Служба защиты информации

- Межотраслевые методические рекомендации по разработке нормативных материалов для нормирования труда в непроизводственных отраслях народного хозяйства. М: Экономика, НИИ труда Государственного комитета СССР по труду и социальным вопросам, 1988.

- Положение о порядке разработки нормативных материалов для нормирования труда. М.:, Государственный комитет Совета Министров СССР по вопросам труда и заработной платы и президиум ВЦСПС, 1968.

- Нормирование труда служащих. Методические указания. Издание второе исправленное. М.: НИИ труда Государственного комитета Совета Министров СССР по труду и социальным вопросам, 1976.

- Методические рекомендации по анализу качества норм. М.: НИИ труда Государственного комитета совета министров СССР по вопросам труда и заработной платы, 1969.

- Пашуто В.П. Организация и нормирование труда на предприятии: Учеб. пособие. - Мн.: Новое знание, 2001.

- Нормы времени на работы по документационному обеспечению управленческих структур федеральных органов исполнительной власти, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 26 марта 2002 г. № 23.

- Межотраслевые типовые нормы времени на работы по сервисному обслуживанию персональных электронно-вычислительных машин и организационной техники и сопровождению программных средств, утвержденные постановлением Министерства труда и социального развития Российской Федерации от 23 июля 1998 г. № 28.

- Постановление Правительства РФ от 11 ноября 2002 г. N 804 "О Правилах разработки и утверждения типовых норм труда".

1.4. Выбор методов сбора исходных данных для разработки норм времени и последующей статистической обработки. При определении и расчете норм были использованы методы: экспертных оценок, моментных наблюдений, хронометражных измерений.

Хронометраж проводится при определении норм времени на циклически повторяющиеся в течении рабочего дня работы и ее элементы, а также отдельные элементы подготовительной либо заключительной работы по обслуживанию рабочего места.

Экспертными оценками (анкетным опросом) определяются нормы времени на работы носящие творческий, интеллектуальный характер, а так же работы, выполняемые с малой периодичностью, хронометрирование которых затруднено. Для определения времени выполнения указанных работ в качестве экспертов привлекаются сотрудники, имеющие наибольший опыт выполнения указанных работ.

1.5. На основе норм времени производится расчет необходимой численности сотрудников подразделений.

1.5.1. С этой целью определяется годовая трудоемкость нормируемых работ () в часах с учетом объема каждого вида выполняемых работ по формуле:

, (4.1)

где - затраты времени на выполнение -той нормируемой работы, час;

- годовой объем -той нормируемой работы, ед. изм.

1.5.2. Годовая трудоемкость ненормируемых работ () в часах определяется методом экспертных оценок либо хронометража с учетом объема выполняемых работ по формуле:

, (4.2)

где - экспертная оценка трудозатраты времени на выполнение -той ненормируемой работы, час;

- годовой объем -того ненормируемого вида работы, ед. изм.

1.5.3. Общая годовая трудоемкость () работ рассчитывается по формуле:

. (4.3)

1.5.4. Для учета времени на работы по обслуживанию рабочего места и личные потребности, включая физкультурные паузы и время отдыха, необходимого при работе с персональными компьютерами при расчете трудоемкости работ применяется соответствующий поправочный коэффициент равный 1,15.

Суммарная годовая трудоемкость нормируемых работ определяется по формуле:

. (4.4)

1.5.5. Необходимой численности сотрудников определяется по формуле:

, (4.5)

где - полезный фонд рабочего времени одного сотрудника за год, ч.

1.5.6. Полезный фонд рабочего времени определяется по формуле:

= **, (4.6)

где - общий фонд рабочего времени одного сотрудника за год, определяемый как рабочее время в рабочие дни года (в среднем равен 2000 час.);

- поправочный коэффициент, учитывающий отпуска сотрудников;

- поправочный коэффициент, учитывающий прочие отвлечения сотрудников от выполнения работ (болезнь, командировки, работа в комиссиях, повышение квалификации и иные отвлечения от выполнения работ).

Примечание: 1. Численные значения поправочных коэффициентов для определения полезного фонда рабочего времени рассчитаны статистическими методами и приведены в таблице 2:

Таблица 2 - Поправочные коэффициенты для расчета определения полезного фонда рабочего времени

Коэффициенты
Значения	0,9	0,9

4.2.2 Организация труда

2.1. Трудовая деятельность сотрудников подразделений организована в соответствии с требованиями федерального законодательства, приказов и иных руководящих документов России, утвержденных положений о подразделениях.

2.2. Функции работников подразделений регламентируются должностными инструкциями, разработанными в соответствии c Квалификационным справочником должностей руководителей, специалистов и других служащих, утвержденным постановлением Министерства труда и социального развития РФ, требованиями приказов России и являются типовыми для деятельности подразделений России .

2.3. Сотрудники соответствуют предъявляемым по занимаемой должности квалификационным требованиям.

2.4. Перечисленные в методике работы выполняются сотрудниками для которых эти работы определены должностными или функциональными обязанностями и сотрудники имеют необходимый опыт их выполнения.

Выполнение исполнителями не свойственных для их должности работ не может служить основанием для каких-либо изменений норм времени.

2.5. В подразделениях должны соблюдаться установленные действующими нормативами нормы площади служебных помещений из расчета четырех квадратных метров (минимально) на одного сотрудника.

Условия труда должны соответствовать требованиям строительных норм и правил, государственных и отраслевых стандартов.

2.6. Режим, труда и отдыха сотрудников устанавливается исходя из утвержденного регламента служебного времени, с учетом регламентации всех обязательных работ и выполнения наиболее сложных (трудоемких) из них в первой половине дня, когда у работающих отмечается более высокая устойчивая работоспособность.

Работа с персональным компьютером должна занимать не более 4-х часов подряд с 10-15 минутным перерывом после каждого часа, при менее интенсивной работе 10-15 минут через каждые 2 часа.

