Порядок роботи персоналу з конфіденційними документами

Порядок роботи персоналу з конфіденційними документами

Бакалаврська робота

Порядок роботи персоналу з конфіденційними документами

Реферат

Зміст роботи: Визначення змісту, сутності та значення порядку роботи персоналу з конфіденційними документами. Аналіз нормативно-методичного забезпечення захисту конфіденційних документів. Визначення місця людського фактору у системі захисту конфіденційної інформації.

Також розглянута загальна характеристика організації роботи з конфіденційними документами на підприємстві у кадровому аспекті, яка включає: організаційне проектування системи захисту, управління персоналом по забезпеченню обігу конфіденційних документів і основні показники діяльності підприємства.

Досліджено вдосконалення системи роботи персоналу з конфіденційними документами суб’єкту господарювання. Обгрунтувано комплексний підхід роботи з кадрами. Розкрито зміст формування внутрішньої нормативної бази. І вивчено вдосконалення моделі захисту конфіденційної інформації.

Ключові слова: Конфіденційна інформація, конфіденційний документ, підприємство, організація, установа, персонал, кадри, керівник, працівник, захист, система, безпека, загроза.

Зміст

Вступ

Розділ 1. Теоретико-практична значущість захисту конфіденційної інформації

1.1 Сутність проблеми, глосарій, ознаки

.2 Нормативно-методичне забезпечення захисту конфіденційних документів

.3 Людський фактор у системі захисту конфіденційної інформації

Розділ 2. Загальна характеристика організації роботи з конфіденційними документами на підприємстві: кадровий апект

.1 Організаційне проектування системи захисту

.2 Управління персоналом по забезпеченню обігу конфіденційних документів

.3 Основні показники діяльності

Розділ 3. Вдосконалення системи роботи персоналу з конфіденційними документами суб’єкту господарювання

3.1 Обґрунтування комплексного підходу роботи з кадрами

3.2 Формування внутрішньої нормативної бази

.3 Вдосконалення моделі захисту конфіденційної інформації

Висновки

Список використаної літератури

захист конфіденційний документ персонал

Вступ

Актуальність проблеми. Конфіденційна інформація - інформація про фізичну особу (персональні дані) або юридичну особу, доступ та поширення якої можливі лише за згодою її власників (тобто тих, кого ця інформація безпосередньо стосується) та на тих умовах, які вони вкажуть.

До конфіденційної інформації про фізичну особу належать, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини (Ст.11 ЗУ "Про інформацію" від 10.08.2012).

Актуальність полягає у тому, що в кожній установі (державній, не державній) циркулює інформація, розголошення, якої завдасть шкоду роботі підприємства, починаючи від витоку відомостей конкурентам, закінчуючи не спроможністю персоналу працювати з документами відповідно до встановлених інструкцій. І на цьому ґрунті виникає необмежена кількість не вирішених питань. Головне з яких - людський фактор, як головна загроза усій діяльності організації. Необхідно висвітлити ці питання, адже вони потребують нагального вирішення.

На сучасному етапі робота з документами, які становлять комерційну таємницю відіграє значну роль у діяльності управлінських органів будь-якого підприємства. Конфіденційне діловодство поширюється на документи, які містять у собі відомості, що складають комерційну і службову таємницю. Комерційна таємниця прямо пов'язана з комерційною діяльністю, і є необхідною умовою її існування. Її оббіг на підприємствах залежить саме від персоналу, що забезпечує рух таємних документів.

Організація і технологія конфіденційного діловодства не досить чітко регла-

ментовані державними нормативними актами. Їх повинен визначати власник конфіденційних документів, з огляду на специфіку діяльності підприємства. Однак при цьому йому необхідно керуватися визначеними нормами і правилами роботи з конфіденційними документами, що забезпечують потрібний рівень функціонування підприємства, збереженість документів і конфіденційність інформації, що міститься в них. Керівник повинен контролювати виконання інструкцій і наказів серед працівників, які працюють з цим видом документів. Небезпеку представляє собою поява нових форм злочинної діяльності, які раніше не були відомі. З ними досить складно вести ефективну боротьбу як з точки зору кримінального переслідування, так і застосування організаційно-управлінських і кримінологічних заходів з метою їх попередження. До таких злочинних посягань слід віднести незаконне збирання, використання та розголошення відомостей, що складають комерційну таємницю.

І тому дослідження цієї теми є актуальною, адже ці проблеми вже існують на кожному підприємстві, і вони є загрозою для нормального існування та перспективного розвитку будь-якої організації, а тому потребують ефективних методів, способів і ідей для їх вирішення. Адже людський фактор є самою небезпечною загрозою для документообігу в державних та не державних установах. Це досить складна і тонка справа, бо кожна людина є особистістю і до неї потрібен індивідуальний підхід, різні мотиваційні і заохочувальні методи.

Метою дослідницької роботи є висвітлення наявних проблем організації роботи персоналу з конфіденційними документами, пов’язаними з охороною і захистом інформації з обмеженим доступом.

Для розв‘язання поставленої мети були поставлені і вирішені наступні завдання:

. За даними доступної літератури дослідити науково-практичні роз-робки стосовно сутності проблеми, нормативно-методичного забезпечення та людського фактору у системі захисту конфіденційної інформації.

. Дослідити організаційне проектування системи захисту, управління

персоналом по забезпеченню обігу конфіденційних документів і визначити основні показники діяльності персоналу конфіденційної інформацією.

3. Обґрунтувати комплексний підхід роботи з кадрами, дослідити формування внутрішньої нормативної бази і внести пропозиції щодо вдосконалення моделі захисту конфіденційної інформації

4. На підставі матеріалів дослідження обґрунтувати висновки і запропонувати адекватні пропозиції.

Об‘єкт дослідження - Локомотивне депо Іловайськ, Державного підприємства "Донецька залізниця".

Предметом дослідження - порядок роботи персоналу з конфіденційними документами, а також безпосередньо і самим видом інформації.

Інформаційно-методичне забезпечення. Інформаційною базою дослідження стали нормативні акти, що регламентують діяльність суб‘єктів господарювання з організації роботи персоналу з конфіденційними документами (Конституція України, Закон України "Про інформацію" від 10.08.2012, "Про доступ до публічної інформації" від 19.11.2012, постанова Кабінету Міністрів України "Про затвердження Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію" від 01.11.2011, також стаття 263 митного кодексу від 01.06.2012 року), а також наукова література, предмет дослідження яких тісно пов’язаний з тематикою даного дослідження.

Методологічну основу дослідження склали методи наукового дослідження, як:

синтез - поєднує абстраговані сторони предмета і відображає його як конкретну цілісність; метод вивчення об'єкта у його цілісності, у єдиному і взаємному зв'язку його частин. У процесі наукових досліджень синтез пов'язаний з аналізом, оскільки дає змогу поєднати частини предмета, розчленованого у процесі аналізу, встановити їх зв'язок і пізнати предмет як єдине ціле;

- аналіз - розчленування певного явища на окремі властивості чи відношення, що б пояснити на теоретичному рівні з чим ми будемо працювати, а також, виявити проблеми, які існують у цій сфері;

-        системний аналіз - вивчення об'єкта дослідження як сукупності елементів, що утворюють систему. У наукових дослідженнях він передбачає оцінку поведін-

ки об'єкта як системи з усіма факторами, які впливають на його функціонування;

- індукція - це процес судження, котрий досягає висновку що при наявному стані знань є напевно істинний, але не гарантує його. Індуктивний висновок може бути спростований або узагальнений при наявності додаткових фактів;

-        бібліометрія - метод кількісного дослідження друкованих документів у вигляді матеріальних об'єктів або бібліографічних одиниць, а також замінників тих чи інших. Бібліометрія дає змогу простежити динаміку окремих об'єктів науки: публікації авторів, їх розподіл за країнами, рубриками наукових журналів, рівень цитування та ін.

Структура та обсяг роботи: бакалаврська робота складається із змісту, вступу, трьох розділів, кожен з яких містить по три підрозділи і висновки до них, загальний висновок до усієї роботи і використана література. Робота складає 56 сторінок.

Розділ 1. Теоретико-практична значущість захисту конфіденційної інформації

.1 Сутність проблеми, глосарій, ознаки

Конфіденційною є інформація про фізичну особу, а також інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, а також в інших випадках, визначених законом [1].

Конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов [2].

конфіденційна інформація - інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, та яка може поширюватися у визначеному ними порядку за їхнім бажанням відповідно до передбачених ними умов [3].

Конфіденційна інформація - інформація, включаючи "ноу-хау", що стосується предмету договорів (контрактів), укладених та/або таких, що укладаються, у ході двостороннього військово-технічного співробітництва, яка має дійсну або потенційну комерційну цінність, через те, що невідома третім особам, до якої немає вільного доступу на законній підставі та власник якої вживає заходів для забезпечення її конфіденційності.

(Угода між Кабінетом Міністрів України та Урядом Російської Федерації "Про взаємну охорону прав на результати інтелектуальної діяльності, що використовуються та отримані в ході двостороннього військово-технічного співробітництва" (ст.1) м. Київ, 22 грудня 2006 року.)

Конфіденційна інформація - інформація обмеженого доступу, що не є

таємною інформацією, яка визначається в якості конфіденційної відповідно до порядку, встановленого законодавством України, і на носіях якої проставляється відмітка: в Україні - "Для службового користування" [4].

Конфіденційна інформація характеризується обов'язковою сукупністю трьох ознак:

) вона не містить в собі державної таємниці (що відрізняє ст. 330 від статей 328, 329 КК);

) вона є власністю держави;

) вона є обмеженою для користування: заборона на її передачу іноземним підприємствам, установам, організаціям або їх представникам міститься в наказах, інструкціях, розпорядженнях міністерств і відомств [5].

