125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / Навчальний посібник. Інформаційна безпека. Кавун С.В

Приклад. В акціонерному товаристві, що займало на певному етапі лідируючі позиції у своєму сегменті ринку, регулярно, причому без пояснення причин, змінювалися критерії оплати праці. У результаті співробітники не могли прогнозувати на тривалий строк рівень матеріального добробуту, що породжувало в них почуття невпевненості у своєму майбутньому. Практично повністю були відсутні достовірна інформація про становище компанії, зокрема її фінансовий стан і план розвитку лише підвищувало проблему. На довершення всьому, багато вчинків керівництва демонстрували зневагу до професійних знань співробітників, позбавляли їх можливості й бажання проявляти творчу ініціативу. Не дивно, що плинність кадрів придбала в компанії вид стихійного лиха: звільнялися й рядові співробітники, і керівники середньої ланки, і фахівці-розроблювачі. Наймані на місця тих, хто звільнився, тільки встигли ввійти в курс справи, перейнялися духом невпевненості, що панує в компанії, і слідом за своїми попередниками поспішали знайти собі нове місце роботи. Неодмінні супутники кадрової плинності – вимивання науково-технічного потенціалу з організації, темпів її розвитку привели до поступового сповзання компанії в стан аутсайдерів.

Дійсно, відсутність інформації породжує здогадки, чутки, не завжди виправдані порівняння, що згодом стає каталізатором незадоволення співробітників. Все це саме на руку конкурентам: інколи співробітники стають балакучими, обговорюють роботу вдома, зі знайомими й стають легкою здобиччю мисливців за інформацією. Втім, неправильним є звести проблему тільки до оплати праці й можливого незадоволення її розміром. Людські потреби безмежні, і будь-який рівень заробітної плати згодом буде здаватися недостатньо високим. Ресурси, які можуть

використовуватися для виплат працівникам, обмежені, і керівникам доводиться шукати нематеріальні способи мотивації й стимулювання персоналу. Зараз у системі стимулювання переживають друге народження вже підзабувши атрибути радянської епохи: грамоти, «Дошки пошани», змагання між відділами, робочими групами й т. п. Критерій «оцінки праці» при зростанні професійної компетенції досить швидко стає визначальним. Людині інколи просто необхідно, щоб його працю цінували й хвалили, важливо усвідомлювати власну значимість. Не вимагаючи жодних матеріальних витрат, цей спосіб мотивації при вмілому застосуванні цілком є переважним з матеріальним заохоченням. Іншими, уже сучасними інструментами мотивації є тренінги, наприклад, із комунікативного спілкування, психологічної сумісності, продажам і т. д., що дозволяють об'єднати співробітників у команду, підвищити ефективність продажу або продуктивність праці. Кожен тренінг повинен супроводжуватися звітом, які потім аналізуються: розглядаються ситуації, що відбувалися на семінарі, даються розгорнуті характеристики учасників, аналіз сильних і слабких сторін кожного учасника з тематики тренінгу. Цей аналіз дозволить як керівникові, так і службі персоналу й співробітникам СБ не тільки виявити слабкі й сильні сторони співробітників, але й оцінити їх поводження в різних ситуаціях, у тому числі й екстремальних. Однак найкращим способом мотивації персоналу є ототожнення співробітника й компанії. «Мої цілі – це цілі компанії. Мої інтереси – це її інтереси». Якщо співробітники міркують подібним чином, розділяють цілі й місію компанії, то зманити їх на сторону або вивідати в них конфіденційну інформацію буде практично неможливо. Однак це можливо лише в тому випадку, якщо люди будуть упевнені, що їхня кар'єра буде розвиватися щонайкраще саме в даній компанії. Причому її розвиток буде залежати не від примх вищого керівництва, а підкорятися довгостроковому плану, що передбачає й матеріальну зацікавленість, і професійне зростання співробітника.

3.7.6. Звільнення

Припустимо, всі зусилля виявилися марний і фахівець вирішив залишити компанію або керівник був змушений звільнити недбайливого працівника. Як правильно розстатися зі співробітником, не завдавши шкоди компанії? Адже звільнення людини, що працювали із

конфіденційною інформацією, та й що просто мала доступ до важливих інформаційних ресурсів, становить загрозу ЕБ, тому що нікому не відомо, куди далі піде співробітник, що звільнився. Він може звернутися до найближчого конкурента, де, не маючи зобов'язань перед колишнім роботодавцем, швидше за все, може поділитися накопиченим багажем знань або використає їх у своїх корисливих цілях.