2.7. Рабочие места сотрудников подразделений оборудуются соответствующими столами, обеспечивающими удобное размещение на них вычислительной и организационной техники, предметов труда, ящиков, полок и шкафов для хранения документов, методической литературы, карточек, лотков.

2.8. Рациональная организация рабочих мест и создание наилучших условий труда для сотрудников подразделений включает планировку служебных помещений в соответствии с технологией выполняемой работы и эффективным использованием рабочих площадей, размещение мебели и специализированного оборудования с учетом обязанностей и состава операций, а также необходимого комфорта, способствующего эффективному труду.

4.2.3 Нормативная часть

Нормы времени на работы выполняемые СлЗИ представлены в Приложении Б. Приведённый список норм времени является не полным. Это представляется следствием того, что работы, выполняемые СлЗИ, имеют статус конфиденциальности. По этому в нормативно методических документах и технической литературе они не опубликовываются. Следовательно, предприятие будет составлять свои нормы времени исходя из методов определения и расчёта норм времени, а именно методами: экспертных оценок, моментных наблюдений, хронометражных измерений.

Произведём расчёт численности работников, осуществляющих ежемесячное обслуживание средств вычислительной и оргтехники учитывая что на предприятии имеется 10 комплектов средств вычислительной и оргтехники:

Таблица 3 - Пример расчёта численности работников

№ нормы	Наименование работы	Единица измерения	Норма времени, на ед. ч.	Годовой объем	Нормативная трудоемкость, ч
3.2.1	Полное тестирование всех устройств ПЭВМ с выдачей протокола, в том числе и ЛВС	1 ПЭВМ	1,70	120	204
3.2.2	Поставка обновленных антивирусных программ и полная проверка дисковой памяти на наличие вирусов	1 ПЭВМ	0,48	120	57,6
3.2.4	Смазка механических устройств НГМД, стримеры, принтеры	1 устройство	0,34	120	40,8
3.2.5	Очистка от пыли внутренних объемов ПЭВМ с разборкой	1 ПЭВМ	0,37	120	44,4
3.2.6	Очистка от пыли и грязи видеомониторов и LSD панелей	1 монитор	0,35	120	42
3.2.7	Очистка и промывка печатающих головок матричных и струйных принтеров	1 принтер	0,17	120	20,4
3.2.8	Очистка от использованного тонера элементов печати лазерных принтеров, заправка тонера	1 принтер	0,34	120	40,8
3.2.9	Очистка от пыли и промывка считывающего элемента в сканерах и смазка механических частей	1 сканер	0,28	120	33,6
3.2.10	Очистка от использованного тонера элементов печати ксероксов, заправка тонера	1 ксерокс	0,31	120	27,2
3.2.11	Очистка от пыли и промывка считывающего элемента в ксероксах и смазка механических частей	1 ксерокс	0,20	12	24
3.2.12	Промывка магнитных головок в аудио и видеомагнитофонах	1 магнитофон	0,10	120	12
3.2.13	Очистка узлов и промывка печатающей головки аппарата для факсимильной связи	1 аппарат	0,15	120	18
3.2.14	Очистка и промывка оптических узлов и их юстировка, удаление пыли из внутренних объемов проекторов	1 проектор	0,40	120	48
Трудоемкость, итого	612,8

Суммарная годовая трудоемкость работ по осуществляющих ежемесячного обслуживания средств вычислительной и оргтехники учитывая время на работы по обслуживанию рабочего места и личные потребности, включая физкультурные паузы и время отдыха, необходимого при работе с персональными компьютерами, согласно п. 1.5.4 составит:

T? = 1,15 * 612,8 = 705 ч.

Полезный фонд рабочего времени одного сотрудника согласно п. 1.5.6 будет составлять:

ч.

Тогда согласно п. 1.5.5 необходимая численность сотрудников будет составлять:

= 705 / 1620 ? 0, 43 чел.

Таким образом, для осуществления ежемесячного обслуживания 10 комплектов средств вычислительной и оргтехники по выполняемым функциям указанным в табл. 3 вполне достаточно одного работника. Если же предприятие произведет расширение своих средств вычислительной и оргтехники, то при увеличении комплекта до 23 средств, в штатный состав сотрудников добавляется один работник.

4.3 Расчет объема службы и численности персонала для охраны объекта

4.3.1 Организационно-правовые основы разработки норм численности

Расчет численности, необходимой для охраны объекта, сложный и многогранный вопрос. Методика расчета численности должна отвечать требованиям Трудового кодекса и нормативно-правовым документам, определяющим требования к системе безопасности объекта. Предлагаемая методика расчета норм численности разработана на основе анализа постановлений Правительства РФ об утверждении «Положений о ведомственной охране...», существующих методик расчета численности в различных министерствах, ведомствах и компаниях.

Основными целями данного расчёта является:

* установление служебной нагрузки персонала охраны к нормам, установленным действующим законодательством;

* обеспечение гарантированной надежности охраны объектов;

* повышение тактических возможностей подразделений охраны в штатных и чрезвычайных ситуациях.

Численность охраны включает в себя численность сотрудников, непосредственно выполняющих задачи по охране объекта, и численность управления и обеспечения деятельности подразделения охраны.

4.3.2 Исходные данные для расчета численности

Нормы численности сотрудников, непосредственно выполняющих задачи по охране объекта, определяются исходя из необходимости исполнения обязанностей на посту в течение суток (суточный пост) или в течение 12 часов (полусуточный пост). Исходные данные для подсчёта численности персонала для охраны объектов представлен в таблице 4:

Таблица 4 ? Исходные данные для расчета численности

Наименование показателя	Условные обозначения	Значение показателя	Примечания
Суммарная годовая трудоёмкость	T?	8760 часов	365 суток в году * 24 часа
Рабочая неделя	Рн	40 часов
Недель в году		52 недели
Общий фонд рабочего времени		1995 часов	При 40-часовой рабочей неделе

Таким образом, суточный пост должен охранять объект 8760 часов в год.

