Порядок роботи персоналу з конфіденційними документами

Размещено на http://www.allbest.ru/

Бакалаврська робота

Порядок роботи персоналу з конфіденційними документами

Реферат

Зміст роботи: Визначення змісту, сутності та значення порядку роботи персоналу з конфіденційними документами. Аналіз нормативно-методичного забезпечення захисту конфіденційних документів. Визначення місця людського фактору у системі захисту конфіденційної інформації.

Також розглянута загальна характеристика організації роботи з конфіденційними документами на підприємстві у кадровому аспекті, яка включає: організаційне проектування системи захисту, управління персоналом по забезпеченню обігу конфіденційних документів і основні показники діяльності підприємства.

Досліджено вдосконалення системи роботи персоналу з конфіденційними документами суб'єкту господарювання. Обгрунтувано комплексний підхід роботи з кадрами. Розкрито зміст формування внутрішньої нормативної бази. І вивчено вдосконалення моделі захисту конфіденційної інформації.

Ключові слова: Конфіденційна інформація, конфіденційний документ, підприємство, організація, установа, персонал, кадри, керівник, працівник, захист, система, безпека, загроза.

Зміст

Вступ

Розділ 1. Теоретико-практична значущість захисту конфіденційної інформації

1.1 Сутність проблеми, глосарій, ознаки

1.2 Нормативно-методичне забезпечення захисту конфіденційних документів

1.3 Людський фактор у системі захисту конфіденційної інформації

Розділ 2. Загальна характеристика організації роботи з конфіденційними документами на підприємстві: кадровий апект

2.1 Організаційне проектування системи захисту

2.2 Управління персоналом по забезпеченню обігу конфіденційних документів

2.3 Основні показники діяльності

Розділ 3. Вдосконалення системи роботи персоналу з конфіденційними документами суб'єкту господарювання

3.1 Обґрунтування комплексного підходу роботи з кадрами

3.2 Формування внутрішньої нормативної бази

3.3 Вдосконалення моделі захисту конфіденційної інформації

Висновки

Список використаної літератури

захист конфіденційний документ персонал

Вступ

Актуальність проблеми. Конфіденційна інформація - інформація про фізичну особу (персональні дані) або юридичну особу, доступ та поширення якої можливі лише за згодою її власників (тобто тих, кого ця інформація безпосередньо стосується) та на тих умовах, які вони вкажуть.

До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини (Ст.11 ЗУ "Про інформацію" від 10.08.2012).

Актуальність полягає у тому, що в кожній установі (державній, не державній) циркулює інформація, розголошення, якої завдасть шкоду роботі підприємства, починаючи від витоку відомостей конкурентам, закінчуючи не спроможністю персоналу працювати з документами відповідно до встановлених інструкцій. І на цьому ґрунті виникає необмежена кількість не вирішених питань. Головне з яких - людський фактор, як головна загроза усій діяльності організації. Необхідно висвітлити ці питання, адже вони потребують нагального вирішення.

На сучасному етапі робота з документами, які становлять комерційну таємницю відіграє значну роль у діяльності управлінських органів будь-якого підприємства. Конфіденційне діловодство поширюється на документи, які містять у собі відомості, що складають комерційну і службову таємницю. Комерційна таємниця прямо пов'язана з комерційною діяльністю, і є необхідною умовою її існування. Її оббіг на підприємствах залежить саме від персоналу, що забезпечує рух таємних документів.

Організація і технологія конфіденційного діловодства не досить чітко регла-

ментовані державними нормативними актами. Їх повинен визначати власник конфіденційних документів, з огляду на специфіку діяльності підприємства. Однак при цьому йому необхідно керуватися визначеними нормами і правилами роботи з конфіденційними документами, що забезпечують потрібний рівень функціонування підприємства, збереженість документів і конфіденційність інформації, що міститься в них. Керівник повинен контролювати виконання інструкцій і наказів серед працівників, які працюють з цим видом документів. Небезпеку представляє собою поява нових форм злочинної діяльності, які раніше не були відомі. З ними досить складно вести ефективну боротьбу як з точки зору кримінального переслідування, так і застосування організаційно-управлінських і кримінологічних заходів з метою їх попередження. До таких злочинних посягань слід віднести незаконне збирання, використання та розголошення відомостей, що складають комерційну таємницю.

І тому дослідження цієї теми є актуальною, адже ці проблеми вже існують на кожному підприємстві, і вони є загрозою для нормального існування та перспективного розвитку будь-якої організації, а тому потребують ефективних методів, способів і ідей для їх вирішення. Адже людський фактор є самою небезпечною загрозою для документообігу в державних та не державних установах. Це досить складна і тонка справа, бо кожна людина є особистістю і до неї потрібен індивідуальний підхід, різні мотиваційні і заохочувальні методи.

Метою дослідницької роботи є висвітлення наявних проблем організації роботи персоналу з конфіденційними документами, пов'язаними з охороною і захистом інформації з обмеженим доступом.

Для розв`язання поставленої мети були поставлені і вирішені наступні завдання:

1. За даними доступної літератури дослідити науково-практичні роз-робки стосовно сутності проблеми, нормативно-методичного забезпечення та людського фактору у системі захисту конфіденційної інформації.

2. Дослідити організаційне проектування системи захисту, управління

персоналом по забезпеченню обігу конфіденційних документів і визначити основні показники діяльності персоналу конфіденційної інформацією.

3. Обґрунтувати комплексний підхід роботи з кадрами, дослідити формування внутрішньої нормативної бази і внести пропозиції щодо вдосконалення моделі захисту конфіденційної інформації

4. На підставі матеріалів дослідження обґрунтувати висновки і запропонувати адекватні пропозиції.

