Управление информационной безопасностью предприятия со значительной частью внештатных сотрудников в кадровом составе

Днепропетровский Национальный Горный Университет

ст-ка.5-го курса Факультет информационных технологий

Ерёменко Алёна Игоревна

Управление информационной безопасностью предприятия со значительной частью внештатных сотрудников в кадровом составе.

В современном мире всё чаще используется модель аутсорсинга. По-русски outsourcing звучит как "заимствование ресурсов извне". Другими словами, аутсорсинг – представляет собой выполнение сторонней организацией определенных задач или некоторых бизнес-процессов, обычно не являющихся профильным для бизнеса компании, но, тем не менее, необходимых для полноценного функционирования бизнеса. Аутсорсинг предоставляет возможность сфокусировать усилия на процессах, являющихся основными для компании, т.е. на тех, которые непосредственно приносят прибыль.

Аутсорсинг персонала - это создание новых рабочих мест вне штата компании или выведение персонала за штат компании. Главное достоинство аутсорсинговой модели для компании - реального работодателя заключается в возможности оперативно регулировать (увеличивать или сокращать) фактическую численность сотрудников компании, не меняя при этом количество штатного персонала.

Мы осуществляем:оформление сотрудника на работу по трудовому или гражданско-правовому договору (в зависимости от потребностей Заказчика);

кадровое сопровождение персонала; оптимизация затрат Заказчика;начисление и формирование з/п, бонусов, отпускных и командировочных с предоставлением всей необходимой финансово-бухгалтерской документации и калькуляции.

Аутсорсинг дает возможность: сконцентрироваться на основных целях бизнеса:Вы не занимаетесь кадровыми вопросами, начислением зарплаты, отчетами в налоговую и фонды;переориентировать внутренние ресурсы на другие цели:Вы освобождаете бухгалтера и других финработников, даете возможность сконцентрироваться на более важных вопросах; недосягаемость необходимых для компании ресурсов:мы предоставим необходимых работников как дополнительную услугу к основному договору.

оптимизировать издержки по зароботной плате:вы относите на затраты всю сумму, которую перечисляете; персонал имеет возможность получать большую зарплату как ЧП.

Уменьшить риск ошибок персонала, краж, мошенничества или незаконного использования ресурсов.

Аспекты, связанные с безопасностью, следует учитывать еще на стадии набора персонала, включать их в должностные инструкции и договоры, а также контролировать в течение всего времени работы данного сотрудника.

Руководители должны убедиться в том, что в должностных инструкциях отражена вся соответствующая данной должности ответственность за безопасность. Следует надлежащим образом проверить принимаемых на работу лиц (см. Проверка принимаемых на работу), особенно если они будут работать с конфиденциальной информацией. Весь персонал организации и пользователи информационных ресурсов из сторонних организаций должны подписать обязательство о конфиденциальности (неразглашении).

Безопасность в должностных инструкциях

Обязанности и ответственность за безопасность, установленные принятой в организации политикой информационной безопасности (см. Политика информационной безопасности), следует включать в должностные инструкции, где это необходимо. В инструкциях необходимо отразить как общую ответственность за проведение в жизнь или поддержку политики безопасности, так и конкретные обязанности по защите определенных ресурсов или ответственность за выполнение определенных процедур или действий по защите.

Проверка принимаемых на работу

Заявления о приеме на работу следует тщательно рассмотреть, если работа в данной должности связана с доступом к конфиденциальным информационным ресурсам. Всех кандидатов на занятие подобных вакансий следует проверить по следующим пунктам:

а) как минимум две положительных характеристики, одна деловых и одна личных качеств;

б) проверка (полноты и точности) сведений, сообщенных претендентом на вакансию в своей автобиографии;

в) подтверждение академических степеней и профессиональной квалификации;

г) проверка идентификации (например, паспорта);

д) проверка кредита для занятых в наиболее критичных заданиях, например, проверка финансового состояния.

Соглашение о конфиденциальности

Пользователи информационных ресурсов организации должны подписать соответствующее обязательство о конфиденциальности (неразглашении). Обычно служащие организации подписывают такое обязательство при приеме на работу.

Пользователи из сторонних организаций, не предусмотренные условиями существующего договора (обязательство о неразглашении является его частью), должны подписать обязательство о неразглашении, прежде чем им будет предоставлен доступ к информационным ресурсам организации.

Обязательства о неразглашении необходимо пересматривать, когда изменяются условия найма или договор, особенно если служащие должны уволиться из организации или если кончаются сроки действия договора.

Обучение пользователей

Цель: Убедиться в том, что пользователи осведомлены об угрозах нарушения режима информационной безопасности и понимают значение защиты, а также имеют необходимые навыки для выполнения процедур, необходимых для нормального функционирования системы безопасности организации.

Пользователи должны быть обучены процедурам защиты и правильному обращению с информационными ресурсами.

Необходимо также официально, в письменной форме, утвердить разрешенный пользователям доступ (права и ограничения).