Для корректного расчета численности на один суточный пост необходимо также учитывать и «непроизводственные» затраты рабочего времени. То есть затраты рабочего времени сотрудника, когда он будет находиться на работе, но задач на посту выполнять не будет.

Бюджет времени для охраны одного суточного поста будет складываться из суммарной годовой трудоёмкости и ежесуточного инструктажа перед заступлением на дежурство и подведением итогов (Тинс):

Тохр = T? + Тинс (4.7)

где Тохр - время охраны одного суточного поста, ч;

Тинс - ежесуточный инструктаж и подведение итогов, ч.

Тохр = 8760 ч + 180 ч = 8940 часов в год.

«Непроизводственные» затраты рабочего времени (Тнепр) на одного сотрудника в год (см. Таблица 5)

Таблица 5 ? «Непроизводственные» затраты рабочего времени

Наименование показателя	Условные обозначения	Значение показателя	Примечания
Аттестация сотрудников охраны	Тат	32 часа	4 рабочих дня (8 час.) 2 раза в год
Ежедневный инструктаж перед заступлением на дежурство и подведение итогов	Тинс	180 часов	15 мин. инструктаж, 15 мин. подведение итогов х 365дней в году
Отпуск	Тотп	672 часа
Болезнь, отгулы и др.	Тб	40 часов	0,1-0,2% от годового фонда рабочего времени

определяются по формуле:

Тнепр= Тат + Тотп + Тб (4.8)

где Тат - время аттестации сотрудников охраны, ч;

Тотп - время отпуска сотрудников, ч;

Тб - время на болезни, отгулы и др, ч.

и составляют

Тнепр = 32 ч + 672 ч + 40 ч = 744 часа в год.

Полезный фонд рабочего времени () на одного сотрудника в год составляет:

= - Тнепр (4.9)

= 1995 ч - 744 ч = 1251 часа.

Численность охраны на один суточный пост () составит:

= Тохр / (4.10)

= 8940 /1251 = 7,1 ед

Таким образом, для обеспечения непрерывной круглосуточной охраны потребуется 7,1 единиц на суточный пост.

Необходимо обратить внимание, что алгоритм подготовки персонала охраны и организации охраны могут быть различными. Следовательно, и показатель «непроизводственных» затрат (Тнепр), и численность на один суточный пост будут варьироваться в зависимости от установленных в охранном подразделении норм.

4.4.3 Расчет численности различных категорий работников охраны

Основные данные для расчета численности работников, непосредственно выполняющих задачи по охране объекта, определяются при разработке системы охраны объекта. При организации охраны объекта, в зависимости от условий и принципов построения охраны, может устанавливаться численность для начальников караулов (смен) и их заместителей (помощников); охранников, обеспечивающих пропускной режим; охранников, обеспечивающих охрану объекта на наружных (внешних) постах; дежурных операторов у пульта управления техническими средствами охраны; резервных групп караула (групп быстрого реагирования); бюро пропусков.

Начальник караула (смены)

На каждый караул (смену) выделяется численность для выполнения задач начальниками караулов, которая исчисляется в суточных постах. Объем выполняемых задач караула (смены) не должен превышать 20 постов, а смена должна занимать не больше 2 часов.

Заместитель (помощник) начальника караула (смены)

Численность для заместителей (помощников) начальников караулов исчисляется в суточных постах и зависит от объема выполняемых задач караулом.

Охранник по охране периметра объекта

Численность для охранников исчисляется в суточных и полусуточных постах.

При организации охраны периметра объекта охраннику, в зависимости от вида охраняемого объекта, характера местности и других условий, назначается для охраны участок местности протяженностью при наблюдении с постовых вышек (наблюдательных площадок) до 400 м (в лесу - до 250 м, на воде - до 300 м) способом патрулирования - до 500 м ночью и 1000 м днем.

Охранник по охране контрольно-пропускных пунктов для пропуска людей

Численность для охранников исчисляется в суточных и полусуточных постах.

Требующееся количество постов определяется из расчета пропуска необходимого количества сотрудников в установленное время и максимальных физических возможностей охранника по их пропуску. Количество проходов (постов) устанавливается из расчета возможностей охранника по количеству пропуска сотрудников за 1 час.

В среднем на пропуск одного сотрудника.

Охранник по охране контрольно-пропускных пунктов для пропуска автотранспорта

Численность для охранников исчисляется в суточных и полусуточных постах.

Требующееся количество постов определяется в зависимости от интенсивности движения автотранспорта, а также количества проездов. На каждый проезд выставляется пост.

Контрольно-пропускные пункты для пропуска автотранспорта рекомендуется охранять круглосуточно.

Охранник по охране зон (объектов, помещений) ограниченного доступа

Численность для охранников исчисляется в суточных и полусуточных постах.

Требующееся количество постов определяется в зависимости от количества входов в здания, помещения. Вскрытие и охрана запасных, аварийных и пожарных входов, непостоянно действующих, резервных и пожарных автомобильных и железнодорожных проездов. Требующаяся численность определяется в зависимости от интенсивности вскрытия и продолжительности охраны указанных выходов и проездов. При вскрытии и охране каждого прохода (проезда) продолжительностью по времени до 12 часов выделяется полусуточный пост, свыше 12 часов - суточный пост.

Дежурный оператор у пульта управления ТСО

Численность для дежурных операторов исчисляется в суточных постах.

На каждый караул (смену), занятый по охране периметра объекта, зданий, корпусов, помещений и других сооружений, оборудованных техническими средствами охраны (ТСО), выделяется один суточный пост оператора у пульта управления ТСО.

Резервная группа караула (группа быстрого реагирования)

Численность для резервной группы исчисляется в суточных постах.

