Алавердов Ашот Робертович: доктор экономических наук, профессор, зав. кафедрой управления человеческими ресурсами Московской финансово-промышленной академии. Автор более 40 научных работ, общим объемом 80 печатных листов.

По предметной области дисциплины опубликованы научные работы:

1. Еще раз к вопросу о трудовой ментальности россиян. - «Развитие человеческих ресурсов и профессиональные компетенции»», Ученые записки МФПА, выпуск 1, 2006.

2. Конкуренция на внутрифирменном рынке труда: возможности и опасности для работодателя. – Современная конкуренция, 2006, № 1.

3. Организация и управление безопасностью в кредитно-финансовых организациях: учебно-практическое пособие. – М.: МЭСИ, 2005.

4. Управление персоналом в коммерческом банке. – М.: ООО «Издательская группа БДЦ-пресс», 2003.

5. Управление персоналом: учебное пособие. – М.: Маркет ДС, 2007 (Университетская серия).

Тема 1. Кадровая безопасность организации как объект управления

Вопросы темы:

1. Цель и основные элементы системы обеспечения кадровой безопасности организации, классификация возможных угроз и методов противодействия им.

2. Отраслевая специфика обеспечения кадровой безопасности организаций и ее особенности в современной России.

Цели и задачи:

Цели и задачи изучения данной темы - получение общетеоретических знаний о проблеме кадровой безопасности организации, ее отраслевой и дополнительной отечественной специфики. Серьезное и целенаправленное изучение первой темы познакомит студентов с основными угрозами, которые существуют в современных организациях по кадровому направлению их деятельности, а также с основами понятийного аппарата изучаемой дисциплины.

В результате успешного изучения темы Вы:

Узнаете:

Ø понятие безопасности современной организации и ее роли в ее уставной деятельности;

Ø специфику проблемы обеспечения безопасности по кадровому направлению деятельности организации, взаимосвязь ее с другими аспектами работы на рынке;

Ø состав субъектов и объектов угроз по рассматриваемому направлению, возможные формы их реализации;

Ø перечень основных методов противодействия указанным выше угрозам и их сравнительную эффективность;

Ø особенности обеспечения кадровой безопасности организаций, представляющих основные отрасли экономики;

Ø дополнительную специфику проблемы обеспечения кадровой безопасности организаций в современных отечественных условиях и определяющие эту специфику факторы.

И приобретете следующие профессиональные компетенции:

Ø способность классифицировать угрозы кадровой безопасности организаций по степени вероятности их реализации и масштабам негативных последствий;

Ø умение выбирать методы противодействия, наиболее адекватные той или иной группе угроз;

Ø навыки дифференциации угроз с учетом отраслевой принадлежности конкретной организации;

Ø умение учитывать дополнительные опасности реализации угроз кадровой безопасности отечественных организаций и частично нейтрализовывать их.

В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:

Имущественная безопасность организации - совокупность мер по обеспечению защиты имущества от угрозы насильственного (ограбление) и ненасильственного (кражи) хищения, а также повреждения или уничтожения (саботаж, терроризм).

Информационная безопасность организации - совокупность мер по обеспечению защиты конфиденциальной информации от перехвата, разглашения, искажения или уничтожения.

Клиентская тайна - разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести имущественный или неимущественный ущерб ее клиентам или партнерам по хозяйственной деятельности.

Коммерческая тайна - разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести ей имущественный или неимущественный ущерб как хозяйствующему субъекту.

Конфиденциальная информация - информация, доступ к которой ограничивается в целях защиты коммерческой или клиентской тайны, а также другие сведения, разглашение которых по каким-либо причинам нежелательно для конкретной организации.

Неорганизованная преступность – криминальная деятельность с участием индивидуально действующих злоумышленников (хакеров, взломщиков, мошенников), а также преступных групп, деятельность которых не имеет профессионально организованного характера (например, молодежные преступные группировки).

Организованная преступность - криминальная деятельность с участием организованных преступных групп, особенно опасных в силу высокого профессионализма своих членов и наличия обширных неформальных связей с коррумпированными чиновниками, а также легальным бизнесом.

Человеческий фактор - управленческий термин, используемый для указания на влияние на какой либо процесс или событие участвующего в нем человека или коллектива. В рамках данной дисциплины может использоваться для оценки влияния сотрудника или группы сотрудников организации на ее безопасность.

Для изучения темы:

Ø Прочитайте:

1. Алавердов А. Управление кадровой безопасностью организации: Учебник / Академическая серия – М.: Изд. МАРКЕТ-ДС, 2008 – Тема 1.

2. Бизнес и безопасность. Толковый терминологический словарь. – М.: Бек, 1995 – соответствующие термины.

Обратите внимание на:

§ наличие двух полярных подходов к организации противодействия кадровым угрозам безопасности организации:

§ необходимости защиты сотрудников от возможных угроз;

§ защиты от угроз безопасности организации со стороны собственного персонала;

§ наличие многих подходов к классификации кадровых угроз, каждый из которых может использоваться исходя из текущих потребностей конкретного работодателя;

§ существенную разницу в составе и вероятности реализации кадровых угроз в различных отраслях экономики;

§ возможности и опасности, связанные с отечественной спецификой кадровой безопасности организаций - работодателей.

Ø Ознакомьтесь со следующими дополнительными материалами:

1. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

2. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

Обратите внимание на:

§ прямую зависимость вероятности реализации кадровых угроз в адрес конкретной организации от социальных ценностных ориентиров ее собственников и реализуемой на данной основе кадровой стратегии;

§ влияние трудовой ментальности россиян на теорию и практику управления кадровой безопасностью организации;

§ особенности отечественного трудового законодательства с позиции его влияния на защищенность работодателей от кадровых угроз.

Ø Ответьте на следующие вопросы:

1. Может ли государство в лице своих надзорных, фискальных и правоохранительных органов рассматриваться в качестве субъекта кадровых угроз безопасности коммерческих организаций?

2. Почему информационная безопасность более актуальна для современной организации, чем безопасность имущественная?

3. В чем заключается основное преимущество профилактических методов противодействия кадровым угрозам?

4. Какие отрасли экономики в меньшей степени подвержены кадровым угрозам?

5. Как влияет «философия отечественного предпринимательства» на степень вероятности реализации кадровых угроз?

Теоретический материал по теме

Вопрос 1. Цель и основные элементы системы обеспечения кадровой безопасности организации, классификация возможных угроз и методов противодействия им.

Термин «безопасность» имеет широкое смысловое значение, например, международная безопасность, государственная безопасность, безопасность предприятия, безопасность граждан. Обычно под ней понимается текущая и перспективная защищенность от разнообразных угроз имущественного и неимущественного характера. Кроме того, рассматриваемое понятие включает разнообразные функциональные направления, например, политическую, военную, экологическую безопасность и т.п.

Возможна дифференциация безопасности в зависимости от причин ее нарушения. В частности, выделяются угрозы внешнего характера – со стороны иностранных государств, изменения экономической политики собственного государства, неблагоприятной динамики конъюнктуры рынка и т.п. Угрозу безопасности могут определить и внутренние факторы, например, низкая квалификация собственного персонала или недостаток финансовых ресурсов. Поэтому изучение проблемы обеспечения безопасности осуществляется в рамках многих учебных дисциплин, ориентированных на подготовку специалистов и менеджеров для различных работодателей (государства, предприятий, общественных организаций) и разнообразных специализаций (информационная, экологическая безопасность, безопасность персонала и т.п.).

В рамках настоящей дисциплины рассматривается один из аспектов обеспечения безопасности организации. Он связан с защитой лишь от тех угроз, которые:

во-первых, определены деятельностью юридических и физических лиц, специально направленной на нанесение конкретной организации имущественного или неимущественного ущерба;

во-вторых, связаны с функционированием только одного из направлений деятельности организации, а именно, кадрового направления.

С учетом этого ограничения изучению процесса управления обеспечением кадровой безопасности организации должна предшествовать классификация подобных угроз и методов противодействия им.

классификация угроз кадровой безопасности организации-работодателя.

а). По признаку целевой направленности выделяются: угрозы:

Ø безопасности сотрудников организации, которые могут стать объектами переманивания, вербовки, шантажа, угроз и прямых покушений;

Ø безопасности организации со стороны ее собственных сотрудников, которые в силу своей безответственности или злого умысла способны нанести ущерб ее имущественным и неимущественным интересам.

б). По признаку характера потерь от реализованных угроз выделяются: угрозы:

Ø информационной безопасности, связанные с деятельностью персонала и реализуемые в форме разглашения конфиденциальной информации, а также искажения или уничтожения любых сведений и баз данных, используемых организацией в своей деятельности;

Ø имущественной безопасности, связанные с деятельностью персонала и реализуемые в форме хищения или умышленного повреждения (уничтожения) различных элементов имущества организации – от элементов основных фондов до наличных денежных средств.

в). По признаку источника угрозы (субъекта) выделяются: угрозы со стороны:

Ø конкурентов (причем как самой организации - работодателя, так и ее клиентов или партнеров) стремящихся к усилению собственных позиций на соответствующем рынке путем использования методов недобросовестной конкуренции, например, деловой разведки, переманивания высококвалифицированных сотрудников, дискредитации соперника в глазах партнеров и государственных структур;

Ø криминальных структур и отдельных злоумышленников, стремящихся к достижению собственных целей, находящихся в противоречии с интересами конкретной организации - работодателя или ее клиентов, например, захвату контроля над ним, хищению имущества, нанесению иного ущерба;

Ø угрозы со стороны государства в лице уполномоченных надзорных, регулирующих, фискальных и правоохранительных органов, деятельность которых в некоторых случаях может вызывать угрозы по кадровому направлению работы коммерческих организаций;

Ø сотрудников организации, осознанно или в силу общей безответственности наносящих ущерб ее безопасности ради достижения личных целей, например, минимизации трудовых усилий, улучшения материального положения, карьерного роста, мщения работодателю за реальные или мнимые обиды и т.п.

г). По экономическому характеру угрозы выделяются: на угрозы:

Ø материального характера, наносящие организации прямой и легко исчисляемый финансовый ущерб, например, похищенные денежные средства и товарно-материальные ценности, сорванный контракт, примененные штрафные санкции;

Ø нематериального характера, точный размер ущерба от реализации которых обычно невозможно точно определить, например, сокращение обслуживаемого рынка, ухудшение имиджа организации в глазах ее клиентов и деловых партнеров, утеря ценного специалиста.

д). По вероятности практической реализации выделяются: угрозы:

Ø потенциальные, практическая реализация которых на конкретный момент имеет лишь вероятностный характер (соответственно, у субъекта управления есть время на их профилактику или подготовку к отражению);

Ø реализуемые, негативное воздействие которых на деятельность субъекта управления находится в конкретный момент в различных стадиях развития (соответственно, у субъекта имеются шансы на их оперативное отражение в целях недопущения или минимизации конечного ущерба);

Ø реализованные, негативное воздействие которых уже закончилось и ущерб фактически нанесен (соответственно, субъект управления имеет возможность лишь оценить ущерб, выявить виновников и подготовиться к отражению подобных угроз в дальнейшем).

Предметная классификация методов противодействия угрозам кадровой безопасности работодателя.

а). По признаку времени реализации выделяются: методы:

Ø профилактические или превентивные, которые используются для предотвращения потенциальных угроз или на стадии зарождения;

Ø пресекающие или отражающие, которые используются для противодействия уже реализуемым угрозам с целью полного предотвращения или минимизации связанного с ними ущерба;

Ø карающие или репрессивные, которые используются для наказания виновников уже реализованных угроз и имеют целью не столько возмещение уже нанесенного организации ущерба, сколько предупреждение реализации аналогичных угроз в дальнейшем.

б). По признаку характера действия выделяются: методы:

Ø административного характера, предполагающие принятие руководством организации тех или иных административных решений, направленных либо на профилактику потенциальных угроз, либо на наказание их виновников;

Ø экономического характера, либо создающие необходимую мотивацию у сотрудников как потенциальных объектов угроз, либо реализуемые в виде санкций к сотрудникам как субъектам угроз;

Ø психологического характера, используемые преимущественно для профилактики возможных угроз и имеющие как коллективную, так и индивидуальную направленность.

в). По признаку степени легитимности выделяются:

Ø методы легитимного характера, реализация которых не противоречит не только действующему законодательству, но и нормам предпринимательской этики в области трудовых и конкурентных отношений;

Ø методы нелегитимного характера, реализация которых всегда противоречит нормам предпринимательской этики, реже предполагает определенные нарушения действующего законодательства, не связанные с привлечением виновных к уголовной ответственности;

Ø криминальные методы, факт реализации которых всегда предполагает привлечение виновных к уголовной ответственности.

Вопрос 2. Отраслевая специфика обеспечения кадровой безопасности организаций и дополнительные особенности ее в современной России.

В различных сферах профессиональной деятельности угрозы кадровой безопасности организаций имеют отраслевую специфику, определяемую следующими основными факторами:

Ø различная вероятность реализации угроз со стороны той или иной категории потенциальных злоумышленников;

Ø различная вероятность реализации угроз в отношении тех или иных объектов защиты;

Ø различная вероятность реализации тех или иных форм угроз.

