- •1.1 Поняття інформаційної безпеки
- •1.2 Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Основні положення системи захисту інформації
- •Поняття системи захисту інформації
- •1.4.2 Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Концептуальна модель інформаційної безпеки
- •Способи доступу
- •Загрози
- •Загрози безпеці інформації
- •Джерела загроз
- •Загрози сучасним інформаційним системам
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Комерційна таємниця
- •Банківська таємниця
- •Податкова таємниця
- •1.7.5 Службова таємниця
- •1.7.6 Професійна таємниця
- •Способи неправомірного оволодіння конфіденційною інформацією
- •Фізичні канали витоку інформації
- •1.10 Порушники інформаційної безпеки
- •1.10.1 Модель поводження потенційного порушника
- •1.10.2Класифікація порушників
- •1.10.3 Методика вторгнення
- •1.11 Умови, що сприяють неправомірному володінню конфіденційною інформацією
- •1.12 Інформаційні загрози в галузі економіки
- •Система забезпечення інформаційної безпеки україни
- •2.4 Правові акти
- •2.4.1 Структура правових актів
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •Українське законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційних систем
- •Основні класи організаційних заходів
- •3.1.1 Управління персоналом
- •Фізичний захист
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •3.2 Суб’єкти керування системою корпоративної безпеки
- •3.2.1 Служба персоналу
- •Служба безпеки
- •3.3 Політика безпеки організації
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Інформаційно-аналітична діяльність підприємства
- •3.4.1 Функції та задачі інформаційно-аналітичного підрозділу служби безпеки підприємства
- •3.4.1 Напрямки інформаційно-аналітичної роботи
- •3.4.2 Основні етапи інформаційно-аналітичної роботи
- •3.4.4 Відомості, що становлять інтерес під час збирання та аналізу інформації
- •3.5 Управління ризиками
- •1Рис. 1.1 – Концептуальна модель безпеки інформації
3.2 Суб’єкти керування системою корпоративної безпеки
Під суб'єктами керування корпоративною безпекою розуміють ті підрозділи й окремих співробітників, хто цілеспрямовано впливає на систему з метою протидії факторам зовнішніх й внутрішніх загроз. До суб'єктів керування процесом забезпечення корпоративної безпеки компанії належать:
вище керівництво;
менеджер з безпеки;
керівники основних підрозділів;
служба персоналу;
служба безпеки.
Керівництву фірми, компанії, організації належить ключова роль у розробці концепції корпоративної безпеки, визначенні необхідного рівня захисту, видачі санкцій на проведення оперативних заходів, у фінансуванні діяльності, що підтримує працездатність системи корпоративної безпеки.
Для рішення всіх цих завдань кожний керівник повинен бути ознайомлений хоча б з азами керування безпекою. Крім того, керівництво безпосередньо управляє інформаційно-аналітичним підрозділом і підрозділом маркетингової розвідки.
Менеджер з безпеки - це новий тип менеджера, основним завданням якого є координація дій всіх учасників процесу забезпечення корпоративної безпеки. Далеко не всі керівники фірм усвідомили необхідність введення в штат цієї посади, вважаючи, що наявність служби безпеки вирішує всі проблеми. Подібна думка помилкова, тому що в забезпеченні корпоративної безпеки, особливо у великих фірмах, бере участь велика кількість незалежних один від одного підрозділів, і координувати їхні дії повинен спеціально підготовлений менеджер, знайомий зі специфікою діяльності кожного з них.
Виходячи із цього, система психологічної безпеки має складатися з підсистем заходів психологічної протидії факторам зовнішніх і внутрішніх загроз. Виявленням факторів загроз постійно займаються два підрозділи: служба безпеки і служба персоналу. При цьому служба безпеки більшою мірою орієнтована на вивчення факторів зовнішньої загрози. Служба персоналу - переважно на внутрішні.
Служба персоналу безпосередньо займається вирішенням таких завдань, як підбор і розстановка кадрів, моніторинг психологічного клімату, виявлення негативних тенденцій у колективі, атестація персоналу, звільнення співробітників.
Служба безпеки є самостійною організаційною одиницею підприємства, що підпорядковується безпосередньо керівникові підприємства. Очолює службу безпеки начальник служби в посаді заступника керівника підприємства з безпеки.
Діяльність служби безпеки спрямована на виконання таких загальних функцій:
розвідувальних;
контррозвідувальних;
охоронних;
фіскальних;
каральних.