Зависит от объема задач караула и составляет от 3 суточных постов и более.

Бюро пропусков

В составе бюро пропусков предусматривается: начальник бюро пропусков, делопроизводитель, дежурные (при 1-2 сменном режиме работы - два человека, при круглосуточном - четыре человека).

Нормы численности для управления

Структура управления подразделениями охраны определяется, исходя из объема задач по охране объекта и численности работников подразделения охраны. Как правило, численность управления не превышает 12% от общей численности работников охраны, выполняющих задачи на постах.

Таким образом, на данном этапе проектирования был рассмотрен вопрос по подбору необходимого персонала, для выбора наиболее перспективных кандидатов и наиболее успешной расстановки персонала были приведены методы оценивания кандидатов. Так же была приведена методика подсчёта численного состава службы ЗИ. И возможный вариант подсчёта численного состава службы безопасности и службы режима предприятия.

5. Организация информационного обеспечения службы

Служба защиты информации реализует требования и правила по защите информации, поддерживает информационные системы фирмы в защищенном состоянии, эксплуатируют специальные технические и программно-математические средства защиты и обеспечивают организационные и инженерно-технические меры защиты информационных систем, обрабатывающих информацию с ограниченным доступом.

Информационное обеспечение информационной безопасности - можно определить как совокупность технологий, форм и методов и каналов сбора и обработки данных по информационной безопасности и организации доступа к ним различных категорий и групп пользователей для принятия ими решений по данной проблеме.

Среди каналов распространения информации о фирмах, их продукции и услугах, связанных с информационным обеспечением, наиболее перспективна сеть Интернет. Именно здесь можно почерпнуть наибольшее число сведений по проблеме. Это связано с тем, что потребителями данной информации являются фирмы и организации, имеющие прямое отношение к компьютерной и деловой сфере. Как правило, их информация существует как в печатном, так и в электронном виде. Все они имеют прямой доступ в Интернет.

Кроме того, использованы такие формы информационного обеспечения, как электронные и печатные периодические издания (журналы, информационные бюллетени) и их электронные версии. Заслуживают внимания и тематические рекламные каталоги, адресно-телефонные, издательские справочники, аналитические обзоры.

Документальные и справочно-библиографические базы данных, которые создают крупные информационные центры, являются наиболее представительными, актуальными, постоянно обновляемыми источниками информации по информационному обеспечению. Одни из них включают первичные документы, другие служат своего рода навигаторами в море информации об информации.

К наиболее распространенным формам информирования так называемой маркетинговой среды (потребителей, партнеров, поставщиков) той или иной фирмы или организации, занимающейся вопросами защиты информации, стоит отнести такие рекламно-информационные массовые мероприятия, как выставки, ярмарки, выставки-ярмарки, салоны, форумы, постоянно действующие демонстрационные залы.

Существенную интеллектуальную помощь в информационной поддержке проблемы оказывают такие традиционные формы публичного обсуждения проблемы, как научно-практические конференции, «круглые столы», семинары.

Систему обучения и повышения квалификации в области информационной безопасности (образовательные курсы, учебные семинары) также правомерно внести в число форм и методов информационного обеспечения, т.к. в процессе обучения все, кто профессионально связан с проблемой, получают сведения, которые позволяют им поддерживать свою квалификацию. Учебно-методическими материалами для учащихся служат учебники, методические пособия, монографии, выпускаемые различными издательствами.

Анализ деятельности организаций и фирм, занимающихся данными проблемами, выявил наиболее распространенные виды их услуг:

- консультирование платное и бесплатное (групповое и индивидуальное);

- организация и проведение семинаров;

- информационное обеспечение;

- издание журналов, пропагандирующих передовые технологии и правовую культуру в данной области;

- выполнение заказных аналитических отчетов;

- подготовка различных видов информационных материалов и услуг и др.

Названные формы и методы используются в равной мере. Приоритет стоит отдать, пожалуй, массовым формам (выставкам и т.п.), так как именно они привлекают наибольшее число потенциальных клиентов к товарам и услугам фирмам и организаций.

В результате, мы определил основные источники необходимой для службы информации.

Таким образом на данном этапе организационного проектирования службы определяются основные информационные источники проектируемой службы, с помощью которым сотрудники могут получать последнюю информации из области защиты информации.

6. Определение взаимодействия службы с другими структурными подразделениями предприятия

Организация взаимодействия условно подразделяется на два вида. Во-первых, постоянное взаимодействие между подразделениями, которое требует организующего воздействия со стороны СлЗИ. Например, при проведении длительных по времени и крупных по масштабу привлекаемых сил и средств комплексных операций (борьба с кражами, обеспечение порядка во время ярмарок, специализированных выставок и т.д.).

Во-вторых, временное взаимодействие для решения повседневных конкретных задач. Примером может служить контроль за несением службы охранниками на своих постах и маршрутах; своевременное введение в действие сил и средств при возникновении чрезвычайных ситуаций, доведение до сведения сотрудников подразделений необходимой информации и т.д. При организации взаимодействия между подразделениями возникает опасность вторжения штаба в их компетенцию. Избежать этого можно путем четкого разграничения функций.

Такое взаимодействие можно квалифицировать как вертикальное (участники разных ступеней иерархии), информационное (обмен информацией), консультационное (методическое), организационное (установление регламентов, нормативов и пр.) и формальное. В отличие от организации взаимодействия, координировать может только штаб, наделенный соответствующими полномочиями по отношению к остальным подразделениям службы безопасности. Координация заключается в согласовании и упорядочении действий этих подразделений. Служба защиты информации свою работу проводит в тесном контакте и взаимодействии с научными, производственными организациями и территориальными органами ФСБ, ГТК.