Указанную выше специфику отражает представленная ниже таблица:

Основные сферы профессиональной деятельности

Специфика проявления основных элементов

Ранжированный перечень субъектов угроз

Ранжированный перечень объектов угроз

Ранжированный перечень форм реализации угроз

Реальный сектор экономики

Ø собственные сотрудники;

Ø конкуренты;

Ø товарно-материальные ценности;

Ø технологическая информация

Ø мелкие хищения;

Ø разглашение конфиденциальной информации

Сфера торговли и бытового обслуживания

Ø собственные сотрудники;

Ø конкуренты;

Ø криминал

Ø товарно-материальные ценности;

Ø коммерческая информация

Ø хищение товаров и денежных средств;

Ø разглашение конфиденциальной информации;

Ø соучастие в кражах и ограблениях

Финансовый сектор экономики

Ø собственные сотрудники;

Ø конкуренты клиентов;

Ø собственные конкуренты;

Ø криминал

Ø финансовая информация о клиентах;

Ø финансовая информация организации;

Ø безналичные денежные средства клиентов и самой организации

Ø разглашение конфиденциальной информации;

Ø хищение денежных средств;

Ø соучастие в ограблениях

Сфера науки и научного обслуживания

Ø конкуренты;

Ø собственные сотрудники

Ø научная информация;

Ø ведущие ученые

Ø разглашение конфиденциальной информации;

Ø переманивание сотрудников конкурентами

Сфера государственного управления

Ø собственные сотрудники;

Ø коммерческие структуры

Ø конфиденциальная информация о контролируемых организациях;

Ø ведущие менеджеры и специалисты

Ø коррупция сотрудников;

Ø вербовка сотрудников;

Ø переманивание сотрудников

Военно-промышленный комплекс

Ø иностранные спецслужбы

Ø собственные сотрудники;

Ø научно-техническая информация;

Ø технологическая информация

Ø вербовка сотрудников;

Ø разглашение информации

Дополнительно отечественная специфика характеризуется большей степенью вероятности реализации угроз по кадровому направлению деятельности организации, что определяется действием двух факторов.

Первым фактором является трудовая ментальность россиян, особенности которой несколько снижают их лояльность работодателю, а главное – ответственность за соблюдение принятых на себя трудовых обязательств, в том числе, в части обеспечения его информационной и имущественной безопасности. Наиболее характерными чертами трудовой ментальности выступают:

Ø позиционирование трудовой деятельности как второстепенной по значимости в системе жизненных ценностей и приоритетов, определяющее меньшую степень мотивированности сотрудника к полноценному соблюдению условий найма из-за страха потерять работу;

Ø позиционирование работодателя в качестве, скорее социального противника, чем социального партнера, определяющее психологическую готовность к умышленному нанесению ему имущественного или неимущественного ущерба в целях «восстановления социальной справедливости» или личной мести;

Ø развитое чувство коллективизма и солидарности с коллегами по работе, определяющее тенденцию к сокрытию информации о допущенных ими нарушений в области безопасности от руководства, а иногда - готовность к прямому соучастию в таких нарушениях.

Вторым фактором является «философия» отечественного предпринимательства, влияние которой на организацию внутрифирменных трудовых отношений часто прямо провоцируют персонал к различным проявлениям нелояльности к собственному работодателю. В частности, характерными чертами такой «философии» выступает:

Ø общая ориентация на допустимость использования методов недобросовестной конкуренции, в том числе – активного переманивания наиболее ценных сотрудников у конкурентов;

Ø позиционирование персонала в качестве одного из многих видов ресурсов, потребляемых организацией в процессе осуществления своей уставной деятельности, а не в качестве «человеческого капитала», развитие которого нуждается в постоянных целевых инвестициях;

Ø стремление минимизировать собственные издержки по кадровому направлению деятельности, в том числе путем экономии затрат на специальное обучение сотрудников, а также формирование в трудовом коллективе отношений корпоративного духа;

Ø недостаточное внимание к эффективности функционирующей в организации системы персонального менеджмента, особенно в области организации мотивации персонала и персонифицированного контроля;

Ø игнорирование требования современной теории управления персоналом, связанного с необходимостью наличия у действующих и потенциальных менеджеров определенных личностных качеств, отсутствие которых неизбежно приводит к регулярным конфликтам с подчиненными, провоцируя их недовольство работодателем.

Для подготовки к семинару:

1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:

1. Почему угрозы информационной безопасности со стороны собственного персонала представляют для работодателя большую опасность, чем угрозы имущественной безопасности?

2. Почему угроза разглашения сотрудником конфиденциальной информации о клиентах организации представляет для нее большую угрозу, нежели разглашение иной конфиденциальной информации?

3. Какими средствами располагает государство для повышения степени защищенности работодателей от угроз по кадровому направлению их деятельности?

4. Как работодатель должен учитывать особенности национальной трудовой ментальности россиян при обеспечении безопасности по кадровому направлению деятельности организации?

5. Какие требования доктрины «развития человеческого капитала организации» имеют прямое отношение к проблеме обеспечении безопасности по кадровому направлению ее деятельности?

2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:

1. «Человеческий фактор» в системе обеспечения безопасности современной организации.

2. Влияние трудовой ментальности россиян на проблему обеспечения безопасности организации.

3. Влияние философии отечественного предпринимательства на проблему обеспечения безопасности организации.

4. Конкуренция и проблема обеспечения кадровой безопасности современной организации.

5. Отраслевая специфика обеспечения безопасности по кадровому направлению деятельности в организациях, представляющих реальный сектор экономики.

6. Отраслевая специфика обеспечения безопасности по кадровому направлению деятельности в организациях, представляющих военно-промышленный комплекс.

7. Отраслевая специфика обеспечения безопасности по кадровому направлению деятельности в организациях, представляющих финансовый сектор экономики.

8. Отраслевая специфика обеспечения безопасности по кадровому направлению деятельности в организациях, представляющих сферу торговли и бытового обслуживания.

9. Отраслевая специфика обеспечения безопасности по кадровому направлению деятельности в организациях, представляющих сферу науки и научного обслуживания.

10. Отраслевая специфика обеспечения безопасности по кадровому направлению деятельности в органах государственного управления.

Для подготовки к консультации: выпишите вопросы, ответы на которые вызвали у вас затруднение и требуют дополнительной консультации преподавателя.

Тема 2. Система управления кадровой безопасностью организации

Вопросы темы:

1. Структура системы управления кадровой безопасностью.

2. Стратегические подходы к обеспечению кадровой безопасности.

3. Служба безопасности организации и ее функции в рамках системы.

4. Распределение полномочий и ответственности между инстанциями в системе управления кадровой безопасностью.

5. Методические требования к системе управления кадровой безопасностью и критерии оценки ее эффективности.

Стратегические подходы к обеспечению кадровой безопасности: общая стратегия обеспечения безопасности, подходы к организации службы безопасности и взаимодействию со сторонними детективными агентствами.

Структура системы управления кадровой безопасностью: субъекты управления операционные подсистемы, блок обеспечения.

Распределение полномочий и ответственности между инстанциями в системе управления кадровой безопасностью: собственники и топ-менеджмент организации, служба безопасности, кадровая служба, руководители структурных подразделений.

Методические требования к системе управления кадровой безопасностью и критерии оценки ее эффективности.

Цели и задачи:

Цели и задачи изучения темы - получение общетеоретических знаний о системе управления кадровой безопасностью современной организации как необходимом элементе комплексной системы корпоративного менеджмента. Серьезное и целенаправленное изучение темы познакомит студентов с основными элементами рассматриваемой системы, методическими требованиями к ее формированию, распределением функциональных обязанностей, полномочий и ответственности между субъектами управления.

В результате успешного изучения темы Вы:

Узнаете:

Ø что такое общая стратегия управления кадровой безопасностью организации, с какими возможностями и опасностями связана реализация того или иного ее варианта;

Ø какие стратегические подходы должны быть заложены в данной стратегии;

Ø состав операционных подсистем и блока обеспечения системы;

Ø состав участников управления и их функции;

Ø какие требования необходимо соблюдать при формировании и эксплуатации данной системы.

И приобретете следующие профессиональные компетенции:

Ø способность выбирать вариант общей стратегия управления кадровой безопасностью исходя из особенностей функционирования конкретной организации;

Ø умение оценить полноту и достаточность ресурсного обеспечения данной системы;

Ø навыки распределения функций и полномочий между субъектами управления кадровой безопасностью организации;

Ø умение оценивать возможные угрозы от игнорирования тех или иных требований к организации и эксплуатации системы.

В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:

Вневедомственная охрана – подразделение МВД РФ уполномоченное на договорной основе оказывать охранные услуги юридическим и физическим лицам.

Детективное агентство - специализированная коммерческая структура, оказывающая своим клиентам различные услуги по обеспечению безопасности в рамках, регламентированных Законом РФ «О частной детективной и охранной деятельности в РФ».

Информационно-аналитический отдел – структурное подразделение службы безопасности организации, основной задачей которого является сбор и анализ информации о возможных угрозах ее безопасности, а также разработка рекомендаций по защите от них.

Служба безопасности – специализированное структурное подразделение организации, созданное для обеспечения ее защиты от возможных угроз (организационная структура, функции, полномочия, выделяемые ресурсы данной штабной инстанции зависят от избранного конкретной организацией варианта стратегии собственной безопасности).

Служба режима - структурное подразделение службы безопасности организации, основной задачей которого является определение внутренних норм и правил обеспечения безопасности и контроль над соблюдением их сотрудниками.

Служба физической защиты - структурное подразделение службы безопасности организации, основными задачами которого является защита должностных лиц (группа телохранителей) и имущественных комплексов.

Стратегия адекватного ответа на угрозы - один из вариантов стратегии обеспечения кадровой безопасности организации, предполагающий возможность использования всего комплекса легитимных методов профилактики и отражения потенциальных угроз.

Стратегия пассивной защиты от угроз - один из вариантов стратегии обеспечения кадровой безопасности организации, предполагающий приоритетную ориентацию на защиту со стороны государства в лице правоохранительных и судебных органов.

Стратегия управления кадровой безопасностью – одно из направлений стратегии организации, определяющее совокупность долгосрочных целей и управленческих подходов, реализация которых обеспечивает ее защиту от угроз разглашения конфиденциальной информации, а также нанесения ей любых других форм ущерба имущественного и неимущественного характера.

Стратегия упреждающего противодействия угрозам - один из вариантов стратегии обеспечения безопасности организации, предполагающий возможность использования наиболее активных и не всегда легитимных методов профилактики и противодействия возможным угрозам.

Частное охранное предприятие (ЧОП) - специализированная коммерческая структура, оказывающая своим клиентам различные услуги по обеспечению безопасности их имущества и персонала в рамках, регламентированных Законом РФ «О частной детективной и охранной деятельности в РФ».

Для изучения темы:

Ø Прочитайте:

1. Алавердов А. Управление кадровой безопасностью организации: Учебник / Академическая серия – М.: МАРКЕТ-ДС, 2008 – Тема 2.

2. Бизнес и безопасность. Толковый терминологический словарь. – М.: Бек, 1995 – соответствующие термины.

Обратите внимание на:

§ наличие двух полярных стратегий в области обеспечения кадровой безопасности организации – стратегии упреждающего противодействия угрозам и пассивной защиты от них;

§ необходимость четко структурированного блока ресурсного обеспечения системы как необходимого условия ее эффективного функционирования;

§ возможные причины привлечения сторонних детективных агентств к противодействию кадровым угрозам даже в крупных компаниях;

§ возможные негативные последствия, связанные с отсутствием четких ограничений полномочий службы безопасности.

Ø Ознакомьтесь со следующими дополнительными материалами:

1. Бородин И. Концепция корпоративной безопасности // Материалы международной научно-практической конференции: проблемы корпоративной безопасности, Одесса: «Консалтинг», 1998.

2. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: Изд. «КноРус», 2005.

3. Дзлиев М.И. Предпринимателю. Как избежать опасности. М.: Экономика, 2006.

Обратите внимание на:

§ тесную взаимосвязь двух направлений стратегии современной организации – в области управления ее безопасностью и ее персоналом;

§ особые полномочия руководителя службы безопасности организации при реализации ею стратегии упреждающего противодействия возможным угрозам;

§ варианты финансирования различных расходов в повседневной деятельности службы безопасности организации;

§ угрозу системных неформальных противоречий между службой безопасности и руководителями других структурных подразделений;

§ необходимость четкой регламентации не только функций, но и ответственности за их нарушения для задействованных в системе управления кадровой безопасностью организации должностных лиц и инстанций.

Ø Ответьте на следующие вопросы:

1. В каких организациях целесообразно использование стратегии упреждающего противодействия угрозам?

2. В каких организациях целесообразно использование стратегии пассивной защиты от возможных угроз?

3. Каким организациям целесообразно полностью отказаться от услуг частных детективных и охранных агентств?

4. Каким организациям целесообразно передать основные функции по обеспечению защиты от кадровых угроз частным детективным и охранным агентствам?

5. Какие критерии могут использоваться для оценки работы службы безопасности организации?

Теоретический материал по теме

Вопрос 1. Структура системы управления кадровой безопасностью в современной организации.

Обеспечение собственной безопасности, в том числе кадровой, является одним из стандартных направлений деятельности любой современной организации. Соответственно система управления позиционируется ею в качестве одного из необходимых элементов комплексной системы корпоративного менеджмента. Типовая структура рассматриваемой системы включает три основных элемента.

Стратегия управления кадровой безопасностью – совокупность долгосрочных целей и управленческих подходов, реализация которых обеспечивает защиту организации от любых потенциальных угроз, связанных с функционированием кадрового направления ее деятельности.

Рассматриваемая стратегия может быть реализована на основе одного из трех следующих вариантов:

Вариант 1. Стратегия упреждающего противодействия угрозам.

Принципы реализации:

Ø приоритет профилактических методов противодействия возможным угрозам;

Ø возможность применения нелегитимных методов.

Преимущества варианта:

Ø возможность эффективного решения возникающих у организации проблем, связанных с обеспечением собственной безопасности, практически без участия государства;

Ø возможность обеспечения эффективной поддержки других направлений внутрикорпоративного менеджмента.

Недостатки варианта:

Ø высокая вероятность конфликтов с действующим законодательством, конкурентами и собственными сотрудниками;

Ø необходимость дорогостоящей ресурсной поддержки – финансовой, кадровой, материально-технической.

Рекомендации по применению:

Ø корпорации, занимающие лидирующие позиции на обслуживаемом высоко конкурентом рынке;

Ø высокорентабельные организации, работающих в условиях жесткого прессинга со стороны конкурентов или криминальных структур.

Вариант 2: Стратегия пассивной защиты от угроз.

Принципы реализации:

Ø приоритетная ориентация на защиту со стороны государства в лице правоохранительных и судебных органов;

Ø минимизация собственных затрат по рассматриваемому направлению деятельности.

