Файл: Изучение основ стратегии кадровой безопасности современного банка и разработка подходов к оптимизации тактики управления на основе рационального сочетания системно и ситуационно ориентированного управления.pdf
Добавлен: 30.06.2023
Просмотров: 80
Скачиваний: 4
СОДЕРЖАНИЕ
1. Теоретико-правовые аспекты обеспечения кадровой безопасности банковских учреждений
1.2. Классификация угроз кадровой безопасности банка
1.3. Требования по вопросу кадровой безопасности в международной и отечественной системах стандартов
2. Тактика реализации кадровой безопасности в коммерческих банках
2.1. Принципы формирования политики безопасности персонала банковского учреждения
1) психолого-коммуникационная безопасность - согласованность, бесконфликтность общения на социальном и личностном уровнях, товарищеская взаимопомощь, требовательность к себе и другим в интересах производства, содействие положительным межличностным коммуникациям, создание благоприятного микроклимата, учета интересов и пожеланий работников по вертикали и горизонтали, доброжелательный и уважительный стиль общения «руководитель - подчиненные»;
2) патриотическая безопасность - создание психологического климата в коллективе на основе положительного отношения к банковскому учреждению, психологического единения работников вокруг общих целей.
Кадровая безопасность банковского учреждения направлена на минимизацию угроз банка от собственного персонала как внутренней угрозы [16, с. 7].
Таким образом, кадровая безопасность является составляющей экономической безопасности, которую необходимо исследовать как совокупность условий, при которых потенциально опасные для банковского учреждения действия или обстоятельства предупреждены или сведены до такого уровня, при котором они не способны нанести вред установленному порядку функционирования банка, сохранению и воспроизведению его имущества и инфраструктуры и помешать достижению банком стратегических целей.
1.2. Классификация угроз кадровой безопасности банка
Функционирование любого современного банка связано с разнообразными рисками. Часть из них определяется объективными факторами - внезапными изменениями конъюнктуры спроса и предложения на финансовых рынках, недостаточной квалификацией собственного персонала, форс-мажорными обстоятельствами и т.п. [19, с. 80]
Однако в ряде случаев имущественные и неимущественные потери кредитной организации могут быть следствием целенаправленной деятельности заинтересованных в них субъектов - конкурентов, криминальных структур, а иногда и собственных сотрудников.
Специфические условия рыночной трансформации отечественной экономики значительно увеличивают вероятность негативной реализации подобных рисков. Для противодействия указанным выше угрозам кредитные организации вынуждены постоянно заниматься проблемой обеспечения собственной безопасности. В соответствии с требованиями современного менеджмента такая работа должна осуществляться на профессиональной основе, в рамках специальной системы управления.
Одним из базовых направлений данной системы является обеспечение безопасности по кадровому направлению деятельности кредитной организации, в рамках которого осуществляется противодействие следующим группам угроз [18, с. 21-22]:
1. По характеру потерь:
- угрозы информационной безопасности, связанные с деятельностью персонала и реализуемые в форме разглашения конфиденциальной информации, а также искажения или уничтожения любых сведений и баз данных, используемых кредитной организацией в своей деятельности;
- угрозы имущественной безопасности, связанные с деятельностью персонала и реализуемые в форме хищения или умышленного повреждения (уничтожения) различных элементов имущества кредитной организации - от элементов ее основных фондов до наличных денежных средств .
2. По экономическому характеру угрозы [13, с. 54]:
- угрозы материального характера, наносящие банку прямой и легко исчисляемый финансовый ущерб, например похищенные денежные средства и товарно-материальные ценности, сорванный контракт, примененные штрафные санкции;
- угрозы нематериального характера, точный размер ущерба от реализации которых обычно невозможно точно определить, например сокращение обслуживаемого рынка, ухудшение имиджа банка в глазах клиентов и деловых партнеров, утеря ценного специалиста.
3. По источнику (субъекту) угрозы [19, с. 80]:
- угрозы со стороны конкурентов (причем как самой кредитной организации работодателя, так и ее клиентов), стремящихся к усилению собственных позиций на соответствующем рынке путем использования методов недобросовестной конкуренции, например деловой разведки, переманивания высококвалифицированных сотрудников, дискредитации соперника в глазах партнеров и государства; угрозы со стороны криминальных структур и отдельных злоумышленников, стремящихся к достижению собственных целей, находящихся в противоречии с интересами конкретной кредитной организации-работодателя или ее клиентов, например захвату контроля над банком, хищению имущества, нанесению иного ущерба;
- угрозы со стороны государства в лице уполномоченных надзорных, регулирующих, фискальных и правоохранительных органов, деятельность которых в некоторых случаях может вызывать угрозы по кадровому направлению работы коммерческих банков [17, с. 18];
- угрозы со стороны сотрудников банка, осознанно или в силу общей безответственности наносящих ущерб ее безопасности ради достижения личных целей, например минимизации трудовых усилий, улучшения материального положения, карьерного роста, мщения работодателю за реальные или мнимые обиды и т.п.
