100004 (Безопасность компании в повседневной деятельности), страница 2

Он контролирует регулярность проведения положенных процедур (например, резервного копирования), соблюдение парольных политик, а также действия пользователей.

Аналогичным образом следует организовать работу и в других случаях. Например, чтобы затруднить кражу информации, можно поступить следующим образом. Закрытая база данных в зашифрованном виде хранится на съемном жестком диске. Утром, перед началом работы, один сотрудник подключает диск, второй, пользуясь аппаратным электронным ключом, начинает процедуру работы с диском, третий набирает пароль для доступа к информации. Существующие программы шифрования позволяют организовать такой режим работы. В результате ни один сотрудник по отдельности не сможет воспользоваться содержимым диска, а сговориться об этом втроем гораздо сложнее. Получается, что организация застрахована и от сговора сотрудников, и от последствий давления криминальных структур на одного из них, и от кражи техники из офиса накануне сдачи годового баланса.

Вопрос управления службой безопасности достаточно объемен и включает в себя несколько составляющих. Здесь стоит упомянуть о том, что главными принципами управления системой безопасности являются принципы единоначалия и неукоснительного подчинения всех принятым правилам. Что касается общей схемы работы, то она циклична и в упрощенном виде представляет собой цепочку. Принцип единоначалия подразумевает четкую иерархию управления в различных ситуациях. Второй принцип гласит о том, что принятым правилам должны следовать как рядовые сотрудники, так и руководители организации.

Кроме того, служба безопасности должна быть подчинена непосредственно высшему руководству. Переподчинение ее какому-либо из заместителей высшего руководителя (например, по юридическим вопросам) недопустимо. Залог успешной деятельности службы безопасности - максимально возможная независимость от должностных лиц. Мало кто задумывается, что опасность для организации, исходящая от сотрудника, прямо пропорциональна занимаемому им положению.

Очень важен вопрос взаимодействия с другими службами или подразделениями. Для того чтобы снять вопросы полномочий при совместной работе над решением задач в смежных областях, необходимо описать, кто, кому и в каких случаях подчинен.

Вопрос достаточно сложный и субъективный. Сложен он потому, что необходимо количественно оценить качественные изменения, а необъективен в силу изначальной субъективности оценки важности активов организации - материальных и нематериальных. Как, например, можно оценить тот факт, что сотрудники стали втрое реже терять служебные документы? Количественно - трудно. Качественно - оценка не так наглядна. Тем не менее выводы, имеющие сравнительный характер, сделать можно. Например, подсчитав время простоя серверов за 2-3 месяца или попытавшись сопоставить какие-то действия службы безопасности с ростом прибыли. Чего уж точно не следует делать, так это требовать сиюминутных результатов в виде пойманных за руку сотрудников-вредителей. Наоборот, в случае "роста показателей" необходимо задуматься, откуда берутся злоумышленники и что их толкает на вредоносные действия.

Оценивать стоит скорее тенденции, которые развиваются в организации. И только в отдельных случаях можно оценивать сумму предотвращенного ущерба. Это возможно, если оценены все активы предприятия и определен хотя бы порядок сумм возможного ущерба. Исходя из этих цифр можно принимать решения об увеличении или уменьшении бюджета или судить об эффективности службы безопасности.

Работа по обеспечению безопасности требует взвешенных, обоснованных управленческих действий, поэтому она должна строиться с соблюдением определенных базовых принципов. Продолжением базовых принципов обеспечения безопасности деятельности должен быть пакет документов, четко определяющий все организационные связи и полномочия лиц, а также понятия безопасного и небезопасного состояния и требования безопасности. Этот пакет документации индивидуален для каждого предприятия или организации из-за их различий в структуре, размерах, целях и т.д.

Не имеет смысла возлагать на службу безопасности абсолютно все задачи по защите предприятия. Функция службы безопасности скорее методическая, контрольная и консультирующая, а не исполнительская. Ее стратегические решения принимаются коллегиально с привлечением сотрудников соответствующих служб и отделов.

Любые шаги по созданию системы безопасности следует начинать одновременно с формированием постоянного коллектива ответственных сотрудников (как минимум на уровне постоянной рабочей группы).

Наконец, чем более интегрированы элементы системы безопасности в существующую структуру организации, тем эффективнее вся система в целом. Если мы говорим о нормативной базе в общем, то важнейшими моментами будут ее поддержка в актуальном состоянии и подробная проработка.