Служба защиты информации по характеру деятельности находится в тесном взаимодействии:

- с юридической службой - по правовым вопросам, связанным с обеспечением защиты информации;

- с службами кадров, труда и заработной платы, бухгалтерией - по вопросам подбора, расстановки кадров, проведения проверочных мероприятий, повышения квалификации сотрудников, оплаты труда;

- с постоянно действующей технической комиссией - по вопросам эффективности и совершенствования системы защиты информации;

- со службами материально-технического снабжения и хозяйственного обслуживания - по вопросам обеспечения техническими средствами, оборудованием, канцелярскими принадлежностями, бытового обслуживания работников службы

Размещено на http://www.allbest.ru/

Рисунок 2 - Взаимодействие службы ЗИ

Служба защиты информации организует при необходимости взаимодействие с аналогичными подразделениями сторонних организаций, участвующими в выполнении совместных программ;

а) С отделом кадров по вопросам:

получения:

- личных дел сотрудников предприятия;

- сведений о кандидатурах на должности специалистов по защите информации;

- сведений о кандидатурах на должности специалистов, выполняющих работы, содержание которых является коммерческой или государственной тайной.

представления:

- оценок деятельности работников предприятия и соблюдения ими режима работ, содержание которых является коммерческой или государственной тайной;

- сведений о нарушениях и нарушителях режима доступа к информации;

- характеристик на работников, явившихся виновниками утечки, повреждения информации;

- предложений и рекомендаций по поиску специалистов, в должностные обязанности которых входит работа с информацией, являющейся государственной или коммерческой тайной;

- установленных ограничений по медицинским показаниям для осуществления работы с использованием сведений, составляющих государственную или коммерческую тайну.

б) С отделом по организации и оплаты труда по вопросам:

получения:

- расчетов фондов оплаты труда;

- копий должностных инструкций на работников, выполняющих работы, содержание которых является коммерческой или государственной тайной;

- предложений по закреплению в должностных инструкциях и иных кадровых документах повышенной степени ответственности за несоблюдение отдельными специалистами обязанностей по использованию информации, являющейся коммерческой или государственной тайной в неслужебных целях.

предоставления:

- проектов обязательств работников о неразглашении сведений, являющихся государственной или коммерческой тайной;

- проектов письменного согласия специалистов предприятия на частные, временные ограничения их прав;

- перечня видов, размеров и порядка предоставления льгот и доплат работникам, допущенным к сведениям, являющимся коммерческой или государственной тайной (процентных надбавок к заработной плате, преимущественного права при прочих равных условиях на оставление на работе при проведении организационных и (или) штатных мероприятий, пр.);

- копий принятых В руководителем предприятия решений о допуске работника к сведениям, составляющим государственную или коммерческую тайну;

- памяток работникам предприятия о сохранении коммерческой тайны предприятия для согласования и выдачи работникам предприятия;

- отчетов о расходовании фонда заработной платы.

в) С отделом подготовки кадров по вопросам:

получения:

- итогов зачетов, экзаменов работников, прошедших обучение в учебных центрах по переквалификации работников предприятия.

предоставления:

- предложений о направлении сотрудников отдела на курсы повышения квалификации, а также в учебные центры, на курсы для изучения новых технологий защиты информации.

г) С финансовым отделом по вопросам:

получения:

- финансовых и кредитных планов с приложением оценки степени конфиденциальности и перечнем руководителей подразделений и специалистов, которым эти документы попадают в распоряжение;

- информации о подготовке к торгам или аукционам, их результатах, условиях коммерческих контрактов, платежей и услуг, сведений о методах расчетов, системах ценообразования, уровнях цен на продукцию, сведений об инвестициях, для принятия мер по их защите.

предоставления:

- определения потребности подразделения в оборудовании, материальных, финансовых и других ресурсах, необходимых для проведения работ;

- перечня мер по защите финансовой и экономической информации.

д) С юридическим отделом по вопросам:

- проверки соответствия закону ограничений принимаемых отделом по защите информации;

- разработки порядка привлечения к ответственности работников и сторонних лиц, виновных в разглашении сведений, являющихся коммерческой и служебной тайной, утечке информации, повреждении информационных баз предприятия;

е) Со всеми производственными и технологическими подразделениями, выполняющими работы, содержание которых составляет государственную или коммерческую тайну, по вопросам:

получения:

- сведений о планах расширения или свертывания производства различных видов продукции;

- сведений об особенностях используемых и разрабатываемых технологий и специфике их применения;

- списков сотрудников предприятия, выполняющих работы, связанные с использованием информации, являющийся коммерческой или государственной тайной.

предоставления:

- отчетов о порядке и состоянии организации защиты коммерческой тайны;

- данных о защищенности информационных баз предприятия от несанкционированного доступа;

- оценки надежности защиты информации предприятия, переданной контрагентам в рамках договорных отношений;

- оценки деловых и моральных качеств сотрудников подразделений.

Таким образом, определены структурные подразделения внутри фирмы, с которыми проектируемая служба будет находиться в тесном взаимодействии, а так же определен приблизительный характер информации, который будет передаваться между службами.

7. Совершенствование функционирования СлЗИ

Анализ практики функционирования служб защиты информации позволяет утверждать, что слабая эффективность их деятельности в значительной степени является следствием существования различных проблем. Все эти проблемы настолько переплетены друг с другом, что разграничение их между собой на практике невозможно. Тем не менее, стоит попытаться разграничить эти проблемы, что позволяет в самом общем виде сформулировать способы их решения. Проблемы эти можно свести в четыре группы: правовые, организационные, кадровые и экономические. Рассмотрим эти проблемы и краткие предложения по их решению:

- отсутствие закрепленного в законе перечня основных функций службы безопасности. Решение данной проблемы можно найти в соответствующем разделе Закона «О частной детективной и охранной деятельности в Российской Федерации» и внести в качестве поправки исчерпывающий перечень этих функций.