Об`єкт дослідження - Локомотивне депо Іловайськ, Державного підприємства "Донецька залізниця".

Предметом дослідження - порядок роботи персоналу з конфіденційними документами, а також безпосередньо і самим видом інформації.

Інформаційно-методичне забезпечення. Інформаційною базою дослідження стали нормативні акти, що регламентують діяльність суб`єктів господарювання з організації роботи персоналу з конфіденційними документами (Конституція України, Закон України "Про інформацію" від 10.08.2012, "Про доступ до публічної інформації" від 19.11.2012, постанова Кабінету Міністрів України "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію" від 01.11.2011, також стаття 263 митного кодексу від 01.06.2012 року), а також наукова література, предмет дослідження яких тісно пов'язаний з тематикою даного дослідження.

Методологічну основу дослідження склали методи наукового дослідження, як:

- синтез - поєднує абстраговані сторони предмета і відображає його як конкретну цілісність; метод вивчення об'єкта у його цілісності, у єдиному і взаємному зв'язку його частин. У процесі наукових досліджень синтез пов'язаний з аналізом, оскільки дає змогу поєднати частини предмета, розчленованого у процесі аналізу, встановити їх зв'язок і пізнати предмет як єдине ціле;

- аналіз - розчленування певного явища на окремі властивості чи відношення, що б пояснити на теоретичному рівні з чим ми будемо працювати, а також, виявити проблеми, які існують у цій сфері;

- системний аналіз - вивчення об'єкта дослідження як сукупності елементів, що утворюють систему. У наукових дослідженнях він передбачає оцінку поведін-

ки об'єкта як системи з усіма факторами, які впливають на його функціонування;

- індукція - це процес судження, котрий досягає висновку що при наявному стані знань є напевно істинний, але не гарантує його. Індуктивний висновок може бути спростований або узагальнений при наявності додаткових фактів;

- бібліометрія - метод кількісного дослідження друкованих документів у вигляді матеріальних об'єктів або бібліографічних одиниць, а також замінників тих чи інших. Бібліометрія дає змогу простежити динаміку окремих об'єктів науки: публікації авторів, їх розподіл за країнами, рубриками наукових журналів, рівень цитування та ін.

Структура та обсяг роботи: бакалаврська робота складається із змісту, вступу, трьох розділів, кожен з яких містить по три підрозділи і висновки до них, загальний висновок до усієї роботи і використана література. Робота складає 56 сторінок.

Розділ 1. Теоретико-практична значущість захисту конфіденційної інформації

1.1 Сутність проблеми, глосарій, ознаки

Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом [1].

Конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов [2].

конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов [3].

Конфіденційна інформація - інформація, включаючи "ноу-хау", що стосується предмету договорів (контрактів), укладених та/або таких, що укладаються, у ході двостороннього військово-технічного співробітництва, яка має дійсну або потенційну комерційну цінність, через те, що невідома третім особам, до якої немає вільного доступу на законній підставі та власник якої вживає заходів для забезпечення її конфіденційності.

(Угода між Кабінетом Міністрів України та Урядом Російської Федерації "Про взаємну охорону прав на результати інтелектуальної діяльності, що використовуються та отримані в ході двостороннього військово-технічного співробітництва" (ст.1) м. Київ, 22 грудня 2006 року.)

Конфіденційна інформація - інформація обмеженого доступу, що не є

таємною інформацією, яка визначається в якості конфіденційної відповідно до порядку, встановленого законодавством України, і на носіях якої проставляється відмітка: в Україні - "Для службового користування" [4].

Конфіденційна інформація характеризується обов'язковою сукупністю трьох ознак:

1) вона не містить в собі державної таємниці (що відрізняє ст. 330 від статей 328, 329 КК);

2) вона є власністю держави;

3) вона є обмеженою для користування: заборона на її передачу іноземним підприємствам, установам, організаціям або їх представникам міститься в наказах, інструкціях, розпорядженнях міністерств і відомств [5].

Конфіденційною інформацією, що є власністю держави, має визнаватися інформація, для якої характерна сукупність таких ознак. Так, вона: а) не є інформацією, яка становить державну, комерційну або іншу таємницю, що охороняється кримінальним кодексом (таємницю усиновлення, голосування тощо); б) не є відкритою інформацією, загальнодоступність якої охороняється законодавством України (скажімо, інформацією, приховування якої являє загрозу життю і здоров'ю людей); в) є такою, що являє певну цінність та її передавання іноземним організаціям або їх представникам може завдати шкоди державі; г) є інформацією, порядок обігу та захисту якої визначено відповідними державними органами (міністерствами, іншими центральними органами виконавчої влади, Радою Міністрів Автономної. Республіки Крим, обласними, Київською та Севастопольською міськими державними адміністраціями), в яких вона утворюється або у володінні, користуванні чи розпорядженні яких перебуває відповідно до Закону України "Про інформацію"; д) закріплена на матеріальному носієві інформації .

Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація. Згідно з Законом України "Про інформацію" до інформації з обмеженим доступом не можуть бути віднесені такі відомості:

- про стан довкілля, якість харчових продуктів і предметів побуту;

- про аварії, катастрофи, небезпечні природні явища та інші надзвичайні ситуації, що сталися або можуть статися і загрожують безпеці людей;

- про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;

- про факти порушення прав і свобод людини і громадянина;

- про незаконні дії органів державної влади, органів місцевого самоврядування, їх посадових та службових осіб;

- інші відомості, доступ до яких не може бути обмежено відповідно до законів та міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України [6].

