3 Основные группы методов проведения аудита
1) Организационно-аналитические, проверка документации и отчетности, анализ трудовых показателей. Из общего числа трудовых показателей следует выделить только те, которые в наибольшей степени влияют на эффективность (прибыльность) организации, (показатели использования раб силы, раб времени, качества труда, производительности труда, оплаты труда).
2) Соц-психологич методы, заключающиеся в проведении самостоятельных соц опросов, анкетирования, инд и коллективных бесед, Данная группа методов наиболее результативна для оценки удовлетворен трудом, отношения к работе, взаимоотношений в коллективе, мотивации к труду, эфф-ти деят-ти руководства и системы вознаграждений и компенсаций.
3) Эконом методы, позволяют оценить конкурентосп-ть орг-ции на рынке труда; эфф-ть самого аудита персонала.
Типы аудита персонала
1. Периодичность проведения:
Текущий – проводится по заранее установленному регламенту за определенный период времени
Оперативный – проводится по оперативному распоряжению руководства
Регулярный – проводится через определенные промежутки времени
Панельный – проводится с определенной периодичностью, с неизменными методикой и инструментарием на тех же группах людей и тех же объектах
2. Полнота охвата изучаемых объектов:
Полный – охватывает все объекты
Локальный – охватывает отдельно выделенную группу объектов или один объект
Тематический – включает все объекты или по одной тематике
3. Методика анализа:
Комплексный – Используется весь арсенал методов
Выборочный – анализу подвергаются работники, выбранные по специальной методике-выборке
4. Уровень проведения:
Стратегический – оценка производится на уровне высшего руководства
Управленческий – оценка производится на уровне линейных руководителей
Тактический – оценка производится на уровне службы УП
5. Способ проведения проверки:
Внешний – проводится силами сторонних специалистов
Внутренний – проводится работниками самой организации
4 этапа кадрового аудита:
На подготовительном этапе определяются цели проверки, подбор персонала для организации проверки, его обучение в случае необходимости; разработка внутрифирменного документа (приказа, распоряжения), намечающего сроки, задачи, исполнителей и участников проверки, инструктаж исполнителей и участников; разработка плана сбора.
На этапе сбора информации осуществляются проверка документации и отчетности, мониторинг персонала, наблюдение, опросы, анкетирование, беседы с сотрудниками, предварительная обработка статистических данных.
На этапе обработки и анализа информации полученная в ходе проверки информация обрабатывается и формализуется в виде таблиц, схем, диаграмм, графиков; осуществляются анализ и оценка данных о деятельности персонала путем сравнения с аналогичными особо преуспевающими организациями.
На заключительном этапе - готовится отчет о результатах аудиторской проверки. Даются рекомендации.
2. Охарактеризовать основные методы и средства защиты информации.
Защита информации – деятельность по предотвращению утраты и утечки защищаемой информации. Ср-ва обеспечения безопасности инф. Утечка инф – ознакомление постороннего лица с содержанием секретной инф. Безопасность инф – действие или событие, кот может привести к разрушению и искажению информац.ресурсов.
Цель защиты: противодействие угрозам безопасности информации.
Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода.
Средства защиты информации — это совокупность инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных вещных элементов, используемых для решения различных задач по защите инф, в том числе предупреждения утечки и обеспечения безопасности защищаемой инф.
Аппаратные средства - это различные по типу устройства аппаратные средства, которые решают задачи защиты информации (механические, электромеханические, электронные). Они препятствуют доступу к информации, в том числе с помощью её маскировки. К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники, «перекрывающих» потенциальные каналы утечки инф или позволяющих их обнаружить. Преимущества аппаратных средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Недостатки - недостаточная гибкость, относительно большие объём и масса, высокая стоимость.
Разновидности аппаратных средств:
спец регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.
устройства для шифрования информации (криптографические методы).
Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования инф, удаления рабочей информации типа временных файлов, тестового контроля системы защиты. Преимущества программных средств — универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки — ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров.
Встроенные средства защиты информации
Антивирусная программа(антивирус) — программа для обнаружения компьютерных вирусов и лечения инфицированных файлов, а также для профилактики — предотвращения заражения файлов или операц системы вредоносным кодом.
Межсетевые экраны (брандмауэрами или файрволами) - между локальной и глобальной сетями создаются спец промежуточные серверы, кот инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет эту опасность полностью.
Proxy-servers (proxy — доверенность, доверенное лицо). Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью — маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Этот метод не дает достаточной защиты против атак на более высоких уровнях — например, на уровне приложения (вирусы, код Java и JavaScript).
VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Используемые технологии: PPTP, PPPoE, IPSec.
Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного п/п). Преимущества орг средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки — высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.
Физические меры защиты - различные устройства и сооружения, также мероприятия, которые затрудняют или делают невозможным проникновение потенциальных нарушителей в места, в которых можно иметь доступ к защищаемой информации. Чаще всего применяются такие меры:
ограждение территории вычислител центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и орг-ции систематического контроля этих территорий;
орг-ция контрольно-пропускных пунктов у входов в помещения вычислит центров, позволяющими регулировать доступ в помещения;
организация системы охранной сигнализации.
Технические средства защиты информации
Для защиты периметра информационной системы создаются:
системы охранной и пожарной сигнализации;
системы цифрового видео наблюдения; системы контроля и управления доступом.