Приклад. Колишній працівник регіонального відділення великого банку Ч. викрав з «рідної» контори велику суму грошей. Ч. пропрацював у банку близько року на посаді старшого інженера з функціями адміністратора безпеки системи розрахунків щодо пластикових карток і зненацька звільнився, заблокувавши перед звільненням пароль бази даних. Потім за допомогою спеціальної програми, що дозволяла робити так зване безадресне зарахування коштів, Ч. переказав близько 2 млрд. не деномінованих гривнів на рахунки своїх односправців. Знадобилися значні зусилля правоохоронних органів для затримки зловмисників, причому значна частина викраденого так і не була повернута.

При звільненні співробітника, що має які-небудь відомості, розповсюдження яких є небажаним, з ініціативи роботодавця не слід поспішно реалізовувати ухвалене рішення. У цьому випадку необхідно або попередньо й під відповідним приводом перевести співробітника на іншу ділянку роботи, де відсутні відомості конфіденційного характеру, або зберегти його в структурі компанії доти, доки не будуть вжиті заходи до зниження можливого збитку від розголошення відомостей або знайдені адекватні засоби захисту. Якщо співробітник звільняється за власним бажанням, необхідно спробувати визначити дійсну причину його рішення (іноді причини, на які посилається співробітник при звільненні, і справжні мотиви, що спонукали його до такого кроку, істотно відрізняються один від одного), правильно її оцінити й вирішити, чи доцільно в даній ситуації намагатися штучно втримати дану особу в колективі. При негативній відповіді відпрацювати й реалізувати процедуру його безконфліктного звільнення. Але які б не були причини звільнення співробітника, він повинен залишати організацію без почуття образи, роздратування й почуття помсти, тому що скривджена людина здатна на будь-які дії, які можуть призвести до дестабілізації роботи підприємства.

Приклад. Співробітник С, що працював системним програмістом у великій компанії, був скривджений за несправедливе, на його думку, до

себе ставлення з боку керівництва. Тоді він, звільняючись, залишив «логічну бомбу» у програмному забезпеченні сервера. Закладка, що спрацювала, привела до порушення його роботи й повній втраті важливої фінансової документації.

Процес звільнення повинен містити наступні етапи:

написання співробітником заяви про звільнення, у якому будуть докладно розкриті причини такого рішення, а також (бажано) місце передбачуваної роботи;

передача відповідальній особі всіх документів, що значаться за ним, баз даних, носіїв інформації, виробів, матеріалів, перевірка їх комплектності, повноти й оформлення прийому в описі виконавця або актом;

здавання співробітником пропуску (ідентифікатора) для входу в робочу зону, всіх ключів і печаток, заборона співробітникові входу в робочі приміщення з використанням знання шифру кодового замка (якщо буде потреба – заміна шифру);

проведення бесіди зі співробітником, що звільняється, з метою нагадування йому про зобов'язання збереження в таємниці конфіденційних відомостей і підписання співробітником зобов'язання про нерозголошення їм конфіденційних відомостей після звільнення;

документальне оформлення звільнення відповідно до загальних правил.

На закінчення зазначимо, що для запобігання більшості загроз, які можуть виходити з боку найманих робітників, досить правильно організованої роботи служби персоналу. Всупереч поширеній думці, функції цього підрозділу аж ніяк не вичерпуються набором співробітників: це ще й діючий інструмент з визначення настроїв, що панують в організації, з формування корпоративної культури й побудови системи мотивацій. Тісна взаємодія служби персоналу зі СБ дозволить запобігти діям працівників, які можуть приховувати в собі потенційну небезпеку для діяльності компанії. Резюмуючи викладене вище, дозволимо собі дати пораду тим, від кого залежить благополуччя організації: якщо ви хочете уникнути проблем, пов'язаних з діями власного персоналу, керуйтеся у своїх рішеннях наступним нехитрим принципом: як компанія буде ставитися до своїх співробітників, так і вони будуть ставитися до неї.

3.7.7. Особливості прийому на роботу співробітників, пов'язаних з володінням конфіденційною інформацією

Організаційні заходи щодо роботи з персоналом, що одержує доступ до конфіденційної інформації поділяються на декілька груп:

1)проведення ускладнених аналітичних процедур при прийманні й звільненні співробітників;

2)документування добровільної угоди особи не розголошувати закриті відомості й дотримуватися правил безпеки інформації;

3)навчання й інструктування співробітників практичним діям щодо захисту інформації;

4)контроль за дотриманням співробітниками встановлених правил

істимулювання відповідального ставлення до збереження таємниці фірми.

