- •Содержание
- •Сведения об авторе
- •Тема 1. Кадровая безопасность организации как объект управления
- •В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:
- •Для изучения темы:
- •Теоретический материал по теме Вопрос 1. Цель и основные элементы системы обеспечения кадровой безопасности организации, классификация возможных угроз и методов противодействия им.
- •Вопрос 2. Отраслевая специфика обеспечения кадровой безопасности организаций и дополнительные особенности ее в современной России.
- •1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:
- •Тема 2. Система управления кадровой безопасностью организации
- •В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:
- •Для изучения темы:
- •Теоретический материал по теме Вопрос 1. Структура системы управления кадровой безопасностью в современной организации.
- •Вопрос 2. Служба безопасности современной организации.
- •Вопрос 3. Распределение функций, полномочий и ответственности между инстанциями в системе управления кадровой безопасностью.
- •Вопрос 4. Методические требования к организации и эксплуатации системы управления кадровой безопасностью.
- •1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:
- •Тема 3. Противодействие угрозам безопасности персонала организации
- •В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:
- •Для изучения темы:
- •Теоретический материал по теме Вопрос 1. Противодействие угрозе переманивания сотрудников организации.
- •Вопрос 2. Противодействие угрозе склонения сотрудников к нелояльному поведению в отношении работодателя.
- •Вопрос 3. Противодействие угрозе покушений на собственников и топ-менеджеров организации.
- •1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:
- •2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:
- •Тема 4. Противодействие угрозам информационной безопасности организации со стороны собственного персонала
- •В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:
- •Для изучения темы:
- •Теоретический материал по теме Вопрос 1. Конфиденциальная информация как объект защиты.
- •Вопрос 2. Типовые причины, формы и методы реализации угроз информационной безопасности организации с участием ее персонала.
- •Вопрос 3. Методы противодействия угрозам информационной безопасности организации со стороны ее персонала.
- •Вопрос 4. Управление персоналом организации в целях обеспечения ее информационной безопасности.
- •1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:
- •Тема 5. Противодействие угрозам имущественной безопасности организации со стороны собственного персонала
- •В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:
- •Для изучения темы:
- •Теоретический материал по теме Вопрос 1. Имущество организации как объект защиты.
- •Вопрос 2. Типовые причины, формы и методы реализации угроз имущественной безопасности организации с участием ее персонала.
- •Вопрос 3. Методы противодействия угрозам имущественной безопасности организации со стороны ее персонала.
- •Вопрос 4. Управление персоналом организации в целях обеспечения ее имущественной безопасности.
- •1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:
- •Дополнительная литература по дисциплине
Вопрос 3. Методы противодействия угрозам информационной безопасности организации со стороны ее персонала.
Организация работы по рассматриваемому направлению осуществляется в следующей общей последовательности.
Первым этапом является формирование ранжированного перечня конфиденциальных сведений организации как объекта защиты и присвоение им соответствующего грифа секретности. Чаще всего используется следующий типовой укрупненный перечень (исходя из условий работы конкретной организации в него вносятся необходимые коррективы).
Абсолютно конфиденциальные сведения включают в себя:
информацию, составляющую клиентскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов или подконтрольным организациям;
закрытую информацию о собственниках организации;
информацию о стратегических планах организации по коммерческому и финансовому направлениям деятельности;
любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий «упреждающего противодействия» и, частично, «адекватного ответа»;
прикладные методы защиты информации, используемые организацией (коды, пароли, программы).
Строго конфиденциальные сведения включают в себя:
все прочие конфиденциальные сведения о клиентах;
информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;
информацию о сотрудниках организации, содержащуюся в индивидуальных досье.
Конфиденциальные сведения включают:
базы данных по направлениям деятельности организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;
сведения о заработной плате и индивидуальных «социальных пакетах» сотрудников организации, а также составе «резерва на выдвижение»;
внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрикорпоративного менеджмента.
Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.
Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации организации. Выделяются их следующие группы:
каналы утечки через внешние и локальные компьютерные сети организации;
каналы утечки с использованием технических средств перехвата информации;
каналы утечки по вине нелояльных или безответственных сотрудников банка.
Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в адрес конкретных элементов конфиденциальной информации, следовательно – обеспечение возможности выбора наиболее целесообразных методов и форм защиты.
Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы:
Методы программно-математического характера:
программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры организации;
программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);
программы, автоматически кодирующие (шифрующие) информацию;
программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;
программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.
Методы технического характера:
использование экранированных помещений для проведения конфиденциальных переговоров;
использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройствами автоматического уничтожения ее при попытке несанкционированного проникновения);
использование детекторов и иной аппаратуры для выявления устройств перехвата информации;
использование защищенных каналов телефонной связи;
использование средств подавления работы устройств перехвата информации;
использование средств автоматического кодирования (шифровки) устной и письменной информации.
Методы организационного характера:
мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);
мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников организации на службе и вне ее);
мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;
мероприятия по контролю над соблюдением установленных правил информационной безопасности;
мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.
Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности организации, предполагающее:
разработку общей концепции информационной безопасности как элемента общей стратегии безопасности организации;
разработку внутренней нормативной базы;
расчет и выделение необходимых финансовых ресурсов;
обучение персонала организации правилам обеспечения информационной безопасности;
формирование и последующее развитие формализованных процедур контроля над соблюдением установленных правил, а также санкций за их нарушение.