Противодействие угрозами информационной безопасности организации со стороны собственного персонала

Использовались следующие методы исследования: анализ теоретических источников, наблюдение, анализ документов, анкетирование, экспертный опрос.

С помощью наблюдения анализируется использование кадровых технологий в организации. Анализ документов позволяет описать сферу деятельности организации, кадровый состав, выявить наличие необходимых регламентирующих документов (Положение о персонале, должностные инструкции и др.). Анкетирование позволяет выявить сильные и слабые стороны работы с персоналом в организации.

С помощью вышеописанных методов исследуем состояние системы управления персоналом в ООО «Агентство «С»: характеристику кадровой политики, наличие нормативно-кадровой документации, на основании которой осуществляется управление персоналом, использование кадровых технологий (планирование, найм, адаптация, развитие, оценка, стимулирование). По результатам данного исследования можно будет сделать соответствующие выводы о состоянии работы с персоналом в организации, что даст возможность определить пути совершенствования управления персоналом.

Кадровая политика и стратегия управления персоналом. Исследования организации в этой области показали, что руководство считает системно проводимую кадровую политику важнейшим элементом системы управления персоналом и оценивает влияние грамотно разработанной и успешно реализуемой стратегии управления персоналом на дальнейшее развитие организации, но не обладает достаточным багажом знаний в этой области, предпочитая воздействовать на персонал устаревшими методами. Кадровую политику в ООО «Агентство «С» можно охарактеризовать как пассивную, при которой руководство не имеет выраженной программы действий в отношении персонала. О миссии и целях организации знает, как правило, только руководство, перед остальными сотрудниками ставятся краткосрочные цели (например, план продаж на месяц). Сотрудники разных подразделений зачастую преследуют цели только своего подразделения, противопоставляя их интересам других отделов.

Отсутствует «Философия организации».

Кадровое планирование персонала.              Современные кадровые технологии предполагают наличие в организации мероприятий по маркетингу персонала, планированию и прогнозированию потребности в персонале, планировании и анализе трудовых показателей, планировании производительности труда, нормировании труда, расчете численности персонала.

Создание дополнительного рабочего места в уже существующем подразделении происходит путем представления обоснования такого шага руководителем этого подразделения генеральному директору. Обоснование, как правило, основывается не на экономических расчетах, а на видимом увеличении нагрузки на сотрудников отдела, задержках на работе, авральном характере работы. Генеральный директор принимает окончательное решение о необходимости создания нового рабочего места. Создание новых отделов обсуждается на еженедельных планерках руководителей отделов, окончательное решение принимает также генеральный директор. В случае увольнения сотрудника в течение 2 недель происходит поиск нового сотрудника на вакантную должность. Если в течение этого времени вакансию закрыть не удается, в отделе происходит временное распределение обязанностей уволившегося сотрудника среди оставшихся.

Планирование производительности труда и трудовых показателей осуществляют руководители. Производительность труда зависит от объема работ и срока их окончания, поэтому нормы в организации не используются. В случае необходимости сотрудники работают сверхурочно, что закреплено в «Правилах внутреннего трудового распорядка».

Процедуры найма персонала. Начальный этап подбора осуществляет менеджер по персоналу. Он подает рекламу в СМИ о наличии вакантной должности и проводит предварительное собеседование по телефону. Если претендент удовлетворяет минимальным требованиям, то его приглашают в организацию для более детального собеседования. Претендент заполняет анкету и тест, затем менеджер по персоналу проводит собеседование. Все без исключения претенденты затем беседуют с руководителем отдела или генеральным директором (при подборе на руководящие должности), при необходимости проходят проф. испытания. После определенного количества рассматриваемых кандидатов на вакансию менеджер по персоналу совместно с руководителем отдела (генеральным директором) принимают решение в пользу того или иного кандидата. Основанием для такого решения являются профессионализм кандидата, стаж работы, личностные характеристики, соответствие коллективу организации. Все вновь принятые сотрудники в обязательном порядке проходят испытательный срок (для рядовых сотрудников – 1 месяц, для руководящих – от 3 до 6 месяцев). Размер оплаты во время испытательного срока и после его прохождения зависит от принятой в отделе системы оплаты труда.