Можно с одинаковым успехом разработать и совершенно глупые, и абсолютно гениальные методики, планы и правила, но без поддержки рядовых сотрудников результат (а точнее, его отсутствие) будет одинаков. В конце концов именно за счет реализации способностей сотрудника на рабочем месте и развивается организация. При заключении трудового соглашения обе стороны - и сотрудник, и наниматель - налагают на себя массу сложных и взаимосвязанных обязательств, как формальных и подзаконных, так и лежащих в области морали. Поэтому целесообразно четко определить права и обязанности сторон в процессе трудовой деятельности.

Очень часто руководители не знают или забывают об одном из базовых принципов системы безопасности "защита всех от всех". Это означает, что система безопасности должна гарантировать определенные права и уровень безопасности не только организации по отношению к внешним или внутренним источникам угрозы, но и обеспечивать ее защиту от проблем, возникших из-за некомпетентности руководителя. На самом же деле угроза организации часто пропорциональна статусу, "весу" и полномочиям лица, являющегося ее источником.

По данным опросов, в частных компаниях утечка информации часто происходит в результате небрежности первых лиц организации. Более 75% менеджеров не считают нужным убирать конфиденциальные документы со стола или выключать монитор своего компьютера при приеме посетителей. Это приводит примерно к 30% случаев утечки информации. Если посчитать, на какое количество (а это считанные единицы в организации) таких лиц приходится 30% утечек, то наличие угрозы со стороны руководства будет доказано без труда. Следует учесть, что речь пока идет только об информационной безопасности.

По наиболее распространенному мнению, самый дешевый и эффективный способ повысить общий уровень информационной безопасности - это развивать и поддерживать высокий уровень информационной культуры и общей культуры делопроизводства. Всем известно, что чаще крадут (деньги или информацию - не столь важно) там, где царит безалаберность, необязательность и неразбериха. В этом случае труднее понять, что на самом деле произошло, труднее собрать фактический материал для внутреннего расследования. А злоумышленнику легче скрыть следы.

Поэтому необходимо добиваться от сотрудников понимания и четкой установки на совершенствование деловых качеств - аккуратности, пунктуальности, обязательности, методичности, дисциплинированности. В этом случае коллективу легче привить писаные и неписаные правила, которые непосредственно касаются защиты информации.

В большинстве западных компаний действует двухуровневая система внутренней безопасности. Первый уровень обеспечивается штатной службой безопасности. Второй обеспечивают сами сотрудники. Взаимодействие службы безопасности с коллективом обеспечивают координаторы из числа сотрудников промежуточного уровня.

Эффективность такой схемы в наших условиях вполне реальна. Однако необходимо создать определенную "прослойку" имеющих одинаковые принципы и этические нормы людей. В том случае, если численность этой группы окажется достаточно большой, вновь прибывшие сотрудники окажутся под давлением общепринятых в коллективе взглядов. Часто моральный аспект проблемы внутрифирменного мошенничества, хищений и т.д. недооценивается. Но идеологической работой заниматься необходимо, так как идеологическое поле не терпит пустоты. Если в организации не уделяется внимание формированию системы ценностей, их место может занять стихийная, суррогатная система.

Если все знают, что путь документа можно проследить в любой момент времени, что постоянно ведется выборочный контроль деловой переписки, что при совместной работе с информацией четко определены права и обязанности, желание мошенничать быстро сходит на нет. Рекомендуется объяснить сотрудникам, что такого рода контроль преследует своей целью процветание и стабильность фирмы, предупреждение ошибок в работе, формирование "чувства локтя".

По возможности, следует построить профили сотрудников. Для психологического профиля это совокупность показателей, описывающих личностные качества, тип поведения, ценностные приоритеты. Также можно составить профиль работы в информационной системе (порядок работы с приложениями и сетевыми ресурсами, Интернетом). В том случае, если имеется информация о существенном изменении каких-либо параметров поведения сотрудника, есть смысл как минимум побеседовать с ним или обратить на этого человека пристальное внимание. Для того чтобы не возникало возмущения со стороны работников, рекомендуется в один из подписываемых документов вписать пункт с формулировкой, похожей на приведенную (пример взят из книги И. Конеева и А. Белова "Информационная безопасность предприятия"): "Средства вычислительной техники, объекты информационного пространства и сама информационная сеть, включая программное, сетевое, организационное, нормативное обеспечение, являются собственностью организации и переданы сотрудникам организации во временное пользование для выполнения служебных обязанностей".

