Файл: Роль персонала в обеспечении безопасности (Меры противодействия угрозам безопасности через атаку на персонал).pdf

Введение

Тема данной курсовой работы: «Роль персонала в обеспечении безопасности». Актуальность выбрaнной для исследования темы заключается в том, что одной из главных проблем, которая стоит сейчас перед любым предприятием – это обеспечение безопасности. Эта подсистема тесно взаимодействует с подсистемой управление кадрами.

Безопасность – состояние защищенности жизненно важных интересов предприятия от внутренних и внешних угроз.

На предприятии к основным задачам службы безопасности относятся: обеспечение безопасности самого предприятия, его производства, а также продукции, защита всех видов информации.

Человеческий фактор на предприятии играет очень важную роль. Именно люди оказывают влияние на становление и продвижение компании (предприятия). Поэтому роль персонала в обеспечении безопасности организации занимает в структуре экономической безопасности ведущее место.

Основной целью данной курсовой работы является исследование роли персонала в обеспечении безопасности организации. В соответствии с поставленной целью в работе решаются следующие задачи:

• изучить роль персонала в реализации угроз информационной безопасности организации;
• исследовать существующие методы противодействия угрозам безопасности через атаку на персонал;
• проанализировать угрозы безопасности через атаку на персонал организации и методы противодействия им;
• показать возможные угрозы безопасности, исходящие от персонала организации, и упреждающие действий;
• рассмотреть требования по вопросу кадровой безопасности в системе стандартов Банка России.

Предметом исследования являются действия персонала в обеспечении безопасности.

Объектом исследования является анализ действий персонала в обеспечении безопасности.

При написании работы были использованы научные труды многих исследователей, среди которых: А.Р. Алавердов, Л.В. Астахова, М.К. Бойдало, Г.П. Жигулин, А.Я. Кибанов, Н.В. Парушина, В.П. Пугачев, А.В. Семенченко, М.А. Сидорова, В.А. Тропникова, Н.Л. Ульянов, К.В. Харский, В.Ф. Шарипов и др.

В исследовании применялись общенаучные методы: анализа и синтеза, индукции и дедукции, сравнения, системного подхода; экономико-статистические методы сбора и обработки информации и аналитические методы системного анализа. Для обработки информации и сравнения результатов использовался стандартный пакет программ «MicrosoftOffice».

---

Работа состоит из 2-х глав, разделенных на параграфы, введения, заключения, списка использованных источников.

1. Центральное место кадровой политики персонала в системе экономической безопасности организации

1.1. Роль персонала в реализации угроз информационной

безопасности организации

Успешность компании всецело находится в зависимости от кадровой политики. Персонал должен быть объединен в коллектив, а это – живой организм, имеющий взаимосвязанную структуру: организационную, активную, ролевую, штатную. Именно от эффективности работы этого организма зависит будущее компании [19, с. 1112-1116].

Для осуществления своих задач любая компания подбирает персонал, который состоит из нужных сотрудников, при необходимости обучает их, чтобы дать им навыки, с помощью которых предприятие будет достигать своих целей. Кадровая служба фирмы производит оценку участия каждого сотрудника в решении поставленных задач, награждает наиболее выдающихся сотрудников.

Подбор персонала – это искусство, которое так и называется: искусство подбора персонала. Поиск сотрудников нужно начинать с подбора кандидатов как внутри самой организации, так и вне ее с учетом определенных требований [20, с. 25].

Если должность требует высоких профессиональных навыков, то используется конкурсная система подбора персонала. Персонал компании может влиять на экономическую безопасность в нескольких направлениях [22]:

- удачный отбор персонала;

- оптимальное число работающих;

- профессиональная подготовка персонала;

- правильная организация и дисциплина труда;

- мотивация труда;

- сохранение коммерческой тайны.

Если рассматривать угрозы информационной безопасности организации исходя из их источника, то можно выделить три большие группы [13, с. 116-118]:

1) Внутренние угрозы, вызванные деятельностью персонала организации;

2) Внешние угрозы – следствие действий людей, не являющихся сотрудниками организации;

---

3) Случайные угрозы, являющиеся результатом действий природных и техногенных факторов.

Рассмотрим эти группы подробнее.

• Внутренние угрозы. Деятельность сотрудников организации, наносящая ущерб её информационной безопасности может быть вызвана следующими причинами [10, с. 66-71]:
• Некомпетентность персонала – сотрудники не имеют достаточной подготовки в области обеспечения информационной безопасности;
• Халатность персонала – организация провела обучение сотрудников мерам обеспечения информационной безопасности, но они пренебрегают их выполнением;
• Злой умысел – сотрудник сознательно действует во вред своей организации. Такая деятельность (также называемая инсайдом или вредоносным инсайдом) может быть вызвана различными причинами: желанием отомстить организации за реальные или мнимые обиды, желанием получить финансовую выгоду, давлением со стороны третьих лиц и так далее.

Внешние угрозы. К внешним угрозам относится [12, с. 39-43]:

• Хакерские атаки, то есть деятельность с целью захвата контроля над информационной системой организации, либо нарушение её работы;
• Не санкционированное получение информации посредством технических средств – в эту группу входит как использование внешних средств, таких, как направленные и лазерные микрофоны, видео камеры, тепловизоры, системы радиоперехвата, так и установка различных специальных устройств («жучков») на территории организации, а так же в её информационную систему;
• Несанкционированный физический доступ – проникновение на территорию организации с целью похищения информации на различных носителях (бумага, микропленки, цифровые носители данных и так далее). В первую очередь это предполагает проникновение посторонних лиц на закрытую для общего доступа часть территории организации.