В Україні не визначено чіткий перелік інформації, яка б становила конфіденційну таємницю. В цьому й полягає проблема, яка перешкоджає вдосконалити захист цього виду відомостей на підприємствах, організаціях, установах. А також до неї можуть бути віднесені всі відомості, які керівник вважає за доцільним захистити для того, щоб забезпечити безпеку функціонування на підприємстві.

Різновидами Конфіденційної інформації також є комерційна таємниця, банківська таємниця. До них належать і відомості, зміст яких відомий певній особі у зв'язку з її професійною діяльністю (службова інформація). Це, наприклад, відомості, що становлять предмет адвокатської, лікарської, нота-ріальної таємниці; таємниці рахунків та вкладів, листування, телефонних розмов та ін. повідомлень, що передаються засобами зв'язку; таємниці усиновлення, голосування; відомості, про які дізналися судді при розгляді кримінальних справ у судовому засіданні та ін.

Винні у розголошенні служб, таємниці притягуються до юридичної відповідальності. Обов'язковий для всіх центр. органів виконавчої влади, уряду АР Крим, місцевих органів виконавчої влади, органів місцевого самоврядування, підприємств, установ і організацій незалежно від форм власності порядок обліку, зберігання і використання документів, справ, видань та ін. матеріальних носіїв інформації, які містять К. Інформацією, що є власністю держави, визначений спеціальною Інструкцією, затвердженою КМ України 201.11.2011 року. Із введенням у дію цієї Інструкції тиражовані документи, видані з грифом "Для службового користування, а також тиражовані документи, випущені в світ у різний час з ін. обмежувальними грифами, крім грифів "Службова таємниця", "Таємно", "Цілком таємно" та "Особливої важливості", можуть розглядатися як відкриті документи за наявності письмової згоди організацій, що їх підготували, або правонаступників цих організацій [7].

1.2 Нормативно-методичне забезпечення захисту конфіденційних документів

Нормативно-методичне забезпечення захисту конфіденційної інформації призначено для регламентації процесів забезпечення інформаційної безпеки фірми, в тому числі при роботі персоналу з конфіденційною інформацією, документами, справами і базами даних. Воно включає в себе ряд обов'язкових організаційних, інструктивних і інформаційних документів, що встановлюють принципи, вимоги і способи попередження пасивних і активних загроз цінній інформації, які можуть виникнути по вині персоналу, конкурентів, зловмисників та інших осіб.

Нормативно-методичне забезпечення базується на тих обов'язкових положеннях, які повинні міститися в засновницьких та інших основоположних документах фірми і визначати правовий статус інформаційної безпеки фірми. Вказані положення дозволяють на законних підставах вести мову про збереження підприємницької таємниці, виділяти цінну інформацію, яка складає власність і таємницю фірми, і виконувати дії по її захисту. Предмет і направлення захисту повинні знайти відображення, наприклад, в статуті фірми, типових формах контрактів різного роду й призначеннях, положеннях про структурні підрозділи фірми, посадових інструкціях та інших документах. Самими важливими організаційними документами, що фіксують завдання, функції і відповідальність служб, які здійснюють захист цінної документованої інформації фірми, є: положення про службу безпеки, положення про службу конфіденційної документації, посадові інструкції співробітників цих служб, посадова інструкція менеджера (референта) по безпеці невеликої підприємницької фірми та інші документи.

Технологічні інструктивні, документи відрізняються великою різноманітністю і по своєму призначенню, складу і змісту відображають вибрану фірмою систему захисту документованої інформації Можна виділити головні, на наш погляд, регламентуючі документи, які мають значення для будь-якої фірми і необхідні при використанні будь-якої системи захисту інформації або окремих елементів такої системи.

Передусім варто назвати Перелік відомостей підприємницької фірми, які складають її таємницю або є особливо цінними. Перелік призначений для визначення складу конфіденційних документів і баз даних, встановлення грифів обмеження доступу до паперових і електронних документів, визначення необхідної структури системи захисту інформації. Зміст переліку звичайно поділяється на декілька частин: загальну методичну частину за способами складення переліку і правилами роботи з ним, списки конфіденційних відомостей по структурним підрозділам або управлінським функціям, список видів конфіденційних документів і баз даних з вказанням місця їх зберігання, терміну конфіденційності і т.п. Іншим важливим регламентуючим документом є інструкція по забезпеченню безпеки власної інформації підприємницької фірми. Вона необхідна для організації роботи по захисту конфіденційної і цінної документованої інформації [8].

Якщо у процесі діяльності підприємства створюються документи, що містять комерційну таємницю, то керівник цього підприємства повинен видати наказ про затвердження списку посадових і службових осіб, які мають право працювати з такими документами.

Посадові й службові особи, зокрема працівники служби діловодства (завідувач канцелярії, секретар тощо), які працюють з документами, що містять комерційну таємницю, мають бути обізнані з правилами роботи з ними, ознайомлені під розписку з відповідними відомчими інструкціями або індивідуальною інструкцією, котра визначає порядок роботи з документами, що містять комерційну таємницю, на конкретному підприємстві.

Серед методів захисту комерційної таємної інформації можна виокремити такі найважливіші:

- розроблення положення про конфіденційну (комерційну) інформацію підприємства;

- підготовка інструкції, що визначає порядок роботи (обліку, зберігання і користування) з документами, які містять комерційну таємницю;

- розроблення інструкції (регламенту, порядку) щодо дотримання працівниками підприємства режиму нерозголошення конфіденційної (комерційної) інформації;

- включення до статуту (положення) підприємства розділів, що регламентують захист конфіденційної (комерційної) інформації;

- розроблення форми угоди про нерозголошення конфіденційної (комерційної) інформації, що укладається з особами, які мають доступ до такої інформації [9].