- неэффективное взаимодействие СлЗИ с правоохранительными и контрольно-надзирающими органами. Правила и процедуры такого взаимодействия для каждого органа отдельно в рамках его компетенции могут быть определены в специальном постановлении Правительства России.

- отсутствие у руководителей служб безопасности необходимых правовых и организационно-управленческих знаний, умений и навыков. Разработка для этой категории руководителей силами преподавателей негосударственных образовательных учреждений программ спецкурсов.

- отсутствие концепции создания системы корпоративной безопасности фирмы. Большинство предпринимателей при создании системы корпоративной безопасности идут по самому простому пути - в качестве руководителей служб безопасности приглашают бывших сотрудников силовых структур или правоохранительных органов и отдают им на откуп построение системы безопасности фирмы. Следовательно, и акценты в обеспечении безопасности будут иметь соответствующую его прошлой деятельности ориентацию. Такой вариант малоэффективен и ущербен.

Последствия: Отсутствие концепции затрудняет не только построение самой системы корпоративной безопасности, но и распределение зон ответственности между субъектами управления. Появление на фирме служб безопасности в виде слепков силовых структур опасно, прежде всего, неадекватным пониманием ее руководителями своего места в системе корпоративной безопасности фирмы и стремлением сыграть ключевую роль в ее управлении. Такой подход вызывает сопротивление со стороны других участников процесса и формирует негативный имидж самой службы безопасности в глазах сотрудников.

- отсутствие критериев отбора руководителя и сотрудников службы безопасности. Специфика характера деятельности каждой фирмы должна учитываться и при формировании штата сотрудников службы безопасности. В одних случаях акцент следует делать на физической охране объектов, в других -- на защите от промышленного шпионажа, в третьих -- на защите финансовых и информационных потоков. Следовательно, и сотрудники службы безопасности должны иметь достаточный опыт профессиональной подготовки в этих направлениях. К сожалению, до сих пор основными критериями отбора руководителей службы безопасности является либо статусная позиция по прежнему месту службы, либо наличие связей в правоохранительных органах и контролирующих структурах. Что же касается рядовых сотрудников, то типовыми критериями отбора для них является опыт работы в силовых, правоохранительных системах или в вооруженных силах.

Последствия: Подобная схема комплектования службы безопасности чревата серьезными недостатками.

Во- первых, попытки разрешения возникающих перед службой проблем через связи начальника службы с бывшими сослуживцами имеют как положительные, так и отрицательные стороны, и, как показывает практика, минусы здесь очень часто могут перевешивать кажущиеся плюсы. Да, действительно, бывшие сотрудники силовых и правоохранительных структур могут воспользоваться старыми связями, но в этом случае их прежние коллеги, неофициально оказывая помощь, вынуждены нарушать, в лучшем случае, служебную этику, в худшем -- требования Законов, подзаконных актов и иных нормативных документов, рискуя попасть в поле зрения службы собственной безопасности и быть уволенными.

Во-вторых, чем старше уволенный сотрудник -- тем больше вероятность того, что его коллеги уйдут на пенсию и потеряют возможность ему помочь в решении оперативных вопросов.

В-третъих, чем выше была должность у начальника службы безопасности до увольнения, тем больше он занимался вопросами управления и терял навыки оперативной работы. Такой начальник службы безопасности непременно будет стремиться к увеличению численности личного состава. Данное обстоятельство неприемлемо для субъектов малого и среднего бизнеса.

В-четвертых, отсутствие среди сотрудников службы безопасности специалистов в области экономики, маркетинга, менеджмента существенно снижают ее эффективность как элемента системы корпоративной безопасности.

Решение данной проблемы состоит в том, чтобы на основе концепции разработать и утвердить на уровне генерального директора (президента) фирмы положение о службе корпоративной безопасности фирмы. В положении определить порядок отбора сотрудников в службу с учетом их предполагаемых функциональных обязанностей. Отбор сотрудников в службу безопасности осуществлять совместно со службой персонала. При отборе использовать батареи тестовых методик (включая аппаратные типа «Полиграф») для оценки и прогноза психологической и моральной надежности кандидатов на работу.

В подразделения службы безопасности, занимающиеся обеспечением экономической безопасности и деловой разведки, включать специалистов, имеющих экономическое, юридическое образование. Для них целесообразно после зачисления провести учебу по основам оперативно-розыскной деятельности и оперативной психологии.

Решение о принятии на работу должно приниматься на основании рекомендаций, предоставленных службой безопасности и службой кадров первым лицом или менеджером по безопасности фирмы.

- отсутствие надлежащего контроля деятельности службы безопасности со стороны руководства фирмы. Как правило, первые руководители фирм считают, что все сотрудники службы безопасности по определению являются лояльными. Кроме того, сама служба, в силу специфики решаемых задач, представляет собой вариант самоорганизующейся структуры и, следовательно, не нуждается в управлении и контроле извне. Особенно ярко это проявляется в ситуациях, когда руководитель службы пользуется безграничным доверием первого лица или, что еще опаснее, учредителей фирмы. Вследствие чего ей отдаются на откуп и набор сотрудников, и выбор методов решения поставленных перед ней задач.

Последствия:

Отсутствие контроля деятельности службы безопасности может нанести серьезный ущерб безопасности фирмы. Прежде всего это относится к методам ее работы. Часто руководство фирмы ставит перед службой безопасности задачи, для решения которых приходится работать на «грани фола». В подобных случаях риск наступления негативных последствий для фирмы от подобных действий весьма велик. И решение о том, стоит ли идти на такой риск, должно принадлежать высшему руководству фирмы, а не руководителю службы. К негативным последствиям приводят и ситуации, когда набор сотрудников осуществляется руководством службы самостоятельно.

Стремление полностью укомплектовать службу бывшими сотрудниками спецслужб, правоохранительных органов и военнослужащих может привести к тому, что корпоративные интересы получают приоритет перед фирменными интересами.