Преимущества варианта:

Ø минимальные затраты на практическую реализацию стратегии;

Ø отсутствие угрозы конфликтов и связанных с ними проблем в отношениях с конкурентами, государством, собственным персоналом.

Недостатки варианта:

Ø полная зависимость безопасности организации от эффективности деятельности правоохранительных органов государства;

Ø ориентация на методы противодействия уже реализованным угрозам, которые являются менее эффективными по сравнению с профилактическими и пресекающими.

Рекомендации по применению:

Ø для небольших организаций, работающих на наименее конкурентных рынках;

Ø для организаций, находящихся в собственности государства или под непосредственным патронажем органов государственного управления.

Вариант 3: Стратегия адекватного ответа на угрозы.

Принципы реализации:

Ø предполагает возможность использования службой безопасности всего комплекса легитимных методов профилактики и отражения потенциальных угроз;

Ø в порядке исключения допускается использование и не полностью легитимных методов, но лишь в отношении тех конкурентов или иных источников угроз, которые первыми применили подобные методы.

Данный вариант является компромиссом между первым и вторым вариантами, смягчая их радикальные недостатки, но и не позволяя в полной мере использовать преимущества.

Рекомендуется для большинства современных работодателей.

Факторы, определяющие выбор варианта общей стратегии управления кадровой безопасностью организации:

Ø отрасль или сфера деятельности организации;

Ø степень агрессивности конкурентной стратегии организации;

Ø степень легитимности бизнеса организации;

Ø финансовые возможности организации по обеспечению безопасности;

Ø квалификация персонала службы безопасности;

Ø наличие поддержки со стороны органов государственной власти.

Операционные подсистемы - это самостоятельные элементы системы управления, каждый из которых направлен на решение формализованного перечня однотипных задач по обеспечению кадровой безопасности организации. Отражая установленные стратегией управления цели и приоритеты, операционные подсистемы имеют своими объектами:

Ø противодействие угрозам безопасности сотрудников организации;

Ø противодействие угрозам безопасности организации со стороны ее сотрудников.

В соответствии с методологией менеджмента при формировании операционных подсистем необходимо соблюдать следующие общие требования:

Ø подсистемы не могут содержать элементов (методов, процедур и т.п.), практическое функционирование которых может объективно затруднить эксплуатацию смежных подсистем;

Ø общая структура каждой из подсистем должна соответствовать следующей типовой схеме: «определение целей процесса - планирование и организация процесса - оперативное управление процессом - оценка результатов процесса путем сопоставления их с ранее запланированными целями»;

Ø формализованное закрепление функций, связанных с эксплуатацией подсистем, за соответствующими руководителями и специалистами, как штабных, так и коммерческих подразделений организации, включая и механизм персонифицированной ответственности за их выполнение.

Блок обеспечения является необходимой частью любой системы управления, формируя исходные условия для эффективного управления. В системе управления кадровой безопасности он включает в себя несколько направлений.

а). Информационное обеспечение системы управления кадровой безопасностью, которое включает три компонента:

Ø используемые в рамках системы методы и конкретные процедуры получения субъектами управления необходимой первичной информации;

Ø формализованные каналы прохождения информации в рамках системы, которые определяют маршрут движения ранее собранной информации по инстанциям (принципиальная схема: «от кого - кому - в какой форме - в какие сроки»);

Ø базы данных, связанных с любыми проблемами внутренней и внешней кадровой безопасности, которые накапливаются и обновляются в течение всего периода функционирования конкретной организации и используются при формировании управленческих решений любого уровня.

б). Нормативно-методическое обеспечение включает комплект внешних и внутренних регламентов, используемых в процессе управления рассматриваемым направлением деятельности, а также документов рекомендательного, т.е. не директивного характера. К внешним регламентам относятся законодательные (например, Закон РФ «О частной детективной и охранной деятельности в РФ») и подзаконные (например, Постановление Правительства РФ «О перечне сведений, которые не могут составлять коммерческую тайну») акты. К внутренним регламентам и рекомендациям относятся любые постоянно действующие документы, разработанные в рамках конкретной организации и введенные в соответствии с действующим в ней порядком – инструкции, приказы, распоряжения и т.п. Единственным ограничением при разработке внутренних регламентов является их хотя бы формальное соответствие (непротиворечивость) действующему законодательству.

в). Технологическое обеспечение определяется как совокупность формализованных технологий обеспечения безопасности организации от различных видов кадровых угроз. Их наличие является основной предпосылкой эффективности управления, поскольку позволяет четко определить:

· непосредственных участников (инстанции и рабочие места, принимающие участие в описываемой операции по защите от конкретной угрозы);

· управленческие процедуры (мероприятия, осуществляемые в рамках операции);

· типовые сроки по операции в целом и каждой управленческой процедуре в отдельности;

· ответственность участников за нарушение описываемой технологии.

г). Инструментальное обеспечение определяется как совокупность прикладных методов управления, используемых в рамках системы. Классификация этих методов по различным признакам была проведена в первой теме настоящего материала.

д). Кадровое обеспечение определяется как полностью укомплектованный штат службы безопасности, включающий в себя три квалификационные категории работников:

Ø менеджеры, т.е. руководители различного уровня – от возглавляющего рассматриваемое направление вице-президента до бригадира смены охранников;

Ø эксперты, т.е. высококвалифицированные сотрудники службы безопасности, специализирующиеся на определенных направлениях ее обеспечения (аналитики, разработчики специальных программных средств и т.п.), но не выполняющие при этом прямых управленческих функций;

Ø исполнители (охранники, ремонтники спецоборудования и др.).

е). Финансовое обеспечение определяется как совокупность финансовых ресурсов, выделяемых на поддержание и развитие рассматриваемого направления (приобретение спецоборудования, зарплата персонала, оплата информации и т.п.).

Оценка эффективности управления кадровой безопасностью является необходимым элементом рассматриваемой системы. Она позволяет решить несколько прикладных задач, в частности, осуществлять статистический анализ вероятности негативной реализации тех или иных угроз, а также объективно оценивать результативность деятельности службы безопасности. В отличие от большинства других направлений менеджмента здесь не всегда можно точно подсчитать обеспеченный экономический эффект. В частности, затруднительно определить возможные потери от своевременно пресеченных угроз. По некоторым видам угроз, например в адрес сотрудников организации, прямой эффект невозможно рассчитать в принципе. Поэтому приходится опираться на результаты не только прямой, но и косвенной оценки. Ниже приводится перечень критериев, которые целесообразно использовать для решения этой задачи:

Ø общее количества выявленных угроз, с дифференциацией на угрозы, пресеченные в полном объеме, лишь частично, негативно реализованные в полном объеме (в динамике в сравнении с предыдущими периодами);

Ø прямой финансовый ущерб, нанесенный организации в результате частично и полностью реализованных угроз;

Ø потенциальный ущерб, который могли бы нанести организации полностью или частично пресеченные угрозы;

Ø результаты реализации плановых профилактических мероприятий;

Ø отсутствие обоснованных претензий к службе безопасности со стороны правоохранительных органов, собственных подразделений и отдельных сотрудников.

Вопрос 2. Служба безопасности современной организации.

В организационной структуре управления банком служба безопасности выступает в качестве одного из штабных, т.е. наделенных распорядительными полномочиями, подразделений. Она несет основную ответственность за эффективную защиту имущественных и неимущественных интересов организации от рассматриваемого в настоящем курсе перечня угроз, получая для этого необходимые ресурсы и полномочия.

В некоторых организациях для решения соответствующих задач привлекаются сторонние специализированные структуры в лице:

· вневедомственной охраны МВД РФ;

· частных охранных предприятий и детективных агентств.

Стратегические подходы к организации службы безопасности.

Первый подход предполагает полный отказ от услуг сторонних специализированных структур и формирование полноценной (по функциям) собственной службы безопасности.

Преимущества подхода:

Ø большая степень доверия к штатным сотрудникам;

Ø высокая степень мотивированности к эффективной работе.

Недостатки подхода:

Ø высокий уровень затрат на содержание подобной службы;

Ø объективные сложности с комплектацией ее высококвалифицированными сотрудниками всех необходимых специальностей.

Рекомендации по применению: для организаций, реализующих стратегию упреждающего противодействия угрозам.

Второй подход предполагает минимизацию штатных сотрудников службы безопасности, с возложением основных ее функций на сторонние специализированные структуры, привлекаемые на договорной основе.

Преимущества подхода:

Ø меньшая капиталоемкость;

Ø возможность для руководства организации снять с себя ответственность за нелегитимные действия привлеченного частного агентства.

Недостатки подхода:

Ø меньшая степень доверия к сторонним для организации сотрудникам;

Ø меньшая оперативность системы управления безопасностью.

Рекомендации по применению: для организаций, реализующих стратегию пассивной защиты от угроз.

Третий подход предполагает возможность ограниченного использования услуг специализированных частных структур для выполнения локальных задач, обычно сомнительных с позиции их легитимности.

Данный вариант является компромиссом между первым и вторым вариантами, смягчая радикальные недостатки, но и не позволяя в полной мере использовать их преимущества.

Рекомендуется для большинства современных работодателей.

Контроль над деятельностью службы безопасности осуществляется по трем направлениям:

Ø со стороны правоохранительных органов (отсутствие нарушений законодательства при исполнении службой безопасности своих функций);

Ø со стороны руководства организации (эффективность исполнения установленных ей функций и отсутствие фактов превышения установленных полномочий);

Ø в режиме внутреннего контроля в рамках самой службы (по аналогу с деятельностью службы собственной безопасности в государственных правоохранительных органах).

Основные структурные подразделения службы безопасности (при формировании ее путем реализации первого стратегического подхода):

Ø информационно – аналитический отдел, выполняющий функции «мозгового центра», в который стекается и анализируется вся информация об ее деятельности, а также формируются рекомендации для руководства и других подразделений банка;

Ø отдел информационной безопасности, деятельность которого направлена на защиту любой конфиденциальной информации банка;

Ø отдел физической защиты, деятельность которого направлена на защиту имущества и персонала банка и включающий в себя службу телохранителей и патрульно-постовую службу;

Ø отдел собственной безопасности обеспечивает защиту от угроз со стороны некомпетентных или нелояльных работников самой службы безопасности.

Основные направления взаимодействия службы безопасности с другими подразделениями банка:

а). Взаимодействие с маркетинговой службой:

Ø совместное изучение и анализ конкурентов, подготовка аналитических обзоров и рекомендаций для руководства и подразделений организации;

Ø выполнение специальных поручений по сбору дополнительной информации об отдельных клиентах и партнерах организации (в том числе и потенциальных).

б). Взаимодействие со службой персонала:

Ø проведение специальных проверок при найме новых сотрудников по заявке службы персонала;

Ø участие в первичном обучении вновь нанятых сотрудников;

Ø координация действий по контролю над лояльностью персонала и соблюдением им правил обеспечения безопасности работодателя.

в). Взаимодействие с финансовой службой:

Ø передача и обоснование заявок на финансовые ресурсы, необходимые для подразделения, отчеты об использовании выделенных средств;

Ø совместное расследование фактов нарушений корпоративной финансовой дисциплины (в случае прямых хищений и растрат).

г). Взаимодействие со службой информационных технологий:

Ø совместные действия по защите компьютерных сетей организации от несанкционированного проникновения и повреждения;

Ø при разработке службой компьютерного обеспечения новых программных продуктов – проверка их защищенности от соответствующих угроз.

Вопрос 3. Распределение функций, полномочий и ответственности между инстанциями в системе управления кадровой безопасностью.

Эффективное противодействие рассматриваемым угрозам, как уже отмечалось, не может быть реализовано силами исключительно службы безопасности. К решению этой задачи подключены все должностные лица организации и некоторые штабные инстанции. Для предотвращения возможности дублирования функций и пересечения сфер компетенции одним из методических требований к организации системы управления кадровой безопасностью является четкая дифференциация функций, полномочий и ответственности основных участников.

На топ-менеджмент организации (в сфере малого и среднего бизнеса – непосредственно на собственников) возложены:

Ø выбор базовой концепции организации внутрифирменных трудовых отношений;

Ø утверждение общей стратегии управления безопасностью;

Ø выделение необходимых ресурсов;

Ø контроль над общей эффективностью системы.

На службу безопасности организации возложены:

Ø разработка и практическая реализация стратегии управления кадровой безопасностью;

Ø методическое руководство деятельностью других подразделений организации;

Ø специальное обучение персонала организации;

Ø общий мониторинг соответствующего направления деятельности других подразделений организации;

Ø организация служебных расследований;

Ø выполнение соответствующих заявок со стороны других подразделений, включая службу персонала;

Ø общая ответственность за эффективность системы управления.

На службу персонала организации возложены:

Ø реализация установленных функций по обеспечению должной ответственности и лояльности персонала;

Ø общая ответственность за эффективное противодействие угрозе переманивания сотрудников;

Ø оперативное взаимодействие со службой безопасностью.

На руководителей структурных подразделений организации возложены:

Ø текущая работа по специальному обучению своих подчиненных;

Ø текущий контроль над соблюдением подчиненными правил обеспечения безопасности;

Ø оперативное взаимодействие со службой безопасностью.

Вопрос 4. Методические требования к организации и эксплуатации системы управления кадровой безопасностью.

Главным из них выступает системный подход к проблеме обеспечения кадровой безопасности. Под этим понимается недопустимость акцентирования усилий службы безопасности на отражении какого-либо одного или нескольких видов потенциальных угроз в ущерб остальным. Нарушение данного требования до настоящего времени характерно для многих отечественных организаций и определяется, чаще всего, прежней областью профессиональной деятельности руководителя, например, рассматриваемого направления, в результате в системе защиты безопасности возникают уязвимые места, которые и могут использоваться злоумышленниками. Очевидно, что указанное требование не должно противоречить с рассмотренным ниже принципом рационального ранжирования потенциальных угроз.