3.2.1 Служба персоналу
На всіх стадіях інформаційного процесу провідна роль належить людині. Від того, як будуть враховані в інформаційних процесах інтереси, психологічні установки, властивості особистості, залежить ефективність використання інформації.
Незважаючи на розмаїття і специфіку напрямків діяльності комерційних структур, можна виділити загальне для всіх фірм коло завдань забезпечення власної безпеки, що мають психологічну складову:
професійний і психологічний відбір персоналу;
профілактика, виявлення та розв’язання конфліктів різного по-ходження;
атестація персоналу;
психологічне вивчення партнерів, конкурентів, представників кримінальних структур;
розслідування надзвичайних подій;
підготовка та проведення відповідальних переговорів різного рівня;
психологічний захист інформації;
навчання персоналу навичкам ефективної комунікації;
психотерапія та психокорекція співробітників, що пережили складні або стресові ситуації.
З урахуванням цього діяльність служби персоналу здійснюється за такими напрямками:
оцінювання й прогнозування надійності персоналу на стадії відбору;
атестація персоналу;
моніторинг психологічного клімату в підрозділах;
виявлення груп корпоративного ризику.
Важливим індикатором явних і прихованих негативних процесів у колективі фірми або окремих її підрозділах є стан психологічного клімату. Найнебезпечнішими тенденціями є:
поява неформальних лідерів;
формування мікрогруп негативної спрямованості;
поява знедолених, ізгоїв;
виникнення конфліктів між окремими співробітниками й мікрогрупами.
Поява неформальних лідерів свідчить про зниження авторитету менеджерів, про порушення в управлінській вертикалі, про появу співробітників, що переросли свою роль у рамках команди.
Мікрогрупи з фатальною неминучістю утворюються в групах чисельністю більше 7 осіб. Найнебезпечнішими є мікрогрупи, які, переслідуючи свої групові цілі, вступають у конфлікт із іншими мікрогрупами, порушуючи тим самим ритм продуктивної діяльності всієї команди.
Поява в групі знедолених й великої кількості конфліктів є тривожним симптомом, що свідчить про порушення внутрішньогрупових контактів. Знедолені через образу на всіх можуть стати каналом витоку інформації, що становить комерційну таємницю.
Створюючи умови для задоволення співробітником його потреб у самореалізації, у суспільному визнанні його значимості, можна в рамках фірми встановити сприятливий соціально-психологічний клімат, максимально знизити плинність кадрів, сформувати так званий "фірмовий патріотизм". У такій обстановці малоймовірна поява працівника, що буде намагатися самоствердитися шляхом передачі конкурентам секретів, тобто шляхом зрадництва.
Виходячи зі сказаного, необхідно в роботі з персоналом керуватися такими правилами:
створити дієву систему матеріальних стимулів;
забезпечити кожного співробітника довгостроковою роботою;
ставитися до кожного співробітника як до самостійного індивіда;
забезпечити участь у прибутках;
створити можливості для просування по службі;
забезпечити участь усього персоналу у формуванні рішень;
створити гнучку систему звільнень, що не травмує.
Крім того, американські фахівці в галузі протидії промисловому шпигунству рекомендують:
використовувати будь-яку можливість для пропаганди програм забезпечення економічної безпеки фірми;
не забувати періодично винагороджувати співробітників фірми за успіхи в цій роботі;
усіляко стимулювати участь співробітників фірми в реалізації програм забезпечення таємності.
На думку дослідників, для створення атмосфери інформаційної безпеки найбільш ефективні заходи пов'язані з підвищенням інформаційної культури на підприємстві.
Необхідно формувати чітку цільову настанову на підвищення надійності й відповідальності в питаннях захисту інформації. Так, у багатьох американських фірмах діє дворівнева система захисту інформації. Перший рівень - забезпечення інформаційної безпеки силами спецслужб, другий - культивування атмосфери пильності та відповідальності за допомогою так званих координаторів, що призначаються із службовців середньої ланки.
Доцільно розбивати технологічний процес на ряд самостійних етапів, щоб службовці знали тільки частину секретів, а повне знання мало лише керівництво або вузьке коло осіб. Необхідний постійний моніторинг стосунків між людьми, що працюють з інформацією, врахування їх морального та психологічного стану.
Підставами для занепокоєння є: прояви емоційної неврівноваженості, невдоволення, хитрості, розчарування службовців, ідеї яких відкинуті.