Адаптация. Адаптация новых работников начинается с первого рабочего дня. Примерный план адаптации:

1) знакомство с сотрудниками подразделения, в котором ему предстоит работать;

2) ознакомление с должностной инструкцией, Правилами внутреннего трудового распорядка, Правилами техники безопасности;

3) назначение руководителем наставника из числа сотрудников подразделения;

4) контроль со стороны руководителя отдела за освоением новичком принципов работы;

5) оценка руководителем прохождения испытательного срока.

Эффективность помощи (профессиональной, а при необходимости и психологической) зависит от индивидуальных характеристик наставника и руководителя отдела. Достоверность оценки руководителя не проверяется.

Управление развитием персонала. Сотрудники, считающие необходимым повысить свой образовательный уровень и квалификацию, обучаются за свой счет и в свободное от работы время. Тренинги для менеджеров отдела продаж не проводятся, в этом случае сотрудниками используются навыки, полученные на предыдущих местах работы. Работники бухгалтерии занимаются самообразованием, чтобы быть в курсе изменений законодательства и бухгалтерского учета.

В организации проводится минимальное обучение – на рабочем месте в период адаптации с помощью наставников.

Оценка деятельности персонала.              Эффективность деятельности сотрудников оценивается руководителями подразделений на основании плановых показателей. Система аттестации не разработана. При беседе с руководителями структурных подразделений было выявлено, что они часто затрудняются оценить деятельность своего подчиненного в течение сколько-нибудь длительного периода. Оценка, как правило, основывается на степени эффективности работы сотрудника за последнюю неделю и охватывает только разрозненные эпизоды. Суждение об эффективности работы базируется в большей степени на ощущениях, а не на фактах.

Технология стимулирования и мотивации труда.              В настоящее время система мотивации и стимулирования выглядит следующим образом:

1) Для сотрудников отдела продаж – сочетание должностного оклада и переменной части, состоящей из бонусов за реализацию продукции;

2) Для генерального и коммерческого директоров – должностной оклад и % от прибыли;

3) Для остальных сотрудников – должностной оклад;

4) Праздничные премии для лучшего сотрудника отдела: отбор лучших сотрудников производится путем обсуждений на планерках.

5) Действует система экономических санкций за серьезные ошибки в работе, размер которых определяется руководителем отдела и зависит от значимости последствий.

2.2 практика обеспечения информационной безопасности организации

Развитие информационных технологий позволяет повысить эффективность деятельности компаний, а также открывает новые возможности для взаимодействия с потенциальными клиентами. Но вместе с этими преимуществами появляются и риски, связанные с угрозами информационной безопасности предприятия. Для снижения этих рисков необходимо уделять достаточное внимание построению и сопровождению систем информационной безопасности (ИБ). [10]

Одним из важных аспектов обеспечения информационной безопасности предприятия  является проведение аудита информационной безопасности. При аудите большое значение имеют анализ и оценка информационных рисков компании. Методы оценки рисков могут применяться ко всей организации или лишь к ее частям, а также к отдельным информационным системам, системным компонентам и сервисам, в зависимости от того, что окажется наиболее практичным, реалистичным и полезным. Посредством оценки рисков определяются ресурсы, оцениваются угрозы, уязвимости и вероятность их возникновения, а также величина возможного ущерба. Результаты такой оценки помогут определить необходимые действия и приоритеты для управления рисками, связанными с информационной безопасностью, то есть становится возможным выбрать средства, обеспечивающие желаемый уровень защищенности информационных ресурсов компании. Наряду с задачей выбора средств защиты, стоит вопрос об оценке эффективности функционирования созданной системы безопасности.

Основополагающим принципом работы ООО «Агенство С» по данному направлению является комплексный подход, обеспечивающий грамотный выбор и согласованное внедрение программных и аппаратных средств и организационных мероприятий – комплексных систем защиты информации. Предлагаемые организационно-технические решения соответствуют выявленным на этапе обследования внешним и внутренним угрозам и полностью удовлетворяют всем потребностям заказчика в области обеспечения информационной безопасности.

