Ранжирование персонала, допущенного к управлению информацией на электронных носителях, по группам потенциального риска
| №№ п.п. | Группа риска | Перечень должностей |
| 1. | Группа наибольшего риска | Ø системный контроллер; Ø администратор безопасности |
| 2. | Группа повышенного риска | Ø оператор системы; Ø оператор ввода и подготовки данных; Ø менеджер обработки данных; Ø системный программист |
| 3. | Группа среднего риска | Ø инженер системы; Ø менеджер программного обеспечения |
| 4. | Группа ограниченного риска | Ø прикладной программист; Ø инженер или оператор по связи; Ø администратор баз данных; Ø инженер по оборудованию; Ø оператор периферийного оборудования; Ø библиотекарь системных магнитных носителей; Ø пользователь – программист; Ø пользователь – операционист |
| 5. | Группа низкого риска | Ø инженер по периферийному оборудованию; Ø библиотекарь магнитных носителей пользователей; Ø пользователь сети |
Ко второй категории относятся сотрудники, привлекшие внимание непосредственных руководителей или службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность работодателю. Основанием для проведения специальной проверки могут стать:
Ø необъяснимое объективными причинами внезапное резкое улучшение материального положения сотрудника или контактирующих с ним родственников (например, покупка квартиры, дорогого автомобиля и т.п.);
|
|
|
Ø случайно выявленные контакты с представителями внешних для организации субъектов потенциальных угроз (например, с конкурентами, криминальными структурами и т.п.);
Ø изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа (например, злоупотребление алкоголем, регулярные посещения казино, ночных клубов и т.п.);
Ø зафиксированные коллегами регулярные высказывания сотрудником недовольства работодателем, служебным положением, доходами и т.п.
В рамках такого контроля, по решению руководителя службы безопасности проводится специальное служебное расследование. В зависимости от реализуемой в конкретной организации стратегии обеспечения безопасности, оно может быть осуществлено либо штатными сотрудниками службы безопасности, либо приглашенными со стороны сотрудниками частного детективного агентства. Письменный отчет по результатам проведенной проверки должен содержать общее заключение, характеризующее лояльность данного сотрудника, а в случае негативной оценки – соответствующую доказательную базу.
МОТИВАЦИЯ СОТРУДНИКОВ ОРГАНИЗАЦИИв целях обеспечения ее информационной безопасности реализуется по двум направлениям (практическая реализация традиционного принципа управления, основанного на сочетании «кнута и пряника»).
|
|
|
Специальные поощрения за активную работу по укреплению информационной безопасности организации используются в отношении:
Ø сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;
Ø сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;
Ø руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности;
Ø любых сотрудников организации, оказавших службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.
В качестве инструментов мотивации используются специальные премии из фонда службы безопасности или организации в целом. В отношении последней позиции приведенного выше перечня соблюдается принцип конфиденциальности премиальных выплат, поскольку в нашей стране публичная выплата премии за сотрудничество со службой безопасности может вызвать негативную реакцию со стороны коллег премируемого сотрудника.
|
|
|
Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности применяются по представлению службы безопасности или руководителей этих коллективов. По характеру управляющего воздействия они делятся на три группы.
К первой группе относятся санкции административного характера, наиболее жесткие по силе воздействия.
Руководитель структурного подразделения может быть смещен с занимаемой должности в случае:
Ø неоднократного уличения в сокрытии фактов нарушения соответствующих правил, допущенных его подчиненными;
Ø утечки из подразделения абсолютно конфиденциальной информации, повлекшей стратегический ущерб для организации или ее контрагентов;
Ø наличия регулярных замечаний со стороны службы безопасности (т.е. данный руководитель оказался не в состоянии, несмотря на принятые ранее к нему меры воздействия, обеспечить в своем коллективе требуемое отношение к информационной безопасности).
|
|
|
Другими методами административного воздействия на сотрудников выступают:
Ø досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока, в процессе которого сотрудник продемонстрировал склонность к игнорированию соответствующих требований или проявил личностные качества, создающие угрозу с позиции его потенциальной лояльности;
Ø досрочное расторжение трудового договора за невыполнение принятых на себя обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности;
Ø отказ в пролонгации трудового договора;
Ø перевод сотрудника на другое рабочее место (в том числе - в другом подразделении), не дающее доступ к конфиденциальной информации;
Ø исключение сотрудника из резерва на выдвижение;
Ø другие методы (объявление взыскания или выговора в приказе).
Ко второй группе относятся санкции экономического характера:
Ø лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда;
Ø лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения (последняя санкция применяется в случае выявление массовых нарушений соответствующих требований в трудовом коллективе);
Ø отмена персональных социально-экономических льгот.
К третьей группе относятся санкции психологического характера:
Ø индивидуальная беседа с руководителем или представителем службы безопасности организации;
Ø обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.
Задания для самоконтроля результатов изучения темы:
Раскройте содержание следующих понятий:
Ø антивирусные программы;
Ø безопасность компьютерных сетей организации;
Ø гриф конфиденциальности;
Ø «жучок»;
Ø искажение информации;
Ø допуск;
Ø канал утечки информации;
Ø коды доступа;
Ø перехват информации;
Ø хакер.
Выполните тренировочное практическое задание:
4.1. Определите категории сотрудников организации, дифференцированные по вероятности разглашения ими конфиденциальной информации работодателя, заполнив для этого правую графу приведенной ниже таблицы:
| Категории риска | Группы сотрудников организации |
| Категория «повышенного риска» | |
| Категория «минимального риска» | |
| Категория «среднего риска» |
4.2. Определите субъектов контроля над соблюдением сотрудниками указанных ниже правил обеспечения информационной безопасности работодателя, заполнив для этого правую графу приведенной ниже таблицы.
| Правила обеспечения информационной безопасности | Субъекты контроля |
| Правила работы с конфиденциальными документами | |
| Правила работы с конфиденциальными базами электронных данных | |
| Правила проведения деловых переговоров | |
| Правила неразглашения коллегам конфиденциальных сведений |
4.3. Определите санкции за указанные ниже нарушения конкретным сотрудником правил обеспечения информационной безопасности работодателя, заполнив для этого правую графу таблицы.
| Нарушение | Санкции |
| Неумышленное нарушение правил обеспечения компьютерной безопасности, допущенное вторично | |
| Разглашение конфиденциальной информации в присутствии коллег по работе | |
| Умышленная передача конкурентам информации, составляющей коммерческую тайну | |
| Зафиксированная попытка несанкционированного проникновения в конфиденциальные базы данных |
Дата добавления: 2019-09-13; просмотров: 1554; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!