Подібні складнощі визначаються великою ціною рішення про допуск особи до таємниці фірми, а також наявністю в штаті фірми невеликого контингенту співробітників, обов'язки яких пов'язані з володінням конфіденційною інформацією.

3.8.Економічна безпека підприємства в умовах сучасного

ринку

Сьогодні підприємець – головна діюча особа ринку, стрижень будьякої економічної системи, побудованої не на державно-монополістичних, а на конкурентних началах; гарант стабільності цивільного суспільства, гарант ЕБ держави. Тому проблема охорони його інтересів від протиправних зазіхань, забезпечення безпеки з розвитком ринкових відносин отримує особливу гостроту, стає вирішальним фактором, що визначає перспективи економічних реформ в Україні.

Безпека комерційної організації – стан захищеності інтересів власників, керівництва й клієнтів підприємства, матеріальних цінностей і інформаційних ресурсів від внутрішніх і зовнішніх загроз.

Ринок приховує в собі багато небезпек для сумлінного підприємця, що діє в зоні підвищеного ризику. Це й протиправні зазіхання з боку несумлінних конкурентів і неспроможних партнерів, і промислове шпигунство, і зазіхання на комерційну таємницю (КТ) й інтелектуальну власність. У підприємців виникає безліч проблем щодо захисту життя й

інтересів своєї справи від терактів і зазіхань із боку кримінальних угруповань.

Загрози у сфері підприємництва знижують ефективність і надійність функціонування організацій, а в окремих випадках приводять до припинення їхньої діяльності через небезпеку економічного, соціального, правового, організаційного, інформаційного, екологічного, технічного й кримінального характеру. Об'єктами загроз можуть бути елементи речовинного, особистого («людського»), фінансового, інформаційного капіталів, що становить економічну основу діяльності підприємництва.

Загрози безпеки підприємництву:

загрози безпеки самому підприємцеві; загрози безпеки для споживача послуг, продукції при несумлінній

діяльності підприємця; загрози підприємницької інформації;

загрози безпеки суспільству (державі, населенню).

Стосовно окремої організації на мікрорівні існують наступні основні

види зовнішніх загроз підприємництву:

1.Несумлінні конкуренти.

2.Кримінальні групи й формування.

3.Протизаконні дії окремих осіб і організацій адміністративного апарата, у тому числі й податкових службах.

4.Порушення встановленого регламенту збору, обробки й передачі інформації.

Основні види внутрішніх загроз підприємництву:

1.Навмисні злочинні дії власного персоналу організації.

2.Ненавмисні дії й помилки співробітників.

3.Відмова встаткування й технічних засобів.

4.Збої ПЗ засобів обробки інформації.

Внутрішні й зовнішні загрози підприємництва тісно взаємодіють. Наприклад, загальна тенденція криміналізації господарської діяльності веде до зниження морально-етичних норм співробітників всіх рангів, часто штовхає їх на дії, що приносять збитки фірмі, на якій вони працюють.

Співвідношення внутрішніх і зовнішніх загроз відповідно до джерела [141] характеризується наступними показниками: 81,7% загроз відбувається або самими співробітниками організацій, або під час їх прямої або опосередкованої участі (внутрішні загрози); 17,3% загроз –

зовнішні загрози або злочинні дії; 1,0% загроз – загрози з боку випадкових осіб.

Об'єкти різних загроз підприємництву:

1.Людські ресурси (персонал, співробітники, компаньйони й ін.), включаючи трудові й кадрові ресурси.

2.Матеріальні ресурси.

3.Фінансові ресурси.

4.Тимчасові ресурси.

5.Інформаційні ресурси, включаючи інтелектуальні ресурси (патенти, незавершені проектно-конструкторські розробки, ноу-хау, програмні продукти, масиви бухгалтерської й статистичної інформації та ін.).

6.Інші види ресурсів.

Найнебезпечнішим джерелом загроз підприємствам виступають власні співробітники, значна частина яких є сумісниками (друга зайнятість). Не всі з них оформляються на роботу за договорами (контрактами), що дозволяє уникнути оподаткування. Мотивами внутрішніх загроз у цьому випадку є безвідповідальність, некомпетентність (низька кваліфікація), особисті спонукання (самоствердження, корисливі інтереси).

Інші дії, що призводять до виникнення загроз підприємництву, подані в табл. 3.35 [136].