Обучение правилам информационной безопасности

Пользователи должны получить необходимые сведения о политике организации и принятых в ней процедурах, включая требования к безопасности и другим средствам контроля, а также научиться правильно пользоваться информационными ресурсами (например, знать процедуру входа в систему, уметь пользоваться пакетами программ) перед тем, как они получат доступ к информационным сервисам.

Примечание. Эти меры необходимы для того, чтобы гарантировать, что процедуры защиты выполняются правильно, и для сведения риска нарушения конфиденциальности, целостности и доступности данных из-за ошибки пользователя к минимуму.

Этой политики следует придерживаться как в отношении сотрудников организации, так и в отношении пользователей из сторонних организаций.

Реагирование на события, таящие угрозу безопасности

Цель: Свести ущерб от инцидентов в системе безопасности и ее сбоев к минимуму, а также отслеживать такие события и извлекать из них соответствующие уроки.

О событиях, затрагивающих безопасность, необходимо немедленно сообщать по административным каналам.

Все сотрудники и подрядчики должны быть ознакомлены с процедурой уведомления о различных типах инцидентов (нарушение безопасности, угроза, слабость или сбой), которые могут повлиять на безопасность ресурсов организации. Следует обязать пользователей без промедления сообщать обо всех наблюдаемых или подозрительных случаях такого рода в соответствующую службу поддержки системы защиты. В организации должна быть установлена формальная процедура наложения дисциплинарных взысканий на сотрудников, которые нарушают режим безопасности.

Уведомление об инцидентах в системе безопасности. О событиях, таящих угрозу безопасности (см. Инцидент в системе безопасности), следует без промедления сообщать по административным каналам.

Следует установить формальную процедуру уведомления, а также процедуру реагирования на события, описывающую меры, которые надлежит принять по получении сообщения об инциденте. Все сотрудники и подрядчики должны быть ознакомлены с этой процедурой; они обязаны сообщать о такого рода событиях в соответствующую службу поддержки системы защиты.

Уведомление о слабых местах в системе безопасности

Пользователи информационных сервисов обязаны регистрировать любые наблюдаемые или предполагаемые слабости в системе безопасности, либо угрозы системам или сервисам и сообщать о них. Пользователи должны незамедлительно доводить подобные инциденты до сведения своего непосредственного руководства, либо поставщиков соответствующих услуг. Необходимо информировать пользователей о том, что ни при каких обстоятельствах они не должны пытаться проверять предполагаемые слабости в системы защиты.

Примечание. Это нужно для защиты самих пользователей, поскольку их действия по тестированию слабости могут быть истолкованы как попытки несанкционированного использования системы.

Уведомление об отказах программного обеспечения

Следует обязать пользователей информационных сервисов регистрировать все случаи, когда функционирование программного обеспечения представляется им неправильным, т.е. не соответствующим спецификации; они должны сообщать об этом в местную службу технической поддержки информационных систем или непосредственно поставщику данных услуг.

Следует установить процедуры, которые немедленно должен выполнить пользователь, подозревающий, что сбой вызван вредоносной программой, например, компьютерным вирусом. При разработке таких процедур следует обратить особое внимание на следующие моменты:

а) Записать симптомы и все сообщения, появляющиеся на экране.

б) Прекратить работу на компьютере и, если возможно, отключить его. Немедленно сообщить об инциденте в службу технической поддержки информационных систем. Если оборудование подлежит осмотру, то его необходимо отсоединить от сетей организации, прежде чем снова включить питание. Не использовать на других компьютерах дискеты, записанные на этом компьютере.

в) Немедленно сообщить о происшествии в службу поддержки системы защиты.

Ни при каких обстоятельствах пользователи не должны пытаться удалить подозрительное программное обеспечение. Восстановление программного обеспечения должны выполнять специалисты, имеющие соответствующие знания и опыт работы.

Процедура наложения дисциплинарных взысканий.

Следует определить формальную процедуру наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые в организации политику и процедуры безопасности. Эта процедура должна служить сдерживающим фактором для сотрудников, которые склонны пренебрегать процедурами защиты. Кроме того, она должна обеспечивать правильное и справедливое рассмотрение дел сотрудников, подозреваемых в серьезном или постоянном нарушении безопасности. Процедура наложения дисциплинарных взысканий должна быть разработана с учетом кадровой политики организации и утверждена руководством.

Список литературы

1 Гайдамакин Н. А. Количественные характеристики и методы анализа индивидуально-группового разграничения доступа в компьютерных системах / Способ доступа URL:

http://www.viniti.ru/cgibin/nti/nti.pl?action=show&year=2_2003&issue=4&page=16&magnify=110. –Заглавие с экрана.

2 Демурчев Н. Г. Применение формальных моделей управления доступом при проектировании автоматизированных информационных систем вузов. Способ доступа URL: www.conf.sssu.ru/phorums/ download.php?f=32&file=Demurchev.doc/. – Заглавие с экрана.

3 Домарев В. В. Организация защиты электронных документов.

Способ доступа

URL:http://www.security.ukrnet.net/modules/sections/index.php?op=viewarticle&artid=568/. – Заглавие с экрана.