1.3 Людський фактор у системі захисту конфіденційної інформації

Основним елементом розвитку ринкового бізнесу є інформація, яку в ім'я отримання прибутку потрібно або зберегти, або викрасти. Створюють, отримують, обробляють, зберігають інформацію люди, значить і носіями конфіденційної інформації, є люди, співробітники тієї чи іншої організації - саме відповідальне і саме - уразлива ланка захисту інформації. Вона представлена також фінансовими документами, перспективними планами, технічними та технологічними винаходами, відкриттями записаними на матеріальні носії. Найбільш цінні відомості належать до конфіденційної таємниці і повинні зберігатися якнайкраще. Охороняють конфіденційну таємницю люди, викрадають - ті ж самі люди. В теорії штучно поділяють технічні засоби і людський фактор у забезпеченні безпеки конфіденційної інформації для більш детального аналізу останнього аспекту. На практиці ж технічні засоби захисту інформації і людський фактор повинні доповнювати один одного і складати наріжний камінь комплексної системи безпеки.

Невідповідність каральних заходів за розголошення конфіденційної комерційної інформації збитку, який, наноситься її розголошенням, є однією із спонукальних причин зради серед незадоволених співробітників установ, підприємств,організацій. Керівника служби безпеки однієї з великих фірм підкреслює, що "... збір та аналіз інформації про ринок, конкурентів, партнерів і співробітників, політиці держави - це основа роботи служби безпеки ..., проблеми, пов'язані з витоком інформації, розкраданнями на фірмі - це все внутрішні чинники, які виходять від персоналу, ... факт продажу інформації виявити важко. Якщо він виявлений - важко довести. Якщо він доведений, то тут виникають деякі можливості, хоча насправді ці можливості дуже низькі. На даний момент з співробітника можна стягнути одну зарплату. Якщо з ним укладено договір про матеріальну відповідальність, то вище, в розмірі прямого збитку. Але упущену вигоду в принципі неможливо ні з кого стягнути. А вона буває багаторазово більше прямого збитку ".

Враховуючи ці обставини, а також непомірно високу вартість сучасних охоронних технологій, є резон звернутися до так званого "людського фактору", при правильному розумінні і використанні якого створюються умови для економії фінансових коштів в забезпеченні безпеки конфіденційної інформації. Разом з тим, складність впливу на ситуацію, що склалася полягає в тому, що роль людського фактора визначається, на думку психологів, "високим ступенем психологічної невизначеності скоєння злочину в часі і різній обстановці, коли бажанням співробітника розголосити конфіденційну інформацію в корисливих цілях не можуть перешкодити навіть самі дорогі засоби і методи захисту ".

Наука ергономіка ("irgon" - праця, "nymos "- закон) вивчає людини (або групу людей) і його (їх) діяльність в умовах сучасного виробництва з метою оптимізації знарядь, умов і процесу праці. Основний об'єкт досліджень ергономіки-системи "людина - машина", в тому числі і так звані ергатичних системи. Американський учений X. Хендрік визначає ергономіку як "інтерфейс людини з технічними засобами та навколишнім середовищем", причому він має величезний потенціал для вдосконалення здоров'я, безпеки і комфорту, як самої людини, так і систем виробництва.

З розвитком науково-технічного прогресу фізична праця людини став все більше поступатися місцем розумовій праці. Зросло навантаження на психіку індивіда, якому "тепер доводиться вирішувати завдання оцінки і прогнозування ефективності роботи обладнання та інших людей, надійної взаємодії з різними елементами соціотехнічної системи - виробничого механізму".

В умовах, описаних ергономікою і обумовлених особистісним фактором, людські дії проявляються швидше на рівні інстинкту, під впливом випадкових, тимчасових, екстремальних факторів (в ергономіці - це порушення в системі "людина-машина"). Осмислення ситуації на рівні свідомості включається вже на стадії вирішення завдання щодо виходу зі складної, неординарної ситуації.

Фактор людини в системі забезпечення безпеки конфіденційної інформації, вбирає в себе основні соціально-економічні та моральні аспекти названих теорій, але має свою специфіку.

У даному контексті людський фактор виступає як сукупність об'єктивних умов (передумов) психічного, соціально-економічного, політичного, ідеологічного, морального, національного, природного і техногенного характеру, що діють в даний час і даному просторі і обумовлюють негативне або позитивне поведінку людини і його вчинки.

Звичайно, це не означає, що всі передумови діють одночасно, все відразу. Інформація викрадається і продається в різний час , в різних ситуаціях і з різних причин. В одному випадку, людина може діяти з політичних, ідеологічних і національних мотивів. В іншому випадку, її дії обумовлені соціально-економічними і моральними проблемами, в наступному - тільки психічними.

У всіх публікаціях, щодо безпеки підприємництва наводяться відомості про те, що збереження 80,0% конфіденційної інформації залежить від правильного добору, розстановки і виховання кадрів, персоналу, відданого фірмі або підприємству [10].

Як висновок можна зазначити, що головною проблемою в забезпеченні захисту конфіденційної інформації на підприємстві є людський фактор, адже дуже складно прослідкувати психологічний стан працівника, його потреби й настрої, підібрати саме той колектив, в якому буде комфортно працювати саме цій людині. Потрібно також задовільнити фінансові потребі людини, мотивувати її на належну працю, переконати у важливості роботи з конфіденційними документами. Потрібно роз'яснити працівникові ,ще до прийому на роботу, - відповідальність за порушення інструкцій щодо обігу інформації , що є гримованою.

