Подбор и расстановка кадров
Управление персоналом на предприятиях и в организациях
Общие положения
Успешная деятельность любого предприятия (организации), в том числе по обеспечению информационной безопасности, зависит от эффективного менеджмента — вида деятельности по руководству людьми (персоналом), по использованию их опыта, квалификации, интеллекта и труда для достижения целей предприятия.
Эффективность менеджмента в области информационной безопасности зависит от таких факторов:
· как организационная структура системы обеспечения информационной безопасности предприятия, характеризуемая гибкостью (оперативностью реагирования на возникающие угрозы безопасности видам информации, имеющим ключевое значение для сохранения конкурентоспособности предприятия, его информационным и коммуникационным системам), комплексностью (учетом внешних и внутренних факторов воздействия на объекты информационной безопасности при формировании структуры системы обеспечения информационной безопасности), качеством управления и исполнения функций управления по обеспечению информационной безопасности;
· уровень, прогрессивности технических решений по обеспечению безопасности информации, применяемых на предприятии;
· выполнение положений законодательства и корпоративных нормативных актов в области обеспечения безопасности информации;
· качество персонала предприятия, характеризуемого прежде всего его лояльностью и квалификацией.
Эффективный менеджмент в области обеспечения информационной безопасности возможен только при условии успешного решения задач подбора и расстановки кадров, мотивации их труда и постоянного повышения квалификации в целях противодействия угрозам информационной безопасности.
Подбор и расстановка кадров
При подборе и расстановке кадров в области обеспечения информационной безопасности предприятия в первую очередь проводятся специальные мероприятия:
· учет вопросов конфиденциальности в традиционных кадровых методиках и процедурах приема и увольнения;
· подготовка нормативно-правовой базы по документированию добровольного согласия работника на определенное ограничение прав, связанное с дополнительным контролем его деятельности в целях обеспечения безопасности предприятия.
Наряду с традиционными кадровыми процедурами, обеспечивающими выполнение требований экономической эффективности бизнес-процессов, должны быть предусмотрены дополнительные меры, соответствующие принятой политике безопасности. К ним, в частности, относится учет личных и деловых качеств кандидата при решении вопроса о приеме на работу.
В качестве методической основы для подготовки соответствующих оценок могут быть использованы организационные схемы (графы). Узлы графов соответствуют определенным рабочим местам (должностям), на которые предполагается назначить кандидата, а дуги — информационным потокам, необходимым для его работы, с указанием ценности информации и соответствующей категории (грифа) ее защиты.
Существует два общих принципа, которые следует иметь в виду при разработке указанных организационных схем.
Первый принцип состоит в следующем: роль и ответственность исполнителей необходимо разделять таким образом, чтобы был обеспечен взаимоконтроль сотрудников за непрерывностью критически важных бизнес-процессов.
Второй принцип заключается в минимизации привилегий исполнителя, т.е. в предоставлении ему только тех прав доступа к нематериальным активам, которые необходимы для выполнения служебных обязанностей.
Хорошей практикой при подборе и расстановке кадров является разработка на основе организационных графов так называемых профессиограмм, в которых наряду с квалификационными требованиями и должностной инструкцией содержится перечень необходимых личных и деловых качеств кандидата, в том числе противопоказания, служащие мотивированным отказом от должности. Очевидно, что с точки зрения обеспечения безопасности личные качества кандидата имеют определенный приоритет по сравнению с профессиональными характеристиками.
При составлении профессиограмм следует обратить внимание на то, что в число противопоказаний не могут быть включены признаки расовой или этнической принадлежности кандидата, его религиозных или политических убеждений и взглядов, сексуальной ориентации и его семейного положения.
Профессиограмма является основой для начала взаимодействия с кандидатом, а также для обоснования особых условий его работы, т.е. дополнительных мер контроля и соответствующего стимулирования, которые включают в трудовой контракт при достижении соглашения между кандидатом и работодателем.
В соответствии с трудовым законодательством нормативно-правовой основой для введения дополнительных ограничений по контролю за деятельностью персонала является соответствующая запись в уставе предприятия о необходимости выполнения требований по безопасности, а также пункты коллективного договора и правил внутреннего распорядка, согласованные с требованиями политики безопасности. Это обусловлено тем, что на основании Конституции Российской Федерации: «каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени» и «каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение данного права допускается только на основании судебного решения». Данная норма не дает работодателю прямого основания для ограничения указанных прав даже в случае потенциальной возможности работы со сведениями, составляющими государственную тайну. Проблема решается путем оформления добровольного согласия кандидата в порядке, установленном внутренними нормативными документами предприятия. Отказ можно считать признаком проявления нелояльности кандидата и основанием для отказа ему в зачислении.
