загрузка...

7.4. Процессы взаимодействия служб безопасности и управленияперсоналом предприятия

Основные задачи службы безопасности заключаются в защите целей, интересов, имиджа и ресурсов организации как социальной структуры. Ведущие принципы функционирования системы безопасности:
комплексность, обеспечение безопасности всех видов ресурсов организации всеми доступными законными средствами и методами;
своевременность, упреждающий характер мер безопасности;
непрерывность, функционирование системы безопасности в непрерывном режиме;
законность, подчиненность действий нормам права;
целесообразность, сопоставимость возможного ущерба и затрат на
обеспечение безопасности.
Обязательные направления деятельности служб безопасности:
юридическая безопасность фирмы (грамотное и корректное оформление устава, регистрационных документов, прав собственности на имущество, патентов, лицензий, арендных и контрагентских договоров и др.);
физическая безопасность объектов защиты (ресурсов, видов деятельности);
информационная безопасность фирмы (защита информационных ресурсов, интеллектуальной собственности);
безопасность персонала (физическая безопасность, охрана труда и техника безопасности, экология, безопасность межличностных отношений).
Исходя из этого службы безопасности должны обеспечивать:
своевременное выявление и устранение угроз организации;
защиту конфиденциальной информации;
создание условий для ослабления негативного влияния последствий нарушения безопасности.
Основные функции службы безопасности:
установление обстоятельств недобросовестной конкуренции;
сбор сведений по уголовным делам;
расследование фактов разглашения коммерческой тайны;
сбор информации о лицах, заключивших контракты с фирмой;
поиск утраченного имущества фирмы;
расследование фактов неправомерного использования товарных знаков фирмы;
розыск без вести пропавших сотрудников фирмы;
выявление некредитоспособных партнеров;
выявление ненадежных деловых партнеров;
сбор сведений по гражданским делам;
изучение негативных аспектов рынка;
сбор информации для проведения деловых переговоров;
защита жизни и здоровья персонала предприятия от противоправных посягательств;
охрана имущества фирмы;
—обеспечение порядка в местах проведения корпоративных мероприятий, представительских и конфиденциальных встреч;
обслуживание средств охранной и пожарной сигнализации.
Работа службы безопасности организации будет эффективна, если
будут соблюдены следующие условия:
профессионализм, т. е. создавать систему безопасности должны профессионалы, ориентированные на долговременное сотрудничество;
доверие, т. е. руководитель службы безопасности должен быть доверенным лицом топ-менеджера;
взаимопонимание, т. е. необходимо смириться с тем, что меры безопасности на первых порах создают трудности и неудобства как для персонала, так и для руководителей организации.
В числе основных требований, предъявляемых работниками к организации как месту будущей работы, выступают:
финансовая безопасность, т. е. своевременность и законность денежных выплат работнику;
надежность места работы, определяемая «возрастом» организации;
социальная защищенность, т. е. структура социальных программ, условия и объемы их предоставления работникам;
социокультурные условия труда, т. е. характер организационной культуры, социально-психологический климат.
Структура совместно выполняемых функций
Указанные требования определяют ключевые моменты сотрудничества служб безопасности и управления персоналом (табл. 7.1).
Таблица 7.1 Функции службы управления персоналом Функции службы безопасности организации Отбор персонала Проверка по базам данных Оформление на работу Уровень допуска к информации Адаптация работника Инструктаж по правилам безопасности и внутреннего распорядка Социальная поддержка работника Юридическая помощь работнику Управление трудовой дисциплиной Пропускной и внутриобъектовый режим Управление конфликтами Юридическая помощь работникам
Для обеспечения психологической безопасности работников, а, по существу, для формирования высокого уровня их трудовой активности нужна согласованная работа службы управления персоналом и службы безопасности организации. При этом необходимо:
определить и закрепить в трудовых договорах оптимальный набор социальных льгот, привилегий, видов поощрения, обеспечивающих потребность работников в безопасности;
увязать требования организации к работнику в отношении экономической безопасности с набором льгот и привилегий, ему пре
доставляемых, закрепив это, например, в соглашении о неразгла-шении конфиденциальной информации;
регулярно оценивать уровень удовлетворения потребностей в безопасности каждого работника, выявлять его интересы.
Структура службы безопасности зависит от таких факторов, как:
характер и объем производственной деятельности предприятия;
товарная ниша предприятия на рынке товаров и услуг;
общая численность сотрудников предприятия;
наличие объектов специальной защиты (крупные материальные ценности, взрывоопасные участки, носители государственной или коммерческой тайны и др.);
внешнее окружение предприятия, в т. ч. активность конкурентов.