Ще одною проблемою є чітко не встановлений перелік відомостей, що можуть бути віднесеними до конфіденційної інформації. І вся відповідальність лягає на плечі курівника, якому потрібно не лише розробити і затвердити внутрішні нормативні акти (інструкції, розпорядження), де буде зазначений рух документів від створення до знищення,перелік осіб ,що можуть працювати з ними, а й ту інформацію, що власне буде засекреченою. А це не мала відповідальність і великий об'єм роботи, який повинен зробити висококваліфікований керівник, з певним досвідом роботи.

Ці проблеми потребують нагального вирішення (на локальних і на державному рівнях), адже комерційна інформація міститься в кожній структурі, як державній, так і комерційній, - від цього залежить ефективність роботи підприємства, його становлення, розвиток і закріплення у своїй сфері на ринку праці серед собі подібних.

Розділ 2. Загальна характеристика організації роботи з конфіденційними документами на підприємстві: кадровий аспект

2.1 Організаційне проектування системи захисту

Організаційний захист інформації - захист інформації шляхом регулювання за допомогою організаційних заходів доступу до всіх ресурсів інформаційної системи.

Згідно з ДСТУ 3396.1-96 організаційні заходи захисту інформації - комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення ТЗІ [11].

Організаційні заходи включають в себе створення концепції інформаційної безпеки, а також:

- складання посадових інструкцій для користувачів та обслуговуючого персоналу;

- створення правил адміністрування компонент інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

- розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

- навчання правилам інформаційної безпеки користувачів.

У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, проведена реорганізація системи діловодства та зберігання документів [12].

Елемент організаційного захисту інформації містить управлінський та

обмежувальний характер, що спонукає персонал дотримуватися правил захисту конфіденційної інформації і включає в себе:

- формування і регламентацію діяльності служби безпеки підприємства, забезпечення цієї служби нормативно-методичними документами по організації і технології захисту інформації;

- регламентацію та регулярне оновлення переліку (списку) цінної, конфіденційної інформації, яка підлягає захисту, складання і ведення переліку конфіденційних документів на підприємстві;

- регламентацію системи (ієрархічної схеми) обмеження доступу персоналу до конфіденційної інформації;

- регламентацію технології захисту і обробки конфіденційних документів фірми;

- побудова захищеного традиційного або без паперового документообігу;

- побудова технології документування цінної інформації, складання,

- оформлення, виготовлення і видавництва конфіденційних документів;

- побудова технологічної системи обробки і збереження конфіденційних документів;

- організацію архівного зберігання конфіденційних документів;

- регламентацію захисту цінної інформації підприємства від несанкціонованих доступу;

- порядок і правила роботи персоналу з конфіденційними документами і інформацією, контроль за виконанням всіма співробітниками встановлених положень;

- відбір персоналу для роботи з конфіденційною інформацією, навчання та інструктування співробітників;

- порядок захисту інформації при веденні переговорів, проведенні нарад по конфіденційним питанням, прийомі відвідувачів, здійснення рекламної, виставочної та іншої діяльності;

- регламентацію аналітичної роботи по виявленню загроз цінній інформації фірми і каналів витоку інформації;

- обладнання і атестацію приміщень і робочих зон, виділених для здійснення конфіденційної діяльності, ліцензування технічних систем і засобів захисту інформації та охорони;

- регламентацію режимних складових:

* пропускного режиму на території, в будівлях і приміщеннях фірми, ідентифікацію персоналу та вантажу;

* системи охорони території, будівлі, приміщень, обладнання, грошових засобів, транспорту і персоналу фірми;

* організаційних питань експлуатації технічних засобів захисту інформації і охорони;

* дій служби безпеки і персоналу в екстремальних ситуаціях;

* роботи по управлінню системою захисту інформації фірми.

Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі інші елементи.

Центральною проблемою при розробці методів організаційного захисту інформації є формування дозвільної (обмежувальної) систем і доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає.

Дозвільна система вирішує наступні задачі:

- забезпечення співробітників всіма необхідними для роботи документами і інформацією;

- обмеження кола осіб, які допускаються до конфіденційних документів;

- виключення несанкціонованого ознайомлення з документу.

Ієрархічна послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність співробітників можуть їх знати". У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних мір, структура рубежів (ешелонів) захисту інформації.

Доступ співробітника до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Доз-віл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і видається керівником в письмовому вигляді: наказом, що затверджує схему посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обложці справи ознайомлення з документом.

Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У зв'язку з цим часто використовується єдина назва двох розглянутих вище елементів системи захисту - організаційно-правового та технічного.

Так, технічний захист включає:

- засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання;

- засоби захисту приміщень від візуальних та акустичних способів технічної розвідки;

- засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди);

- засоби протипожежної охорони;

- засоби виявлення приладів і пристроїв технічної розвідки (підслуховуючих та передавальних пристроїв, звукозаписувальної та телевізійної апаратури і т.д.).

Також існує програмно-математичний елемент захисту інформації,який включає регламентацію:

- доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту;

- спеціальних засобів і продуктів програмного захисту;

- криптографічних методів засобів захисту інформації в ЕОМ та мережах, шифрування тексту під час передачі їх по каналам звичайного та факсимільного зв'язку, під час пересилки поштою.

В кожному елементі захисту можуть бути реалізовані на практиці тільки окремі складові частини. Наприклад, в організаційному захисті можна регламентувати тільки прийоми обробки конфіденційних документів і систему доступу до них персоналу. Методи і засоби захисту інформації в рамках системи захисту повинні регулярно змінюватись з метою попередження їх розкриття зловмисником.

Конкретна система захисту інформації фірмі завжди є строго конфіденційною. Спеціалісти, які розробляли що систему, ніколи не повинні бути її користувачами [13].