Вторым требованием определяется приоритет мероприятий по предотвращению потенциальных угроз (т.е. методов профилактического характера). Оно не требует дополнительных обоснований уже в силу обеспечиваемой возможности не допустить ущерба в принципе, тогда как прочие методы в лучшем случае позволяют его сократить или наказать виновников.

Третьим требованием выступает ориентированность системы на обеспечение приоритетной защиты конфиденциальной информации и лишь затем иных объектов потенциальных угроз. Роль информации и информационных технологий в функционировании современной цивилизации, государства, отдельных организаций последовательно увеличивается. Для все большего числа хозяйствующих субъектов утеря или разглашение информации становится более значимой потерей, чем хищение денежных средств и материальных ценностей. Появление и развитие глобальных компьютерных сетей определило появление еще одного источника постоянных угроз информационной безопасности – несанкционированное проникновение в базы данных. Хакерство из экзотической формы интеллектуальной деятельности ограниченного контингента специалистов по разработке программных средств уже в конце 70-х годов превратилась в новую профессиональную специализацию для работников не только государственных спецслужб, но и частного, в том числе и криминального, бизнеса. Наблюдаемый в последние десятилетия резкий рост как общей номенклатуры угроз информационной безопасности, так и масштаба потерь от них, определяет необходимость реализации данного требования.

Четвертым требованием является непосредственное участие в обеспечении кадровой безопасности организации всех ее должностных лиц в рамках установленной им компетенции и ответственности. Структура возможных угроз по кадровому направлению деятельности исключает возможность эффективного противодействия им силами исключительно сотрудников службы безопасности. Поэтому важнейшим условием обеспечения безопасности организации выступает воспитание в трудовом коллективе соответствующей идеологии и обучение его членов методам профилактики и пресечения наиболее вероятных угроз.

Пятым требованием выступает обеспечение взаимодействия системы управления кадровой безопасностью с другими направлениями менеджмента. Указанное требование реализуется как на стратегическом, так и на оперативном уровне системы управления. Нарушение его может привести к крайне негативным последствиям. В случае, когда при разработке смежных систем управления (например, финансового менеджмента или маркетинга) будут нарушены требования со стороны рассматриваемой системы, резко увеличивается вероятность негативной реализации соответствующих угроз. В свою очередь, нормальное функционирование смежных систем управления будет постоянно нарушаться, если управление безопасности будет организовано по принципу самодостаточности – «безопасность ради самой безопасности». Таким образом, комплексная система управления должна формироваться с учетом обеспечения относительного паритета или баланса интересов каждого из направлений деятельности организации.

Шестым требованием является соразмерность затрат на обеспечение кадровой безопасности организации реальному уровню угроз. Оно связано с реализацией принципа «разумной достаточности». С позиции конечной эффективности системы в равной степени недопустимо экономить на рассматриваемом направлении деятельности, ослабляя собственную безопасность, и преувеличивать возможные угрозы, осуществляя излишние, т.е. не окупаемые расходы. Учитывая, что руководство службы безопасности по очевидным причинам склонно именно к завышению уровня потенциальных угроз, для соблюдения данного требования желательно привлечение независимых экспертов в лице сотрудников государственных правоохранительных органов или частных охранных структур.

Заключительным требованием является формализованное закрепление не только функциональных обязанностей, но и полномочий (предела компетенции) службы безопасности. В отличие от других направлений деятельности организации, работа большинства сотрудников этого подразделения всегда связана с угрозой превышения служебных полномочий. В результате велика вероятность возбуждения против организации уголовных дел и гражданских исков по обвинению в нарушении действующего законодательства или гражданских прав.

Для подготовки к семинару:

1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:

1. Кто должен принимать окончательное решение о выборе варианта общей стратегии управления кадровой безопасностью в коммерческих организациях?

2. В чем заключается основное преимущество использования коммерческой организацией стратегии адекватного ответа на угрозы?

3. Какие основные федеральные законы входят в состав нормативно-методического обеспечения системы управления кадровой безопасностью?

4. Почему вице-президент по безопасности должен иметь беспрепятственный доступ не только к президенту, но и к собственникам коммерческой организации?

5. Почему угрозы безопасности по кадровому направлению имеют тесную взаимосвязь со всеми другими аспектами обеспечения безопасности организации?

2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:

1. Взаимодействие системы управления безопасностью с другими элементами системы корпоративного менеджмента.

2. Внутреннее нормативно-методическое обеспечение системы управления безопасностью организации.

3. Роль руководителей структурных подразделений в системе управления безопасностью организации.

4. Проблемы кадрового обеспечения деятельности службы безопасностью организации.

5. Проблемы финансового обеспечения системы управления кадровой безопасностью организации.

6. Частные охранные предприятия и детективные агентства в современной России.

7. Взаимодействие службы безопасности и службы персонала.

8. Особенности организации службы безопасности в государственных учреждениях.

9. Особенности организации службы безопасности в корпорациях.

10. Особенности организации службы безопасности в малом предпринимательстве.

Тема 3. Противодействие угрозам безопасности персонала организации

Вопросы темы:

1. Противодействие угрозе переманивания сотрудников организации.

2. Противодействие угрозе склонения сотрудников к нелояльному поведению в отношении работодателя.

3. Противодействие угрозе покушений на сотрудников организации.

Цели и задачи:

Цели и задачи изучения данной темы - получение знаний о проблеме безопасности организации от угроз в адрес ее сотрудников со стороны как сторонних субъектов, так и коллег по работе. Серьезное и целенаправленное изучение темы познакомит студентов с субъектами и объектами рассматриваемых в ней угроз, типовыми формами их практической реализации, основными профилактическими и пресекающими методами противодействия соответствующим угрозам.

В результате успешного изучения темы Вы:

Узнаете:

Ø какие рыночные опасности для организации связаны с переманиванием ее ведущих сотрудников, в чем причины успешной реализации данной угрозы и какие способы противодействия ей;

Ø возможные формы склонения сотрудников организации к различным нарушениям своих обязательств перед работодателем, состав источников (субъектов) этой угрозы и применяемых ими методов, способы противодействия данной угрозе;

Ø причины покушений на собственников и топ-менеджеров организации, состав потенциальных заказчиков таких покушений, формы реализации угрозы и способы обеспечения физической безопасности потенциальных объектов покушений.

И приобретете следующие профессиональные компетенции:

Ø способность обеспечить высокую степень защищенности организации от возможных имущественных и неимущественных потерь, связанных с переманиванием конкурентами наиболее ценных специалистов;

Ø умение выбирать наиболее эффективные методы для профилактики угрозы вербовки сотрудников организации или иных способов склонения их к обману доверия работодателя;

Ø навыки оценки различных сфер бизнеса и конкретных хозяйственных операций с позиции возможного возникновения угрозы физической безопасности собственников или топ-менеджеров конкретной организации;

Ø умение предупреждать само возникновение причин для покушения на высших должностных лиц организации.

В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:

Безопасность персонала организации - совокупность мер по обеспечению защиты сотрудников (прежде всего – руководства и высококвалифицированных специалистов) от потенциальных угроз в форме переманивания конкурентами, вербовки, шантажа, прямых угроз жизни и здоровью, покушений.

Вербовка – действия со стороны представителей конкурентов, криминальных группировок, правоохранительных органов государства, направленные на то, чтобы склонить конкретного работника к нарушению доверия со стороны работодателя, например, в форме передачи конфиденциальных сведений (в зависимости от ситуации могут осуществляться различными методами – подкупом, шантажом, угрозами).

Заказ (сленговое выражение) – обращение к криминальным структурам или индивидуально действующим киллерам с целью физического устранения конкретного предпринимателя или должностного лица за фиксированное вознаграждение.

Кадровый агрессор – организация-работодатель, кадровая стратегия которой предполагает стратегическую ориентацию на активное переманивание лучших сотрудников у конкурентов.

Коррупция сотрудников – одна из форм нарушения доверия организации - работодателя нелояльными сотрудниками, в корыстных целях (т.е. за определенное вознаграждение) совершающих действия, наносящие ему имущественный или неимущественный ущерб.

Нелояльный сотрудник – работник организации, способный либо в собственных имущественных или неимущественных интересах, либо в силу общей безответственности нарушить доверие работодателя и нанести ущерб его безопасности.

Откат (сленговое выражение) – форма проявления коррупции сотрудниками организации, вознаграждение которых за соответствующие противоправные действия определяется в процентах от суммы сделки, совершающейся с их прямым или косвенным участием.

Саботаж – умышленное уничтожение или повреждение нелояльным сотрудником организации ее имущества, включая электронные базы данных и деловые документы.

Слив информации (сленговое выражение) – форма реализации угрозы информационной безопасности организации путем разового или систематического (регулярного) разглашения ее сотрудниками конфиденциальных сведений.

Шантаж – один из методов вербовки сотрудников организации с использованием угрозы разглашения компрометирующей их информации (об уже совершенных должностных нарушениях, ранее скрытой от работодателя информации, бытовых проблемах и т.п.)

Для изучения темы:

Ø Прочитайте:

1. Алавердов А. Управление кадровой безопасностью организации: Учебник / Академическая серия – М.: МАРКЕТ-ДС, 2008 – Тема 3.

2. Бизнес и безопасность. Толковый терминологический словарь. – М.: Бек, 1995 – соответствующие термины.

Обратите внимание на:

§ наличие двух подходов к организации переманивания ведущих специалистов конкурирующей организации – собственными силами и с использованием услуг специализированных посредников в лице рекрутинговых агентств;

§ необходимость организации противодействия угрозе переманивания сотрудников в рамках системы преимущественно персонального менеджмента, а не менеджмента безопасности;

§ роль эффективных методик отбора кандидатов на трудоустройство как способа профилактики угроз вербовки и шантажа сотрудников организации;

§ однозначный приоритет методов профилактики при противодействии угрозе покушения на высших должностных лиц организации.

Ø Ознакомьтесь со следующими дополнительными материалами:

1. Закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.1992 №2487-1 (в редакции на 24.07.2007 № 214-ФЗ).

2. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

3. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

4. Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001.

Обратите внимание на:

§ прямую зависимость вероятности успешного переманивания сотрудников от социальных ценностных ориентиров ее собственников и реализуемой на данной основе кадровой стратегии;

§ разнообразие методов, применяемых в процессе вербовки сотрудников организации;

§ различные подходы к ранжированию рабочих мест, уязвимых для угрозы вербовки, в зависимости от типа субъектов данной угрозы - конкуренты, государство, индивидуально действующие злоумышленники;

§ причины покушений на собственников и топ-менеджеров, большинство из которых провоцируются самими жертвами данной угрозы.

Ø Ответьте на следующие вопросы:

1. Какие ошибки в системе персонального менеджмента чаще всего делают организацию особенно уязвимой для переманивания сотрудников конкурентами?

2. Какие личностные качества делают сотрудника особенно уязвимым для вербовки конкурентами его работодателя?

3. Почему молодые специалисты организации относятся службой безопасности к «группе повышенного риска» с позиции угрозы вербовки?

4. В каких случаях руководителем подразделения могут использоваться прямые угрозы в адрес своего подчиненного в целях склонения его к должностному преступлению?

5. Почему не рекомендуется использовать в качестве телохранителей бывших спортсменов и офицеров войск специального назначения?

Теоретический материал по теме

Вопрос 1. Противодействие угрозе переманивания сотрудников организации.

Из всех угроз в адрес сотрудников организации рассматриваемая является наиболее распространенной. Она является следствием действия закона рыночной конкуренции. На современном рынке труда данный закон оказывает прямое воздействие на хозяйственное поведение не только продавцов товара рабочая сила (т.е. наемных работников), но и его покупателей в лице работодателей. Они конкурируют между собой за возможность привлечь лучших по своим потребительским характеристикам работников. При этом интенсивность конкуренции зависит от двух факторов:

Ø уровня квалификации работника;

Ø степени дефицитности той или иной специальности.

В процессе рыночного соперничества работодатели используют методы как добросовестной, так и недобросовестной конкуренции. К последней группе методов относится, в частности, переманивание наиболее ценных сотрудников у конкурентов. Реализуя данный метод, конкретный работодатель преследует одновременно две цели:

Ø усилить собственные конкурентные позиции за счет улучшения качества своего человеческого капитала;

Ø ослабить позиции конкурентов, ухудшив качество их человеческого капитала.

В современных условиях на рынке труда используются новые технологии реализации данной угрозы. Решая задачу по переманиванию требующегося ему специалиста, конкретный работодатель может действовать не напрямую в режиме прямого предложения о переходе к нему на работу, а через посредников. Сегодня на рынке труда, в том числе – в России, действуют рекрутинговые агентства, предлагающие клиенту наряду с традиционными и так называемые «эксклюзивные услуги по охоте за головами», т.е. переманивание выбранного им специалиста другой организации.

Таким образом, от администрации любой современной организации требуется постоянное внимание к рассматриваемому аспекту кадровой безопасности.

Субъекты угрозы:

Ø для любых организаций кроме органов государственного управления – конкуренты;

Ø для государственных органов – подведомственные или подконтрольные ими коммерческие структуры.

Объекты угрозы:

Ø менеджеры высшего и среднего звена;

Ø ведущие специалисты;

Ø работники, представители высококвалифицированных рабочих профессий.

Формы реализации угрозы:

Ø предложение лучших условий найма;

Ø предложение о параллельном решении жизненно важной для человека проблемы (например, выдача кредита на покупку квартиры, оплата дорогостоящего лечения близкого родственника и т.п.);

Ø шантаж в форме угрозы передачи работодателю или правоохранительным органам компрометирующей сотрудника информации (наименее распространенная форма).

Основной причиной успешной реализации угрозы выступает недовольство переманиваемого сотрудника:

Ø экономическими или социальными условиями найма, включая их юридическое оформление (например, использование в отношении его «серых схем» оплаты труда);

Ø перспективами собственного профессионального и карьерного роста;

Ø факторами, характеризующими самого работодателя (устойчивость положения на рынке, масштаб и степень легитимности бизнеса, организационно-правовой статус и т.п.);

Ø общим состоянием психологического климата в организации (например, из-за реализуемой работодателем политики поощрения активной внутрифирменной конкуренции между сотрудниками);

Ø отношениями с непосредственным руководителем (чаще – из-за отсутствия у него необходимых личностных качеств, реже – в силу объективной психологической несовместимости);

Ø отношениями с коллегами по работе.