Условно можно выделить два вида служб безопасности:
службы, входящие в структуру предприятия и полностью содержащиеся за счет предприятия;
службы, существующие как самостоятельные коммерческие или государственные организации, нанимаемые предприятием для выполнения функций по обеспечению ее безопасности.
В ряде случаев предприятию выгоднее пригласить по договору для I выполнения некоторых функций специализированную фирму, чем содер-жать собственную подобную структуру.
Наиболее эффективный способ контроля службы, безопасности за обеспечением принятого режима защиты экономической безопасности предприятия - контроль «по отклонениям». Здесь четко должны быть определены информационные рамки (границы) для каждого должностного лица. Выход за эти рамки - сигнал о нарушении чужого информационного пространства, что может привести к утечке информации.
Специфика службы безопасности определяет ее взаимоотношения с руководством предприятия. Так, руководитель предприятия:
определяет категории должностных лиц, имеющих доступ к конфиденциальной информации;
устанавливает порядок регулирования отношений в области защиты фирмы во всех сферах деятельности и на всех уровнях управления;
устанавливает порядок организации работы по обеспечению безопасности фирмы и контроля ее состояния;
принимает управляющие воздействия к должностным лицам, не обеспечившим надежную защиту объектов фирмы.
Применительно к вопросам организации и обеспечения комплексной защиты информации (КЗИ) Постановлением Правительства РФ № 912-51 от 1993г. определены следующие права и полномочия руководителя:
создавать структурное подразделение по КЗИ;
назначать должностных лиц, включая заместителя по КЗИ;
привлекать на договорной основе лицензированные организации.
Согласно Постановлению Правительства РФ № 333 от 15.04.95 г. и
инструкции Гостехкомиссии РФ от 17.10.95 г., руководитель должен (приводится с сокращениями):
знать нормативные документы по защите сведений, составляющих государственную тайну, режиму секретности, защите информации от утечки по техническим каналам;
уметь организовать разработку мероприятий по защите сведений о предприятии и выпускаемой продукции, составляющих государственную тайну, и контроль их исполнения; аттестацию рабочих мест по всему циклу разработки, изготовления, испытания продукции;
быть ознакомленным с методами контроля мер противодействия иностранным техническим разведкам; с государственной системой лицензирования деятельности предприятий по проведению работ, связанных с использованием сведений, составляющих государственную тайну.
В связи с информатизацией экономики многие организации вводят должность руководителя службы информационной безопасности CISO (Chief Information Security Officer), задача которого - оценить технологические, производственные и информационные риски фирмы.
Функции:
разработка политики в области информационной безопасности, включая стандарты, регламенты, правила;
разработка принципов классификации информационных потоков и управления ими;
анализ рисков, их оценка и принятие;
организация инструктажа и обучения сотрудников в области информационной безопасности;
контроль и учет требований информационной безопасности при разработке и внедрении инноваций;
совместная работа со службой персонала в части проверки некоторых данных при найме на работу;
совместное участие в антикризисном управлении;
информационная и консультационная поддержка топ- менеджмента по вопросам информационной безопасности.
Обеспечение информационной безопасности предприятия предполагает реализацию комплекса технических, технологических, организационных, экономических и социально-психологических мер в составе программы экономической безопасности:
дробление, распределение информации между сотрудниками;
ведение учёта ознакомления сотрудников с особо важной информацией;
распространение информации только через контролируемые каналы;
назначение лиц, ответственных за контроль документации;
обязательное уничтожение неиспользованных копий документов и записей;
четкое определение коммерческой тайны для персонала;
составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну;
включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции;
включение положений о неразглашении тайны в соглашениях и договорах с партнерами;
дополнительную проверку компетентности работников при найме;
обязательное предварительное профессиональное обучение.
Выделим организационные меры, повышающие безопасность работы с информационными технологиями (ИТ):
Аттестация, когда уровень квалификации персонала оценивается по шкале:
нулевой уровень (начинающий пользователь): умение совершать элементарные действия (включить-выключить ПК и т. п.), разбираться во всех базовых операциях;
базовый уровень (пользователь): уверенное владение программным обеспечением общего назначения;
специальный уровень (специалист): способность определить, какое программное обеспечение оптимально решит его задачи, самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в ПО инструментов.
Обучение, когда управление квалификацией пользователей ИТ включает:
составление квалификационных требований (сертификат пользователя, определенный уровень квалификации или перечисление требуемых навыков) и отражение их в должностной инструкции но вакантной позиции;
подбор персонала на предмет соответствия требованиям, включая профотбор, интервью, анкетирование, испытания;
испытательный срок на время освоения программного продукта, достижения уровня самостоятельности в решении профессиональных задач с помощью ИТ;
аттестация, результатом которой является оценка эффективности использования ИТ для решения профессиональных задач; реализуется в формах интервью, наблюдения, анализа тестовых заданий;
непрерывное повышение квалификации в формах обеспечения доступа к программам, специальной литературе, обмену опытом между пользователями, а также специальные курсы.