Організаційне проектування - це проектування нових організацій, структурне перетворення чи оптимізація діяльності, вже існуючих організацій, і навіть формування організаційних структур. Організаційне проектування дозволяє формувати системи із наперед заданими характеристиками, які у проектної документації. Метою організаційного проектування є формування нових структур чи розвиток вже існуючих, і навіть надання процесу створення нових систем чи розвитку діючих.

Завданнями організаційного проектування є:

- виявлення умов, які впливають на діяльність організації та методів вивчення;

- визначення якісного і кількісного складу елементів структур управління, формування взаємозв'язку;

- визначення структури управління організацією й визначення умов, у яких кожна з яких буде ефективніша;

- вивчення принципів, і методів проектування структур управління і особливості їх застосування;

- визначення методики розрахунку необхідної кількості персоналу;

- розробка заходів із впровадження спроектованих заходів у організацію;

- розробляються методи і форм контролю, і навіть специфіки їх використання [14].

2.2 Управління персоналом по забезпеченню обігу конфіденційних документів

Робота з персоналом на етапі підбору, оформлення та введення в посаду. Основні завдання керівника на даному етапі:

* виключити прийняття на роботу в компанію осіб, потенційно небезпечних з точки зору можливого заподіяння шкоди;

* провести роз'яснювально-профілактичну роботу з кандидатами;

* проконтролювати процес організації стажування, навчання та проходження випробувального терміну нового співробітника на предмет відповідності посади, на яку він приймається.

Можна виділити кілька заходів, обов'язкових у процесі реалізації даного етапу профілактичної роботи.

1. Контроль над своєчасною організацією процесу пошуку кандидата на вакантну штатну посаду. Погрози ж невчасної заміни вибулого людини з точки зору виникнення втрат пов'язані з тим, що на його колег лягає додатковий обсяг роботи, а це, в свою чергу, збільшує ймовірність помилок в обліках товароруху, що тягнуть збитки.

2. Перевірка кандидата на вакантну посаду до його офіційного працевлаштування. Вона повинна, як мінімум, включати:

* перевірку документів, що засвідчують особу, та наявність постійної місцевої прописки. Особливу увагу слід приділити записів у трудовій книжці. При цьому про минулої професійної діяльності можуть свідчити не тільки причини звільнення з попередніх місць роботи. Наприклад, факт відсутності трудової книжки у кандидата працездатного віку може бути підставою для більш ретельної перевірки. При заміщенні вакантної посади, що вимагає спеціальної освіти, необхідно звернути увагу на документи, що підтверджують наявність потрібної кваліфікації, і їх достовірність;

* перевірку рекомендацій з минулих місць роботи. У керівника чи кадрового працівника повинні викликати підозри кандидати, які відмовляються повідомити контакти організації, в якій вони працювали, і рекомендує. Показала ефективність практика обміну даними про співробітників, звільнених з негативних мотивів, між керівниками навіть "конкуруючих" мереж. У цьому випадку інформація працює "на випередження". У нашій практиці були випадки, коли у керівника, що зустрічається з кандидатом, вже була інформація про те, що з останнього місця роботи він де-факто був звільнений за вчинення розкрадання або по іншому негативному мотиву, а не "за власним бажанням", як свідчила запис у трудовій книжці;

* необхідно з'ясувати чи, принаймні, звернути увагу на прихильність людини до шкідливих звичок: алкоголю, наркотиків, азартних ігор;

* обов'язкова перевірка людини на наявність судимості, особливо за умисні корисливі злочини, а також на вчинення адміністративних правопорушень, - яскравий характеризує момент, який може зіграти вирішальне значення при прийнятті рішення і прийомі претендента на роботу в компанію.

На жаль, саме процедура перевірки кандидата на предмет виявлення фактів притягнення його до адміністративної або кримінальної відповідальності на практиці викликає найбільші труднощі. З кожним роком доступ до баз даних правоохоронних органів ставати все складніше, і процедура перевірки претендентів з легальної ставати все більш схожою на оперативну роботу. Підхід до даної проблеми законодавців видається абсолютно нелогічним.

3. Проведення керівником особистої співбесіди з кандидатом. При цьому не повинна грати роль посадова категорія - будь-то лінійний персонал, середній менеджерський або керівний склад. Не можна переоцінити значимість даного заходу з профілактичної точки зору. Інтерв'ю слід проводити з усіма претендентами. У ході співбесіди керівник на основі раніше зібраної інформації і даних, отриманих у процесі особистого спілкування, повинен постаратися виявити специфічні нахили і приховану мотивацію кандидата. Під час бесіди обов'язково необхідно дати здобувачеві зворотний зв'язок, роз'яснивши основні положення правил внутрішнього трудового розпорядку, позицію керівництва торгової компанії до порушників трудової дисципліни і співробітникам, викритим у вчиненні розкрадань. Крім того, керівник повинен налагодити психологічний контакт із співрозмовником, визначити можливість використання його в якості довіреної особи.

4. Контроль над організацією стажування кандидата. Звичайно, організацією цього процесу повинні займатися безпосередні керівники. Контроль СБ полягає в оцінці відповідності умов стажування вимогам трудового законодавства. На жаль, на практиці нерідкі випадки, коли на стажування виходять співробітники, ще не уклали трудовий договір. Пропрацювавши деякий час (буває, до декількох днів), їм відмовляють у прийомі на роботу з будь-яких підстав (недостатня кваліфікація, особистісні якості і т. д.). Природно, подібні порушення трудового законодавства автоматично тягнуть ризик виникнення негативних юридичних наслідків для роботодавця. Що пов'язано як з можливістю матеріальних витрат, так і з збитком іміджу компанії, що не менш критично. Завдання керівника - виключити подібні ризики.

