (должности), роли (обязанностей).

Карьера реализуется в виде вертикальных и горизонтальных перемещений работника в организации или вне ее.

Вертикальные перемещения сопровождаются изменениями должности, горизонтальные - изменениями в характере и содержании труда.

Модели карьеры, обеспечивающие нейтрализацию рисков демотивации работника:

- «лестница» - каждую ступеньку служебной лестницы работник занимает фиксированное время;

- «змея» - постоянное перемещение работника внутри организации;

- «перепутье» - перемещение работника по результатам аттестации, проводимой регулярно.

Проблемы развития карьеры, повышающие риски реализации угроз, связанных с личностью работника:

- в начале карьеры: столкновение инициативы и рутины, неудовлетворенность из-за неумения, неправильная оценка своей роли, функций, неправильная оценка руководителем;

- в середине карьеры: отсутствие вакансий, эффект внутреннего увольнения.

Условия нейтрализации рисков: реалистическая информация о работе, инициативные назначения, большая автономия.

Высвобождение персонала - процесс, имеющий целью прекращение отношений найма.

Условия безопасности:

- гарантии нераспространения конфиденциальной информации;

- гарантии лояльного отношения к фирме и руководству после увольнения.

Методы работы с увольняемым работником:

- по инициативе сотрудника - в виде «заключительного интервью», в ходе которого выявляются истинные причины увольнения, узкие места в организации, делается попытка повлиять на решение работника об увольнении;

- по инициативе администрации - в виде передачи сообщения об увольнении (официальный этап). При сокращении работника или закрытии организации после официального сообщения проводится консультирование увольняемого работника с оказанием возможной помощи в самооценке и трудоустройстве;

- при выходе на пенсию - в виде постепенной подготовки работника к выходу на пенсию с последующим переходом на гибкий график работы, консультирование, наставничество.

высвобождения персонала), включающие:

- своевременные перемещения работников внутри организации;

- превентивную переподготовку работников;

- прекращение приема на вакантные рабочие места;

- социально-ориентированный отбор кандидатов на увольнение.

Виды программ, снижающих риски:

- «золотой парашют», увольнение работника с оказанием ему финансовой поддержки по открытию своего дела;

- «льготный возраст», увольнение работника на пенсию на несколько лет раньше с оплатой пенсии из средств организации;

- «льготное окно», увольнение работника в определенный период (в течение нескольких месяцев) с сохранением за ним многих социальных льгот, действующих в организации.

Стимулирование - поощрение работника по результатам труда или в ходе трудового процесса. Цель стимулирования - обеспечить заданную мотивацию работника к труду. В основе стимулирования административные, экономические социально-психологические методы.

Административные построены на основе использования нормативно установленных методов наказания и поощрения. Ориентированы только Административные методы наказания вызывают естественную реакцию убегания от наказания, эффективны только для работников, имеющих низкую трудовую квалификацию и деградированное трудовое сознание.

Административные методы поощрения эффективны, но недостаточно гибки. Ожидаемое поощрение воспринимается как должное. Недостаток административных методов - ограниченный набор приемов воздействия на работника, высокая инертность и субъективизм.

Экономические методы используют приемы, создающие положительную и отрицательную мотивацию. Базируются на результатах экономической деятельности работника, организации в целом.

Нейтральны к природе социальных отношений в группе. Эффективны для всех категорий работников. Диапазон приемов воздействия на работника широк. Отличительные черты - оперативность, возможность установления «справедливость/несправедливость»).

Социально-психологические методы имеют в основе систему ценностей, закрепленных в нормах корпоративной культуры организации и моральных нормах общества в целом. Используются для формирования избирательной трудовой мотивации для отдельных категорий работников.

Неэффективны для лиц с выраженным экономическим и девиантным поведением. Ориентированы на неформальные отношения в организации.

Диапазон методов необычайно широк. Очень оперативны. Восприятие зависит от личности руководителя и социального статуса работника.

Социально-психологические особенности систем стимулирования:

Повременная заработная плата.

Достоинства - простота, учет индивидуальных особенностей работника, возможность сравнения (по аналогии). Недостатки бюрократичность, отсутствие прямой связи с результатами работы предприятия в целом. Последствия применения: конформизм и обезличенность в коллективе, появление «болота» или воинствующего меньшинства, развитие у ряда работников синдрома «внутреннего увольнения», нарастание фрустрации (раздражения), случаев лести, интриг, «вымогательства» окладов и премий. Психологически «справедливый» размер премии - 30% оклада (тарифа).