Обеспечение информационной безопасности предприятия при увольнении сотрудника имеет свои особенности.
При намерениях сотрудника уволиться (косвенное свидетельство - посещение соответствующих сайтов в Internet, рассылка резюме) рекомендуются следующие действия:
вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль;
в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов.
Если сотрудник уже объявил о своем увольнении, можно принять следующие меры:
проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе;
сделать резервную копию файлов пользователя;
организовать передачу дел;
постепенно, по мере передачи дел сокращать права доступа к информации;
по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.
Если сотрудник уличен в промышленном шпионаже, необходимо:
немедленно лишить его всех прав доступа к ИТ;
немедленно скорректировать права доступа к общим информационным ресурсам (базы данных, принтеры, факс). Перекрыть или изменить внешние входы в сеть;
всем сотрудникам сменить пароли; при этом до сведения сотрудников доводится следующая информация: «Сотрудник N с (дата) не работает. При любых попытках контакта с его стороны немедленно сообщать в службу безопасности»;
некоторое время контроль над ИС осуществлять в усиленном режиме.
В качестве основного организующего документа, регламентирующего порядок документооборота, выступает приказ «Об охране конфиденци-альной информации на предприятии» Приказом утверждаются:
перечень сведений, составляющих коммерческую тайну организации;
меры по охране коммерческой тайны на предприятии;
круг лиц, имеющих доступ к информации, содержащей конфиденциальные сведения;
правила работы с документами, имеющими грифы конфиденциальности.
В соответствии с правилами приказом руководителя организации назначается должностное лицо (лица), ответственное за учет, хранение и использование документов, содержащих конфиденциальные сведения.
Все документы, содержащие конфиденциальные сведения, подлежат учету и специальному обозначению. На документе проставляется гриф конфиденциальности в правом верхнем углу первого листа с указанием номера экземпляра. Такие грифы не являются грифами секретности, а лишь показывают, что право собственности на информацию, содержащуюся в документе, принадлежит организации и охраняется законодательно.
На обороте листа документа, имеющего гриф, или в резолюции на нем руководитель пишет фамилии тех должностных лиц, которым разрешено пользоваться этим документом.
При увольнении сотрудника, ответственного за документы с грифом (Конфиденциальности, проводится проверка числящихся за ним документов и их передача вновь назначенному лицу. Акт приема-передачи этих документов утверждается руководителем организации. При прекращении трудовых отношений с организацией работника, допущенного к работе с конфиденциальной информацией, обязательства о неразглашении конфиденциальных сведений действуют в течение трех лет, если в трудовом контракте не оговорен другой срок.
Объектом обеспечения безопасности деятельности предприятия является и персональная информация о работнике.
В Российской Федерации право на защиту Информации о личности; является одним из важнейших прав и свобод гражданина, закрепленных в Конституции страны. В основе законодательных актов, регламентирующих порядок получения, обработки, хранения и передачи персональной информации, следующие общие принципы:
целевой направленности, т. е. обработка персональной информации осуществляется исключительно в целях, установленных федеральным законодательством;
системности, т. е. объем и содержание персональной информации; должны полностью соответствовать целевой направленности ее использования;
социальной ориентации, т. е. использование персональной информации не должно быть направлено против интересов личности и общества.
Личностная значимость персональной информации лежит в основе возможных угроз экономической безопасности организации. Практика свидетельствует о нарушениях работодателями условий работы с персональной информацией, в числе которых:
требование предоставления дополнительной информации (о частной жизни, здоровье, материальном обеспечении и др.);
использование персональной информации о сотрудниках в качестве товара (в рекламных, коммерческих, политических целях);
несоблюдение режима защиты персональной информации (утечки, хищения, утрата информации).
Эти нарушения формируют спектр угроз и рисков, связанных с персональной информацией. К числу подобных угроз можно отнести:
угрозы кадровой стабильности предприятия в связи с неуверенностью работников в личной безопасности, бесцеремонным вторжением администрации и иных третьих лиц в их личную жизнь;
угрозы кадровому потенциалу предприятия в связи со снижением предложений рабочей силы для работы в организации, где не обеспечивается режим конфиденциальности информации о личности;
угрозы информационной и экономической безопасности предприятия в связи с реализацией ответных реакций оскорбленных работников;
угрозы личной безопасности топ-менеджмента и работников предприятия в связи с утечкой значимой персональной информации (о доходах, о качестве жизни, о компетенции и др.).