Примечание: ранжирование перечисленных выше причин по вероятности их практической реализации зависит, прежде всего, от возрастной или квалификационной категории, к которой принадлежит конкретный сотрудник (например, для граждан предпенсионного возраста приоритетное значение имеет стабильность бизнеса работодателя, для молодых специалистов - перспективы карьерного роста).

Организация противодействия угрозе реализуется преимущественно в рамках системы персонального менеджмента (а не системы менеджмента безопасности) на основе следующих принципов и распределения ответственности между инстанциями:

Ø топ-менеджеры (в сферах среднего и малого бизнеса – собственники) несут ответственность за выбор кадровой стратегии, основанной на требованиях доктрины «развития человеческого капитала организации», игнорирование которых делает любую организации изначально уязвимой к рассматриваемой угрозе;

Ø кадровая служба несет общую ответственность за обеспечение безопасности наиболее ценных сотрудников организации от переманивания конкурентами путем внедрения в практику персонального менеджмента прикладных механизмов и технологий, направленных на сокращение до минимума перечня возможных причин инициативных увольнений;

Ø служба безопасности привлекается к отражению рассматриваемой угрозы только в случае появления на соответствующем рынке труда «кадрового агрессора», т.е. конкурирующей организации, целенаправленно пытающейся лишить конкретного работодателя значительной части его наиболее ценных сотрудников.

Вопрос 2. Противодействие угрозе склонения сотрудников к нелояльному поведению в отношении работодателя.

Практика показывает, что причиной значительной части реализованных угроз безопасности работодателя со стороны сотрудников является не их инициатива, а неспособность противостоять воздействию со стороны третьих лиц. Эти лица, преследуя собственные интересы, склоняют сотрудников организации к различным формам обмана доверия работодателя. При этом используются самые разнообразные методы, некоторые из которых были профессионально разработаны государственными спецслужбами и позднее оказались востребованными в частном секторе экономики. Например:

Субъекты угрозы:

а). Внешние:

Ø государство (в лице правоохранительных, фискальных и контролирующих органов);

Ø конкуренты (как организации – работодателя, так и ее контрагентов);

Ø криминальные структуры;

Ø индивидуально действующие злоумышленники.

б). Внутренние:

Ø руководитель сотрудника – объекта угрозы;

Ø подчиненный сотрудника – объекта угрозы;

Ø работники подконтрольных сотруднику подразделений;

Ø коллеги по работе, не состоящие в отношениях соподчиненности.

Объекты угрозы – должностные лица (реже – рядовые сотрудники) организации, занимающие рабочие места, которые обеспечивают доступ:

Ø к конфиденциальной информации;

Ø к управлению денежными средствами и ликвидными товарно-материальными ценностями, а также к их хранению;

Ø к реализации функций управления, регулирования и надзора.

Формы реализации угрозы:

Ø превращение сотрудника в постоянно действующий источник утечки конфиденциальной информации;

Ø разовое разглашение сотрудником конфиденциальных сведений;

Ø соучастие сотрудника в реализации угроз в адрес работодателя со стороны третьих лиц (кража, финансовая афера, ограбление, обеспечение доступа в закрытые сети или базы данных и т.п.);

Ø злоупотребление сотрудником своими служебными полномочиями в интересах третьего лица – выгодоприобретателя (закупка некондиционных товарно-материальных ценностей, выдача заведомо невозвратного кредита, организация «заказных» проверок и т.п.);

Ø акты прямого саботажа в форме уничтожения или искажения сотрудником доверенных ему документов по заказу третьего лица.

Инструменты реализации угрозы: вербовка с использованием:

Ø подкупа;

Ø шантажа;

Ø «игры» на недовольстве работодателем;

Ø прямых угроз.

Подкуп является наиболее распространенным инструментом вербовки и осуществляется разнообразными методами:

Ø разовый гонорар за выполнение конкретных противоправных действий;

Ø регулярная фиксированная оплата, дополняемая особыми премиями за выполнение наиболее ответственных заданий;

Ø косвенная форма подкупа в форме удовлетворения различных материальных запросов вербуемого сотрудника (приобретение квартиры, автомобиля, организация отдыха, оплата медицинских услуг и т.п.).

Шантаж предполагает угрозу разглашения информации, компрометирующей шантажируемого сотрудника, например:

Ø об уже допущенных нарушениях обязательств перед работодателем;

Ø о нарушениях законодательства (например, налогового);

Ø о фактах, ставящих под угрозу личную жизнь сотрудника.

«Игра» на недовольстве работодателем предполагает предварительное выявление соответствующих сотрудников атакуемой организации и длительную подготовительную работу с ними в целях мотивации желания отомстить работодателю любым доступным способом. Часто дополняется элементами косвенного подкупа в форме:

Ø обещаний последующего выгодного трудоустройства;

Ø содействия в решении важных для сотрудника личных проблем.

прямые угрозы в адрес сотрудника реализуются преимущественно «молодыми» преступными группировками или его коллегами по работе. Обычно они используются злоумышленниками в случае неудачи ранее сделанных попыток подкупа, являясь скорее «актом отчаяния» (например, со стороны руководителя подразделения, для которого результаты проведенной аудиторской проверки грозят уголовным преследованием). Вероятность реализации подобных угроз на практике крайне невелика.

Организация противодействия угрозе предполагает использование следующих прикладных процедур (технологий) и методов:

а). Профилактика угрозы:

Ø организация тщательного отбора кандидатов на трудоустройство в целях заблаговременного отсева лиц, чьи личностные качества или автобиографические данные делают их особенно уязвимыми для вербовки или шантажа;

Ø обучение сотрудников правилам служебного и внеслужебного поведения, исключающего возможность их последующего шантажа;

Ø специальное обучение сотрудников правилам поведения в случае попыток их вербовки, шантажа, или декларации угроз;

Ø постоянный контроль над сотрудниками, занимающими рабочие места, наиболее опасные с позиции рассматриваемой угрозы (имущественное положение, образ жизни, новые привычки, стиль поведения, психологическое состояние и т.п.);

Ø специальные служебные проверки сотрудников, в отношение которых у руководителя или службы безопасности по результатам оперативного контроля появились обоснованные подозрения.

б). Пресечение угроз и наказание их виновников:

Ø перевод сотрудника, чья потенциальная лояльность работодателю вызывает обоснованные сомнения, на другое рабочее место, объективно неинтересное для потенциальных субъектов угрозы;

Ø мотивация сотрудника, своевременно проинформировавшего службу безопасности о попытке его вербовки или угроз в его адрес (при обязательной проверки достоверности этих фактов);

Ø освобождение сотрудника от ответственности за уже допущенные нарушения, ставшие поводом для шантажа, в случае своевременного информирования службы безопасности об этой попытке (при тяжелых нарушениях такой сотрудник, несет ответственность в минимально возможном объеме);

Ø увольнение сотрудника, ставшего «агентом влияния» субъекта рассматриваемой угрозы, в случае подтверждения его вины;

Ø использование завербованного сотрудника в качестве источника дезинформации, с последующим его увольнением;

Ø использование предусмотренных законом методов уголовного преследования виновных сотрудников (например, коррумпированного чиновника или соучастника ограбления).

Вопрос 3. Противодействие угрозе покушений на собственников и топ-менеджеров организации.

Защита от покушений на сотрудников является традиционной функцией службы безопасности многих российских организаций. В современных отечественных условиях вероятность реализации подобных угроз существенно выше, нежели в большинстве зарубежных стран. С начала 90-х годов жертвами покушений стали десятки тысяч высших должностных лиц самых различных по отраслевой принадлежности и масштабам бизнеса коммерческих организаций, а также и государственных учреждений. Это объясняется не только общей криминагенностью российской экономики и характерной для отечественных преступных группировок ориентацией на «силовые» методы. По мнению специалистов, как правоохранительных органов, так и экспертов в области безопасности предпринимательской деятельности, основными (в порядке убывающей вероятности) причинами физического устранения предпринимателей и топ-менеджеров являются:

Ø участие в борьбе за раздел или последующий передел государственной собственности (например, за контрольный пакет акций нефтяной компании, горно-обогатительного комбината, крупного отеля), осуществляемой с использованием нелегитимных методов;

Ø конфликты, связанные с рейдерским захватом чужого бизнеса;

Ø конфликты между конкурентами (физическая ликвидация конкурента как «последний довод» в конкурентной борьбе);

Ø невыполнение обязательств, принятых на себя в рамках прямого сотрудничества жертвы покушения с «теневой» экономикой и организованной преступностью («отмывание» денег и перевод их за рубеж, операции с «черным налом», выделение квот, содействие в недружественном поглощении чужого бизнеса, разглашение информации);

Ø невыполнение принятых на себя обязательств в отношении крупных клиентов и партнеров;

Ø борьба за контроль над конкретной организацией между двумя преступными группировками, если ее высшее руководство занимает сторону одной из них;

Ø нерешенные внутрикорпоративные проблемы (например, конфликты между совладельцами бизнеса или топ-менеджерами).

Субъекты угрозы:

а). Внешние:

Ø конкуренты;

Ø криминальные структуры.

б). Внутренние:

Ø совладелец бизнеса;

Ø один из топ-менеджеров, близких по должностному статусу.

Объекты угрозы:

Ø собственники организации;

Ø топ-менеджеры организации или высокопоставленные государственные служащие.

Формы реализации угрозы зависят от следующих основных факторов:

Ø финансовые возможности заказчика покушения;

Ø эффективность организации физической защиты объекта покушения.

Ø профессионализм исполнителя поступившего заказа на покушение (киллера).

Выделяются две основные формы реализации (подхода к физическому устранению объекта угрозы):

Ø открытое покушение, реализуемое с помощью традиционных методов и автоматически вызывающее возбуждение по факту покушения уголовного дела;

Ø скрытое покушение с использованием нетрадиционных средств (специальные химические препараты из арсенала спецслужб, радиоактивные изотопы и т.п.), имитирующие смерть объекта угрозы от естественных причин.

Примечание: в сфере крупного бизнеса возможности заказчиков и профессионализм исполнителей настолько велики, что даже наиболее эффективная физическая защита не гарантирует безопасности объекту покушения.

а). Профилактика угрозы:

Ø принципиальный отказ от работы в сфере бизнеса или участия в конкретных операциях, где рассматриваемая угроза становится реальной;

Ø строгое соблюдение правил и норм, неформально сложившихся в соответствующей сфере бизнеса;

Ø эффективная деловая разведка и контрразведка, направленная на заблаговременное выявление потенциально опасных ситуаций;

Ø решение проблемы путем ликвидации самой причины готовящегося покушения (урегулирование конфликтной ситуации в процессе переговоров, реализация принятых обязательств и т.п.);

Ø специальное обучение собственников и топ-менеджеров организации правилам обеспечения собственной физической безопасности.

б). Пресечение угрозы:

Ø решение проблемы путем использования угроз адекватного воздействия на самого заказчика;

Ø усиление защиты объекта покушения до уровня, делающего угрозу практически нереализуемой;

Ø обращение за помощью к правоохранительным органам (наименее эффективное решение, целесообразное лишь для организаций, реализующих стратегию «пассивной защиты»).

Для подготовки к семинару:

1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:

1. Почему использование американской модели персонального менеджмента в отечественных условиях резко повышает угрозу переманивания сотрудников организации?

2. Существуют ли сотрудники, практически неуязвимые для вербовки любыми субъектами данной угрозы?

3. Могут ли в современных отечественных условиях иностранные спецслужбы выступить как субъекты вербовки сотрудников негосударственных организаций?

4. Каким образом субъектами угрозы безопасности организации может быть искусственно создана ситуация, в последующем используемая в качестве повода для шантажа?

5. Почему обеспечение полной безопасности сотрудников от покушений невозможно даже теоретически?

2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:

1. Кадровая стратегия организации и проблема переманивания сотрудников.

2. Причины инициативного перехода сотрудника к конкуренту из-за недовольства психологическим климатом в своей организации.

3. Переманивание сотрудников как метод недобросовестной конкуренции на рынке труда.

4. Цели и методы вербовки сотрудников организации конкурентами.

5. Цели и методы вербовки сотрудников организации криминалом.

6. Цели и методы вербовки сотрудников организации государственными структурами.

7. Шантаж сотрудников организации: причины и профилактика.

8. Технологии выявления потенциальных жертв вербовки и шантажа на стадии отбора кандидатов на трудоустройство.

9. Бизнес – разведка как метод профилактики покушений.

10. Организационные и технические методы защиты сотрудников организации от покушений.

Тема 4. Противодействие угрозам информационной безопасности организации со стороны собственного персонала

Вопросы темы:

1. Конфиденциальная информация как объект защиты.

2. Типовые причины, формы и методы реализации угроз информационной безопасности организации с участием ее персонала.

3. Методы противодействия угрозам информационной безопасности организации со стороны ее персонала.

4. Управление персоналом организации в целях обеспечения ее информационной безопасности.

Цели и задачи:

Цели и задачи изучения данной темы – получение общетеоретических знаний о проблеме информационной безопасности в деятельности современной организации во взаимосвязи с кадровым аспектом ее работы. Серьезное и целенаправленное изучение темы познакомит студентов с субъектами и объектами рассматриваемых в ней угроз, типовыми формами их практической реализации, основными профилактическими и пресекающими методами противодействия соответствующим угрозам.

В результате успешного изучения темы Вы:

Узнаете:

Ø почему большинство современных организаций рассматривают угрозу информационной безопасности в качестве приоритетной;

Ø какие причины могут подтолкнуть сотрудников организации к нарушению правил обеспечения информационной безопасности;

Ø в какой форме и какими методами могут быть реализованы соответствующие угрозы;

Ø какие организационные, технические и кадровые методы должна использовать организация для защиты конфиденциальной информации от угроз со стороны безответственных или нелояльных сотрудников.