Пропонується створювати систему внутріфірмової комунікації, що недопускає повної автономності окремих працівників.
У цілому, психологічне забезпечення комерційної таємниці в процесі відбору, підготовки, висування й звільнення кадрів ефективніше й дешевше, ніж при звичайному засекречуванні інформації.
Супровід персоналу є одним з невід'ємних елементів процесу забезпечення корпоративної безпеки кожної фірми й організації.
Супровід персоналу містить у собі:
моніторинг співробітників;
оцінювання динаміки й ступеня адаптації нового співробітника до робочого місця та колективу;
визначення проблем, що виникають;
навчання елементам самоменеджменту та ефективної комунікації;
регулярна атестація співробітників;
моніторинг психологічного клімату в колективі та у його окремих підрозділах;
навчання персоналу (зокрема питанням забезпечення й підтримки
корпоративної безпеки);
звільнення.
Моніторинг співробітників необхідний для відстеження змін, що відбуваються зі співробітником у процесі роботи на фірмі, у компанії, організації й появи в нього якостей, що породжують загрозу корпоративній безпеці.
У багатьох компаніях серйозна увага приділяється питанням корпоративного навчання. Таке навчання сприяє виробленню згуртованості, підвищенню працездатності команди, допомагає сформувати резерв на висування.
Поряд з обговоренням професійних питань, у ході навчання повинні розглядатися різні аспекти особистої й корпоративної безпеки.
Основними напрямками навчання можуть стати:
правила роботи з документами, що містять комерційну таємницю;
прийоми й методи, використовувані в промисловому шпигунстві;
ефективна ділова комунікація;
дії в екстремальних ситуаціях;
тактика ведення переговорів і протидія маніпулятивному впливу;
питання особистої безпеки при знаходженні за межами фірми.
Рекомендуються такі заходи щодо забезпечення інформаційної безпеки при звільненні співробітника. Про наміри співробітника звільнитися побічно свідчить відвідування відповідних сайтів в Інтернеті, розсилання резюме. З цього моменту все листування з робочої адреси та деякі операції на комп’ютері повинні бути взяті під негласний контроль. Якомога швидше під час відсутності даного користувача необхідно зробити резервну копію всіх його файлів. Беручи до уваги, що співробітник може змінити свої наміри та залишитися, а також припускаючи, що перегляд вакансій міг здійснюватися на прохання його знайомих, що шукають роботу, немає необхідності вживати відразу явних заходів безпеки.
Якщо співробітник оголосив про своє звільнення, можна вжити таких заходів:
проінформувати всіх співробітників про майбутнє звільнення та заборонити передавати йому будь-яку або якусь конкретну інформацію, що стосується роботи;
зробити резервну копію файлів користувача;
організувати передачу справ;
поступово, у міру передачі справ, скорочувати права доступу до інформації;
при необхідності організувати супровід звільнення фахівцем з інформаційної безпеки.
Якщо співробітника викрито в промисловому шпигунстві, то необхідно:
негайно позбавити його всіх прав доступу до інформаційної техніки;
негайно скорегувати права доступу до загальних інформаційних ресурсів (баз даних, принтерів, факсів), перекрити входи в зовнішні мережі або змінити правила доступу до них;
всі співробітники повинні змінити особисті паролі, при цьому до їхнього відома доводиться така інформація: "Співробітник N з (дата) не працює. У разі будь-яких спроб контакту з його боку негайно повідомляти службу безпеки";
якийсь час контроль інформаційної системи здійснювати в посиленому режимі.
Якщо співробітник звільняється не через викриття в промисловому шпигунстві, то перераховані заходи не повинні бути надмірно наполегливими, щоб негативно не впливати на психологічний стан людини. Необхідно пояснити співробітникові, що таким є загальний порядок, і він особисто ні в чому не підозрюється.
Якщо співробітники побачать, що звільнення кожного працівника нерозривно пов'язане з моральним збитком, то постраждає загальний соціально-психологічний клімат: організація буде асоціюватися з в'язницею або сектою. Крім того, недоцільно псувати стосунки з усіма співробітниками, що звільняються: хтось може повернутися, а хтось - надати допомогу.
Якщо співробітника звільняють, викривши в промисловому шпигунстві, то процедура супроводу залишається на розсуд служби безпеки. Завдання служби персоналу полягає в тому, що події, які відбуваються, не повинні завдати шкоди соціально-психологічному клімату в колективі, а, по можливості, навпаки, консолідувати інших співробітників.