Дополнительные процедуры подбора кандидатов должны обеспечить составление достаточно полного психологического портрета кандидата, его морально-волевых качеств и возможных склонностей к противоправным действиям.
Полный объем таких процедур включает проведение следующих мероприятий.
Верификация сведений о кандидате — тщательное изучение и дополнительная документальная проверка биографических и других сведений, представляемых кандидатом в резюме, анкетах, справках, рекомендательных письмах и т.д. С согласия кандидата проводится также внешняя проверка по учетам правоохранительных органов, по месту жительства, местам предыдущей работы при неукоснительном соблюдении законодательства об оперативно-розыскной деятельности и защите персональных данных. Эти меры позволяют в достаточной степени исключить любые случаи предоставления заведомо ложных данных в целях мошенничества и завышения объективной оценки качеств кандидата. Любое выявленное в ходе проверки отклонение данных, представленных кандидатом, может рассматриваться как противопоказание для его зачисления.
Оценка показателей возможной лояльности и благонадежности кандидата — важный фактор этой стадии отбора. Их условно делят на психологическую удовлетворенность, определяемую степенью нематериальной заинтересованности (любимая работа, хорошие семейные отношения и т.д.), и экономическую, зависящую главным образом от размеров денежного вознаграждения. Очевидно, что указанная совокупность психологической и экономической удовлетворенности находится в достаточно жесткой связи и их оценка зависит от конкретной личности, ее ценностной ориентации и внешних обстоятельств. Тем не менее без информации внешнего характера получить достаточно достоверную характеристику возможной лояльности и благонадежности очень затруднительно.
Психологическое тестирование — использование относительно недорогих методов анализа ответов на специально разработанные в соответствии с достижениями психологической науки вопросники (тесты). На основе этих методов оцениваются такие качества личности, как психо-эмоциональная устойчивость, умственные способности, быстрота реакции на нестандартные ситуации и т.д. Однако, как и всякий подход к оценке человеческих качеств, методы психологического тестирования не дают полного описания личности и в особых случаях (для высшей категории персонала) подкрепляются другими методами исследований.
Графологическая экспертиза — заключение о личных качествах кандидата на основе исследования почерка, являющегося мощным признаком аутентификации личности. Однако данный метод, за исключением подтверждения подлинности собственноручной подписи (кроме мнения эксперта), пока не имеет хорошего обоснования верификации результатов экспертизы.
Психофизиологическое тестирование — исследование личных качеств кандидата путем анализа физиологических изменений (частоты пульса и дыхания, биоритмов, выделения кожных покровов и т.д.) испытуемого при ответах на вопросы, подготовленные и задаваемые экспертом (полиграфологом) по специально разработанным методикам. Физиологические реакции регистрируются датчиками, сигналы которых обрабатываются специальным прибором — полиграфом, более известным как «детектор лжи». Хотя никаких отечественных норм правового регулирования применения полиграфа пока не существует, метод получил достаточно широкое признание в практике антикриминального противодействия как в правоохранительных органах, так и в коммерческих структурах. Считается научно доказанным положение, что опрос с применением полиграфа в аспекте криминалистической экспертизы дает возможность объективного обнаружения и исследования хранящихся в памяти человека следов событий, имевших место в его жизни ранее, либо установления отсутствия таких следов. Экспериментально доказано, что следы событий, хранящиеся в эмоциональной памяти человека, практически неуничтожимы на протяжении всей жизни, по крайней мере на период удаления более чем в 20 лет.
Тем не менее применение полиграфа не является абсолютным методом доказательства преступлений, это частный метод криминалистической профилактики правонарушений, связанных с исполнением служебных обязанностей. Анализ природы явлений, лежащих в основе применения полиграфа для обнаружения скрываемой информации, показывает, что психофизиологическая экспертиза наиболее эффективна при ориентации на оценку достоверности сведений, представляемых испытуемым кандидатом, а в остальных случаях верификация результатов экспертизы достаточно затруднительна.