Таблиця 3.35

Дії, що приводять до виникнення загроз підприємництва

В умовах високого ступеня, що зберігається, монополізації російської економіки величезну небезпеку підприємництву становить несумлінна конкуренція.

Паризька конвенція визначає як несумлінну конкуренцію

наступні її види.

1.Усі дії, що ведуть до того, що споживач може прийняти підприємство, товари, промислову або комерційну діяльність даної фірми за підприємство, товари, промислову або комерційну діяльність конкурента.

2.Помилкові заяви в ході комерційної діяльності, що дискредитують підприємство, товари, промислову або комерційну діяльність конкурента.

3.Використання в ході комерційної діяльності рекомендацій або позначень, які вводять споживача в оману щодо природи, способу виготовлення, характеристик, придатності для певних цілей, кількості товарів.

У коментарі до Типового закону з товарних знаків, фірмовим найменуванням і актами визначається несумлінна конкуренція для країн, що розвиваються, наступні види діяльності:

підкуп покупців конкурентів, спрямований на те, щоб залучити їх як клієнтів і зберегти на майбутнє їхню вдячність;

з'ясування виробничих або комерційних таємниць конкурента шляхом шпигунства або підкупу його службовців;

неправочинне використання або розкриття ноу-хау конкурента; спонукання службовців конкурента до порушення або розриву їхніх

контрактів з наймачем; загроза конкурентам позовами про порушення патентів або й

товарних знаків, якщо це робиться несумлінно й з метою протидії конкуренції у сфері торгівлі;

бойкотування торгівлі іншої фірми для протидії або недопущення конкуренції;

демпінг, тобто продаж своїх товарів нижче вартості з наміром протидіяти конкуренції або придушити її;

створення враження, що споживачеві надається можливість покупки на надзвичайно вигідних умовах, коли насправді цього немає;

навмисне копіювання товарів, послуг, реклами або інших аспектів комерційної діяльності конкурента;

заохочення порушень контрактів, укладених конкурентами; випуск реклами, у якій проводиться порівняння з товарами або

послугами конкурентів; порушення правових положень, що не мають прямого відношення

до конкуренції, коли таке порушення дозволяє досягти невиправданої переваги перед конкурентами.

У різних країнах економічний розвиток має свою специфіку. Тому прийняті в них закони про несумлінну конкуренцію базуються на загальноконституційних принципах і принципах Цивільного кодексу, прецедентного права й спеціальних законів.

Форми й методи несумлінної конкуренції подані в табл. 3.36 [105].

Інформаційні загрози підприємництву включають установлювані або регульовані правові, організаційні й інженерно-технічні заходи при формуванні й використанні ресурсів, захисту інформації й прав суб'єктів, що беруть участь в інформаційній діяльності, й ін. [91].

Загрози ІБ виходять із зовнішніх і внутрішніх джерел.

Зовнішні джерела загроз ІБ:

діяльність розвідувальних і спеціальних служб іноземних держав; діяльність іноземних недержавних структур і організацій, несумісна

з безпекою й інтересами Росії; злочинні дії іноземних і міжнародних кримінальних груп, структур і

окремих осіб.

Внутрішні джерела загроз ІБ:

протизаконна діяльність юридичних і фізичних осіб, а також інших суб'єктів і сфери формування, використання й поширення інформації, включаючи порушення встановлених регламентом збору, обробки й використання інформації;

несумлінна конкуренція й промислове шпигунство з метою дискредитації конкурентів і виробленої ними продукції, витіснення конкурентів з конкретних ринків нелегальними методами, монополізації ринків шляхом змови про ціни, а також одержання інформації про склад, стан і діяльність конкуруючих підприємницьких структур.

Відповідно загрози інформаційного характеру для підприємництва можна також класифікувати на внутрішні й зовнішні.

Внутрішні інформаційні загрози:

навмисні або випадкові негативні впливи на інформаційні ресурси підприємницьких структур, що виражаються в неправомірному ознайомленні з відомостями, що становлять комерційні й інші секрети підприємців;

зміна (фальсифікація) складу й структури інформації (баз інформації) у злочинних цілях або її морального й матеріального збитку;

розголошення конфіденційних відомостей співробітникам комерційного підприємства як через незнання, так і навмисно;

витік інформації технічними каналами, за рахунок якої істотно зростає ймовірність оволодіння комерційними секретами даної організації конкуруючими структурами.

Зовнішні інформаційні загрози: