Файл: Сущность, структура и направление реализации кадровой безопасности банковских учреждений.pdf

- В организации БС РФ должен быть определен перечень свидетельств выполне-ния программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться: доку-менты (журналы), подтверждающие прохождение руководителями и работниками организации обучения в области информационной безопасности с указанием уровня образования, навыков, опыта и квалификации обучаемых; документы, содержащие результаты проверок обучения работников организации; документы, содержащие результаты проверок осведомленности в области информационной безопасности в организации;

- Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области информационной безопасности, соответствующее полученной роли;

- В организации должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей [23, с. 47-48].

В международном стандарте ISO/IEC 27001:2013 также уделяется внимание вопросу обучения и повышения осведомленности в области информационной безопасности персонала организации. В пункте А.7.2.2 (при-ложение А) приведены следующие требования: для всех сотрудников организации и, где это применимо, работающих по контракту должны быть проведены обучение и подгтовка, обеспечивающие соответствующие знания, а также регулярное обновление организационных политик и процедур в той мере, в какой это касается их служебных обязанностей [9].

Можно заметить, что в стандарте СТО БР ИББС-1.0-2014 приведены более полные и конкретизированные требования, касающиеся вопроса обучения и повышения осведомленности в области информационной безопасности персонала организации.

Для оценки соблюдения требований стандарта СТО БР ИББС-1.0-2014 был разработан стандарт СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» [10].

В результате проведения оценки соответствия информационной системе присваивается один из 5 уровней соответствия в зависимости от итогового показателя оценки [12, п. 11]. В методике представлены следующие показатели оценки: итоговый показатель, показатели по направлению оценки, групповые показатели, частные показатели. Значения всех показателей располо-жены в диапазоне от 0 до 1. Значение итогового показателя определяется по наименьшему значению из трех показателей по направлениям оценки. Всего в методике три направления оценки [23, п. 49]:

---

1) оценка текущего уровня информационной безопасности орга-низации;

2) оценка менеджмента информацонной безопасности организации;

3) оценка уровня осознания информационной безопасности организации.

В соответствии с этими направлениями оценки распределены по 31 групповому показателю следующим образом: первое направление оценки - показатели М1М10; второе направление оценки - показатели М11М27; третье направление оценки - показатели М28М34. Каждый групповой показатель соответствует пунктам стандарта СТО БР ИББС-1.0-2014

Можно заметить, что вопросу кадровой безопасности уделено внимание в каждом направлении оценки. Каждый групповой показатель состоит из частных показателей. Частный показатель содержит требование, соблюдение которого непосредственно оценивается. Частные показатели делятся на обязательные и рекомендуемые. Оценку за обязательный частный показатель в зависимости от степени соблюдения требования ставят в диапазоне от 0 до 1 (в соответствии со шкалой оценки степени соблюдения требования). Оценке за рекомендуемый частный показатель присваивается значение, равное 1, в том случае, если требование полностью выполняется, в противном случае этот показатель отмечается как неоцениваемый и не учитывается в даль-нейших расчетах.

. В действующей редакции методики 2014 года введены корректирующие коэффициенты, которые учитываются в расчете показателя по направ-лению оценки [10, п. 10].

В международной системе стандартизации информационной безопасности на основе стандарта ISO/IEC 27001 конкретная методика оценки соответствия требованиям не представлена, однако существует стандарт ISO/IEC 27004, в котором содержатся рекомендации по разработке и использованию измерений и мер измерения для оценки эффективности системы менеджмента информационной безопасности. Если взглянуть на «Типовую форму конструктивных измерений, связанных с информационной безопасностью» [11, Приложение А], то можно заметить, что почти каждый пункт этой формы на-ходит отражение в стандарте СТО БР ИББС- 1.2-2014.

К сожалению, остальные стандарты и рекомендации в области стандартизации Банка России ничем не могут дополнить вышеописанные в вопросах кадровой безопасности.

По нашему мнению, было бы уместно дополнить систему стандартов более полными конкретизированными требованиями, например, к процедуре приема сотрудников на работу, к планам и программам обучения и повышения осведомленности в области информационной безопасности, к их периодичности; а также методическими рекомендациями по вопросу кадровой безопасности

---

Таким образом, подводя итог первой главы исследования можно сказать, что категория «кадровая безопасность банковского учреждения» - это защищенность от возможных материальных и финансовых потерь, связанных с несанкционированными действиями персонала, благодаря которой потери являются меньше установленных норм.

Защита должна быть активной, то есть такой, что основывается на опережении опасных событий. Если меры по защите принимаются после наступления опасного события, то это - пассивная защита.

Кадровая безопасность банковского учреждения состоит из следующих структурных частей: безопасность жизнедеятельности, социально-мотивационная, профессиональная и антиконфликтная безопасность. С принципами формирования политики безопасности персонала тесно связаны требования, предъявляемые к менеджменту современного банковского учреждения.

Кадровая безопасность как объект исследования - это сложное, комплексное, многоаспектное явление, и для наиболее полного, адекватного ее изучения необходимо опираться на принципы, правила и требования к осуществлению исследования кадровой безопасности в целом.