5. Контроль над належним оформленням документів при укладенні трудового договору. Роль керівника полягає в перевірці правильності оформлення документів для виключення можливих негативних юридичних наслідків. Зокрема, має перевірятися відповідність законодавчим вимогам укладання договорів про матеріальну відповідальність. Своєчасність і повнота ознайомлення знову прийнятого співробітника з діючими регламентами торгового підприємства, які можуть виявитися юридично значимими в подальшому, - з посадовими інструкціями, правилами внутрішнього трудового розпорядку, регламентом здійснення внутрішньо-об'єктного режиму і т. д. Важливий момент стосується оформлення документів, що підтверджують ознайомлення кандидата з перерахованими стандартами: журнал або аркуш ознайомлення повинні вестися так, щоб при розгляді спірних питань не виникало сумнівів у легітимності цих документів і допустимості їх в якості доказів (дата ознайомлення, найменування регламенту, підпис особи з розшифровкою і т. д.).

Слід зазначити, що перелічені заходи хоч і необхідні, але не завжди є можливість виконувати їх своєчасно у належному обсязі. Наприклад, у випадках, коли йде масовий набір персоналу у керівника служби безпеки просто фізично немає можливості цим займатися. У цьому випадку використовуються наступні прийоми: делегування функцій самому підготовленому співробітникові, наприклад, одному з старших змін проведення заходів, які не були виконані в повному обсязі (особисті співбесіди, перевірка оформлення документації і т. д.) відразу після запуску торгового об'єкта.

Профілактична робота з співробітниками в процесі їх діяльності

Основними завданнями керівника на даному етапі є:

* своєчасне виявлення ризиків і загроз для підприємства, які можуть виходити від персоналу;

* своєчасна оцінка та розробка заходів щодо поліпшення морально-психологічного клімату в колективі;

* надання сприяння керівництву підприємства при звільненні співробітників, що представляють загрозу для підприємства.

Профілактична робота з персоналом керівника служби безпеки повинна вестися безперервно. Необхідно практикувати використання різних прийомів, спрямованих на те, щоб лінійний персонал постійно відчував стан "підконтрольності".

На даному етапі рекомендується проведення наступних заходів:

1. Участь керівника в зборах з персоналом, спрямоване на постійне інформування про найбільш значущих подіях за зміну, про найбільш проблемних питаннях, пов'язаних як із забезпеченням безпеки і мінімізації втрат, так і з належним забезпеченням бізнес-процесів і підвищенням якості обслуговування клієнтів.

Крім того, якраз факт щоденного звернення до персоналу підкреслює авторитет служби, є стримуючим чинником для співробітників, які планують протиправні дії.

2. Регулярна робота по доведенню до персоналу торгового центру фактів виявлених розкрадань персоналом в інших торгових центрах мережі. При цьому інформація повинна подаватися дозовано, з акцентом не на методах виявлення подібних фактів, а на негативних наслідках для провинилися співробітників. Для цього потрібна налагоджена система інформаційного обміну між роздрібними структурними підрозділами мережі і центральним офісом. Небажано, щоб керівник служби безпеки делегував обов'язок доведення подібної інформації іншим посадовим особам.

Обмін інформацією між роздрібними структурними підрозділами організації торгівлі здійснюється у формі розсилки по електронній пошті довідок, що складаються керівниками підрозділів. Довідки направляються на електронні скриньки керівників підрозділів, директорів структурних підрозділів та топ-менеджерів.

3. Обов'язково участь керівника служби безпеки в нарадах середньої менеджерської та керівного складу. Керівник не тільки повинен бути в курсі всіх проблем, що мають відношення до підконтрольному об'єкту, але і активним учасником і ініціатором розгляду питань, що стосуються попередження можливих ризиків компанії.

4. Участь керівника служби безпеки в атестаціях співробітників усіх посадових категорій в якості члена атестаційної комісії. Атестація дозволяє виявити рівень підготовленості працівника до виконання його обов'язків, і, як наслідок, визначити ризики, пов'язані з потенційними можливостями допущення помилок і порушень в обліках руху документів співробітником.

5. Контроль з боку керівника за кадровими переміщеннями людей.

6. Участь керівника служби безпеки в преміальному комітеті - контроль адекватності заходів, що застосовуються до працівників, які допустили різні порушення.

7. Вплив на психологічний клімат в колективі торгового центру, в основі якого - нетерпимість до злодіїв, яка підкріплюється розумною системою мотивації. Звичайно, неправильно розвивати систему "нашіптування", матеріально стимулюючи кожен факт доносів. Це призведе до такій обстановці, яка унеможливить нормальне здійснення бізнес-процесів. У подібному випадку збитки від порушення нормального функціонування торгового процесу можуть перевищити компенсацію втрат від розвитку системи тотального виказування.

8. На основі аналізу статистичних даних обліків виявлених фактів заподіяння збитку торговельному підприємству, керівник повинен ініціювати проведення занять з персоналом по підвищенню професійної майстерності у сфері забезпечення бізнес-процесів і обліків документообігу. Крім того, необхідно надавати допомогу співробітникам кадрових підрозділів в організації та проведенні подібних занять.

9. Керівник повинен практикувати регулярні особисті зустрічі з персоналом, щоб бути в курсі психологічної обстановки в колективі.

10. Розвиток інституту довірених осіб з числа співробітників лінійного і середнього менеджерського складу. Використання негласних джерел інформації (але тут треба бути максимально обережним). Як показала практика, найбільш ефективно діють в цьому напрямку керівники підрозділів, які раніше працювали в оперативних підрозділах правоохоронних органів.

11. Проведення керівником занять з протипожежної безпеки, дій у надзвичайних ситуаціях та інших питань, пов'язаних із забезпеченням безпеки.