  Рисунок 2.2 – Процесс создания комплексных систем защиты информации

Концепция функциональной безопасности ООО «Агентство С» определяет этапы построения подсистемы информационной безопасности в соответствии со стандартизованной этапностью: обследование, анализ рисков и реализация первоочередных мер защиты, проектирование, внедрение и аттестация, сопровождение системы (см. рис. 2.2). Рассмотрим подробнее специфику отдельных этапов. [11]

Рисунок 2.3 – Система информационной безопасности ООО «Агенство С»

В настоящее время существует ряд методик, позволяющих провести оценку угроз и  защищенности объекта до и после создания СБ. Условно их можно разделить на методы требующие использования специального оборудования и не требующие. К методам не использующим специальное оборудование относятся: табличный метод, метод иерархий, метод экспертных оценок. К методам использующим специальное оборудование относятся: метод испытаний, моделирование на объекте угрожающей ситуации, использование методик современной психологии и психофизиологии.

В основе методов не использующих специальное оборудование для анализа защищенности информационной системы лежит использование различных способов формального описания систем защиты, которые позволяют получить точные количественные оценки показателей защищенности, а также классификационный подход, с помощью которого получают качественные показатели эффективности системы защиты. Кратко рассмотрим все методы и определим их основные недостатки.[12]

Табличный метод – основу метода составляет построение таблиц, которые являются схемой связей между угрозами, уязвимостями и ресурсами. Количественные и качественные показатели оцениваются при помощи балльных шкал. Качественные оценки используются в случаях, когда количественные оценки по ряду причин затруднены.

Метод анализа иерархий – тот, применение которого сводит исследование практически любых сложных систем к последовательности попарных сравнений компонентов данных систем.

Табличный метод и метод иерархий работают лишь в том случае, когда практически все связи между угрозами, негативными воздействиями и возможностями реализации измерены объективно и в полном объеме, значения показателей не противоречивы, результаты задач принятия решений однозначны и соответствуют мнению эксперта.

Метод экспертных оценок – метод, в центре которого лежит декомпозиция сложной трудноформализуемой задачи на последовательность более простых подзадач, соответствующих определённому числу элементарных экспертиз.

Этот метод также имеет ряд недостатков - оценка всегда зависит от субъективных суждений эксперта, его знаний и опыта. В целом, влияние субъективности при обработке данных – неизбежно, в таких случаях должны быть надежные механизмы для обработки субъективности. Такие механизмы реализованы в методах требующих использования специального оборудования.

Проведение испытаний с использованием специальной аппаратуры является достаточно трудоемким и требует наличия сложной аппаратуры. Этот метод следует применять, когда необходимо определить максимальное расстояние, с которого возможен устойчивый перехват информации с экрана ПЭВМ, проверить наличие подслушивающих устройств в конкретных помещениях, определить, возможен ли съем речевой информации с оконных стекол.

Моделирование угроз является весьма эффективным и позволяет выявить слабые места в системе защиты. Для его применения необходимо разработать модель операции, условно угрожающей жизнедеятельности объекта (вооруженное нападение, проникновение со взломом, тайное проникновение с нейтрализацией средств защиты, внедрение на объекты «закладок» и др.).

Что касается методик современной психологии и психофизиологии – метод основан на проверке обслуживающего персонала на его лояльность и способность выполнять возложенные функции. Эти методы оказываются эффективными в тех случаях, когда необходимо дать оценку надежности персонала, определить степень правдивости показаний при расследовании происшествий, определить способность должностного лица выполнять предписанные ему функции в различных ситуациях. В настоящее время такие методы разработаны на достаточно хорошем уровне.

Возникает вопрос о полноте охвата актуальных для предприятия угроз и следовательно об эффективности разработанных методов и средств защиты. Исходя из этого, поставим цель - определить, какое количество угроз может быть выявлено каждым  методом по отдельности.

Во-первых, для оценки рисков информационной системы организации, определим защищенность каждого ценного ресурса при помощи анализа угроз, действующих на конкретный ресурс, и уязвимостей, через которые данные угрозы могут быть реализованы.