2. Тактика реализации кадровой безопасности в коммерческих банках

2.1. Принципы формирования политики безопасности персонала банковского учреждения

В стандарте СТО БР ИББС-1.0-2014 представлены принципы, которыми следует руководствоваться при распределении прав доступа работников к информационным активам организации БС РФ [8, п 7.1.4].

К этим принципам относятся: «знать своего служащего» (Know your Employee) - принцип, демонстрирующий озабоченность организации по поводу отноше-ния служащих к своим обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью; «необходимо знать» (Need to Know) - принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей [23, с. 50].

---

С принципами формирования политики безопасности персонала тесно связаны требования, предъявляемые к менеджменту современного банковского учреждения. Основными из них являются [14, с. 232-234]:

1. Взаимозависимость и взаимообусловленность с функциональной стратегией менеджмента кадровой безопасности и общей стратегией развития банковского учреждения. В таком контексте политика менеджмента кадровой безопасности направлена на кадровое обеспечение реализации последней.

2. Стабильность и гибкость. Политика кадровой безопасности должна сочетать в себе два противоположных начала - быть достаточно стабильной (поскольку именно со стабильностью связаны определенные ожидания работника) и одновременно быть достаточно динамичной, или гибкой (изменяться в соответствии с изменением стратегии банка, политической и экономической ситуации). Стабильными должны быть ценности, убеждения и нормы, определяющие поведение работников, а также установки поведения работодателей по обеспечению стабильной занятости персонала, а это именно те стороны, которые ориентированы на учет интересов персонала и имеют отношение к организационной культуре банка. Учитывая это требование, политика кадровой безопасности должна быть взвешенной и основанной на учете того, как ее реализация скажется на поведении работников и к каким социально-психологическим потерям она может привести [14, с. 235].

3. Экономическая обоснованность. Формирование политики менеджмента кадровой безопасности должно опираться на экономические расчеты, исходящие из реальных возможностей банка.

4. Индивидуальный подход к каждому из своих работников и значимость роли человеческих ресурсов банка.

5. Ориентация на долгосрочное планирование обеспечения безопасности банка.

6. Социальная направленность. Политика кадровой безопасности должна ориентироваться на получение не только экономического, но и социального эффекта, а также обеспечивать надлежащую социальную защиту работников.

7. Активность. Политика менеджмента кадровой безопасности современного банковского учреждения должна быть направлена на активное воздействие на рабочую силу во всех фазах ее воспроизводства. Например, в фазе рабочей силы любое банковское учреждение не может ограничиваться ролью пассивного потребителя рабочей силы, а должно расширять границы своей деятельности в направлении поиска и привлечения квалифицированных работников, обеспечивать дальнейшее их развитие в рамках организации, а также закрепление на рабочих местах для длительной занятости и т. д. [21, с. 38-39].

---

Таким образом, правомерно сделать промежуточный вывод о том, что в комплексной системе менеджмента безопасности современного российского банка управление его кадровой безопасностью имеет приоритетный характер. Рассмотрим общие требования к организации управления, выделив его в автономную систему банковского менеджмента.

2.2. Кадровая стратегия как условие обеспечения информационной и имущественной безопасности банка

Стратегия управления кадровой безопасностью является ключевым элементом системы и определяется как совокупность приоритетных целей и управленческих подходов, реализация которых обеспечивает защиту кредитной организации от любых потенциальных угроз, связанных с функционированием кадрового направления ее деятельности [26, с. 71].

Типовая структура системы управления кадровой безопасностью банка наглядно представлена на рисунке 2.

Рисунок 2. - Типовая структура системы управления кадровой безопасностью кредитной организации [16, с. 10]

На выбор общей стратегии управления кадровой безопасностью конкретной организации влияют [24, с. 72]:

- обслуживаемые конкретным банком сегменты финансового рынка, определяющие общий уровень их конкурентности;

- степень агрессивности конкурентной стратегии самой кредитной организации, определяющая различную вероятность угроз ее безопасности со стороны конкурентов;

- степень легитимности бизнеса кредитной организации, определяющая различную вероятность угроз ее безопасности со стороны криминала и соответствующих государственных органов;

- финансовые возможности банка по обеспечению безопасности;

- квалификация персонала службы безопасности, что прямо связано с предыдущим фактором;

- наличие поддержки со стороны органов государственной власти, следовательно, возможность привлечения к обеспечению безопасности банка правоохранительных органов и спецслужб.

Рассматриваемая стратегия может быть реализована на основе одного из трех вариантов [25, с. 280]:

- упреждающее противодействие угрозам;

- пассивная защита от угроз;

- адекватный ответ на угрозы.

1. Стратегия упреждающего противодействия угрозам [14, с. 209]

В основе данного варианта лежит стратегическая ориентация руководства банка на максимально жесткое противодействие возможным угрозам кадровой безопасности путем реализации двух принципов.

Первым принципом является выраженный приоритет профилактических методов противодействия возможным угрозам. Исходя из него, уполномоченные инстанции и должностные лица стремятся в первую очередь обеспечить такие условия функционирования кадрового направления деятельности кредитной организации, при которых соответствующие угрозы не смогут возникнуть вообще или будут пресечены еще на стадии их подготовки.

---