4. По вероятности практической реализации [13, с. 56]:
- потенциальные угрозы, практическая реализация которых на конкретный момент имеет лишь вероятностный характер (соответственно у банка есть время на их угрозы профилактику или подготовку к отражению);
- реализуемые угрозы, негативное воздействие которых на деятельность банка находится в конкретный момент в различных стадиях развития (соответственно у банка имеются шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);
- реализованные угрозы, негативное воздействие которых уже закончилось и ущерб фактически нанесен (соответственно банк имеет возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем)
В различных сферах профессиональной деятельности угрозы кадровой безопасности организаций имеют свою отраслевую специфику, которая определяется [28, с. 70]:
- различной вероятностью реализации угроз со стороны той или иной категории потенциальных злоумышленников;
- различной вероятностью реализации угроз в отношении тех или иных объектов защиты;
- различной вероятностью реализации тех или иных форм угроз.
В сравнении с другими сферами предпринимательства специфика уставной деятельности банка значительно повышает вероятность угроз его безопасности, в том числе по кадровому направлению [19, с. 79].
Таким образом, правомерно сделать промежуточный вывод о том, что в комплексной системе менеджмента безопасности современного российского банка управление его кадровой безопасностью имеет приоритетный характер. Рассмотрим общие требования к организации управления, выделив его в автономную систему банковского менеджмента.
1.3. Требования по вопросу кадровой безопасности в международной и отечественной системах стандартов
В нормативных документах государственных регуляторов вопросу кадровых уязвимостей информационной безопасности практически не уделяется внимание.
Однако существуют стандарты по информационной безопасности, в которых затрагиваются вопросы кадровой безопасности. Центральный банк Российской Федерации разработал систему стандартов в области информационной безопасности, в которой затронута проблема персонала [23, с. 46].
Основным стандартом в данной системе является СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В стандарте особое внимание выделяется угрозам, связанным с персоналом. К основным источникам угроз причисляются работники организации БС РФ (банковской системы Российской Федерации), реализующие угрозы информационной безопасности с использованием легально или вне легально полученных прав и полномочий [8, п 6.6]. Приоритетность кадровых уязвимостей подчеркивается в пункте 5.4 стандарта:
«Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал.
В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.
Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ.
Незлоумышленные действия собственных работников создают либо уязвимости информационной безопасности, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает».
Далее перечислены требования пункта 7.2 «Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу» стандарта СТО БР ИББС-1.0-2014 и в скобках указан пункт и его название в стандарте ISO/IEC 27001:2013, содержащий аналогичное требование:
- В организации должны быть документально выделены роли ее работников, которые следует персонифицировать с установлением ответственности за их выполнение (приложение А, пункт A.6.1.1 «Роли и ответственность в системе информационной безопасности»);
- Не допускается совмещение в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения (приложение А, пункт A.6.1.2 «Разделение обязанностей»);
- В организации должны быть определена, выполняться и регистрироваться процедура приема на работу, влияющую на обеспечение информационной безопасности, включающую: проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; проверку в части профессиональных навыков и оценку профессиональной пригодности с документальным фиксированием результатов (приложение А, пункт A.7.1.1 «Проверка благонадежности»);
- Письменное обязательство о соблюдении конфиденциальности, приверженности корпоративной этике, включая требования по недопущению конфликта интересов (приложение А, пункт A.7.1.2 «Обязательства в трудовом соглашении»);
- Обязанности персонала по выполнению требований по обеспечению ИБ должны включаться в трудовые контракты, должностные инструкции (приложение А, пункт A.7.2.1 «Ответственность руководства»).
- Невыполнение работниками организации требований по обеспечению ИБ должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности (прило¬жение А, пункт A.7.2.3 «Дисциплинарные взыскания»);
- Контроль деятельности работников, обладающих совокупностью полномочий, позволяющей получить контроль над информационными активами организации (приложе-ние А, пункт A.12.4.3 «Регистрация действий администраторов и операторов»);
- Определить, выполнять и регистрировать с фиксацией результатов процедуры регулярной проверки в части профессиональных навыков и оценки профессиональной пригодности работников, а также внеплановой проверки — при выявлении фактов их нештатного поведения, участия в инцидентах ИБ или подозрений в таком поведении или участии (основной текст, пункт 7.2 «Компе¬тентность»).
Также в стандарте затронут вопрос обучения и повышения осведомленности в области информационной безопасности персонала организации. Приведены следующие требования [8, п. 8.9]:
- Должна быть организована санкционированная руководством организации работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ;
- Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний;
- В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности;
- Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию: по существующим политикам информационной безопасности; по применяемым в организации за-щитным мерам; по правильному использованию защитных мер в соответствии с внутренними документами организации; о значимости и важности деятельности работников для обеспечения информационной безопасности организации;