И приобретете следующие профессиональные компетенции:

Ø способность ранжировать закрытую информацию организации по степени ее конфиденциальности;

Ø умение прогнозировать причины возможных нарушений сотрудниками правил обеспечения информационной безопасности своего работодателя и своевременно нейтрализовывать их;

Ø навыки в области организации специального обучения сотрудников организации правилам обеспечения информационной безопасности;

Ø навыки в области организации контроля над соблюдением сотрудниками организации правил обеспечения информационной безопасности и, при необходимости, выбирать адекватные санкции к виновникам их нарушения.

В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:

Безопасность компьютерных сетей организации - совокупность мер по обеспечению защиты их от несанкционированного доступа в целях перехвата информации, ее искажения или уничтожения, а также вмешательства в финансовые операции.

Гриф конфиденциальности – специальная отметка на конфиденциальных документах (базах данных), определяющая степень защиты содержащихся в них сведений.

Допуск – установленное режимом безопасности организации для конкретного сотрудника, клиента, пользователя право доступа в защищенные от несанкционированного проникновения компьютерные сети и базы данных, входа в охраняемые помещения, работы с конфиденциальными документами (дифференцируется в зависимости от степени секретности объекта защиты).

Канал утечки информации – конкретная форма атаки на конфиденциальную информацию в целях ее перехвата. Наиболее распространенные способы: подслушивание, перехват электромагнитных излучений, проникновение в компьютерные сети, фотографирование, хищение документов и их носителей, вывод из строя технических и программных средств информационной защиты.

Конфиденциальная информация - информация, доступ к которой ограничивается в целях защиты коммерческой или клиентской тайны, а также другие сведения, разглашение которых по каким-либо причинам нежелательно для конкретной организации.

Перехват информации – получение несанкционированного доступа к конфиденциальным сведениям организации, осуществляемое с использованием различных методов компьютерного, технического и организационного характера.

«Слив» информации (сленговое выражение) – форма реализации угрозы информационной безопасности организации путем разового или систематического (регулярного) разглашения ее сотрудниками конфиденциальных сведений.

Хакер – специалист в области компьютерных систем, способный скрытно для объекта угрозы проникать в защищенные сети и базы данных в целях последующего перехвата информации, ее повреждения или проведения незаконных финансовых операций (чаще всего – с целью хищения денежных средств)

Для изучения темы:

Ø Прочитайте:

1. Алавердов А. Управление кадровой безопасностью организации: Учебник / Академическая серия – М.: МАРКЕТ-ДС, 2008 – Тема 4.

2. Бизнес и безопасность. Толковый терминологический словарь. – М.: Бек, 1995 – соответствующие термины.

Обратите внимание на:

§ необходимость четкого разделения особо конфиденциальной информации на две категории – информацию, составляющую коммерческую тайну и информацию, составляющую клиентскую тайну;

§ две типовые первопричины реализации угроз информационной безопасности организации со стороны ее персонала – безответственность сотрудников и их умысел;

§ особую опасность угрозы искажения информации с позиции финансовых интересов организации и ее клиентов;

§ необходимость особого внимания к безопасности информации на электронных носителях;

§ многообразие каналов утечки информации в устной форме.

Ø Ознакомьтесь со следующими дополнительными материалами:

1. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ.

2. Абрамов А., Никулин О., Петрушин А. Системы управления доступом. – М.: Оберег - РБ, 1998.

3. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

4. Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005.

5. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

Обратите внимание на:

§ конкретные формы проявления безответственности сотрудников при работе с конфиденциальной информацией;

§ многообразие технических средств перехвата информации, используемые в современной бизнес - разведке;

§ необходимость комбинирования методов защиты конфиденциальной информации.

Ø Ответьте на следующие вопросы:

1. Все ли организации должны сегодня применять одинаковую методику ранжирования конфиденциальной информации?

2. Какие причины разглашения конфиденциальной информации являются наиболее распространенными в нашей стране?

3. Почему организационные методы защиты конфиденциальной информации от нелояльных сотрудников являются наиболее доступными для большинства современных работодателей?

4. Между какими инстанциями распределяется ответственность за утечку конфиденциальной информации на электронных носителях?

5. Какие санкции целесообразно применять к сотруднику, безответственность которого привела к утечке абсолютно конфиденциальной информации?

Теоретический материал по теме

Вопрос 1. Конфиденциальная информация как объект защиты.

К конфиденциальной информации относятся любые сведения, разглашение которых способно нанести ущерб их владельцу, пользователю или связанным с ними лицам. Некоторые организации (например, органы государственного контроля, банки, страховые и трастовые компании, медицинские центры, адвокатские конторы и др.) имеют статус особо доверенного лица своих клиентов, располагающего конфиденциальными сведениями об их финансовой, коммерческой деятельности, личной жизни. Эти сведения составляют клиентскую тайну, являющуюся приоритетным объектом защиты в системе безопасности любой организации.

Конфиденциальная информация формируется организацией в процессе всего периода ее функционирования на рынке. Порядок сбора, накопления и хранения информации о собственной деятельности определяется требованиями внутрикорпоративного менеджмента и должен быть зафиксирован в соответствующих внутренних регламентах (инструкциях, положениях и т.п.). Объем и порядок сбора информации о сторонних организациях зависит от избранной организацией стратегии развития, в том числе по направлениям коммерческой деятельности и обеспечения безопасности. Так, сбор внешней информации может осуществляться:

Ø исключительно легитимными методами, силами службы маркетинга, других штабных служб и подразделений организации;

Ø в том числе и нелегитимными методами, осуществляемыми силами специального подразделения в составе службы безопасности.

Классификация конфиденциальной информации осуществляется по нескольким признакам:

По характеру информации она разделяется на: содержащую:

Ø клиентскую тайну (см. выше);

Ø коммерческую тайну, т.е. сведения, разглашение которых способно нанести ущерб интересам самой организации.

По содержанию информации она разделяется на:

Ø политическую, например, отсутствующие в открытых источниках сведения об ожидаемых изменениях политической ситуации, законодательства, других политических факторах, способных повлиять на рыночное положение организации или ее контрагентов;

Ø экономическую, например, отсутствующие в открытых источниках сведения об экономической ситуации в конкретных регионах и отраслях;

Ø финансовую, например, отсутствующие в открытых источниках сведения о финансовом состоянии клиентов и других партнерах банка;

Ø коммерческую информацию, например, результаты проведенного специалистами организации анализа соответствующих рынков или его планы их освоения;

Ø технологическую, например, сведения об уже разработанных, но еще не внедренных организацией новых технологий;

Ø управленческую, например, сведения об используемых организацией методах управления по конкретным направлениям собственной деятельности.

По используемому носителю она разделятся на: информацию:

Ø в устном виде, например, сведения, обсуждаемые в процессе делового совещания;

Ø на бумажных носителях как традиционной формой документов, используемых организацией;

Ø в электронном виде, т.е. компьютерные базы данных, а также сведения, передаваемые по компьютерным коммуникациям или телефонным сетям (приоритетный объект защиты в современных условиях).

По степени секретности информации она разделятся на:

Ø абсолютно конфиденциальную, содержащую секретные сведения, разглашение которых способно нанести ущерб стратегического характера;

Ø строго конфиденциальную, содержащую особо секретные сведения;

Ø конфиденциальную, содержащую секретные сведения;

Ø для служебного пользования, содержащую наименее секретные сведения, не предназначенные лишь для открытой печати.

При обеспечении собственной информационной безопасности организации руководствуются в своей деятельности Законом РФ «Об информации, информационных технологиях и защите информации».

Вопрос 2. Типовые причины, формы и методы реализации угроз информационной безопасности организации с участием ее персонала.

Субъектами угроз информационной безопасности организации могут выступать:

Ø конкуренты, как самой организации, так и ее контрагентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;

Ø криминальные структуры, пытающиеся получить сведения о самой организации или ее контрагентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров неформальных сборов в режиме рэкета);

Ø индивидуальные злоумышленники (в современных условиях – чаще всего хакеры), выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;

Ø собственные нелояльные сотрудники, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;

Ø государство в лице фискальных или правоохранительных органов, использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

Типовые формы угроз информационной безопасности организации:

Ø перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшей организации заключается в том, что о самом факте утечки она, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);

Ø хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи – приобретает соответствующие сведения и лишает их пострадавшую организацию;

Ø повреждение или уничтожение конфиденциальной информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемой организации;

Ø искажение конфиденциальной информации, в результате которого атакованная организация может принять изначально ошибочное управленческое решение или оказаться скомпрометированной в глазах контрагентов или государства.

Методы реализации угроз информационной безопасности организации дифференцируются в зависимости:

Ø от вида данных, являющихся объектом угрозы;

Ø от субъекта угрозы.

При использовании классификации по первому признаку можно отметить, что основной угрозой является не санкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, искажение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Сторонние для организации структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любой организации системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций. Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать («снимать») информацию с работающих компьютеров, факсов, модемов. При этом возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самой организации, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.

Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений – включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в большинство офисов организации всегда достаточно затруднительно, сторонние субъекты угроз также стремятся использовать в этих целях ее собственный персонал.

Наконец, для перехвата информации в устном виде используют разнообразные технические устройства – скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе – в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемой организации: приобретение необходимых технических средств перехвата информации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США).

Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты как самой организации, так и ее контрагентов. Чаще всего ими применяются:

Ø вербовка сотрудников территориальных налоговых инспекций и других органов государственного надзора, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкуренту и особенно распространено в современных отечественных условиях);

Ø внедрение своих агентов в атакуемую организацию, что доступно лишь для наиболее крупных конкурентов, располагающих мощными службами безопасности и специально подготовленными сотрудниками;

Ø вербовка сотрудников атакуемой организации с использованием методов, уже рассмотренных в теме 3;

Ø использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;

Ø использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах.

Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемой организации, применяя для этого прямые угрозы, шантаж или подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.

Индивидуальные злоумышленники (в современных условиях – чаще всего наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.

Нелояльные сотрудники организации могут действовать в собственных целях (месть, корыстные интересы) или по поручению сторонних структур. Чаще всего при реализации рассматриваемых угроз они используют собственное служебное положение, обеспечивающее доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять функции резидентов нанявших их сторонних структур. В этом случае сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовку информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государства в отличие от конкурентов, чаще используют метод внедрения в контролируемую организацию собственных сотрудников. Уровень их подготовки обычно очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших коммерческих организаций функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о контактах с представителями теневой экономики). В крупнейшие корпорации агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов.

Вопрос 3. Методы противодействия угрозам информационной безопасности организации со стороны ее персонала.

Организация работы по рассматриваемому направлению осуществляется в следующей общей последовательности.

Первым этапом является формирование ранжированного перечня конфиденциальных сведений организации как объекта защиты и присвоение им соответствующего грифа секретности. Чаще всего используется следующий типовой укрупненный перечень (исходя из условий работы конкретной организации в него вносятся необходимые коррективы).

Абсолютно конфиденциальные сведения включают в себя:

Ø информацию, составляющую клиентскую тайну, разглашение которой способно нанести стратегический ущерб интересам клиентов или подконтрольным организациям;

Ø закрытую информацию о собственниках организации;

Ø информацию о стратегических планах организации по коммерческому и финансовому направлениям деятельности;

Ø любую информацию о деятельности службы безопасности, реализуемой в рамках стратегий «упреждающего противодействия» и, частично, «адекватного ответа»;

Ø прикладные методы защиты информации, используемые организацией (коды, пароли, программы).

Строго конфиденциальные сведения включают в себя:

Ø все прочие конфиденциальные сведения о клиентах;

Ø информацию маркетингового, финансового и технологического характера, составляющую коммерческую тайну;

Ø информацию о сотрудниках организации, содержащуюся в индивидуальных досье.

Конфиденциальные сведения включают:

Ø базы данных по направлениям деятельности организации, созданные и поддерживаемые в качестве элементов обеспечения соответствующих систем управления;

Ø сведения о заработной плате и индивидуальных «социальных пакетах» сотрудников организации, а также составе «резерва на выдвижение»;

Ø внутренние регламенты (положения, инструкции, приказы и т.п.) используемые в системе внутрикорпоративного менеджмента.

Наконец, к информации для служебного пользования относятся любые другие сведения, не подлежащие публикации в открытых источниках.

Вторым этапом является оценка возможных каналов утечки (перехвата) конфиденциальной информации организации. Выделяются их следующие группы:

Ø каналы утечки через внешние и локальные компьютерные сети организации;

Ø каналы утечки с использованием технических средств перехвата информации;

Ø каналы утечки по вине нелояльных или безответственных сотрудников банка.

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в адрес конкретных элементов конфиденциальной информации, следовательно – обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты информации. Они делятся на следующие группы:

Методы программно-математического характера:

Ø программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры организации;

Ø программы, защищающие информацию от повреждения умышленно или случайно занесенными вирусами (автоматическое тестирование при включении компьютера, при использовании СД - дисков или дискет);

Ø программы, автоматически кодирующие (шифрующие) информацию;

Ø программы, препятствующие перезаписи информации, находящейся в памяти компьютера, на внешние носители или через сеть;

Ø программы, автоматически стирающие определенные данные с ограниченным для конкретного пользователя временем доступа.

Методы технического характера:

Ø использование экранированных помещений для проведения конфиденциальных переговоров;

Ø использование специальных хранилищ и сейфов для хранения информации на бумажных носителях (при необходимости с устройствами автоматического уничтожения ее при попытке несанкционированного проникновения);

Ø использование детекторов и иной аппаратуры для выявления устройств перехвата информации;

Ø использование защищенных каналов телефонной связи;

Ø использование средств подавления работы устройств перехвата информации;

Ø использование средств автоматического кодирования (шифровки) устной и письменной информации.