Сдельная заработная плата.

Достоинства - учет личных результатов, возможность использования нормативов по труду. Недостатки - ограниченность применения, ориентация на количественные результаты, отрицательное воздействие на уровень профессионализма и командный дух в группе. Последствия применения: снижение профессионально-квалификационного уровня, затруднение формирования командного духа в группе, регулярные конфликты при распределении работ и начислении заработка. Премия воспринимается как «подачка».

Системы «переменной» заработной платы.

Достоинства - гибкость, учет экономических результатов, возможность сравнения (факт/база). Недостатки - субъективизм, сложность восприятия, отсутствие нормативной базы. Последствия применения: формирование авторитаризма под маской демократии, возможность эмоциональных всплесков и жесткого лоббирования размеров (условий) оплаты, нарастание нестабильности в группе.

Премирование эффективно по типу бонусов (подарков).

Системы оплаты за компетенцию.

Достоинства - учет индивидуальных возможностей и амбиций.

Недостатки - сложность оценки и восприятия, отсутствие нормативной базы. Последствия применения: появление «интеллектуального балласта», расслоение в группе, протекционизм, создание конфликтной ситуации.

Психологически оправданный уровень различий по оплате - до 20%.

Системы оплаты с использованием «социальных пакетов».

Достоинства - простота, высокий социальный эффект, возможность сравнения (по аналогии). Недостатки - развитие неформальных отношений по типу «дедовщины», при слабости профсоюза - сползание к авторитаризму. Психологически воспринимаемая стоимость «социального пакета» - от 10% реальной заработной платы.

Общие правила стимулирования, обеспечивающие безопасное поведение персонала:

- доступность (я тоже могу заработать не меньше!);

- ощутимость (премия не менее 20% от оклада, оклад больше возможного ущерба от воровства)»;

- минимальный разрыв между результатами и оплатой по времени (недостаток стимулирования восполняется воровством);

- сочетание стимулов и мер наказания;

- сочетание материальных, социальных, психологических стимулов.

В подавляющем большинстве случаев в основе деструктивного поведения работников лежит элементарное игнорирование руководством мотивационных установок работников.

Один из методов предупреждения деструктивного поведения повышение заработной платы до эффективного уровня:

З эф. = З рыночн. + Д обм./В обм., З эф. - эффективный уровень заработной платы;

З рыноч. - рыночный уровень заработной платы;

Д обм. - доход от обмана, взятки, воровства за данный период;

В обм. - вероятность обнаружения обмана в данном периоде.

Фактически отношение Д обм./В обм. - это плата за честность работнику. Следует учесть, что эта модель не учитывает «двойного дохода», когда человек будет получать доход в организации и у конкурента.

служб безопасности и управления персоналом 9.1.Задачи и функции служб в системе безопасности Человеческий фактор в системе мер, обеспечивающих экономическую безопасность любой организации, является определяющим. Кадровые риски определяют основные направления в работе служб безопасности и управления персоналом.

В соответствии с требованиями, сформулированными в «Квалификационном справочнике должностей руководителей, специалистов и других служащих», утверждённом Постановлением Минтруда РФ № 37 от 21.08.98 г., основные задачи службы управления персоналом заключаются в обеспечении организации трудовыми ресурсами, поддержании и развитии в соответствии со стратегией организации кадрового потенциала. Это определяет спектр выполняемых функций, в частности:

- разработку кадровой политики;

- привлечение работников и обеспечение их адаптации;

- организацию обучения, аттестации и ротации персонала;

- определение формы оплаты, системы льгот и программ социальной поддержки работников;

- кадровое делопроизводство, учет и правовую защиту по трудовым вопросам.

Основные задачи службы безопасности заключаются в защите целей, интересов, имиджа и ресурсов организации как социальной структуры.

Ведущие принципы функционирования системы безопасности:

- комплексность, обеспечение безопасности всех видов ресурсов организации всеми доступными законными средствами и методами;

- своевременность, упреждающий характер мер безопасности;

- непрерывность, функционирование системы безопасности в непрерывном режиме;

- законность, подчиненность действий нормам права;

- целесообразность, сопоставимость возможного ущерба и затрат на обеспечение безопасности.