Каждый из выделенных методов проверки и исследования личных качеств кандидата в отдельности не достаточно эффективен, но их комплексное использование позволяет достигать относительной достоверности сведений о профессиональной пригодности, потенциальной лояльности и благонадежности кандидата, о его творческих способностях и возможности адекватной реакции в экстремальных условиях. Поэтому окончательное решение принимается лишь после серии неформальных собеседований с кандидатом его непосредственного руководителя как представителя работодателя, а также ответственных работников службы безопасности и кадрового подразделения.
Хорошей практикой является временное зачисление кандидата с испытательным сроком и организацией повседневного наблюдения за его деятельностью при выполнении конкретных обязанностей.
Даже краткий обзор методов и средств проверки личных и профессиональных качеств кандидата показывает, что выполнение полного объема процедур подбора с учетом требований обеспечения безопасности требует привлечения значительных ресурсов.
В целях снижения затрат на специальные дополнительные мероприятия целесообразно провести определенное ранжирование должностей по степени возможных угроз и рисков бизнес-процессов.
В зависимости от оценки критичности должности планируется соответствующая совокупность процедур отбора. Так, к высшей категории персонала, который должен пройти полный объем проверочных мероприятий, можно отнести руководство (топ- менеджеров), сотрудников службы безопасности, системных администраторов и администраторов информационной безопасности. К остальным категориям сотрудников можно применять меньший объем процедур проверки, что позволит снизить затраты на выполнение необходимых требований по безопасности.
Специалистами была проанализирована эффективность различных методов и процедур отбора кандидатов. Эффективность оценки по каждой процедуре оценивалась по пятибалльной шкале, а интегральная эффективность представляет собой сумму частных оценок (табл. 1).
Таблица 1 – Результаты сравнительного анализа эффективности различных методов и процедур отбора кандидатов
На основании подобных оценок можно произвести выбор совокупности необходимых процедур в зависимости от категории персонала, отбираемого с учетом выполнения требований обеспечения безопасности.
Все приведенные выше процедуры могут быть использованы не только при подборе кандидатов, но и на всем протяжении «жизненного цикла» деятельности сотрудников на данном предприятии. Возможно проведение внеплановых проверок в случае появления признаков аномальной активности, при перемещении на другую должность и т.д. Важным условием их проведения является четкое выполнение норм трудового законодательства.
Серьезное внимание при управлении персоналом в аспекте обеспечения безопасности необходимо обратить на активное участие служб безопасности в процедурах увольнения сотрудников, особенно по инициативе администрации. Очевидно, что любое увольнение независимо от его причины таит в себе явные угрозы, связанные, в частности, с утечкой значимой информации и/или неправомерным использованием интеллектуальной собственности. Существующее законодательство о труде не дает каких-либо правовых оснований для проведения дополнительных мероприятий специального характера, а мотивация к добровольному сотрудничеству, как правило, отсутствует, за исключением обязательств, принятых на себя работником при приеме на работу или в ходе трудовой деятельности.
До объявления окончательного решения об увольнении по инициативе администрации должна быть проведена дополнительная оценка риска от возможных правонарушений и приняты меры по минимизации возможного ущерба. Лишь с учетом этих сведений может быть принято окончательное решение об увольнении, обязательным элементом которого должно стать собеседование увольняемого с ответственными сотрудниками службы безопасности и кадровых структур. В ходе собеседования в доброжелательной форме работнику напоминают о принятых обязательствах и возможных мерах юридической ответственности. Иногда в качестве одной из дополнительных мер защиты организационного характера рекомендуется оформление в ходе увольнения официальной подписки о неразглашении конфиденциальных сведений. Однако это возможно в случае, если такая процедура была предусмотрена особыми условиями контракта при приеме на работу, но и тогда эффективность ее использования в судебной практике защиты интересов работодателя очень низкая.
При увольнении работника по собственному желанию риск должен оцениваться с учетом истинных причин увольнения, что предполагает дополнительное изучение характера взаимоотношений сотрудника с коллегами, результативности его деятельности, семейного положения, наличия конфликтов личного или служебного характера. Лишь после этого даются рекомендации по удержанию данного работника в коллективе либо по реализации процедуры бесконфликтного увольнения.
Дата добавления: 2016-04-14; просмотров: 1293;