Кроме того, в прошлом номере мы говорили, что сотрудник при приеме на работу должен дать подписку о том, что его личность может стать объектом внимания службы безопасности. Каждый руководитель должен сам определить для себя этичность и целесообразность таких действий по отношению к сотрудникам. В конце концов на практике можно столкнуться с таким же грамотным подчиненным, потеряв в результате его доверие в лице возможного союзника и сторонника.

Вполне реально создание системы мотивации, которая обеспечивает безопасное поведение персонала и содержит следующие принципы:

• - доступность (в идеале заработать проще, чем украсть);

• - ощутимость (премия не менее 20% от оклада; оклад больше наиболее вероятного ущерба от воровства);

• - минимальный разрыв между результатом труда и стимулирующей выплатой по времени;

• - создание "разности потенциалов" за счет баланса мер наказания и поощрения;

• - сочетание различных мер воздействия.

По совершенно объективным причинам новичок слабо представляет себе специфику своей новой работы. Конечно, его ввели в курс дела, ознакомили с будущими обязанностями. Но это не значит, что он сориентировался в новой обстановке. Поэтому необходим краткий курс обучения, знакомящий нового сотрудника с компанией и приводящий его поведение к "общему стандарту". В адаптационный период сотрудник знакомится с режимом работы, конфиденциальной информацией в организации, правилами поведения в типовых ситуациях, стратегией компании. Информация об организации, структуре управления, логике движения информационных потоков, о моральном кодексе сотрудников, памятка об основных правилах могут выдаваться в виде буклета.

Безусловно, до этого момента необходимо подписать с сотрудником соглашение о неразглашении сведений, составляющих коммерческую тайну, так как сами процедуры конфиденциального делопроизводства могут быть включены в перечень сведений, составляющих коммерческую тайну. Каждый сотрудник должен быть ознакомлен с теми частями Положения о коммерческой тайне, которые касаются лично его. Также необходимо разъяснить сотруднику все его обязанности в отношении сохранения коммерческой тайны, ответить на его вопросы. В конечном итоге у сотрудника должно сформироваться благоприятное мнение о службе безопасности, понимание обоснованности определенных правил и заведенного порядка. Работник должен быть твердо уверен, что при соблюдении четко определенных разумных требований и правил ему лично ничего не грозит, что главной функцией службы безопасности является предупредительная, а не карательная функция.

Например, стоит объяснить ценность для организации находящегося у сотрудника документа. Напомните, что при передаче конфиденциального документа он обязан взять расписку у того сотрудника, которому передается информация, или перерегистрировать документ на другое имя у секретаря. Поясните, что если документ будет утерян или разглашен, то эти несколько неудобные меры помогут определить степень его виновности или невиновности в этом неприятном инциденте. Необходимо рассказать о важной воспитательной роли, которая отводится правилам работы с документами, о повышении общей культуры и организованности работы в результате принятия этих правил. И конечно, не стоит забывать старую пословицу: "Повторение - мать учения". Все инструктажи и тренинги необходимо периодически повторять, проверять знания сотрудников на предмет знания ими правил и регламентов деятельности организации.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1. Конеев И. Р., Беляев А. В. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2003.

2. Ильин А.И., Синица Л.М. Планирование на предприятии. Мн., 2002.

3. Котлер Ф. Основы маркетинга. М., 1991.

4. Методические рекомендации по планированию, учету и калькулированию себестоимости продукции на промышленных предприятиях Министерства промышленности / Под ред. Л.Г. Сивчик. Мн., 1998.

5. Основные положения по разработке и применению систем сетевого планирования и управления. М., 1967.

6. Практикум по курсу «Экономика предприятий» / Под ред. В.Я. Хрипача. Мн., 1997.

7. Липсиц И.В. Бизнес-план - основа успеха. М., 1994.

8. Рекомендации по разработке бизнес-планов инвестиционных проектов. Утверждены Министерством экономики РБ 31.03.1999 г. / НЭГ, 1999, №37-39.

9. Организация и современные методы защиты информации / Под общей ред. Диева С.А., Шаваева А.Г. - М.: Концерн "Банковский деловой центр", 1998.