Обязательные направления деятельности служб безопасности:

- юридическая безопасность фирмы (грамотное и корректное оформление устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров и др.);

- физическая безопасность объектов защиты (ресурсов, видов деятельности);

- информационная безопасность фирмы (защита информационных ресурсов, интеллектуальной собственности);

- безопасность персонала (физическая безопасность, охрана труда и техника безопасности, экология, безопасность межличностных отношений).

Исходя из этого службы безопасности должны обеспечивать:

- своевременное выявление и устранение угроз организации;

- защиту конфиденциальной информации;

- создание условий для ослабления негативного влияния последствий нарушения безопасности.

Основные функции службы безопасности:

- установление обстоятельств недобросовестной конкуренции;

- сбор сведений по уголовным делам;

- расследование фактов разглашения коммерческой тайны;

- сбор информации о лицах, заключивших контракты с фирмой;

- поиск утраченного имущества фирмы;

- расследование фактов неправомерного использования товарных знаков фирмы;

- розыск без вести пропавших сотрудников фирмы;

- выявление некредитоспособных партнеров;

- выявление ненадежных деловых партнеров;

- сбор сведений по гражданским делам;

- изучение негативных аспектов рынка;

- сбор информации для проведения деловых переговоров;

- защита жизни и здоровья персонала предприятия от противоправных посягательств;

- охрана имущества фирмы;

- обеспечение порядка в местах проведения корпоративных мероприятий, представительских и конфиденциальных встреч;

- обслуживание средств охранной и пожарной сигнализации.

Работа службы безопасности организации будет эффективна, если будут соблюдены следующие условия:

- профессионализм, т.е. создавать систему безопасности должны профессионалы, ориентированные на долговременное сотрудничество;

- доверие, т.е. руководитель службы безопасности должен быть доверенным лицом топ-менеджера;

- взаимопонимание, т.е. необходимо смириться с тем, что меры безопасности на первых порах создают трудности и неудобства как для персонала, так и для руководителей организации.

В числе основных требований, предъявляемых работниками к организации как месту будущей работы, выступают:

- финансовая безопасность, т.е. своевременность и законность денежных выплат работнику;

- надежность места работы, определяемая «возрастом» организации;

- социальная защищенность, т.е. структура социальных программ, условия и объемы их предоставления работникам;

- социокультурные условия труда, т.е. характер организационной культуры, социально-психологический климат.

Указанные требования определяют ключевые моменты сотрудничества служб безопасности и управления персоналом (табл. 12):

Структура совместно выполняемых функций Функции службы управления Функции службы безопасности Оформление на работу Уровень допуска к информации Социальная поддержка работника Юридическая помощь работнику Управление трудовой Пропускной и внутриобъектовый Управление конфликтами Юридическая помощь работнику Для обеспечения психологической безопасности работников, а, по существу, для формирования высокого уровня их трудовой активности нужна согласованная работа службы управления персоналом и службы безопасности организации. При этом необходимо:

- определить и закрепить в трудовых договорах оптимальный набор социальных льгот, привилегий, видов поощрения, обеспечивающих потребность работников в безопасности;

- увязать требования организации к работнику в отношении экономической безопасности с набором льгот и привилегий, ему предоставляемых, закрепив это, например, в соглашении о неразглашении конфиденциальной информации;

- регулярно оценивать уровень удовлетворения потребностей в безопасности каждого работника, выявлять его интересы.

9.2.Организационно-экономические особенности Структура службы безопасности зависит от таких факторов, как:

- характер и объем производственной деятельности организации;

- товарная ниша организации на рынке товаров и услуг;

- общая численность сотрудников организации;

- наличие объектов специальной защиты (крупные материальные ценности, взрывоопасные участки, носители государственной или коммерческой тайны и др.);

- внешнее окружение организации, в т.ч. активность конкурентов.

Условно можно выделить два вида служб безопасности:

- службы, входящие в структуру организации и полностью содержащиеся за счет организации;

- службы, существующие как самостоятельные коммерческие или государственные организации, нанимаемые организацией для выполнения функций по обеспечению ее безопасности.

В ряде случаев организации выгоднее пригласить по договору для выполнения некоторых функций специализированную фирму, чем содержать собственную подобную структуру.

Наиболее эффективный способ контроля службы безопасности за обеспечением принятого режима защиты экономической безопасности организации – контроль «по отклонениям». Здесь четко должны быть определены информационные рамки (границы) для каждого должностного лица. Выход за эти рамки – сигнал о нарушении чужого информационного пространства, что может привести к утечке информации.

Специфика службы безопасности определяет ее взаимоотношения с руководством организации. Так, руководитель организации:

- определяет категории должностных лиц, имеющих доступ к конфиденциальной информации;

- устанавливает порядок регулирования отношений в области защиты фирмы во всех сферах деятельности и на всех уровнях управления;

- устанавливает порядок организации работы по обеспечению безопасности фирмы и контроля ее состояния;

- принимает управляющие воздействия к должностным лицам, не обеспечившим надежную защиту объектов фирмы.

Применительно к вопросам организации и обеспечения комплексной защиты информации (КЗИ) Постановлением Правительства РФ №912- от 1993г. определены следующие права и полномочия руководителя:

- создавать структурное подразделение по КЗИ;

- назначать должностных лиц, включая заместителя по КЗИ;

- привлекать на договорной основе лицензированные организации.

Согласно Постановлению Правительства РФ №333 от 15.04.95г. и инструкции Гостехкомиссии РФ от 17.10.95г. руководитель должен (приводится с сокращениями):

- знать нормативные документы по защите сведений, составляющих государственную тайну, режиму секретности, защите информации от утечки по техническим каналам;

- уметь организовать разработку мероприятий по защите сведений о предприятии и выпускаемой продукции, составляющих государственную тайну, и контроль их исполнения; аттестацию рабочих мест по всему циклу разработки, изготовления, испытания продукции;

- быть ознакомленным с методами контроля мер противодействия иностранным техническим разведкам; с государственной системой лицензирования деятельности предприятий по проведению работ, связанных с использованием сведений, составляющих государственную тайну.

В связи с информатизацией экономики многие организации вводят должность руководителя службы информационной безопасности CISO (Chief Information Security Officer), задача которого - оценить технологические, производственные и информационные риски фирмы.

Функции:

- разработка политики в области информационной безопасности, включая стандарты, регламенты, правила;

- разработка принципов классификации информационных потоков и управления ими;

- анализ рисков, их оценка и принятие;

- организация инструктажа и обучения сотрудников в области информационной безопасности;

- контроль и учет требований информационной безопасности при разработке и внедрении инноваций;

- совместная работа со службой персонала в части проверки некоторых данных при найме на работу;

- совместное участие в антикризисном управлении;

- информационная и консультационная поддержка топ-менеджмента по вопросам информационной безопасности.

Бюджет службы безопасности является составной частью бюджета программы экономической безопасности и оформляется в виде сметы расходов на текущий год с отнесением затрат в установленном порядке на себестоимость продукции (работ, услуг) организации.

Доля расходов по каждой статье сметы устанавливается в абсолютных (руб.) и относительных (%) величинах для удобства контроля и сравнения с расходами других структурных подразделений организации.

В смете выделяются статьи расходов:

- оплата (износ) малоценных и быстроизнашивающихся предметов;

- оплата монтажных работ (сигнализация, средства наблюдения и др.);

- средства на приобретение специального оборудования;

- расходы на содержание собственной службы безопасности (зарплата, начисления, накладные расходы);

- расходы на оплату по договорам вневедомственной охраны и других обслуживающих организаций.

Целесообразно планировать затраты на оперативные расходы, на приобретение информации, на проведение делового мониторинга (экономической разведки).

При оценке эффективности использования средств целесообразно применять метод сравнения доли расходов на службу безопасности по отношению к сумме балансовой прибыли организации (или к себестоимости продукции организации) с подобными показателями по оперативным (отдел продаж) и аналитическим (отдел маркетинга) службам.

Глава 10.Безопасность межличностных коммуникаций Общение – форма деятельности, осуществляемая между людьми, приводящая к возникновению психического контакта, проявляющегося в обмене информацией, взаимовлиянии, взаимопереживании и взаимопонимании.

Основными характеристиками общения являются:

- содержание, т.е. передача информации, восприятие партнерами друг друга, их взаимооценка и взаимовлияние;

- функции, к числу которых относятся: трансляционная (как социальный механизм передачи управляющего воздействия), интегративная (средство объединения людей);

- манера, т.е. методы подачи информации (тон, дистанция);

- стиль, т.е. нравственно-этическая установка человека (дружелюбие, открытость, сухость и др.).