К сотрудникам службы безопасности должны предъявляться повышенные требования в области их профессиональной, психологической и моральной надежности. Наш многолетний опыт работы со службами безопасности позволяет утверждать, что психологическую и моральную надежность кандидатов на работу могут правильно оценить и спрогнозировать только специалисты по работе с кадрами. Что касается профессионализма, то в этом вопросе, безусловно, экспертами могут выступать только опытные сотрудники службы безопасности. В противном случае вся фирма становится заложницей опыта по работе с кадрами и принципиальности руководителя службы.

Профилактические меры могут быть следующие. Руководством фирмы должен быть определен регламент проверки эффективности всей системы корпоративной безопасности и службы безопасности в частности. Регламент должен предусматривать, кто, с какой периодичностью проверяет деятельность службы безопасности. Проверки могут проводиться планово и внезапно. Для проверки могут использоваться как внутренние ресурсы, так и привлеченные специализированные организации. Наиболее распространенными аудитами службы безопасности являются кадровый и правовой аудит.

Все острые мероприятия, проводимые с привлечением сотрудников службы безопасности, и особенно в отношении сотрудников других подразделений фирмы, должны быть санкционированы руководством фирмы.

- излишние полномочия доступа к информации, содержащей коммерческую тайну, и контроля над ее циркуляцией в рамках фирмы. Не редки случаи, когда информационно-аналитические подразделения включаются в состав службы безопасности. Это приводит к тому, что руководители службы и отдельные ее сотрудники получают бесконтрольный доступ к конфиденциальной информации, не имеющей отношения к их профессиональной деятельности.

Последствия:

Безусловно, высокий приоритет допуска к обобщенной информации, не имеющей отношения к выполнению функциональных задач любого сотрудника фирмы, включая сотрудников службы безопасности, чреват негативными последствиями. В тех случаях, когда информационно-аналитическая служба включена в состав службы безопасности, руководство последней получает свободный доступ к любой информации о хозяйственной и финансовой деятельности фирмы. При наличии злого умысла или нелояльного поведения со стороны сотрудников службы безопасности эта информация может стать достоянием конкурентов или других заинтересованных лиц.

Кроме того, довольно часто руководители фирм поручают службам безопасности контролировать телефонные переговоры сотрудников. Данное обстоятельство приводит к тому, что сотрудники службы становятся невольными обладателями информации о личной жизни сотрудников фирмы, их слабостях и увлечениях, не представляющих непосредственной угрозы для безопасности. Однако эти сведения в случае их разглашения могут нанести сотруднику моральный урон или сделать его объектом шантажа.

Профилактические меры здесь следующие. На фирме должен быть разработан жесткий регламент доступа к информации конфиденциального характера. Каждое подразделение и каждый сотрудник могут иметь доступ только к той информации, которая им необходима для выполнения своих функциональных обязанностей. Каждый из субъектов управления системой корпоративной безопасности может быть допущен к информации другого только с его согласия или при наличии санкции высшего руководства.

Необходимо определить степень ответственности каждого сотрудника службы безопасности за разглашение конфиденциальной информации, а равно информации личностного плана, ставшей ему известной при проведении оперативно-технических мероприятий и не имеющей отношения к обеспечению корпоративной безопасности.

Целесообразно, чтобы информационно-аналитическая служба не входила в состав службы безопасности и не находилась в прямом подчинении начальнику службы.

- недостаточное финансирование системы корпоративной безопасности. В процессе аудита корпоративной безопасности фирм нам часто приходится сталкиваться с тем, что финансирование системы корпоративной безопасности осуществляется неравномерно. Большие финансовые вливания делаются на стадии формирования системы, а ее работоспособность поддерживается по остаточному принципу.

Последствия:

Финансирование системы корпоративной безопасности в целом и службы безопасности в частности по остаточному принципу приводит, в том числе, и к тому, что возникают трудности в замене морально устаревшего оборудования, проведении оперативных мероприятий. Эффективность работы сотрудников службы безопасности не должна быть ниже, чем у конкурентов. В противном случае такая экономия может резко снизить моральную надежность сотрудников.

Профилактические меры следующие. Финансирование Службы безопасности должно прописываться отдельной строкой бюджета фирмы. Объем финансирования должен соответствовать объему и характеру выполняемых службой задач.

8. Экономическая обоснованность организационного проектирования службы

Данный этап очень важен при представлении проекта службы защиты информации руководству фирмы. Так как необходимы веские основания того, что фирма действительно нуждается данной службе и предстоящие затраты, которые могут быть вполне значительными, являются не безосновательными.

Рассмотрим возможный вариант того, каким образом можно обосновать экономическую целесообразность организационного проекта службы. Данный процесс будет разделен на два этапа.

На первом этапе мы определяются затраты на разработку, организацию и внедрение службы в составе фирмы. Второй этап проводит анализ возможных убытков, которые может понести фирма в случае угрозы безопасности конфиденциальной информации, в связи с отсутствием в составе структуры фирмы службы защиты информации.

Затраты связанные со службой защиты информации.

Приведем возможные источники затраты по каждому из этапов создания службы защиты информации.

Производится анализ состояния защищенности фирмы, для чего возможно будет необходима воспользоваться услугами сторонних организаций или создать группу сотрудников из штата фирмы (при этом выполнение их прямых обязанностей станет невозможным, на определенный промежуток времени).

Исходя из полученных результатов анализа, необходимо формирование основных задач и функции службы, а так же формирование организационной структуры службы защиты информации. Для проведения этих работ необходимо воспользоваться услугами специалистов в области организационного проектирования и в области защиты информации.

После получения сформировавшейся организационной структуры службы и сформированных задач и функций каждого подразделения необходимо произвести поиск и подбор специалистов на соответствующие должности. Для поиска используются услуги средств массовой информации, кадровые агентства и учебные заведения занимающиеся обучением соответствующих специалистов. При отборе кандидатов необходимо воспользоваться услугами специалиста в области работы с персоналом.