Методы организационного характера:

Ø мероприятия по ограничению доступа к конфиденциальной информации (общережимные мероприятия, системы индивидуальных допусков, запрет на вынос документов из соответствующих помещений, возможность работы с соответствующей компьютерной информацией лишь с определенных терминалов и т.п.);

Ø мероприятия по снижению возможности случайного или умышленного разглашения информации или других форм ее утечки (правила работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, поведения сотрудников организации на службе и вне ее);

Ø мероприятия по дроблению конфиденциальной информации, не позволяющие сосредоточить в одном источнике (у сотрудника, в документе, файле и т.п.) все сведения по вопросу, интересующему потенциального субъекта угроз;

Ø мероприятия по контролю над соблюдением установленных правил информационной безопасности;

Ø мероприятия при выявлении фактов утечки той или иной конфиденциальной информации.

Четвертым этапом является непосредственное формирование и внедрение подсистемы информационной безопасности организации, предполагающее:

Ø разработку общей концепции информационной безопасности как элемента общей стратегии безопасности организации;

Ø разработку внутренней нормативной базы;

Ø расчет и выделение необходимых финансовых ресурсов;

Ø обучение персонала организации правилам обеспечения информационной безопасности;

Ø формирование и последующее развитие формализованных процедур контроля над соблюдением установленных правил, а также санкций за их нарушение.

Вопрос 4. Управление персоналом организации в целях обеспечения ее информационной безопасности.

Обучение сотрудников организации правилам обеспечения информационной безопасности работодателя.

Общее ограничение: Следует учитывать, что в силу психологических факторов эта подготовка в глазах сотрудников, в отличие от профессионального обучения и повышения квалификации, всегда будет носить вторичный по значимости характер. Для большинства же высококвалифицированных специалистов, особенно руководителей среднего и высшего звена, она чаще всего будет вызывать плохо скрываемое раздражение (по крайней мере, до момента первого серьезного столкновения с реальными угрозами).

Общие методические требования к организации подготовки:

Ø распространение подготовки на все категории персонала организации, с дифференциацией ее форм и методов по должностным категориям обучаемых;

Ø непрерывность подготовки, что обеспечивается регулярным проведением специальных профилактических бесед или разбором уже состоявшихся угроз в адрес организации;

Ø привлечение к подготовке не только специалистов службы безопасности, но и руководителей структурных подразделений, обычно имеющих в глазах своих подчиненных больший авторитет;

Ø использование в процессе обучения наряду с теоретическими материалами практических примеров из деятельности своей и сторонних организаций;

Ø использование методов обучения, способных вызвать интерес обучаемых к самому процессу подготовки, например, ролевые игры, видеозаписи, демонстрация некоторых технических средств защиты и т.п.

Организация подготовки новых сотрудников организации:

Это подготовка является необходимым элементом первичного обучения и адаптации зачисленного в штат персонала и дифференцирована по двум категориям сотрудников – молодых специалистов и сотрудников, уже имеющих опыт практической работы в других организациях.

Для первой категории рассматриваемая подготовка особенно актуальна, поскольку они в лучшем случае имеют лишь чисто теоретическое представление о безопасности работодателя. Кроме того, в силу своего возраста они более легкомысленны, амбициозны, следовательно, особо уязвимы к различным методам воздействия со стороны потенциальных субъектов угроз. Обучение данной категории сотрудников осуществляется в два этапа инструктажа:

Ø со стороны специалиста службы безопасности;

Ø со стороны непосредственного руководителя или персонального куратора (наставника).

Для второй категории подготовка проводится по сокращенной программе и включает изучение лишь специфических правил обеспечения безопасности в рамках исполняемых служебных обязанностей.

Организация последующей подготовки сотрудников осуществляется службой безопасности дифференцированно по категориям сотрудников организации:

Ø для высшего руководства – в форме специальных аналитических обзоров, ежемесячно представляемых им за подписью вице-президента по безопасности;

Ø для руководителей структурных подразделений – в форме ежеквартальных встреч с вице-президентом по безопасности;

Ø для остального персонала - в форме специального инструктажа, который не реже одного раза в квартал проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.

Контроль над сотрудниками организации:

Субъекты контроля:

Ø служба безопасности;

Ø руководители структурных подразделений.

Объекты контроля:

Ø исполнение сотрудниками установленных правил обеспечения информационной безопасности работодателя;

Ø лояльность сотрудников.

Формы контроля:

а). Профилактический контроль над соблюдением правил обеспечения безопасности проводится с использованием следующих методов:

Ø плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдения в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты;

Ø мониторинга ситуации с использованием специальных технических средств наблюдения;

Ø мониторинга ситуации силами нештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений банка.

б). Контроль личной лояльности персонала осуществляется службой безопасности в отношении сотрудников:

Ø занимающих ключевые рабочие места, обеспечивающих доступ к особо конфиденциальной информации;

Ø привлекших внимание службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность:

§ необъяснимое объективными причинами внезапное улучшение материального положения сотрудника или контактирующих с ним родственников;

§ не вызванные служебной необходимостью контакты с представителями субъектов потенциальных угроз (конкурентов, криминальных структур и т.п.);

§ изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа;

§ зафиксированные регулярные высказывания недовольства работодателем, служебным положением, доходами и т.п.

Мотивация сотрудников организации в целях обеспечения ее информационной безопасности реализуется по двум направлениям.

Специальные поощрения за активную работу по укреплению информационной безопасности. Они используются в отношении:

Ø сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;

Ø сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;

Ø руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания относительно соблюдения правил обеспечения информационной безопасности;

Ø любым сотрудникам организации, оказавшим службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.

Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности:

а). Административного характера:

Ø смещение с должности руководителя структурного подразделения:

§ неоднократно уличенного в сокрытии фактов нарушения соответствующих правил, допущенных его подчиненными;

§ допустившего утечку абсолютно конфиденциальной информации, повлекшую за собой стратегический ущерб для организации или ее контрагентов;

§ оказавшегося не в состоянии, несмотря на принятые ранее к нему меры воздействия, обеспечить в своем коллективе требуемое отношение к обеспечению информационной безопасности (т.е. наличие регулярных замечаний со стороны службы безопасности);

Ø увольнение сотрудника за невыполнение принятых на себя трудовых обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности;

Ø отказ в пролонгации трудового договора;

Ø досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока;

Ø перевод сотрудника на другое рабочее место (в том числе - в другом подразделении), не предполагающее доступа к конфиденциальной информации;

Ø исключение сотрудника из резерва на выдвижение;

Ø другие методы (объявление взыскания, выговора и пр.).

б). Экономического характера:

Ø лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда;

Ø лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения;

Ø отмена персональных или групповых социально-экономических льгот.

в). Психологического характера:

Ø индивидуальная беседа с руководителем или представителем службы безопасности организации;

Ø обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.

Для подготовки к семинару:

1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:

1. Почему угрозы разглашения конфиденциальной информации более опасны в случае нанесения пострадавшей организации имиджевого, а не имущественного ущерба?

2. В каких отраслях экономики наиболее опасна утечка конфиденциальной информации клиентов организации?

3. Кем должно проводиться обучение персонала правилам работы с конфиденциальной информацией?

4. Как должна реагировать служба безопасности в случае выявления факта системной утечки конфиденциальной информации из конкретного подразделения?

5. Вправе ли работодатель уволить сотрудника по подозрению в разглашении конфиденциальной информации, не подтвержденному доказательной базой?

2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:

1. Технические средства для перехвата устной информации.

2. Основные методы перехвата информации в электронной форме.

3. Технические средства защиты от перехвата устной информации.

4. Программные средства защиты от несанкционированного доступа к конфиденциальной информации в электронной форме.

5. Режимные мероприятия, направленные на защиту конфиденциальной информации.

6. Правила обеспечения безопасности конфиденциальной информации на электронных носителях и организация контроля над их соблюдением.

7. Правила работы с конфиденциальными документами и организация контроля над их соблюдением.

8. Правила обеспечения безопасности конфиденциальной информации в устной форме и организация контроля над их соблюдением.

9. Санкции к сотрудникам организации, неумышленно допустившим разглашение конфиденциальной информации.

10. Санкции к сотрудникам организации, умышленно допустившим разглашение конфиденциальной информации.

Тема 5. Противодействие угрозам имущественной безопасности организации со стороны собственного персонала

Вопросы темы:

1. Имущество организации как объект защиты.

2. Типовые причины, формы и методы реализации угроз имущественной безопасности организации с участием ее персонала

3. Методы противодействия угрозам имущественной безопасности организации со стороны ее персонала.

4. Управление персоналом организации в целях обеспечения ее имущественной безопасности.

Цели и задачи:

Цели и задачи изучения данной темы – получение общетеоретических знаний о проблеме имущественной безопасности в деятельности современной организации во взаимосвязи с кадровым аспектом ее работы. Серьезное и целенаправленное изучение темы познакомит студентов с субъектами и объектами рассматриваемых в ней угроз, типовыми формами их практической реализации, основными профилактическими и пресекающими методами противодействия соответствующим угрозам.

В результате успешного изучения темы Вы:

Узнаете:

Ø почему большинство современных организаций рассматривают угрозу имущественной безопасности в качестве наиболее вероятной;

Ø какие причины могут подтолкнуть сотрудников организации к нарушению правил обеспечения имущественной безопасности;

Ø в какой форме и какими методами могут быть реализованы соответствующие угрозы;

Ø какие организационные, технические и кадровые методы должна использовать организация для защиты различных элементов своего имущества от угроз со стороны безответственных или нелояльных сотрудников.

И приобретете следующие профессиональные компетенции:

Ø способность ранжировать элементы имущества организации с позиции вероятности и масштаба потерь от реализуемых угроз;

Ø умение прогнозировать причины возможных нарушений сотрудниками правил обеспечения имущественной информационной безопасности своего работодателя и своевременно нейтрализовывать их;

Ø навыки в области организации специального обучения сотрудников организации правилам обеспечения имущественной безопасности;

Ø умение организовать комплексную защиту имущества организации от различных угроз со стороны собственного персонала;

Ø навыки в области организации контроля над соблюдением сотрудниками организации правил обеспечения имущественной безопасности и, при необходимости, выбирать адекватные санкции к виновникам их нарушения.

В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:

Высоколиквидные активы - элементы имущества организации, особо привлекательные для потенциальных злоумышленников (наличные денежные, в том числе валютные, средства, золото, ликвидные ценные бумаги на предъявителя).

«Двойная бухгалтерия» (сленговое выражение) – метод обмана налоговых органов и (или) собственников организации путем фальсификации бухгалтерских документов путем их дублирования с отражением в одном комплекте документов подлинных данных, а в другом – умышленно искаженных

Коррупция сотрудников – одна из форм нарушения доверия организации - работодателя нелояльными сотрудниками, в корыстных целях (т.е. за определенное вознаграждение) совершающих действия, наносящие ему имущественный или неимущественный ущерб.

Кража – хищение имущества организации в ненасильственной форме.

«Несун» (сленговое выражение) – сотрудник организации, систематически совершающий мелкие хищения ее имущества.

Ограбление – хищение имущества организации в насильственной форме.

«Откат» (сленговое выражение) – форма проявления коррупции сотрудниками организации, вознаграждение которых за соответствующие противоправные действия определяется в процентах от суммы сделки, совершающейся с их прямым или косвенным участием.

Саботаж – умышленное уничтожение или повреждение нелояльным сотрудником организации имущества организации.

«Черный нал» (сленговое выражение) – не отражаемые в открытой системе бухгалтерского учета и налоговой отчетности организации наличные денежные средства.

Для изучения темы:

Ø Прочитайте:

1. Алавердов А. Управление кадровой безопасностью организации: Учебник / Академическая серия – М.: МАРКЕТ-ДС, 2008 – Тема 5.

2. Бизнес и безопасность. Толковый терминологический словарь. – М.: Бек» 1995 – соответствующие термины.

Обратите внимание на:

§ необходимость ранжирование элементов имущественных комплексов организации по степени их ликвидности, следовательно, вероятности хищений;

§ две типовые первопричины реализации угроз имущественной безопасности организации со стороны ее персонала – безответственность сотрудников и злой умысел сотрудников;

§ термин «материально ответственное лицо» и порядок юридического оформления замещения соответствующих должностей;

§ стирание границ между понятиями «имущественной безопасности» и «информационной безопасности» при управлении денежными средствами и финансовыми операциями с использование информационных технологий;

§ высокий уровень возможных имущественных потерь организации в случае реализации угрозы коррупции сотрудников подразделения, отвечающего за закупки оборудования, сырья и материалов.

Ø Ознакомьтесь со следующими дополнительными материалами:

1. Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ с изм. и доп.

2. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: Изд. «КноРус», 2005.

3. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

4. Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005.

5. Яскевич В.И. Секъюрити: Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

Обратите внимание на:

§ конкретные формы проявления безответственности сотрудников при работе с финансовыми документами и материальными активами;

§ многообразие форм соучастия сотрудников в различных формах покушений на имущество работодателя;

§ прямую взаимосвязь между эффективностью экономической мотивации специалистов организации и вероятностью реализации угроз ее имущественной безопасности;

§ необходимость комбинирования методов защиты имущества работодателя.

Ø Ответьте на следующие вопросы:

1. Как работодатель может возместить имущественный ущерб, нанесенный ему работником?

2. В каких случаях работодатель вправе направить в суд исковое заявление с просьбой возбудить в отношении своего работника уголовное дело по обвинению в хищении?

3. Что входит в состав высоколиквидных активов организации?

4. Какие службы устанавливают порядок контроля над сохранностью имущественных комплексов организации?

5. Какие технические средства могут использоваться для обеспечения безопасности имущества организации?

Теоретический материал по теме

Вопрос 1. Имущество организации как объект защиты.

Проблема обеспечения имущественной безопасности являются актуальной для всех без исключения современных организаций. В отличие от конфиденциальной информации, способной заинтересовать потенциальных злоумышленников, любая организация располагает тем или иным ликвидным имуществом. Оно может стать объектом угроз как внешнего характера, так и со стороны собственного персонала.