Особенности межличностных отношений:

- зависимость восприятия людьми внешних воздействий от свойств личности, конкретной ситуации, особенностей передачи воздействия;

- неадекватность отображения человека человеком;

- неадекватность самооценки;

- искажение смысла информации;

- психологическая самозащита, когда собственную психологическую безопасность человек ставит на первое место, а других - на второе (на первое - физическую безопасность).

Механизмы взаимопонимания в общении:

- идентификация, т.е. восприятие через уподобление себе;

- стереотипизация, т.е. отнесение информации к уже известным явлениям;

- рефлексия, т.е. оценка действенности использованных партнером методов;

- обратная связь, т.е. оценка реакции партера и корректировка своих действий.

Приемы общения:

- «воображаемый диалог», когда синтаксический строй слов в предложении имитирует обстановку диалога;

- «вопрос – ответ», когда собеседник сам задает себе вопрос и сам на него отвечает;

- «риторический вопрос», который содержит утверждение или отрицание, возбуждая мысли, эмоции партнера;

- «эмоциональное восклицание», усиливающее внимание к теме общения;

- «инверсия», т.е. осмысленное нарушение порядка слов.

Барьеры общения.

1.Темперамент – общий стиль реакции личности на внешнюю среду, генетически закрепленный от рождения. Естественно, что такую реакцию практически невозможно скрыть от внешнего наблюдения. Поэтому первую (грубую) оценку партнера всегда дают на основе темперамента, а не характера.

Отсюда рекомендация: «считывая» темперамент, не торопись с оценкой. Это еще не характер!

Наблюдения показывают, что, оценивая партнера по типу темперамента, человек допускает типичные ошибки:

- живость сангвиника воспринимается как легкомыслие;

- импульсивность холерика – как агрессивность;

- тревожность меланхолика – как психопатия;

- пассивность флегматика – как тупость.

В таком случае уместны рекомендации:

- сангвинику: доверяй, но проверяй;

- холерику: не давай ни минуты покоя;

- меланхолику: не навреди;

- флегматику: не торопи.

2.Характер – совокупность устойчивых индивидуальных особенностей личности, определяющих типичное поведение человека.

Рекомендации:

- подчеркивание собственных достоинств всегда раздражает окружающих (уменьшите уровень своих притязаний!);

- человеку свойственно приписывать другим те ощущения и эмоции, которые он испытывает в данное время сам (сочувствуйте и сопереживайте!);

- у каждого есть свои уязвимые места, бить по которым нельзя;

- каждый нуждается в достойной оценке своей деятельности.

3.Манера общения – стиль самоподачи. Различают:

Доминантный субъект общения:

Субъект напорист, перебивает партнера, повышает голос, многократно повторяет свою мысль.

Рекомендация: дать субъекту возможность выявить доминантность (выговориться), спокойно держаться независимой точки зрения, не опровергая партнера (остроты, шутки не использовать!).

Недоминантный субъект общения:

Субъект теряется, нерешителен, позволяет сбить себя с толку.

Рекомендация: стимулирование субъекта, поощрение его инициативы и возможности выразить себя.

Мобильный субъект общения:

Субъект отличается легкостью переключения внимания, речь тороплива, часто прерывает партнера репликами.

Рекомендация: начинайте разговор в темпе партнера, постепенно снижая темп речи, доведите до субъекта свою мысль и без соблюдения формальностей сверните общение (партнер не обидится!) Ригидный субъект общения:

Субъект предварительно изучает партнера, слушает внимательно, говорит медленно, слова подбирает тщательно.

Рекомендация: настройтесь на долготерпение, избегайте небрежности в разговоре, следуйте этикету.

Экстравертный субъект общения:

Субъект настроен на общение, внимателен к окружающим, высказывает симпатии партнерам.

Рекомендация: полностью следуйте манере общения партнера.

Интровертный субъект общения:

Субъект не склонен к внешнему диалогу, тем более на личные темы, обидчив, застенчив.

Рекомендация: постепенно и деликатно втягивать партнера в общение, начинать беседу лучше «с глазу на глаз».

4.Отрицательные эмоции.

Эмоция – субъективное переживание человеком его отношения к действительности. Эмоция возникает, когда осознается невозможность привычного поведения. Устойчивые отрицательные эмоции (страдание, гнев, отвращение, презрение, страх, стыд, вина) воздвигают барьер на пути результативного общения.

Рекомендации:

- страдание (горе) партнера – проявите в общении сочувствие, соучастие;