Случайные угрозы включают в себя потерю информации вследствие чрезвычайных ситуаций техногенного или природного характера. А также в результате воздействия вредоносного программного обеспечения случайно попавшего в информационную систему организации (случаи целенаправленного попадания относятся к хакерским атакам) [14, с. 15].

Для противодействия внутренним угрозам, необходима постоянная работа с персоналом – сотрудники должны быть, в необходимом объеме, ознакомлены с правилами и принципами обеспечения информационной безопасности, и их выполнение должно постоянно контролироваться. Не менее важно поддерживать высокий уровень организационной приверженности сотрудников, чтобы снизить вероятность вредоносного инсайда [10, с. 66-71].

---

Как показывает статистика ФБР, от 60 до 90% успешных реализаций внешних угроз была произведена при наличии у злоумышленника пособника среди персонала организации. Таким образом, высокий уровень организационной приверженности является необходимой мерой для снижения вероятности успешной реализации внешних угроз. Отсутствие пособников внутри организации значительно снижает шансы злоумышленника на успех [12, с. 39-43].

Таким образом, правильно обученный персонал, выполняющий свои обязанности в области обеспечения информационной безопасности, позволяет снизить вероятность случайного попадания вредоносного программного обеспечения в информационную систему организации и ущерб от такого попадания до пренебрежительно малых величин.

1.2. Методы подбора персонала

Работа с персоналом, его подготовка и мотивация является одной из важнейших задач, решаемых в интересах обеспечения информационной безопасности организации. Можно выделить три главных составляющих [22]:

• при приеме на работу нужно рассмотреть кандидата в долгосрочной перспективе, а также сразу выявить все возможные угрозы и риски для организации;
• рабочие должны относиться к своей компании лояльно, а к своей работе ответственно. Лояльность – это само по себе психологическое явление, но сюда можно включить: решимость работника переживать с компанией все трудности и, соответственно, доверие к организации; неформальный подход к своей работе; заинтересованность в достижении своих профессиональных целей и целей организации;
• контроль за исполнением правил, норм, ограничений, регламентов и так далее.

При приеме на работу и уже у набранного персонала нужно выделить «группу рисков». Сюда можно отнести: алкоголиков, наркоманов, игроков и без инициативных сотрудников [20, с. 26].

Алкоголиков можно выявить как медицинскими средствами, так и методом наблюдения. Такую группу желательно выявить при приеме на работу. К признакам злоупотребления алкоголем относятся: повышенная суетливость, речевые признаки, поведение работников на корпоративах, развлекательных мероприятиях, которые связаны с употреблением алкоголя.

Каждая имиджевая компания должна иметь свою политику подбора персонала. Для того чтобы рекрутинг был эффективен, существуют основные положения и принципы подбора персонала, а также типовые внутренние документы [20, с. 26].

---

Технология отбора персонала, которая существует в определенной организации, находится в зависимости от [19, с. 1112-1116]:

• формы собственности;
• размера предприятия: в маленьких компаниях меньше этапов собеседований и поэтому процесс принятия решения проходит быстрее, чем в больших;
• структуры компании: в холдингах процедура подбора зависит от статуса вакансии. По значимым позициям решение принимается в управляющей компании, в то время как рядовые позиции отбираются прямо «на местах»;
• национальной принадлежности: иностранные компании имеют свои методы отбора персонала.

Компания может иметь централизованную службу подбора персонала, занимающуюся отбором персонала в разных направлениях деятельности. Методы подбора персонала могут отличаться, если предприятие имеет региональные представительства или филиалы в других городах. Также от масштаба деятельности компании зависит количество внутренних документов, используемых для обмена информации. Но если организация обратилась в кадровое агентство, то документы будут иметь иное содержательное назначение [19, с. 1112-1116].

Для успешного рекрутинга необходимо разработать основные положения и принципы подбора персонала.

Кадровая политика – это предписанные руководством компании общие установки, принципы, правила и нормы реализации кадровой стратегии, а также требований корпоративной философии и культуры. Она включает как формализованные в документах установки и принципы, так и не писанные, устные установки, соблюдение которых требуют от руководителей и других сотрудников. Исходя из этого, можно сформулировать следующее определение: политика подбора персонала – это правила, нормы и принципы, которые компания считает приемлемыми в рамках своей корпоративной культуры. Каждая компания устанавливает свои правила подбора сотрудников, основываясь на специфике бизнеса: какие методы поиска использовать, какие источники поиска использовать, какие виды интервью проводить, по каким критериям оценивать потенциальных сотрудников [20, с. 26].

Кадровая политика несет в себе не только правила, а также требования и запреты. Под требованиями понимают рекомендуемые критерии отбора. Запреты вводятся для того, чтобы избежать рисков ошибок, а требования вводят в рамках подбора персонала, как правило, для того, чтобы повышать качество нанимаемых сотрудников, их компетенции и процесс отбора [21].

Кадровая политика не может устанавливать нормы, противоречащие Трудовому Кодексу Российской Федерации [1]. Но практика показывает, что определенная работа требует исключительно женских или мужских рук. То есть здесь четко прослеживается дискриминация, а соответственно нарушение трудового законодательства. И поэтому работодатель должен находить альтернативы, при которых нарушение законодательства происходить не будет [19, с. 1112-1116].

---