Законодательство Российской Федерации устанавливает режим защиты персональных данных. В статье 11 Закона РФ «Об информации, информатизации и защите информации» отражено, что сбор, хранение, использование и распространение информации о частной жизни, а равно
1 ^ ^ о о ^
информации, нарушающей личную тайну, семейную тайну, тайну пере-писки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица не допускается без его согласия, кроме как на основании судебного решения, а деятельность негосударственных организаций и частных лиц, связанная с обработкой и предоставлением пользователям персональных данных, подлежит обязательному лицензированию.
Граждане и предприятия имеют право на доступ к документированной информации о них, на уточнение этой информации в целях обеспечения ее полноты и достоверности; они имеют право знать, кто и в каких целях использует или использовал эту информацию. Ограничение доступа граждан и предприятий информации о них допустимо лишь на основаниях, предусмотренных федеральными законами.
Учитывая серьезность вопроса, в Трудовой кодекс Российской Федерации введена глава 14, где определены правила обработки, хранения и передачи персональных данных работника.
Статья 85 ТК РФ устанавливает, что персональная информация - информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работника - получение, хранение, комбинирование, передача или любое другое использование персональных данных работника.
При обработке и хранении персональных данных работника работодатель и его представители обязаны:
строго соблюдать законодательство РФ при определении целевого назначения, объема и содержания персональных данных;
получать персональные данные у работника либо с его письменного согласия у третьей стороны;
предупреждать работника о целях, способах получения персональных данных, характере их использования и последствиях отказа работника дать письменное согласие на их получение;
ознакомить работника под расписку с документами организации, устанавливающими порядок обработки персональных данных, а также их права и обязанности в этой области.
Работодатель не имеет права получать и обрабатывать персональную информацию, касающуюся политических, религиозных убеждений, членства работника в общественных организациях, состояния его здоровья, частной жизни за исключением случаев, предусмотренных федеральным законодательством .
При передаче персональных данных работодатель обязан:
не сообщать персональные данные третьей стороне, в т. ч. в коммерческих целях, без письменного согласия работника;
разрешать доступ к персональным данным только специально уполномоченным лицам;
осуществлять передачу персональных данных в пределах одной организации в соответствии с локальным нормативным актом, с которым работник должен быть ознакомлен под расписку.
В целях защиты персональных данных от неправомерно использования или утраты работодатель обязан:
обеспечить за счет собственных средств и в порядке, установленном Федеральным законом, режим секретности (конфиденциальности) при хранении, обработке и передаче персональных данных;
предупредить лиц, получающих персональные данные работника о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;
при передаче персональных данных работника его представителям ограничивать эту информацию только теми данными, которые необходимы для выполнения указанными представителями их функций.
В целях защиты своих персональных данных, хранящихся у работодателя, работники имеют право:
на полную информацию об объеме их персональных данных и порядке их обработки;
на свободный бесплатный доступ к своим персональным данным, включая право на получение копий записей персональных данных;
на определение своих представителей для защиты своих персональных данных;
на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
на требование об исключении или исправлении неверных или неполных персональных данных;
на обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
Законодательством установлена ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работника. Ви-новные несут дисциплинарную, административную, гражданскую, право-вую или уголовную ответственность. Так, статья 151 ГК РФ предусматри-вает возможность компенсации гражданину морального вреда в случае нарушения его личных неимущественных прав (личная и семейная тайна, деловая репутация, неприкосновенность частной жизни и др.). Статья 137 УК РФ устанавливает уголовную ответственность за нарушение непри-косновенности частной жизни гражданина.
<< | >>
Источник: Потемкин В.К.. Управление персоналом: Учебник для вузов.- СПб.: Изд-во СПбГУЭФ,2009.- 340 с.. 2009

Еще по теме 7.4. Процессы взаимодействия служб безопасности и управленияперсоналом предприятия:

  1. 7.2. Процессы формирования безопасности межличностных коммуникаций в системе управления персоналом предприятия
  2. 4.3. Состав службы безопасности
  3. 4.4. Процессорные мотивации построения системы управленияперсоналом предприятия
  4. СЛУЖБА БЕЗОПАСНОСТИ ФИРМЫ
  5. 4.6. Автоматизация деятельности службы безопасности
  6. 4.1. Основные задачи службы безопасности
  7. 4.9. Начальник службы безопасности
  8. Взаимодействие с клиентами банка через Internet. Безопасность расчетов.
  9. 4.2. Общие функции службы безопасности
  10. Нештатные структуры службы безопасности
  11. Права, обязанности и ответственность сотрудников службы безопасности
  12. Глава I. Предприятие как объект организации и управленияперсоналом