Особливої тактики потребує профілактична робота з співробітниками, що звільняються. Основне завдання керівника при роботі з тими, хто звільняється - отримання оперативно-значущої інформації. Тут мова може йти лише про співробітників, які йдуть за власним бажанням. З ініціативи адміністрації працівників звільняють, як правило, з негативних мотивів. При цьому не грає ролі юридичне формулювання обґрунтування, тобто те, що буде записано в трудовій книжці. Мова саме про фактичні причини.

Об'єктом роботи керівника є саме співробітники, які висловили бажання розірвати трудовий договір з торговельним підприємством за власним бажанням. Робота з даною категорією персоналу дає можливість отримання інформації з перших вуст від людей, яким немає сенсу що-небудь приховувати, тому вони охоче діляться відомими їм відомостями. Найчастіше в результаті подібної роботи співробітники, цілком лояльні до організації і вимушені йти з неї через своїх колег, набагато більш "шкідливих і небезпечних", залишалися [15].

2.3 Основні показники діяльності

Поняття ефективності - одне з центральних в економічній теорії та практиці. На будь-якому напрямі суспільного життя вона визначає доцільність дій господарюючого суб'єкта в економічній системі. Розрізняють суспі-

льну, виробничу, соціальну, технічну, економічну ефективність.

Технічна ефективність визначає результативність дій, спрямованих на вдосконалення техніки і технології; соціальна - на поліпшення умов праці, психологічного клімату в трудовому колективі тощо; економічна - на підвищення прибутковості всієї господарської діяльності; суспільна - на подолання нерівності в розподілі доходів і підтримання соціальної справедливості; виробнича - на мінімізацію витрат і максимізацію прибутку.

Всі види ефективності тісно пов'язані між собою, взаємозалежні і разом визначають ефективність економічної системи країни загалом.

Результати роботи підприємства аналізують за показниками, що характеризують сторони його діяльності, їх вибір залежить від мети аналізу. Визначення стратегічних цілей потребує порівняння результатів діяльності конкретного підприємства з підприємствами-конкурентами. Для такого аналізу вибирають узагальнюючі показники, що відображають діяльність окремих напрямів або структурних підрозділів. Визначення тактичних цілей потребує контролю діяльності підприємства, тобто розрахунку показників ефективності функціонування окремих підрозділів або виробництва окремого виду продукції.

Планування як розробка завдань підприємства на перспективний і поточний періоди передбачає співставлення вигоди використання різних видів ресурсів або їх поєднання у певному періоді та можливості їх зміни в майбутньому. Кожна з цілей, що стоять перед підприємством, потребує аналізу низки показників, що дає змогу прийняти конкретні рішення щодо поведінки підприємства. Джерелом інформації є звітність підприємства: річний бухгалтерський баланс, звіт про фінансові результати, звіт про рух капіталу, звіт про рух коштів та ін. На основі даних звітності визначається кінцевий результат роботи підприємства у вигляді нарощування власного капіталу за звітний період. Діяльність підприємства можна проаналізувати за економічними показниками, об'єднаними у групи, кожна з яких характеризує економічний потенціал підприємства, економічну ефективність, конкурентоспроможність і фінансову стійкість.

Економічний потенціал підприємства характеризують: активи фірми, обсяг продажів, прибуток чистий і валовий, основний і оборотний капітал, власний і позичковий капітал, виробничі потужності, науково-дослідні роботи та ін.

Ефективність діяльності підприємства аналізують за такими показниками: прибуток, норма прибутку, рентабельність, а також показниками використання трудових ресурсів (продуктивність праці), основних виробничих фондів (фондовіддача, фондомісткість), матеріальних ресурсів (матеріаломісткість наприклад) та ін. [16].

Необхідність проведення ґрунтовного аналізу фінансово-господарської діяльності підприємств, зокрема залізничних, викликана тим, що незадовільний стан підприємств має негативний вплив на інші, у тому числі суміжні підприємства, у зв'язку з порушенням виробничих зв'язків і рівноваги між ними, що є актуальною проблемою на сьогоднішній день.

Основною метою аналізу будь-якого аспекту фінансово-господарської діяльності підприємства є виявлення негативних для його фінансового стану тенденцій, пошук резервів підвищення ефективності діяльності, обґрунтування прийняття управлінських рішень, моніторинг діяльності та доцільність нововведень. Результати фінансового аналізу є підґрунтям, на основі якого формується фінансова політика підприємства, розробляється сукупність заходів, відбираються відповідні фінансові механізми, необхідні для реалізації поставленої перед фінансовим менеджментом мети [18]. Визначення фінансового стану підприємства є необхідною умовою управління фінансами і будується на використанні фінансової звітності із застосуванням методів вертикального і горизонтального аналізу. Але аналіз фінансової звітності не дозволяє категорично зазначити рівень фінансового стану, і тільки орієнтує користувача інформації в оцінці фінансового стану підприємства та визначенні його слабких місць [19].

Для аналізу функціонування залізничних підприємств у малих містах доцільно провести дослідження економічної діяльності Локомотивного депо Іловайськ, що є відокремленим структурним підрозділом Державного підприємства "Донецька залізниця", відноситься до загальнодержавної власності і створено з метою забезпечення встановленого обсягу перевезень на обслуговуючій залізничній дільниці і здійснює свою діяльність у сфері транспортних послуг. Важливим при визначенні напрямків проведення заходів покращення фінансового стану для локомотивного депо є розгляд підприємства як стратегічно важливого об'єкта для даного регіону, оскільки воно не тільки підтримує роботу однієї з найвагоміших галузей Донбасу і країни в цілому, а й має великий вплив на соціально-економічний розвиток харцизького району, зокрема м. Іловайська.