Экономические науки/10. Экономика предприятия
аспірант Чередниченко А.О.
Харківський національний університет
міського господарства
ім. О.М. Бекетова, Україна
УПРАВЛІННЯ ПЕРСОНАЛОМ В СИСТЕМІ інформаційної безпеки
підприємств Будівельної галузі
Персонал підприємства часто є основним суб'єктом
реалізації загроз інформаційної безпеки. Безвідповідальність персоналу виявляється в порушенні співробітниками
діючих на підприємстві вимог по забезпеченню інформаційної безпеки, що
приводить до витоку конфіденційних відомостей в самих різних формах і вимагає
відповідного інформаційній безпеці управління персоналом.
Вирішення проблем інформаційної безпеки
підприємств присвятили праці такі вчені як С.В. Кавун, В.В. Костров, В.І.
Слєпцов, О. Лукацький, В.І. Ярочкин та інші [1-5]. Однак потребують подальших
досліджень питання управління персоналом з метою забезпечення інформаційної
безпеки підприємств будівельної галузі.
Практична реалізація всіх положень сформованої політики
інформаційної безпеки потребує від підприємства тривалих практичних зусиль.
Одним з основних і найскладніших напрямів роботи є робота з персоналом, мета
якої:
відбір і
попередня перевірка персоналу, що приймається на роботу (на службу);
навчання
співробітників;
мотивація до забезпечення
інформаційної безпеки;
психологічна
підготовка з метою протистояння методам "соціальної інженерії".
При прийомі на роботу рекомендується
проводити анкетування, за допомогою якого можна зробити висновки про рівень
інтелекту, отримати загальне уявлення про кандидата як різносторонньої особи,
визначити морально-психологічний рівень, виявити можливі злочинні схильності і
т.д.
У разі успішного проходження
кандидатом перевірки і визнання його відповідним посаді здійснюється укладання
(підписання) двох документів:
а) трудового договору
(контракту). Контракт обов'язково повинен містити пункт про обов'язок
працівника не розголошувати конфіденційну інформацію і дотримувати заходи
безпеки;
б) договори (зобов'язання) про
не розголошування конфіденційної інформації, є правовим документом, в якому
кандидат на вакантну посаду дає обіцянку не розголошувати ті відомості, які
йому буде відомий в період його роботи на підприємстві, а також про
відповідальність за їх розголошування або недотримання правил безпеки
(розірвання контракту і судовий розгляд).
Безпосередня діяльність
прийнятого працівника в цілях перевірки його відповідності посади і дотримання
правил роботи з конфіденційною інформацією повинна починатися з випробувального
терміну, в кінці якого ухвалюється остаточне рішення про прийом кандидата на
постійну роботу.
Оформлення допуску для роботи
з конфіденційною інформацією, яке також складає основу планування управління
персоналом, проводиться на підставі розмежування доступу до конфіденційних
документів, яке ґрунтується на однозначному розчленовуванні інформації по
тематичних групах і користувачах, яким ця інформація необхідна для роботи.
Крім ретельного підбору,
однією з важливих основ роботи з персоналом є його навчання способам
забезпечення інформаційної безпеки і безпечній роботі з інформаційними системами.
Навчання і подальший контроль отриманих знань може бути як первинним, так і
повторним. В загальному випадку співробітник підприємства не може бути
допущений до виконання своїх посадових обов'язків і роботи з інформаційними
системами до тих пір, поки він не пройде навчання з питань інформаційної
безпеки.
В завершенні всієї попередньої
роботи співробітник повинен дати всі необхідні зобов'язання про не
розголошування конфіденційних відомостей, а також письмово засвідчити, що він
повністю ознайомлений з основними положеннями політики безпеки.
В процесі навчання є доцільним
роз'яснення раціональних причин, по яких підприємство застосовує саме таку
політику безпеки. Це необхідно для кращого розуміння і засвоєння положень
політики безпеки, так і для певної розрядки психологічної напруженості, що
неминуче виникає при вживанні обмежувальних заходів і покладанні додаткових
обов'язків, необхідність яких не завжди очевидна і зрозуміла як рядовим
співробітникам, так і фахівцям.
Мотивація співробітників
підприємства в цілях забезпечення його інформаційної безпеки може
реалізовуватися по двох напрямах - шляхом застосування заохочень і санкцій.
Спеціальні заохочення (премії)
за активну роботу по зміцненню інформаційної безпеки підприємства можуть
використовуватися у відношенні:
- співробітників служби
інформаційних технологій і інших підрозділів, що розробили нові програмні
засоби, що підвищують ступінь захищеності комп'ютерних баз даних і комунікацій;
- співробітників служби
інформаційної безпеки, які виявили джерела просочування конфіденційної
інформації, що розробили нові технології або методи захисту інформації в усній
формі і на паперових носіях, котрі успішно завершили особливо важливі
оперативні заходи щодо усунення реалізовуваних загроз інформаційної безпеки;
- керівників структурних
підрозділів, до співробітників яких у служби інформаційної безпеки протягом
звітного року не було жодного зауваження в частині дотримання правил
забезпечення інформаційної безпеки;
- будь-яких співробітників
організації, що надали службі безпеки реальну допомогу у виявленні джерел
загроз інформаційної безпеки.
Контроль дотримання правил
забезпечення безпеки може проводитися з використовуванням: планових і раптових
перевірок, в процесі яких служба безпеки перевіряє дотримання в структурних
підрозділах правил роботи з конфіденційною інформацією, а також працездатність
технічних засобів захисту; моніторингу ситуації силами позаштатних інформаторів
служби безпеки з числа співробітників відповідних підрозділів; моніторингу
ситуації з використанням спеціальних технічних засобів спостереження.
Контроль
надійності персоналу здійснюється службою безпеки в індивідуальному режимі
відносно окремих категорій співробітників. В першу чергу, це менеджери,
експерти і рядові виконавці, що займають ключові робочі місця, що забезпечують
доступ до конфіденційної інформації. Контроль їх лояльності здійснюється в
постійному режимі.
Для
підвищення загальної ефективності необхідно проводити оцінку надійності даного
персоналу. Аналіз підходів до оцінки надійності персоналу показав, що основною
характеристикою надійності є лояльність персоналу до підприємства. Вважаємо, що
в системі інформаційної безпеки підприємств будівельної галузі рівень
надійності також повинні визначати інформаційна і професійна компетентність, а
також рівень комунікабельності як здатність до ефективної взаємодії.
Література:
1. Інформаційна та економічна безпека діяльності підприємства: конспект лекцій / В. І. Слепцов.- Запоріжжя: ЗНТУ, 2007. - 70 с.
2. Кавун С. В. Информационная безопасность в бизнесе / С. В. Кавун. – Харьков: Изд. ХНЭУ, 2007. – 408 с.
3. Костров А. В. Основы информационного менеджмента : учеб. пособие / А. В. Костров; 2-е изд., перераб. и доп. – М. : Финансы и статистика, 2004.– 528 с.
4. Лукацкий А. Что понимается под оценкой эффективности информационной безопасности? [Электронный ресурс]. – Режим доступа : http://www.globalcio.ru/experts/
5.
Ярочкин В. И. Основы защиты информации. Служба
безопасности предприятия : учеб. пособие / В. И. Ярочки, Д. Б. Халупин. – М. :
ИПКИР, 1993.- 42 с.