В современных условиях проблема безопасности имущества может оказаться прямо взаимосвязанной с проблемой информационной безопасности. Примером подобного «пересечения объектов защиты» выступают, прежде всего, финансовые расчеты, совершаемые посредством использования информационных технологий (например, «клиент – банк»), несанкционированный перехват управления которыми способен вызвать прямой имущественный ущерб.

Классификация имущества организации^{^[1]} как объекта угроз осуществляется по нескольким признакам:

По виду имущества оно разделяется на:

Ø денежные средства в наличной и безналичной формах;

Ø ценные бумаги, а также любые другие документы, подтверждающие имущественные права;

Ø товарно-материальные ценности.

По степени ликвидности (т.е. способности быстрого превращения в деньги) оно разделяется на:

Ø абсолютно ликвидные активы - денежные средства и ценные бумаги на предъявителя);

Ø высоколиквидные материальные активы - товарно-материальные ценности, пригодные для быстрой реализации на открытом рынке (например, топливо, товары широкого потребления и т.п.);

Ø среднеликвидные материальные активы - товарно-материальные ценности, пользующиеся спросом, но не пригодные для реализации на открытом рынке (например, полуфабрикаты, некоторые виды сырья или промышленного оборудования);

Ø низколиквидные материальные активы - товарно-материальные ценности, не пригодные для реализации на открытом рынке и, кроме того, способные заинтересовать только ограниченную группу потенциальных покупателей (например, большинство видов промышленного оборудования).

По праву собственности имущество организации разделятся на:

Ø собственное;

Ø арендованное;

Ø принадлежащее партнерам или клиентам организации.

По стоимости оно разделятся на:

Ø особо ценное имущество (например, денежные средства, основное производственное оборудование и т.п.);

Ø малоценные элементы имущества (например, канцтовары);

Ø прочее имущество.

Вопрос 2. Типовые причины, формы и методы реализации угроз имущественной безопасности организации с участием ее персонала.

Субъектами угроз имущественной безопасности организации могут выступать:

Ø конкуренты организации, заинтересованные в перехвате прав собственности на ее имущественные комплексы или пытающиеся ослабить ее позиции путем уничтожения его элементов;

Ø криминальные структуры, заинтересованные либо в мирном проникновении в бизнес организации, либо в отчуждении части ее имущества (перехват прав собственности, хищения в насильственной или ненасильственной форме);

Ø индивидуальные злоумышленники в лице хакеров, взломщиков, финансовых аферистов;

Ø клиенты или партнеры организации, заинтересованные в получении дополнительного дохода путем различных форм мошенничества в процессе реализации хозяйственных отношений;

Ø собственные сотрудники, пытающиеся улучшить свое материальное положение за счет работодателя, а также наносящие ущерб его имуществу из злого умысла или в силу собственной безответственности.

Типовые формы угроз имущественной безопасности:

Ø перехват прав собственности на имущество организации;

Ø хищение имущества организации;

Ø повреждение или уничтожение имущества организации;

Ø нанесение организации ущерба в форме реализации невыгодных или прямо убыточных для нее хозяйственных операций.

Методы реализации угроз имущественной безопасности организации дифференцируются в зависимости от:

Ø объекта угрозы;

Ø субъекта угрозы.

При использовании классификации по первому признаку можно отметить, что основным объектом угроз являются денежные средства организации. Здесь могут быть реализованы самые разнообразные по характеру и технологии исполнения формы угроз, в частности:

Ø хищения в ненасильственной форме (кражи, в том числе, со взломом);

Ø хищения в насильственной форме (ограбление);

Ø хищение путем фальсификации финансовых документов;

Ø хищения с использованием информационных технологий.

Для реализации угроз в отношении имущества в материальной форме субъекты используют такие методы, как:

Ø хищения в ненасильственной форме;

Ø хищения в насильственной форме;

Ø перехват прав собственности;

Ø повреждение;

Ø уничтожение.

Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать собственные сотрудники организации. Чаще всего ими применяются:

Ø мелкие хищения товарно-материальных ценностей организации (от канцтоваров до относительно дешевой готовой продукции);

Ø крупные хищения товарно-материальных ценностей организации (от дорогостоящей готовой продукции до производственного оборудования), совершаемые обычно в сговоре с коллегами или сторонними злоумышленниками;

Ø хищения наличных денежных средств;

Ø хищения наличных и безналичных денежных средств путем фальсификации финансовых документов;

Ø хищение денежных средств с использованием информационных технологий;

Ø нанесение организации ущерба в результате коррупции при заключении хозяйственных договоров и контрактов;

Ø умышленное повреждение или уничтожение имущества организации (саботаж);

Ø неумышленное повреждение или уничтожение имущества организации (преступная небрежность).

Криминальные структуры для достижения поставленных целей могут склонять сотрудников организации к соучастию в таких преступных действиях, как:

Ø кражи;

Ø ограбления;

Ø изъятие или фальсификация документов, подтверждающих право собственности;

Ø умышленное уничтожение имущества;

Ø мошеннические финансовые операции.

Индивидуальные злоумышленники для достижения поставленных целей могут склонять сотрудников организации к соучастию в таких преступных действиях, как:

Ø кражи денежных средств и товарно-материальных ценностей;

Ø мошеннические финансовые операции;

Ø обеспечение возможности доступа к управлению финансовыми операциями с использованием информационных технологий.

Конкуренты для достижения поставленных целей могут склонять сотрудников организации к соучастию в таких преступных действиях, как:

Ø изъятие или фальсификация документов, подтверждающих право собственности;

Ø проведение заведомо убыточных операций;

Ø уничтожение имущественных комплексов (например, поджог офиса или склада с продукцией).

Недобросовестные клиенты или партнеры для достижения поставленных целей могут склонять сотрудников организации к соучастию в таких преступных действиях, как:

Ø изъятие или фальсификация документов, подтверждающих право собственности организации на отгруженную продукцию или переданное в аренду имущество;

Ø заключение невыгодной или прямо убыточной для организации сделки купли – продажи, аренды и т.п., а также скрытое лоббирование ее.

Вопрос 3. Методы противодействия угрозам имущественной безопасности организации со стороны ее персонала.

Первым этапом является формирование ранжированного перечня имущества организации как объекта защиты. В отличие от конфиденциальной информации здесь не может использоваться типовой классификации, поскольку она зависит от целого ряда факторов:

Ø отраслевая принадлежность организации;

Ø масштабы бизнеса;

Ø структура имущественных комплексов и т.п.

Вторым этапом является оценка возможных угроз имущественной безопасности организации со стороны ее сотрудников с учетом специфики ее уставной деятельности. При этом выделяются следующие три группы угроз:

Ø типовые угрозы, характерные для деятельности любого хозяйствующего субъекта (мелкие хищения товарно-материальных ценностей, хищения денежных средств путем фальсификации финансовых документов и т.п.);

Ø отраслевые угрозы, характерные для любых организаций конкретной отрасли (например, специфические угрозы имущественной безопасности банка, трастовой компании или отеля);

Ø индивидуальные угрозы, характерные для конкретной организации (например, наличие уникального малоразмерного оборудования, расположение в криминогенном регионе, высокий удельный вес сезонных работников и т.п.).

Основной целью работы по второму этапу выступает выявление наиболее вероятных угроз в адрес конкретных элементов имущественных комплексов организации, следовательно – обеспечение возможности выбора наиболее целесообразных методов и форм защиты.

Третьим этапом является определение перечня прикладных методов защиты имущества. Они делятся на следующие группы:

К методам программно-математического характера относятся:

Ø программы, ограничивающие доступ в компьютерные сети и отдельные компьютеры организации;

Ø программы, исключающие возможность несанкционированного перехвата управления финансовыми операциями в электронной форме.

К методам технического характера относятся:

Ø использование специальных хранилищ и сейфов для хранения денежных средств, ценных бумаг, компактных и дорогих товарно-материальных ценностей;

Ø использование механических средств защиты территории организации (ограждения, решетки, стальные двери), зданий и отдельных помещений детекторов и иной аппаратуры для выявления устройств перехвата информации;

Ø использование электронных защитных устройств (сигнализаций, датчиков движения, средств наблюдения и т.п.).

К методам организационного характера относятся:

Ø общережимные мероприятия (ограничение доступа в помещения, организация работы охранников, порядок выдачи и приемки товарно-материальных ценностей, контроль выходящих из помещений или здания сотрудников и т.п.);

Ø мероприятия по снижению возможности случайного или умышленного повреждения или уничтожения имущества (технологические правила, автоматические системы блокировки и т.п.);

Ø мероприятия по контролю над соблюдением персоналом установленных правил имущественной безопасности;

Ø мероприятия при выявлении фактов реализации угроз имущественной безопасности.

К методам финансового характера относятся:

Ø внедрение в организации эффективной системы бухгалтерского учета;

Ø организация контрольной работы финансовой службы и службы внутреннего аудита;

Ø установление отношений стратегического партнерства с одной из сторонних аудиторских фирм или договоренность о получении соответствующих услуг от обслуживающего организацию банка.

Четвертым этапом является непосредственное формирование и внедрение подсистемы имущественной безопасности организации, предполагающее:

Ø разработку общей концепции имущественной безопасности, как элемента общей стратегии безопасности организации;

Ø разработку внутренней нормативной базы;

Ø расчет и выделение необходимых финансовых ресурсов;

Ø обучение персонала организации правилам обеспечения имущественной безопасности;

Вопрос 4. Управление персоналом организации в целях обеспечения ее имущественной безопасности.

Работа с персоналом организации в целях профилактики и пресечения угроз имущественной безопасности с его стороны осуществляется по той же общей технологии и с использованием тех же базовых методов, что и при противодействии угрозам информационной безопасности, рассмотренном в предыдущей теме. Ниже сформулированы лишь отличия в организации соответствующей работы.

Общее отличие: наличие в организации рабочих мест, предполагающих прямую материальную ответственность занимающих их сотрудников за сохранность и правильное использование доверенных денежных средств и товарно-материальных ценностей.

Особенности в организации обучения:

Ø необходимость организации специального технического обучения части сотрудников, уменьшающего вероятность реализации угрозы в форме неумышленного повреждения имущества работодателя;

Ø необходимость специального обучения сотрудников службы безопасности технике отражения угроз имущественной безопасности организации, осуществляемых насильственными методами.

Особенности в организации контроля:

Ø включение в число субъектов контроля финансовой службы (в корпорациях, кроме того, специальной службы внутреннего аудита), а также всех материально-ответственных лиц;

Ø использование разнообразных форм и методов финансового контроля;

Ø использование технологий инвентаризации и других форм контроля над сохранностью имущества в материальной форме;

Ø использование независимых экспертов для проверки заключаемых контрактов и договоров с позиции их экономической эффективности для организации;

Ø большее внимание к обеспечению организации электронными и техническими средствами контроля над сохранностью имущества.

Особенности в организации мотивации:

а). В области позитивной мотивации:

Ø активное использование форм основной и дополнительной оплаты труда, снижающих вероятность финансовых и иных злоупотреблений со стороны менеджеров и специалистов (механизм участия в прибыли, комиссионные проценты от суммы контракта и т.п.);

Ø использование механизмов внутрихозяйственного расчета и внутрихозяйственной аренды для предотвращения индивидуальных и групповых хищений товарно-материальных ценностей.

б). В области специальных санкций:

Ø лучшие возможности для возмещения прямого ущерба, нанесенного сотрудниками, имеющими должностной статус «материально ответственного лица»;

Ø лучшие возможности для привлечения сотрудников, виновных в хищениях имущества работодателя, не только к административной, но и к уголовной ответственности.

Для подготовки к семинару:

1. Продумайте ответ на следующие предлагаемые к обсуждению вопросы:

1. В каких случаях к контролю над сохранностью и целевым использованием финансовых активов организации целесообразно привлекать независимый аудит?

2. Какие санкции целесообразно применять к сотруднику, безответственность которого привела к незначительному имущественному ущербу?

2. Может ли упущенная выгода рассматриваться в качестве угрозы имущественной безопасности организации?

3. Почему наиболее распространенной угрозой имущественной безопасности в нашей стране являются мелкие хищения материальных ценностей работодателя?

4. Как должна координироваться деятельность службы безопасности и службы внутреннего аудита организации?

2. Напишите небольшое эссе (объемом в 2-3 страницы) по одному из перечисленных ниже вопросов:

1. Технические средства защиты имущества организации.

3. Программные средства защиты от несанкционированного вмешательства в управление финансовыми расчетами организации.

4. Режимные мероприятия, направленные на защиту имущества организации.

5. Финансовая дисциплина в организации как основная форма профилактики угроз хищений денежных средств.

6. Правила хранения ликвидных товарно-материальных ценностей организации.

7. Проблема коррупции в службах коммерческого директора организации.

8. Борьба с мелкими расхитителями товарно-материальных ценностей организации.

9. Санкции к сотрудникам организации при выявлении фактов хищений ими имущества работодателя.

10. Основные функции и права службы безопасности в области обеспечения имущественной безопасности организации.

Дополнительная литература по дисциплине

1. Абрамов А., Никулин О., Петрушин А. Системы управления доступом. – М.: Оберег - РБ, 1998.

2. Алавердов А. Управление кадровой безопасностью организации: Учебник / Академическая серия – М.: Изд. МАРКЕТ-ДС, 2008.

3. Бизнес и безопасность. Толковый терминологический словарь. – М.: Бек, 1995 – соответствующие термины.

4. Бородин И. Концепция корпоративной безопасности // Материалы международной научно-практической конференции: проблемы корпоративной безопасности, Одесса: «Консалтинг», 1998.

5. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

6. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

7. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

8. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ.

10. Закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.1992 №2487-1 (в редакции на 24.07.2007 № 214-ФЗ).

11. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

12. Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005.

13. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

14. Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ с изм. и доп.

15. Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001.

16. Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005.

17. Яскевич В.И. Секъюрити: Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

^{^[1]} по понятным причинам в настоящей теме не рассматривается та часть информации, которую с юридической точки зрения правомерно отнести к имуществу организации