Далее сотрудники службы должны быть обеспечены рабочим помещением, что приведет к затратам связанным с арендой, достройкой помещения или освобождением какой либо из службы помещения находящегося в распоряжении фирмы. Каждый сотрудник должен быть обеспечен рабочим местом, соответствующим правилам и нормам безопасности труда. Кроме того в его распоряжении должно находится оборудование, необходимое для выполнения своих прямых обязанностей. Так же каждый из сотрудников получает заработную плату.

Кроме этого возможно возникнет необходимости в:

- замене оборудования, уже используемого сотрудниками фирмы, в силу своей небезопасности;

- обеспечении сотрудников средствами идентификации и аутентификации;

- оборудование помещений средствами наблюдения и разграничения доступа;

- проведение образовательных семинаров для сотрудников, по работе с конфиденциальной информацией;

Рассмотренные выше источники затрат сформируем в одну таблицу (см. таблица 6).

Таблица 6 - Затраты связанные с разработкой службы защиты информации

Этапы разработки и функционирования службы	Источники затрат
Анализ состояния защищенности фирмы	- привлечение сотрудников сторонних организаций; - использование собственных сотрудников;
Формирование организационной структуры службы	- услуги специалистов в области организационного проектирования; - услуги специалистов в области защиты информации;
Поиск и подбор специалистов	- услуги средств массовой информации; - услуги кадровых агентств; - услуги специалистов по работе с персоналом ;
Расстановка сотрудников и материальное обеспечение	- аренда или приобретение помещение; - приобретение необходимого для работы сотрудников оборудования;
Процесс функционирования службы	- зарплата и премии сотрудников службы; - замена небезопасного оборудования; - оборудование помещений средствами наблюдения и разграничения доступа; - обучение сотрудников фирмы;

Данный список затрат не является исчерпывающим и формируется исходя из того, на какой фирме служба будет использоваться и какие задачи и функции будет выполнять.

В полнее возможно что для маленькой фирмы хватит одного сотрудника, который будет следить за общим состоянием защищенности и в случае необходимости фирма будет пользоваться услугами сторонних организаций, чего для нее будет вполне достаточно.

В то же время крупная организация будет нуждаться в службе, которая будет иметь сложную организационную структуру, с большим количеством сотрудников, выполняющих все необходимые функции в области защиты информации, необходимых для достижения требуемого состояния защищенности информации на фирме.

Кроме того необходимо учесть, что часть затрат, которая связанна непосредственно с разработкой службы, будет одноразовой.

В самом простом виде затраты можно представить в виде графика (см. рисунок 2)

Размещено на http://www.allbest.ru/

Рисунок 2 - Затраты фирмы при разработке и внедрении службы защиты информации

На рисунке 2 видно, что при разработке и внедрении службы, фирмы понесла определенные убытки, в дальнейшем затраты снизились и остаются относительно постоянными. Периодическое увеличение затрат может быть связанно с внедрением новых средств защиты или использованием услуг сторонних организаций.

Убытки от реализации угроз безопасности.

При реализации угроз безопасности информации, фирма вероятнее всего понесет не однократные убытки, так как в зависимости от вида принесенного ущерба, фирма будет нести убытки в течении довольно большого промежутка времени.

Для определения возможного ущерба необходима смоделировать ситуацию связанную с реализацией угрозы безопасности и учитывая все факторы, проанализировать дальнейший ход событий.

Предположим, что в выше указанной фирме произошла утечка конфиденциальной информации, связанной с методикой производства определенной продукции, полученной в результате разработок сотрудников данной фирмы. Перечисли основные источники получаемых при этом убытков:

- возможная остановка производства, в связи с утерей необходимой информации;

- мероприятия по восстановлению утраченной информации;

- потеря доверия клиентов;

- отказ инвесторов от дальнейшего сотрудничества и утрата доверия возможных инвесторов в будущем;

- потеря сегмента рынка данной продукции, в связи с появлением конкурирующих производителей;

- сокращение персонала и свертывание производства;

- торможение дальнейшего развития фирмы, связанного с восстановлением репутации и отсутствием финансовых средств.

Данный список является не полным и зависит от характера реализованной угрозы.

Представим возможные затраты в графическом виде (см. рисунок 3).

Размещено на http://www.allbest.ru/

Рисунок 3 - Затраты от реализации угрозы

Как видно из рисунка 3 фирма с самого начала может понести большие убытки. И дальнейшее восстановление до исходного состояния может занять довольно большой промежуток времени.

Таким образом, что экономического обоснования необходимо составить планы затрат по первому и второму пункту на определенный промежуток времени, как минимум на 1 год и после сравнения полученных данных делать выводы по дальнейшему внедрению службы. Возможно от определенных составляющих службы придется отказаться в силу малой необходимости и дороговизны. Однако руководство может прийти к выводу что в службе нет большой необходимости и достаточно будет периодически пользоваться услугами сторонних организаций, предоставляющих услуги в сфере защиты информации.

Приведем пример, связанный с экономическим обоснованием создания службы защиты информации на небольшой фирме.

Условия задачи: Разработка и внедрение службы защиты информации в составе одного специалиста в области компьютерной безопасности.

Определим связанные с этим затраты на год вперед.

Одноразовые затраты:

- поиск и отбор кандидата - 15000 р.;

- выделение помещение и оборудование рабочего места - 16000 р.;

- приобретение необходимого технического и программного обеспечения - 60000 р.;

Ежегодные затраты:

- годовая зарплата сотрудника -290000 р.;

- приобретение дополнительного оборудования, технического и программного обеспечения в течении года - 30000 р.;

Таким образом в течении первого года затраты фирмы в среднем составят - 411000 р. В течении следующих лет, при условии что в структуры службы не будет происходить значительных изменений затраты ежегодно будут составлять в среднем 320000 р.