Конфіденційною інформацією, що є власністю держави, має визнаватися інформація, для якої характерна сукупність таких ознак. Так, вона: а) не є інформацією, яка становить державну, комерційну або іншу таємницю, що охороняється кримінальним кодексом (таємницю усиновлення, голосування тощо); б) не є відкритою інформацією, загальнодоступність якої охороняється законодавством України (скажімо, інформацією, приховування якої являє загрозу життю і здоров'ю людей); в) є такою, що являє певну цінність та її передавання іноземним організаціям або їх представникам може завдати шкоди державі; г) є інформацією, порядок обігу та захисту якої визначено відповідними державними органами (міністерствами, іншими центральними органами виконавчої влади, Радою Міністрів Автономної. Республіки Крим, обласними, Київською та Севастопольською міськими державними адміністраціями), в яких вона утворюється або у володінні, користуванні чи розпорядженні яких перебуває відповідно до Закону України "Про інформацію"; д) закріплена на матеріальному носієві інформації .

Інформацією з обмеженим доступом є конфіденційна, таємна та службова інформація. Згідно з Законом України "Про інформацію" до інформації з обмеженим доступом не можуть бути віднесені такі відомості:

про стан довкілля, якість харчових продуктів і предметів побуту;

про аварії, катастрофи, небезпечні природні явища та інші надзвичайні ситуації, що сталися або можуть статися і загрожують безпеці людей;

про стан здоров'я населення, його життєвий рівень, включаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіти і культури населення;

про факти порушення прав і свобод людини і громадянина;

про незаконні дії органів державної влади, органів місцевого самоврядування, їх посадових та службових осіб;

інші відомості, доступ до яких не може бути обмежено відповідно до законів та міжнародних договорів України, згода на обов'язковість яких надана Верховною Радою України [6].

В Україні не визначено чіткий перелік інформації, яка б становила конфіденційну таємницю. В цьому й полягає проблема, яка перешкоджає вдосконалити захист цього виду відомостей на підприємствах, організаціях, установах. А також до неї можуть бути віднесені всі відомості, які керівник вважає за доцільним захистити для того, щоб забезпечити безпеку функціонування на підприємстві.

Різновидами Конфіденційної інформації також є комерційна таємниця, банківська таємниця. До них належать і відомості, зміст яких відомий певній особі у зв'язку з її професійною діяльністю (службова інформація). Це, наприклад, відомості, що становлять предмет адвокатської, лікарської, нота-ріальної таємниці; таємниці рахунків та вкладів, листування, телефонних розмов та ін. повідомлень, що передаються засобами зв'язку; таємниці усиновлення, голосування; відомості, про які дізналися судді при розгляді кримінальних справ у судовому засіданні та ін.

Винні у розголошенні служб, таємниці притягуються до юридичної відповідальності. Обов'язковий для всіх центр. органів виконавчої влади, уряду АР Крим, місцевих органів виконавчої влади, органів місцевого самоврядування, підприємств, установ і організацій незалежно від форм власності порядок обліку, зберігання і використання документів, справ, видань та ін. матеріальних носіїв інформації, які містять К. Інформацією, що є власністю держави, визначений спеціальною Інструкцією, затвердженою КМ України 201.11.2011 року. Із введенням у дію цієї Інструкції тиражовані документи, видані з грифом "Для службового користування, а також тиражовані документи, випущені в світ у різний час з ін. обмежувальними грифами, крім грифів "Службова таємниця", "Таємно", "Цілком таємно" та "Особливої важливості", можуть розглядатися як відкриті документи за наявності письмової згоди організацій, що їх підготували, або правонаступників цих організацій [7].

.2 Нормативно-методичне забезпечення захисту конфіденційних документів

Нормативно-методичне забезпечення захисту конфіденційної інформації призначено для регламентації процесів забезпечення інформаційної безпеки фірми, в тому числі при роботі персоналу з конфіденційною інформацією, документами, справами і базами даних. Воно включає в себе ряд обов'язкових організаційних, інструктивних і інформаційних документів, що встановлюють принципи, вимоги і способи попередження пасивних і активних загроз цінній інформації, які можуть виникнути по вині персоналу, конкурентів, зловмисників та інших осіб.

Нормативно-методичне забезпечення базується на тих обов'язкових положеннях, які повинні міститися в засновницьких та інших основоположних документах фірми і визначати правовий статус інформаційної безпеки фірми. Вказані положення дозволяють на законних підставах вести мову про збереження підприємницької таємниці, виділяти цінну інформацію, яка складає власність і таємницю фірми, і виконувати дії по її захисту. Предмет і направлення захисту повинні знайти відображення, наприклад, в статуті фірми, типових формах контрактів різного роду й призначеннях, положеннях про структурні підрозділи фірми, посадових інструкціях та інших документах. Самими важливими організаційними документами, що фіксують завдання, функції і відповідальність служб, які здійснюють захист цінної документованої інформації фірми, є: положення про службу безпеки, положення про службу конфіденційної документації, посадові інструкції співробітників цих служб, посадова інструкція менеджера (референта) по безпеці невеликої підприємницької фірми та інші документи.

Технологічні інструктивні, документи відрізняються великою різноманітністю і по своєму призначенню, складу і змісту відображають вибрану фірмою систему захисту документованої інформації Можна виділити головні, на наш погляд, регламентуючі документи, які мають значення для будь-якої фірми і необхідні при використанні будь-якої системи захисту інформації або окремих елементів такої системи.

Передусім варто назвати Перелік відомостей підприємницької фірми, які складають її таємницю або є особливо цінними. Перелік призначений для визначення складу конфіденційних документів і баз даних, встановлення грифів обмеження доступу до паперових і електронних документів, визначення необхідної структури системи захисту інформації. Зміст переліку звичайно поділяється на декілька частин: загальну методичну частину за способами складення переліку і правилами роботи з ним, списки конфіденційних відомостей по структурним підрозділам або управлінським функціям, список видів конфіденційних документів і баз даних з вказанням місця їх зберігання, терміну конфіденційності і т.п. Іншим важливим регламентуючим документом є інструкція по забезпеченню безпеки власної інформації підприємницької фірми. Вона необхідна для організації роботи по захисту конфіденційної і цінної документованої інформації [8].

Якщо у процесі діяльності підприємства створюються документи, що містять комерційну таємницю, то керівник цього підприємства повинен видати наказ про затвердження списку посадових і службових осіб, які мають право працювати з такими документами.

Посадові й службові особи, зокрема працівники служби діловодства (завідувач канцелярії, секретар тощо), які працюють з документами, що містять комерційну таємницю, мають бути обізнані з правилами роботи з ними, ознайомлені під розписку з відповідними відомчими інструкціями або індивідуальною інструкцією, котра визначає порядок роботи з документами, що містять комерційну таємницю, на конкретному підприємстві.

Серед методів захисту комерційної таємної інформації можна виокремити такі найважливіші:

розроблення положення про конфіденційну (комерційну) інформацію підприємства;

підготовка інструкції, що визначає порядок роботи (обліку, зберігання і користування) з документами, які містять комерційну таємницю;

розроблення інструкції (регламенту, порядку) щодо дотримання працівниками підприємства режиму нерозголошення конфіденційної (комерційної) інформації;

включення до статуту (положення) підприємства розділів, що регламентують захист конфіденційної (комерційної) інформації;

розроблення форми угоди про нерозголошення конфіденційної (комерційної) інформації, що укладається з особами, які мають доступ до такої інформації [9].

.3 Людський фактор у системі захисту конфіденційної інформації

Основним елементом розвитку ринкового бізнесу є інформація, яку в ім'я отримання прибутку потрібно або зберегти, або викрасти. Створюють, отримують, обробляють, зберігають інформацію люди, значить і носіями конфіденційної інформації, є люди, співробітники тієї чи іншої організації - саме відповідальне і саме - уразлива ланка захисту інформації. Вона представлена також фінансовими документами, перспективними планами, технічними та технологічними винаходами, відкриттями записаними на матеріальні носії. Найбільш цінні відомості належать до конфіденційної таємниці і повинні зберігатися якнайкраще. Охороняють конфіденційну таємницю люди, викрадають - ті ж самі люди. В теорії штучно поділяють технічні засоби і людський фактор у забезпеченні безпеки конфіденційної інформації для більш детального аналізу останнього аспекту. На практиці ж технічні засоби захисту інформації і людський фактор повинні доповнювати один одного і складати наріжний камінь комплексної системи безпеки.

Невідповідність каральних заходів за розголошення конфіденційної комерційної інформації збитку, який, наноситься її розголошенням, є однією із спонукальних причин зради серед незадоволених співробітників установ, підприємств,організацій. Керівника служби безпеки однієї з великих фірм підкреслює, що "... збір та аналіз інформації про ринок, конкурентів, партнерів і співробітників, політиці держави - це основа роботи служби безпеки ..., проблеми, пов'язані з витоком інформації, розкраданнями на фірмі - це все внутрішні чинники, які виходять від персоналу, ... факт продажу інформації виявити важко. Якщо він виявлений - важко довести. Якщо він доведений, то тут виникають деякі можливості, хоча насправді ці можливості дуже низькі. На даний момент з співробітника можна стягнути одну зарплату. Якщо з ним укладено договір про матеріальну відповідальність, то вище, в розмірі прямого збитку. Але упущену вигоду в принципі неможливо ні з кого стягнути. А вона буває багаторазово більше прямого збитку ".

Враховуючи ці обставини, а також непомірно високу вартість сучасних охоронних технологій, є резон звернутися до так званого "людського фактору", при правильному розумінні і використанні якого створюються умови для економії фінансових коштів в забезпеченні безпеки конфіденційної інформації. Разом з тим, складність впливу на ситуацію, що склалася полягає в тому, що роль людського фактора визначається, на думку психологів, "високим ступенем психологічної невизначеності скоєння злочину в часі і різній обстановці, коли бажанням співробітника розголосити конфіденційну інформацію в корисливих цілях не можуть перешкодити навіть самі дорогі засоби і методи захисту ".

Наука ергономіка ("irgon" - праця, "nymos "- закон) вивчає людини (або групу людей) і його (їх) діяльність в умовах сучасного виробництва з метою оптимізації знарядь, умов і процесу праці. Основний об'єкт досліджень ергономіки-системи "людина - машина", в тому числі і так звані ергатичних системи. Американський учений X. Хендрік визначає ергономіку як "інтерфейс людини з технічними засобами та навколишнім середовищем", причому він має величезний потенціал для вдосконалення здоров'я, безпеки і комфорту, як самої людини, так і систем виробництва.

З розвитком науково-технічного прогресу фізична праця людини став все більше поступатися місцем розумовій праці. Зросло навантаження на психіку індивіда, якому "тепер доводиться вирішувати завдання оцінки і прогнозування ефективності роботи обладнання та інших людей, надійної взаємодії з різними елементами соціотехнічної системи - виробничого механізму".

В умовах, описаних ергономікою і обумовлених особистісним фактором, людські дії проявляються швидше на рівні інстинкту, під впливом випадкових, тимчасових, екстремальних факторів (в ергономіці - це порушення в системі "людина-машина"). Осмислення ситуації на рівні свідомості включається вже на стадії вирішення завдання щодо виходу зі складної, неординарної ситуації.

Фактор людини в системі забезпечення безпеки конфіденційної інформації, вбирає в себе основні соціально-економічні та моральні аспекти названих теорій, але має свою специфіку.

У даному контексті людський фактор виступає як сукупність об'єктивних умов (передумов) психічного, соціально-економічного, політичного, ідеологічного, морального, національного, природного і техногенного характеру, що діють в даний час і даному просторі і обумовлюють негативне або позитивне поведінку людини і його вчинки.

Звичайно, це не означає, що всі передумови діють одночасно, все відразу. Інформація викрадається і продається в різний час , в різних ситуаціях і з різних причин. В одному випадку, людина може діяти з політичних, ідеологічних і національних мотивів. В іншому випадку, її дії обумовлені соціально-економічними і моральними проблемами, в наступному - тільки психічними.

У всіх публікаціях, щодо безпеки підприємництва наводяться відомості про те, що збереження 80,0% конфіденційної інформації залежить від правильного добору, розстановки і виховання кадрів, персоналу, відданого фірмі або підприємству [10].

Як висновок можна зазначити, що головною проблемою в забезпеченні захисту конфіденційної інформації на підприємстві є людський фактор, адже дуже складно прослідкувати психологічний стан працівника, його потреби й настрої, підібрати саме той колектив, в якому буде комфортно працювати саме цій людині. Потрібно також задовільнити фінансові потребі людини, мотивувати її на належну працю, переконати у важливості роботи з конфіденційними документами. Потрібно роз’яснити працівникові ,ще до прийому на роботу, - відповідальність за порушення інструкцій щодо обігу інформації , що є гримованою.

Ще одною проблемою є чітко не встановлений перелік відомостей, що можуть бути віднесеними до конфіденційної інформації. І вся відповідальність лягає на плечі курівника, якому потрібно не лише розробити і затвердити внутрішні нормативні акти (інструкції, розпорядження), де буде зазначений рух документів від створення до знищення,перелік осіб ,що можуть працювати з ними, а й ту інформацію, що власне буде засекреченою. А це не мала відповідальність і великий об’єм роботи, який повинен зробити висококваліфікований керівник, з певним досвідом роботи.

Ці проблеми потребують нагального вирішення (на локальних і на державному рівнях), адже комерційна інформація міститься в кожній структурі, як державній, так і комерційній, - від цього залежить ефективність роботи підприємства, його становлення, розвиток і закріплення у своїй сфері на ринку праці серед собі подібних.

Розділ 2. Загальна характеристика організації роботи з конфіденційними документами на підприємстві: кадровий аспект

.1 Організаційне проектування системи захисту

Організаційний захист інформації - захист інформації шляхом регулювання за допомогою організаційних заходів доступу до всіх ресурсів інформаційної системи.

Згідно з ДСТУ 3396.1-96 організаційні заходи захисту інформації - комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування засобів (систем) забезпечення інформаційної діяльності та засобів (систем) забезпечення ТЗІ [11].

Організаційні заходи включають в себе створення концепції інформаційної безпеки, а також:

складання посадових інструкцій для користувачів та обслуговуючого персоналу;

створення правил адміністрування компонент інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

розробка планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

навчання правилам інформаційної безпеки користувачів.

У разі необхідності, в рамках проведення організаційних заходів може бути створена служба інформаційної безпеки, проведена реорганізація системи діловодства та зберігання документів [12].

Елемент організаційного захисту інформації містить управлінський та

обмежувальний характер, що спонукає персонал дотримуватися правил захисту конфіденційної інформації і включає в себе:

формування і регламентацію діяльності служби безпеки підприємства, забезпечення цієї служби нормативно-методичними документами по організації і технології захисту інформації;

регламентацію та регулярне оновлення переліку (списку) цінної, конфіденційної інформації, яка підлягає захисту, складання і ведення переліку конфіденційних документів на підприємстві;

регламентацію системи (ієрархічної схеми) обмеження доступу персоналу до конфіденційної інформації;

регламентацію технології захисту і обробки конфіденційних документів фірми;

побудова захищеного традиційного або без паперового документообігу;

побудова технології документування цінної інформації, складання,

оформлення, виготовлення і видавництва конфіденційних документів;

побудова технологічної системи обробки і збереження конфіденційних документів;

організацію архівного зберігання конфіденційних документів;

регламентацію захисту цінної інформації підприємства від несанкціонованих доступу;

порядок і правила роботи персоналу з конфіденційними документами і інформацією, контроль за виконанням всіма співробітниками встановлених положень;

відбір персоналу для роботи з конфіденційною інформацією, навчання та інструктування співробітників;

порядок захисту інформації при веденні переговорів, проведенні нарад по конфіденційним питанням, прийомі відвідувачів, здійснення рекламної, виставочної та іншої діяльності;

регламентацію аналітичної роботи по виявленню загроз цінній інформації фірми і каналів витоку інформації;

обладнання і атестацію приміщень і робочих зон, виділених для здійснення конфіденційної діяльності, ліцензування технічних систем і засобів захисту інформації та охорони;

регламентацію режимних складових:

• пропускного режиму на території, в будівлях і приміщеннях фірми, ідентифікацію персоналу та вантажу;

• системи охорони території, будівлі, приміщень, обладнання, грошових засобів, транспорту і персоналу фірми;

• організаційних питань експлуатації технічних засобів захисту інформації і охорони;

• дій служби безпеки і персоналу в екстремальних ситуаціях;

• роботи по управлінню системою захисту інформації фірми.

Елемент організаційного захисту є стержнем, який зв'язує в одну систему всі інші елементи.

Центральною проблемою при розробці методів організаційного захисту інформації є формування дозвільної (обмежувальної) систем і доступу персоналу до конфіденційних відомостей, документів і баз даних. Важливо чітко і однозначно встановити: хто, кого, до яких, відомостей, коли, на який період і як допускає.

Дозвільна система вирішує наступні задачі:

забезпечення співробітників всіма необхідними для роботи документами і інформацією;

обмеження кола осіб, які допускаються до конфіденційних документів;

виключення несанкціонованого ознайомлення з документу.

Ієрархічна послідовність доступу реалізується по принципу "чим вища цінність конфіденційних відомостей, тим менша чисельність співробітників можуть їх знати". У відповідності з цією послідовністю визначається необхідний ступінь посилення захисних мір, структура рубежів (ешелонів) захисту інформації.

Доступ співробітника до конфіденційних відомостей, який здійснюється у відповідності з дозвільною системою, називається санкціонованим. Доз-віл (санкція) на доступ до цих відомостей завжди є строго персоніфікованим і видається керівником в письмовому вигляді: наказом, що затверджує схему посадового чи іменного доступу до інформації, резолюцією на документі, списком-дозволом в карточці видачі справи або на обложці справи ознайомлення з документом.

Організаційні міри захисту відображаються в нормативно-методичних документах служби безпеки фірми. У зв'язку з цим часто використовується єдина назва двох розглянутих вище елементів системи захисту - організаційно-правового та технічного.

Так, технічний захист включає:

засоби захисту технічних каналів витоку інформації, що виникають під час роботи ЕОМ, засобів зв'язку, копіювальних апаратів, принтерів, факсів та інших приладів і обладнання;

засоби захисту приміщень від візуальних та акустичних способів технічної розвідки;

засоби охорони будівель і приміщень від проникнення сторонніх осіб (засоби спостереження, сповіщення, сигналізації, інформування і ідентифікації, інженерні споруди);

засоби протипожежної охорони;

засоби виявлення приладів і пристроїв технічної розвідки (підслуховуючих та передавальних пристроїв, звукозаписувальної та телевізійної апаратури і т.д.).

Також існує програмно-математичний елемент захисту інформації,який включає регламентацію:

доступу до електронних документів персональними паролями, що ідентифікуються командами та іншими найпростішими методами захисту;

спеціальних засобів і продуктів програмного захисту;

криптографічних методів засобів захисту інформації в ЕОМ та мережах, шифрування тексту під час передачі їх по каналам звичайного та факсимільного зв'язку, під час пересилки поштою.

В кожному елементі захисту можуть бути реалізовані на практиці тільки окремі складові частини. Наприклад, в організаційному захисті можна регламентувати тільки прийоми обробки конфіденційних документів і систему доступу до них персоналу. Методи і засоби захисту інформації в рамках системи захисту повинні регулярно змінюватись з метою попередження їх розкриття зловмисником.

Конкретна система захисту інформації фірмі завжди є строго конфіденційною. Спеціалісти, які розробляли що систему, ніколи не повинні бути її користувачами [13].

Організаційне проектування - це проектування нових організацій, структурне перетворення чи оптимізація діяльності, вже існуючих організацій, і навіть формування організаційних структур. Організаційне проектування дозволяє формувати системи із наперед заданими характеристиками, які у проектної документації. Метою організаційного проектування є формування нових структур чи розвиток вже існуючих, і навіть надання процесу створення нових систем чи розвитку діючих.

Завданнями організаційного проектування є:

виявлення умов, які впливають на діяльність організації та методів вивчення;

визначення якісного і кількісного складу елементів структур управління, формування взаємозв'язку;

визначення структури управління організацією й визначення умов, у яких кожна з яких буде ефективніша;

вивчення принципів, і методів проектування структур управління і особливості їх застосування;

визначення методики розрахунку необхідної кількості персоналу;

розробка заходів із впровадження спроектованих заходів у організацію;

розробляються методи і форм контролю, і навіть специфіки їх використання [14].

.2 Управління персоналом по забезпеченню обігу конфіденційних документів

Робота з персоналом на етапі підбору, оформлення та введення в посаду. Основні завдання керівника на даному етапі:

• виключити прийняття на роботу в компанію осіб, потенційно небезпечних з точки зору можливого заподіяння шкоди;

• провести роз'яснювально-профілактичну роботу з кандидатами;

• проконтролювати процес організації стажування, навчання та проходження випробувального терміну нового співробітника на предмет відповідності посади, на яку він приймається.

Можна виділити кілька заходів, обов'язкових у процесі реалізації даного етапу профілактичної роботи.

. Контроль над своєчасною організацією процесу пошуку кандидата на вакантну штатну посаду. Погрози ж невчасної заміни вибулого людини з точки зору виникнення втрат пов'язані з тим, що на його колег лягає додатковий обсяг роботи, а це, в свою чергу, збільшує ймовірність помилок в обліках товароруху, що тягнуть збитки.

. Перевірка кандидата на вакантну посаду до його офіційного працевлаштування. Вона повинна, як мінімум, включати:

• перевірку документів, що засвідчують особу, та наявність постійної місцевої прописки. Особливу увагу слід приділити записів у трудовій книжці. При цьому про минулої професійної діяльності можуть свідчити не тільки причини звільнення з попередніх місць роботи. Наприклад, факт відсутності трудової книжки у кандидата працездатного віку може бути підставою для більш ретельної перевірки. При заміщенні вакантної посади, що вимагає спеціальної освіти, необхідно звернути увагу на документи, що підтверджують наявність потрібної кваліфікації, і їх достовірність;

• перевірку рекомендацій з минулих місць роботи. У керівника чи кадрового працівника повинні викликати підозри кандидати, які відмовляються повідомити контакти організації, в якій вони працювали, і рекомендує. Показала ефективність практика обміну даними про співробітників, звільнених з негативних мотивів, між керівниками навіть "конкуруючих" мереж. У цьому випадку інформація працює "на випередження". У нашій практиці були випадки, коли у керівника, що зустрічається з кандидатом, вже була інформація про те, що з останнього місця роботи він де-факто був звільнений за вчинення розкрадання або по іншому негативному мотиву, а не "за власним бажанням", як свідчила запис у трудовій книжці;

• необхідно з'ясувати чи, принаймні, звернути увагу на прихильність людини до шкідливих звичок: алкоголю, наркотиків, азартних ігор;

• обов'язкова перевірка людини на наявність судимості, особливо за умисні корисливі злочини, а також на вчинення адміністративних правопорушень, - яскравий характеризує момент, який може зіграти вирішальне значення при прийнятті рішення і прийомі претендента на роботу в компанію.

На жаль, саме процедура перевірки кандидата на предмет виявлення фактів притягнення його до адміністративної або кримінальної відповідальності на практиці викликає найбільші труднощі. З кожним роком доступ до баз даних правоохоронних органів ставати все складніше, і процедура перевірки претендентів з легальної ставати все більш схожою на оперативну роботу. Підхід до даної проблеми законодавців видається абсолютно нелогічним.

. Проведення керівником особистої співбесіди з кандидатом. При цьому не повинна грати роль посадова категорія - будь-то лінійний персонал, середній менеджерський або керівний склад. Не можна переоцінити значимість даного заходу з профілактичної точки зору. Інтерв'ю слід проводити з усіма претендентами. У ході співбесіди керівник на основі раніше зібраної інформації і даних, отриманих у процесі особистого спілкування, повинен постаратися виявити специфічні нахили і приховану мотивацію кандидата. Під час бесіди обов'язково необхідно дати здобувачеві зворотний зв'язок, роз'яснивши основні положення правил внутрішнього трудового розпорядку, позицію керівництва торгової компанії до порушників трудової дисципліни і співробітникам, викритим у вчиненні розкрадань. Крім того, керівник повинен налагодити психологічний контакт із співрозмовником, визначити можливість використання його в якості довіреної особи.

. Контроль над організацією стажування кандидата. Звичайно, організацією цього процесу повинні займатися безпосередні керівники. Контроль СБ полягає в оцінці відповідності умов стажування вимогам трудового законодавства. На жаль, на практиці нерідкі випадки, коли на стажування виходять співробітники, ще не уклали трудовий договір. Пропрацювавши деякий час (буває, до декількох днів), їм відмовляють у прийомі на роботу з будь-яких підстав (недостатня кваліфікація, особистісні якості і т. д.). Природно, подібні порушення трудового законодавства автоматично тягнуть ризик виникнення негативних юридичних наслідків для роботодавця. Що пов'язано як з можливістю матеріальних витрат, так і з збитком іміджу компанії, що не менш критично. Завдання керівника - виключити подібні ризики.

. Контроль над належним оформленням документів при укладенні трудового договору. Роль керівника полягає в перевірці правильності оформлення документів для виключення можливих негативних юридичних наслідків. Зокрема, має перевірятися відповідність законодавчим вимогам укладання договорів про матеріальну відповідальність. Своєчасність і повнота ознайомлення знову прийнятого співробітника з діючими регламентами торгового підприємства, які можуть виявитися юридично значимими в подальшому, - з посадовими інструкціями, правилами внутрішнього трудового розпорядку, регламентом здійснення внутрішньо-об'єктного режиму і т. д. Важливий момент стосується оформлення документів, що підтверджують ознайомлення кандидата з перерахованими стандартами: журнал або аркуш ознайомлення повинні вестися так, щоб при розгляді спірних питань не виникало сумнівів у легітимності цих документів і допустимості їх в якості доказів (дата ознайомлення, найменування регламенту, підпис особи з розшифровкою і т. д.).

Слід зазначити, що перелічені заходи хоч і необхідні, але не завжди є можливість виконувати їх своєчасно у належному обсязі. Наприклад, у випадках, коли йде масовий набір персоналу у керівника служби безпеки просто фізично немає можливості цим займатися. У цьому випадку використовуються наступні прийоми: делегування функцій самому підготовленому співробітникові, наприклад, одному з старших змін проведення заходів, які не були виконані в повному обсязі (особисті співбесіди, перевірка оформлення документації і т. д.) відразу після запуску торгового об'єкта.

Профілактична робота з співробітниками в процесі їх діяльності

Основними завданнями керівника на даному етапі є:

• своєчасне виявлення ризиків і загроз для підприємства, які можуть виходити від персоналу;

• своєчасна оцінка та розробка заходів щодо поліпшення морально-психологічного клімату в колективі;

• надання сприяння керівництву підприємства при звільненні співробітників, що представляють загрозу для підприємства.

Профілактична робота з персоналом керівника служби безпеки повинна вестися безперервно. Необхідно практикувати використання різних прийомів, спрямованих на те, щоб лінійний персонал постійно відчував стан "підконтрольності".

На даному етапі рекомендується проведення наступних заходів:

. Участь керівника в зборах з персоналом, спрямоване на постійне інформування про найбільш значущих подіях за зміну, про найбільш проблемних питаннях, пов'язаних як із забезпеченням безпеки і мінімізації втрат, так і з належним забезпеченням бізнес-процесів і підвищенням якості обслуговування клієнтів.

Крім того, якраз факт щоденного звернення до персоналу підкреслює авторитет служби, є стримуючим чинником для співробітників, які планують протиправні дії.

. Регулярна робота по доведенню до персоналу торгового центру фактів виявлених розкрадань персоналом в інших торгових центрах мережі. При цьому інформація повинна подаватися дозовано, з акцентом не на методах виявлення подібних фактів, а на негативних наслідках для провинилися співробітників. Для цього потрібна налагоджена система інформаційного обміну між роздрібними структурними підрозділами мережі і центральним офісом. Небажано, щоб керівник служби безпеки делегував обов'язок доведення подібної інформації іншим посадовим особам.

Обмін інформацією між роздрібними структурними підрозділами організації торгівлі здійснюється у формі розсилки по електронній пошті довідок, що складаються керівниками підрозділів. Довідки направляються на електронні скриньки керівників підрозділів, директорів структурних підрозділів та топ-менеджерів.

. Обов'язково участь керівника служби безпеки в нарадах середньої менеджерської та керівного складу. Керівник не тільки повинен бути в курсі всіх проблем, що мають відношення до підконтрольному об'єкту, але і активним учасником і ініціатором розгляду питань, що стосуються попередження можливих ризиків компанії.

. Участь керівника служби безпеки в атестаціях співробітників усіх посадових категорій в якості члена атестаційної комісії. Атестація дозволяє виявити рівень підготовленості працівника до виконання його обов'язків, і, як наслідок, визначити ризики, пов'язані з потенційними можливостями допущення помилок і порушень в обліках руху документів співробітником.

. Контроль з боку керівника за кадровими переміщеннями людей.

. Участь керівника служби безпеки в преміальному комітеті - контроль адекватності заходів, що застосовуються до працівників, які допустили різні порушення.

. Вплив на психологічний клімат в колективі торгового центру, в основі якого - нетерпимість до злодіїв, яка підкріплюється розумною системою мотивації. Звичайно, неправильно розвивати систему "нашіптування", матеріально стимулюючи кожен факт доносів. Це призведе до такій обстановці, яка унеможливить нормальне здійснення бізнес-процесів. У подібному випадку збитки від порушення нормального функціонування торгового процесу можуть перевищити компенсацію втрат від розвитку системи тотального виказування.

. На основі аналізу статистичних даних обліків виявлених фактів заподіяння збитку торговельному підприємству, керівник повинен ініціювати проведення занять з персоналом по підвищенню професійної майстерності у сфері забезпечення бізнес-процесів і обліків документообігу. Крім того, необхідно надавати допомогу співробітникам кадрових підрозділів в організації та проведенні подібних занять.

. Керівник повинен практикувати регулярні особисті зустрічі з персоналом, щоб бути в курсі психологічної обстановки в колективі.

. Розвиток інституту довірених осіб з числа співробітників лінійного і середнього менеджерського складу. Використання негласних джерел інформації (але тут треба бути максимально обережним). Як показала практика, найбільш ефективно діють в цьому напрямку керівники підрозділів, які раніше працювали в оперативних підрозділах правоохоронних органів.

. Проведення керівником занять з протипожежної безпеки, дій у надзвичайних ситуаціях та інших питань, пов'язаних із забезпеченням безпеки.

Особливої тактики потребує профілактична робота з співробітниками, що звільняються. Основне завдання керівника при роботі з тими, хто звільняється - отримання оперативно-значущої інформації. Тут мова може йти лише про співробітників, які йдуть за власним бажанням. З ініціативи адміністрації працівників звільняють, як правило, з негативних мотивів. При цьому не грає ролі юридичне формулювання обґрунтування, тобто те, що буде записано в трудовій книжці. Мова саме про фактичні причини.

Об'єктом роботи керівника є саме співробітники, які висловили бажання розірвати трудовий договір з торговельним підприємством за власним бажанням. Робота з даною категорією персоналу дає можливість отримання інформації з перших вуст від людей, яким немає сенсу що-небудь приховувати, тому вони охоче діляться відомими їм відомостями. Найчастіше в результаті подібної роботи співробітники, цілком лояльні до організації і вимушені йти з неї через своїх колег, набагато більш "шкідливих і небезпечних", залишалися [15].

.3 Основні показники діяльності

Поняття ефективності - одне з центральних в економічній теорії та практиці. На будь-якому напрямі суспільного життя вона визначає доцільність дій господарюючого суб'єкта в економічній системі. Розрізняють суспі-

льну, виробничу, соціальну, технічну, економічну ефективність.

Технічна ефективність визначає результативність дій, спрямованих на вдосконалення техніки і технології; соціальна - на поліпшення умов праці, психологічного клімату в трудовому колективі тощо; економічна - на підвищення прибутковості всієї господарської діяльності; суспільна - на подолання нерівності в розподілі доходів і підтримання соціальної справедливості; виробнича - на мінімізацію витрат і максимізацію прибутку.

Всі види ефективності тісно пов'язані між собою, взаємозалежні і разом визначають ефективність економічної системи країни загалом.

Результати роботи підприємства аналізують за показниками, що характеризують сторони його діяльності, їх вибір залежить від мети аналізу. Визначення стратегічних цілей потребує порівняння результатів діяльності конкретного підприємства з підприємствами-конкурентами. Для такого аналізу вибирають узагальнюючі показники, що відображають діяльність окремих напрямів або структурних підрозділів. Визначення тактичних цілей потребує контролю діяльності підприємства, тобто розрахунку показників ефективності функціонування окремих підрозділів або виробництва окремого виду продукції.

Планування як розробка завдань підприємства на перспективний і поточний періоди передбачає співставлення вигоди використання різних видів ресурсів або їх поєднання у певному періоді та можливості їх зміни в майбутньому. Кожна з цілей, що стоять перед підприємством, потребує аналізу низки показників, що дає змогу прийняти конкретні рішення щодо поведінки підприємства. Джерелом інформації є звітність підприємства: річний бухгалтерський баланс, звіт про фінансові результати, звіт про рух капіталу, звіт про рух коштів та ін. На основі даних звітності визначається кінцевий результат роботи підприємства у вигляді нарощування власного капіталу за звітний період. Діяльність підприємства можна проаналізувати за економічними показниками, об'єднаними у групи, кожна з яких характеризує економічний потенціал підприємства, економічну ефективність, конкурентоспроможність і фінансову стійкість.

Економічний потенціал підприємства характеризують: активи фірми, обсяг продажів, прибуток чистий і валовий, основний і оборотний капітал, власний і позичковий капітал, виробничі потужності, науково-дослідні роботи та ін.

Ефективність діяльності підприємства аналізують за такими показниками: прибуток, норма прибутку, рентабельність, а також показниками використання трудових ресурсів (продуктивність праці), основних виробничих фондів (фондовіддача, фондомісткість), матеріальних ресурсів (матеріаломісткість наприклад) та ін. [16].

Необхідність проведення ґрунтовного аналізу фінансово-господарської діяльності підприємств, зокрема залізничних, викликана тим, що незадовільний стан підприємств має негативний вплив на інші, у тому числі суміжні підприємства, у зв’язку з порушенням виробничих зв’язків і рівноваги між ними, що є актуальною проблемою на сьогоднішній день.

Основною метою аналізу будь-якого аспекту фінансово-господарської діяльності підприємства є виявлення негативних для його фінансового стану тенденцій, пошук резервів підвищення ефективності діяльності, обґрунтування прийняття управлінських рішень, моніторинг діяльності та доцільність нововведень. Результати фінансового аналізу є підґрунтям, на основі якого формується фінансова політика підприємства, розробляється сукупність заходів, відбираються відповідні фінансові механізми, необхідні для реалізації поставленої перед фінансовим менеджментом мети [18]. Визначення фінансового стану підприємства є необхідною умовою управління фінансами і будується на використанні фінансової звітності із застосуванням методів вертикального і горизонтального аналізу. Але аналіз фінансової звітності не дозволяє категорично зазначити рівень фінансового стану, і тільки орієнтує користувача інформації в оцінці фінансового стану підприємства та визначенні його слабких місць [19].

Для аналізу функціонування залізничних підприємств у малих містах доцільно провести дослідження економічної діяльності Локомотивного депо Іловайськ, що є відокремленим структурним підрозділом Державного підприємства "Донецька залізниця", відноситься до загальнодержавної власності і створено з метою забезпечення встановленого обсягу перевезень на обслуговуючій залізничній дільниці і здійснює свою діяльність у сфері транспортних послуг. Важливим при визначенні напрямків проведення заходів покращення фінансового стану для локомотивного депо є розгляд підприємства як стратегічно важливого об’єкта для даного регіону, оскільки воно не тільки підтримує роботу однієї з найвагоміших галузей Донбасу і країни в цілому, а й має великий вплив на соціально-економічний розвиток харцизького району, зокрема м. Іловайська.

При аналізі основних показників діяльності локомотивного депо Іловайськ (таблиця 2.1), можна побачити, що за рахунок збільшення чистої виручки від реалізації продукції та зменшення чисельності робітників збільшилася продуктивність праці, також за рахунок росту цього показника, зменшення собівартості реалізованої продукції та обсягу всіх витрат у звітному періоді спостерігається значне зменшення збитку підприємства, а також незначний ріст фондовіддачі.

Таблиця 2.1

Необхідно звернути увагу на зміни в майні підприємства. На підприємстві, що аналізується, вартість майна зросла на 2,87%, що говорить про розширення підприємством господарського обігу. Аналізуючи структуру сукупність активів, видно що найбільше місце посідають необоротні активи. Це свідчить про те, що на підприємстві тяжка структура активів, тобто на підприємстві є значні накладні витрати та висока чутливість до зміни виручки. У порівнянні з попереднім періодом, частина не обігових активів у майні підприємства зменшилася і збільшилася частка обігових активів, що є наслідком уповільнення обігових коштів. На це в свою чергу, вплинуло розширення підприємством своєї діяльності.

У звітному році можна також спостерігати ріст всіх джерел фінансових ресурсів, хоча і не в значному обсязі. Значно змінилася вартість основних та оборотних коштів, при цьому середньорічна вартість основних фондів виросла на 58,5%, за рахунок цього, а також зменшення чисельності працівників, збільшилася продуктивність праці.

У той же час виявлені і негативні сторони у виробничо-господарській діяльності підприємства. Перш за все бачимо, що у звітному році підприємство має збиток у розмірі 1413,6 тис. грн. Негативним також є зниження фондоозброєності підприємства, на що вплинув значний знос основних фондів.

Дослідження основних показників діяльності локомотивного депо, проведене у роботі на основі фінансової звітності, дозволило розробити рекомендаційні заходи щодо покращення фінансового стану підприємства, зокрема підвищення його платоспроможності та прибутковості [17]: розробити і здійснювати програму скорочення витрат; поліпшити розпорядження активами підприємства, здійснити інвентаризацію стану майна з метою виявлення активів, які необхідно списати; підвищити ліквідність активів за допомогою рефінансування дебіторської заборгованості шляхом переведення її у грошову форму; сформувати ефективний механізм управління дебіторськими і кредиторськими зобов’язаннями та систему контролю за рухом і вчасною інкасацією дебіторської заборгованості; впровадити сучасні технології та інші досягнення НТП у систему фінансово-господарської діяльності підприємства; застосовувати прогресивні форми розрахунків та розробити систему мотивацій своєчасної сплати зобов’язань; здійснювати постійний оперативний фінансово-господарський контролінг.

Таким чином, було проведено загальний аналіз економічної діяльності локомотивного депо Іловайськ за 2011-20012 рр. як відокремленого структурного підрозділу Державного підприємства "Донецька залізниця", за допомогою якого було визначено, що на підприємстві є значні накладні витрати та висока чутливість до зміни виручки, підприємство розширює свою діяльність та налагоджує ефективну роботу. Перспективами подальших досліджень у даному напрямі є впровадження у подібні дослідження нових методик аналізу господарсько-фінансової діяльності підприємства саме загальнодержавної власності, які мають певну специфіку [20].

Узагальнюючи другий розділ, можна сказати, що людський фактор є загрозою захисту конфіденційної інформації на підприємстві. Починаючи з організаційного проектування, управління персоналом, які працюють з конфіденційними документами, і закінчуючи показниками ефективності діяльності, як узагальнення роботи підприємств, організацій, установ, усі ці,так би мовити, етапи роботи працівників (керівників і підлеглих) повинні бути добре відлагоджені, чітко врегульовані, прописані в інструкціях, наказах тощо. З персоналом потрібно працювати керівникам з великим управлінським досвідом, аби віднайти до кожного, індивідуальний підхід, з моменту влаштування на роботу, а також при виконанні обов’язків працівником. Керівник кадрової служби зобов’язаний ретельно перевіряти людину, яка приходить влаштовуватись на роботу. Бо саме на ньому лежить початкова відповідальність перед підприємством, а саме недопущення людини,яка може бути шпигуном конкурентів, а це може потягти за собою збитки і тяжкі наслідки,як для всієї структури, навіть до банкрутства. Адже конфіденційні відомості можуть містити новітні технологічні розробки, удосконалені системи забезпечення захисту інформації та інших відомостей, які є важливими для певної установи.

Усе це прослідковується за допомогою показників діяльності підприємства, які складаються, як у різних відділах, так і для всієї організації.

Розділ 3. Вдосконалення системи роботи персоналу з конфіденційними документами суб’єкту господарювання

.1 Обґрунтування комплексного підходу роботи з кадрами

Управління кадрами - багатогранний і виключно складний процес, що має специфічні особливості та закономірності. Знання їх украй необхідно керівникам і спеціалістам сучасного виробництва, працівникам кадрових служб і соціального розвитку для постійного забезпечення підвищення ефективності, якості роботи і продуктивності праці. В умовах переходу до ринкової економіки управління персоналом повинне набути системність і завершеність на основі комплексного вирішення кадрових проблем, впровадження нових і вдосконалення існуючих форм і методів кадрової роботи.

Комплексний підхід до управління кадрами передбачає облік організаційно-економічних, соціально-психологічних, правових, технічних, педагогічних та інших аспектів в їх сукупності і взаємозв'язку за визначальної ролі соціально-економічних факторів.

Системний підхід відображає облік взаємозв'язків окремих аспектів управління кадрами і виражається в розробці кінцевих цілей, визначенні шляхів їх досягнення, створенні відповідного механізму управління, що забезпечує комплексне планування, організацію і стимулювання системи роботи з кадрами на виробництві.

Управління кадрами як науково-практичний напрямок є невід'ємною частиною загальної науки управління. Вивчати управління - значить вивчати відносини між людьми в ході цілеспрямованого впливу на процес виробництва, виявляти закони формування відносин управління з тим, щоб на їх основі встановити принципи управлінської діяльності, форми і способи їх здійснення.

Головним елементом всієї системи управління є кадри, які одночасно можуть бути як об'єктом, так і суб'єктом управління. Працівники підприємства, організації є об'єктом управління, оскільки вони являють собою продуктивну силу, головну складову будь-якого виробничого процесу. Тому планування, формування, розподіл, перерозподіл та раціональне використання людських ресурсів на виробництві складають основний зміст управління кадрами, що з цієї точки зору розглядається аналогічно управлінню матеріально-речовими елементами виробництва. Разом з тим кадри - це насамперед люди, які характеризуються складним комплексом індивідуально-типових якостей і властивостей, серед яких соціально-психологічні відіграють головну роль. Здатність кадрів одночасно бути об'єктом і суб'єктом управління являє собою головну специфічну особливість управління кадрами.

Виходячи зі сказаного під управлінням кадрами розуміють процес планування, підбору, підготовки, оцінки і безперервної освіти кадрів, спрямований на раціональне їх використання, підвищення ефективності виробництва і в кінцевому підсумку - на поліпшення якості життя. Предметом управління кадрами як науково-практичного спрямування виступають відносини працівників у процесі виробництва з точки зору найбільш повного і ефективного використання їх потенціалу в умовах функціонування виробничих систем. Основною метою управління кадрами в сучасних умовах є сполучення ефективного навчання персоналу, підвищення кваліфікації та трудової мотивації для розвитку здібностей працівників, а також стимулювання їх до виконання робіт більш високого рівня [21].

Управління кадрами здійснюється в процесі виконання певних цілеспрямованих дій і передбачає наступні основні етапи і функції: визначення цілей і основних напрямків роботи з кадрами, постійне удосконалювання системи кадрової роботи на виробництві; визначення засобів, форм і методів здійснення поставлених цілей, організація роботи з виконання прийнятих рішень , координація і контроль виконання намічених заходів. Сукупність цілей, напрямків, форм і методів управління кадрами складається в єдину систему кадрової роботи, основними підсистемами якої є: а) підсистема аналізу, планування і прогнозу кадрів. Основними її завданнями є формування об'єктів і структур управління, розрахунок потреби в кадрах необхідних професій, спеціальностей і кваліфікації. Іншими словами, рішення завдань даної підсистеми має дати відповідь на питання: "Хто потрібний і в якій кількості?"; б) підсистема добору, розстановки, оцінки і безперервного навчання кадрів. Її основними завданнями є якісне забезпечення сформованих об'єктів і структур управління необхідними кадрами, а також організація ефективного стимулювання їхньої діяльності; в) підсистема раціонального використання кадрів на виробництві. Рішення завдань, що стоять перед даною підсистемою, передбачає здійснення комплексу заходів для створення високопродуктивних і стійких виробничих колективів.

Методи управління кадрами підрозділяються на три основні групи: економічні, організаційно-розпорядчі та соціально-психологічні. До економічних методів відносяться прогнозування і планування кадрової роботи, розрахунок балансу робочих місць і трудових ресурсів, визначення основної і додаткової потреби в кадрах, джерел її забезпечення та ін. Організаційно-розпорядчі методи передбачають застосування різних способів впливу на працівників і ґрунтуються на використанні встановлених організаційних зв'язків, правових положень і норм (наприклад, на правилах внутрішнього трудового розпорядку, положеннях про порядок проведення атестації або вивільнення працівників, інструкціях про порядок ведення обліку і зберігання трудових книжок робітників і службовців та ін.) Соціально-психологічні методи управління кадрами представляють собою конкретні прийоми і способи впливу на процес формування та розвитку трудового колективу і окремих працівників, у зв'язку з чим вони поділяються на соціальні та психологічні. Перші покликані впливати на весь колектив (соціальне планування, створення оптимального психологічного клімату, вивчення громадської думки та ін.), а другий - на окремих працівників (методи психологічного відбору, вивчення та оцінки кадрів і т. д.).

Складність і багатогранність управління кадрами припускає багатоаспектний підхід до цієї важливої проблеми. Розрізняють такі аспекти управління кадрами: техніко-технологічний (відбиває рівень розвитку конкретного виробництва, особливості використовуваних у ньому техніки і технології, виробничі умови та інше); організаційно-економічний (містить питання, пов'язані з плануванням чисельності і складу працюючих, їх матеріальним стимулюванням, використанням робочого часу, організацією діловодства і т. д.); правовий (включає питання дотримання трудового законодавства в кадровій роботі); соціально-психологічний (відбиває питання соціально-сихологічного забезпечення управління кадрами, впровадження різних соціологічних і психологічних процедур у практику кадрової роботи); педагогічний (припускає рішення питань, пов'язаних із вихованням кадрів, наставництвом та ін.) Основою системи управління кадрами є кадрова політика, яка являє собою розраховану на тривалу перспективу лінію вдосконалення кадрів, генеральний напрямок у кадровій роботі, що визначається сукупністю найбільш важливих, принципових положень і установок, виражених у стратегічних рішеннях. Засобом реалізації кадрової політики є кадрова робота, яка підпорядкована рішенню висунутих товариством задач у господарській діяльності шляхом оптимального використання і розвитку персоналу [22].

Принципи та механізм управління персоналом

Ключовим в управлінні є принцип добору та розстановки кадрів за їх особистими і діловими якостями. Будучи наріжним каменем кадрової політики, він передбачає: спадкоємність кадрів на основі систематичного добору і підготовки нових працівників; забезпечення умов для постійного підвищення ділової кваліфікації кадрів; чітке визначення прав, обов'язків і відповідальності кожного працівника; поєднання досвідчених працівників з молодими кадрами; забезпечення умов для професійного і посадового просування кадрів на основі обґрунтованих критеріїв оцінки їх діяльності та особистісних якостей; сполучення довіри до кадрів із перевіркою виконання.

Механізм управління кадрами виробництва включає різноманітні державні і громадські формування: місцеві державні адміністрації, що забезпечують на підвідомчій території вирішення комплексу питань з управління трудовими ресурсами регіону, включаючи їх формування, перерозподіл і раціональне використання; профспілкові органи, які контролюють дотримання адміністрацією підприємств, організацій та установ прав трудящих в частині їх прийому, переведення, звільнення, створення необхідних умов праці та побуту, надання відпусток, різних пільг і компенсацій та інше; організації та підприємства, що визначають загальний напрямок кадрової політики підприємства, які вирішують питання створення дочірніх підприємств, створення і припинення діяльності філіалів та інших відокремлених підрозділів, що здійснюють безпосередню роботу з персоналом. До державних органів управління ставляться органи по праці і соціальних питаннях, центри зайнятості населення, кадрові служби державних підприємств, організацій, а також міністерств і відомств. Координація діяльності кадрових служб різних галузей народного господарства покладена на державні органи з праці та соціальних питань, які: визначають реальну потребу у фахівцях з урахуванням розвитку продуктивних сил і перспективних напрямків науково-технічного прогресу, забезпечують контроль за їх використанням у народному господарстві; Забезпечують реалізацію громадянами права на працю, домагаючись ефективної зайнятості працездатного населення на основі прогнозування потреб і джерел забезпечення народного господарства трудовими ресурсами, організований набір робітників і інші види розподілу та перерозподілу працівників; спільно з органами освіти створюють ефективну систему професійного навчання, що забезпечує безперервне підвищення кваліфікації всіх працівників; здійснюють методичну роботу по атестації кадрів у галузях народного господарства. Державна служба зайнятості: аналізує і прогнозує попит та пропозиція на робочу силу, інформує про стан ринку праці; веде облік вільних робочих місць і громадян, що звертаються з питань працевлаштування; консультує що звертаються до неї громадян і роботодавців про можливості отримання роботи, забезпечення робочою силою, про вимоги, що пред'являються до професій і працівників, а також з інших питань, пов'язаних із забезпеченням зайнятості; надає допомогу громадянам у виборі підходящої роботи, а підприємствам, установам, організаціям та іншим роботодавцям - у підборі необхідних працівників; організовує професійне навчання, перенавчання і підвищення кваліфікації громадян у системі служби зайнятості або в інших навчальних закладах; надає послуги з працевлаштування незайнятому населенню; забезпечує реєстрацію безробітних і в межах своєї компетенції надає їм допомогу, включаючи виплату допомоги; організовує розробку регіональних програм зайнятості, передбачаючи в них заходи щодо соціального захисту різних груп населення; сприяє підприємствам, установам і організаціям у вирішенні питань, пов'язаних із забезпеченням зайнятості населення. Для вирішення цих та інших завдань центрів зайнятості встановлюють постійні зв'язки з кадровими службами підприємств, вивчають їх конкретні проблеми і труднощі, надають допомогу в плануванні заходів щодо поліпшення використання робочої сили, прогнозування потреб у кадрах з урахуванням розвитку і вдосконалення виробництва, у розробці програм перенавчання та підвищення кваліфікації працівників. Центр бере участь у розробці і здійсненні заходів для створення стабільних трудових колективів, зміцнення трудової дисципліни і скорочення плинності кадрів на підприємствах, організує навчання працівників кадрових служб підприємств та організацій з питань раціонального використання трудових ресурсів. Виходячи з нових вимог до роботи з кадрами переглядаються функції кадрових служб усіх рівнів управління. Підвищуються їх роль та відповідальність у розв'язанні завдань економічного і соціального розвитку. В умовах переходу до ринкової економіки основними функціями кадрових служб підприємств, організацій та установ стають:

 прогнозування, визначення поточної і перспективної потреби в кадрах і джерел її задоволення, уточнення потреби в підготовці фахівців по прямих зв'язків з навчальними закладами, розробка та реалізація заходів, спрямованих на поповнення трудового колективу;

 планування і регулювання цілеспрямованого руху та професійно-кваліфікаційного росту кадрів, процесів їх вивільнення і перерозподілу;

 організаційно-методичне забезпечення професійно-економічного навчання, підготовка та перепідготовка кадрів, направлення працівників на навчання в різні навчальні заклади та стажування на передових підприємствах і в організаціях, навчання керівників різного рангу передових методів і форм роботи з кадрами;

вивчення професійних, ділових та особистих якостей працівників на основі атестації, широкого використання психологічних і соціологічних досліджень, розробка рекомендацій щодо раціонального використання кадрів відповідно до їх здібностей і схильностями;

організація роботи з професійної орієнтації молоді, адаптація молодих спеціалістів та робітників на підприємствах, розвиток наставництва, вивчення причин плинності кадрів, динаміки змін трудового колективу, розробка заходів щодо стабілізації та вдосконалення його соціальної та демографічної структури;

забезпечення ефективного використання усіх форм матеріального і морального стимулювання працівників відповідно до їх трудовою діяльністю, вивчення впливу стимулів на підвищення трудової і соціальної активності трудящих, поліпшення морально-психологічного клімату в колективі та інше. Основними функціями, які виконують служби соціального розвитку для оптимізації управління кадрами є:

 аналіз рівня соціального розвитку трудових колективів, підготовка пропозицій до проектів планів і цільових комплексних програм соціального розвитку, проведення соціологічних та соціально-психологічних досліджень на виробництві;

вивчення причин плинності кадрів, соціально-психологічне забезпечення профорієнтації, професійного підбору, профнавчання, розстановки, виробничої адаптації, професійного і посадового просування кадрів з урахуванням індивідуально-психологічних особливостей працівників, участь у формуванні резерву керівників;

розробка та впровадження заходів по підвищенню задоволення працею, забезпечення престижності професій, посилення творчого характеру праці, оптимального формування структури і складу трудових колективів; розробка соціальних заходів щодо зміцнення трудової і виробничої дисципліни, підвищення ролі і значення наставництва, створення сприятливого соціально-психологічного клімату;

 визначення найбільш ефективних форм і методів морального і мате-ріального стимулювання працівників та інше. Іншими словами, комплексний підхід до управління кадрами в умовах сучасного виробництва передбачає інтеграцію функцій управління працею, кадрами і соціальним розвитком на єдиній організаційній основі, якою є служба управління персоналом підприємства, організації, міністерства. Таким чином, система управління кадрами являє собою комплекс цілей, завдань і основних напрямків діяльності, а також різних видів, форм, методів і відповідного механізму управління, спрямованих на підвищення продуктивності праці та якості роботи.

.2 Формування внутрішньої нормативної бази

Внутрішня нормативна база складається з розроблених на підприємстві інструкції, правила, внутрішній розпорядок, накази та інші документи, які регулюють його діяльність, визначають напрямок дій задля ефективної праці і безпеки підприємства. На кожному етапі життєдіяльності розробляються свої документи. При створенні складаються установчі документи, при функціонуванні організаційні й розпорядчі.

Планування діяльності підприємства і його підрозділів ґрунтується на системі техніко-економічних норм і нормативів використання всіх мате-ріально-технічних, трудових і грошових ресурсів. У практиці планової роботи терміни "норма" і "норматив" чітко не розмежовуються, відмінності між ними є, по суті, умовними. Проте у більшості випадків зміст їх можна визначити так: норми - це максимально допустимі величини абсолютних затрат певних ресурсів на одиницю продукції (роботи); нормативи характеризують режими використання ресурсів.

Уся сукупність норм і нормативів підприємства створює його нормативну базу - надзвичайно важливу частину інформаційної системи управління. Норми і нормативи визначають ступінь використання ресурсів підприємства, а отже, від їх якості істотно залежить наукова обґрунтованість розроблюваних планів. Із прискоренням науково-технічного процесу ускладнюється нормування й одночасно зростає його роль в обґрунтованості та збалансованості планів. Це пов’язано із зростаючою динамічністю виробництва під впливом науково-технічного прогресу, що проявляється у швидкій зміні виготовлюваної продукції, прискоренні поновлення засобів виробництва, появі нових матеріалів і технологічних процесів. Підвищення динамічності виробництва відповідно впливає на динамічність усієї нормативної інформації, ускладнює її організацію.

Раціональна організація нормативної бази підприємства будується на таких основних принципах:

комплексне охоплення нормуванням усіх сфер діяльності підприємства і відповідно всіх розділів стратегічного і поточного планів;

методична єдність формування норм і нормативів за рівнями управління (дільниця, цех, завод), за періодами (місяць, рік) і відповідно забезпечення їх агрегування і дезагрегування;

забезпечення обґрунтованості норм і нормативів на основі застосування належних методів їх обчислення, своєчасного поновлення і коригування;

організація ефективної системи формування і використання норм і нормативів: оформлення, зберігання, пошук, оновлення тощо.

Норми і нормативи класифікують за певними ознаками, що дає змогу внести певну систему в їх розмаїтість. До таких ознак передусім належать вид нормованих ресурсів, термін дії норм, ступінь їх агрегування і метод розроблення.

За терміном дії норми і нормативи поділяють на стабільні та змінні. Стабільні норми і нормативи залишаються незмінними протягом тривалого періоду (кількох років). До них належать передусім норми і нормативи, що встановлюються державою і стосуються формування і розподілу прибутку. Це - ставки оподаткування, обов’язкових відрахувань (наприклад на соціальні заходи), норми амортизації тощо. Стабільний характер цих нормативів, величина яких не залежить від підприємства, дає змогу правильно прогнозувати роботу і приймати перспективні рішення.

До змінних належать ті норми й нормативи, які коригуються підприємством або замінюються новими при зміні умов унаслідок удосконалення техніки, технології, організації виробництва та праці. До них практично належать усі норми затрат ресурсів.

За ступенем агрегування нормованих ресурсів розрізняють норми специфіковані та зведені (загальні). Специфіковані норми встановлюються з максимальною деталізацією нормованого ресурсу. Наприклад, норма затрат матеріалу певного профілю, розміру та марки; норма затрат праці робітників певної професії та кваліфікації тощо. Такі норми потрібні передусім для оперативного планування та організації виробництва в підрозділах підприємства. Зведені норми обчислюються за групами однорідних ресурсів, без конкретизації їх параметрів (затрати листової сталі, робочого часу без зазначення професії і кваліфікації та ін.). Вони широко застосовуються при розробленні річних та перспективних планів підприємства.

За ступенем агрегування об’єктів нормування норми поділяють на норми на операцію (поопераційні), деталь (подетальні), вузол чи комплект (складальну одиницю), готовий виріб. Такий їх поділ потрібний для планування на різних ієрархічних рівнях.

Застосовувані норми й нормативи мають бути прогресивними, відповідати сучасному рівню техніки, технології, організації виробництва та праці. Обґрунтованість норм залежить від методів їх розроблення та своєчасної зміни згідно зі зміною умов діяльності. Конкретна методика обчислення норм і нормативів залежить від виду нормованих ресурсів. Але, незважаючи на специфіку нормування окремих видів ресурсів, можна виокремити три основні методи розроблення норм і нормативів: розрахунково-аналітичний, дослідно-аналітичний і досвідно-статистичний.

Розрахунково-аналітичний метод полягає в тому, що норми і нормативи встановлюються на основі аналізу можливостей найкращого використання ресурсів з одночасними інженерними обчисленнями на підставі технічної документації. Цей метод найбільш обґрунтований, але досить трудомісткий і потребує кваліфікованих нормувальників, тому не може застосовуватись усіма підприємствами самостійно. Розширенню сфери його застосування, особливо в серійному та одиничному виробництві, сприяє централізоване розроблення нормативів на типові елементи робіт, які виконуються на різних підприємствах однієї чи ряду галузей промисловості. Збірники таких галузевих і міжгалузевих нормативів повинні розроблятися відповідними дослідними центрами (організаціями), що істотно полегшує підприємствам установлювати розрахунково-аналітичні норми в конкретних умовах виробництва.

Дослідно-аналітичний метод передбачає встановлення норм і нормативів на основі вивчення дослідного виконання нормованого процесу у виробничих або лабораторних умовах. Наприклад, визначення норм затрат енергії чи допоміжних матеріалів на одиницю часу роботи машини відповідними замірами їх витрачання за встановлених режимів навантаження, установлення норм часу шляхом хронометражних спостережень тощо. Цей метод вважається науково обґрунтованим і доповнює розрахунково-аналітичний метод.

Нормативна база підприємства - це складна система, що охоплює десятки, а то й сотні тисяч норм і нормативів. Цією системою слід ефективно управляти. Непростим завданням тут є оформлення, зберігання, пошук і оновлення норм і нормативів. Усе це здійснюється на основі єдиної автоматизованої системи управління. Коригування й заміна норм і нормативів вико-нуються систематично, у міру змін умов, що впливають на їх величини.

Поточні специфіковані (первинні) норми і нормативи обчислюються і коригуються відповідними функціональними службами (відділами) підприємства. Але запис норм і нормативів на певних носіях інформації, їх систематизація, зберігання, внесення змін, обчислення зведених норм централізовані в межах усього підприємства. На середніх і великих підприємствах ця робота доручається спеціальному органу - бюро нормативного господарства (БНГ). Цей орган може здійснювати також методичне керівництво розробленням окремих груп норм [24].

3.3 Вдосконалення моделі захисту конфіденційної інформації

Захист інформації потрібно моделювати в сукупності різних аспектів, методів, засобів. Це має бути і технічний і технологічний і криптографічний захист, захист документів повинен здійснюватись шляхом інструкцій керівника по обігу ІзОД на підприємстві, починаючи з моменту створення, до його знищення. Також потрібно постійно удосконалювати і розробляти концепції покращення управлінської діяльності в цій сфері. Також потрібно мати модель порушника і модель загроз для підприємства, що у крайньому разі, чітко знати , як реагувати у тій чи іншій ситуації, знати, як мінімізувати шкоду від наслідків, наприклад, витоку, перекручування чи знищення інформації, яка є конфіденційною, а також оперативно знайти винних і притягнути їх до відповідальності.

Процес захисту інформації - це процес взаємодії загроз, що впливають на інформацію, і засобів захисту інформації, які перешкоджають їх впливу [26].

У загальному вигляді модель процесу захисту інформації в ІС може бути представлена так, як це показано на рисунку 3.1.

Модель розподілу ресурсів будується виходячи з можливостей противника і сторони, що захищається, на підставі моделі загроз, а також моделі оцінки втрат, так як виходячи з економічної доцільності у виборі засобів захисту, витрати на засоби захисту не повинні перевищувати передбачуваний збиток від порушення інформаційної безпеки [28, 29].

Модель розподілу ресурсів можна описати формально. Вона складається з:

Рис.3.1. Модель процесу захисту інформації в ІС

безлічі загроз інформації;

безлічі кількісних оцінок втрат системи, у разі успішної реалізації загроз інформації;

безлічі кількісних оцінок втрат системи у випадку застосування засобів захисту інформації;

безлічі засобів для реалізації деструктивних дій;

безлічі порушників;

безлічі засобів захисту інформації;

часу, яким володіє атакуюча сторона для реалізації загрози;

фінансовими коштами, якими володіє противник;

Більш детальний аналіз моделі ще не був зроблений, на даному етапі розглядається постановка задачі та її рішення, надалі планується удосконалення моделі.

Модель використання ресурсів, є складовою частиною загальної моделі процесу вибору засобів захисту. Результати побудови даної моделі важливі для побудови моделі противника, моделі загроз, моделі оцінки втрат, а також моделі розподілу ресурсів.

Модель використання ресурсів

Інформацію, апаратне і програмне забезпечення, обслуговуючий персонал, а також приміщення, в яких розміщуються вузли функціонування будемо розглядаються як ресурси системи [26, 28].

Основним ресурсом є інформація. Захист інформації повинен забезпечуватися на всіх етапах її обробки, так як саме інформація є предметом посягання зловмисників. Інформацію, що знаходиться на вузлах функціонування системи можна описати як інформація, яка надходить для обробки, прийнята для обробки і поступає на вихід. Форми подання інформації можуть бути найрізноманітнішими. Інформація може перебувати на знімних носіях, на паперових носіях, в оперативній пам’яті ЕОМ, у файлах на жорстких дисках, в каналах зв’язку мережі передачі даних [25, 30].

Аналіз моделі використання ресурсів

Як показує аналіз з позиції системного підходу, модель використання ресурсів є ефективною для формування комплексної, планової, цілеспрямованої, активної і надійної системи захисту інформації. У даній моделі видно чітку взаємодію кожного з розглянутих ресурсів системи, адже головне в координації діяльності інформаційної безпеки - це поповнення і розподіл цих ресурсів.

Сильні сторони розглянутої моделі:

для моделі використання апаратного забезпечення враховані такі відомості, як його розміщення, використання програмних засобів та інформації, доступ користувачів до даного апаратного забезпечення.

для побудови моделі використання приміщень враховані такі відомості, як перекриття даних приміщень, апаратні засоби та інформація, а також користувачі, що мають доступ до даних приміщення.

для побудови моделі опису користувачів враховані безліч приміщень і апаратних засобів, до яких користувачі має доступ в залежності від їх ролі [25].

Але модель використання ресурсів має деякі слабкі сторони:

для побудови моделі використання інформації необхідно врахувати ступінь важливості інформації (дуже висока, висока, середня, невисока), обсяг (дуже великий, великий, середній, малий), Інтенсивність обробки (дуже висока, висока, середня, низька) так, як саме ці знання потрібні для зіставлення загроз та можливої шкоди від них стосовно до різних умов або різних зонах захисту [26].

для побудови моделі опису користувачів також необхідно врахувати ступінь важливості інформації і доступ до ній залежно від ролі користувачів.

Необхідно посилити контроль над діяльністю користувачів, так як вони є головним джерелом загроз на підприємстві:

контроль за дотриманням організації фізичного захисту, що включає в себе доступ в приміщення, збереження конфіденційності, введення журналів реєстрації подій, де фіксується час запуску і зупинки систем, системні помилки, збої, організації доступу до носіїв інформації, доступу до документації з ІВ;

контроль при організації доступу в багато користувальницькому режимі, що включає в себе реєстрацію користувача, керування паролями користувача, управління привілеями, перегляд прав доступу користувача, управління привілейованим доступом для адміністрування системи [25];

обмеження доступу до сервісів, що включає в себе контроль за дотриманням правил використання електронної пошти та електронного управління доступом о додатків і сервісів, контроль за використанням системних програм [26].

Тому, передбачається удосконалити модель, тобто до безлічі користувачів і ролей додати безліч повноважень на доступ до об’єктів, і безліч сеансів роботи користувачів із системою.

Управління доступом здійснювалося б у дві стадії: спочатку для кожної ролі вказувався б набір повноважень,який представляє набір прав доступу до об’єктів, а потім кожному користувачеві призначався б список доступних йому ролей. Повноваження призначалися б ролям у відповідності з принципом найменших привілеїв, з якого випливає, що кожен користувач повинен володіти тільки мінімально необхідним для виконання своєї роботи набором повноважень [31].

Що стосується апаратних засобів, слід чітко розробити політику відстеження застарілих апаратних засобів та впровадження нових, а також відображення цих нововведень в моделі [25].

Проведений аналіз існуючих методик та методів дозволив виділити покроковий процес розробки моделі розподілу та використання ресурсів для підприємства, де дана модель буде проходити апробацію (рис. 3.2).

Рис. 3.2. Покроковий процес розробки моделі розподілу та використання ресурсів

Завдання вибору засобів захисту інформації може вирішуватися як при проектуванні системи захисту інформації, так і для підвищення ефективності існуючих систем захисту інформації. Практика функціонування автоматизованих інформаційних систем показує, що досягнення 100,0%-го рівня безпеки - справа дорога і не завжди доцільне, оскільки: навіть найдосконаліша на сьогодні система інформаційного захисту не може протидіяти загрозам, які можуть виникнути в подальшому; вартість комплексного захисту може виявитися значно вище, ніж вартість захищаються інформаційних ресурсів [27, 28].

Модель представлення системи інформаційної безпеки

Практична задача забезпечення інформаційної безпеки складається в розробці моделі представлення системи (процесів) ІБ, що на основі науково-методичного апарату, дозволяла б вирішувати задачі створення, використання й оцінки ефективності СЗІ для проектованих і існуючих унікальних ІС. Що розуміється під моделлю СЗІ? На скільки реально створити таку модель? У спрощеному виді модель СЗІ представлена на рисунку 3.3.

Рис. 3.3. Моделі представлення системи (процесів) ІБ

Основною задачею моделі є наукове забезпечення процесу створення системи інформаційної безпеки за рахунок правильної оцінки ефективності прийнятих рішень і вибору раціонального варіанту технічної реалізації системи захисту інформації.

Специфічними особливостями розв’язку задачі створення систем захисту є:

неповнота і невизначеність вихідної інформації про склад ІС і характерних погрозах;

багатокритеріальність задачі, пов'язана з необхідністю обліку великої кількості частинних показників (вимог) СЗІ;

наявність як кількісних, так і якісних показників, які необхідно враховувати при розв’язанні задач розробки і впровадження СЗІ;

неможливість застосування класичних методів оптимізації.

Така модель повинна задовольняти наступним вимогам:

Використовуватися в якості:

посібника зі створення СЗІ;

методики формування показників і вимог до СЗІ;

інструмента (методика) оцінки СЗІ;

моделі СЗІ для проведення досліджень (матриця стану).

Мати властивості:

універсальності;

комплексності;

простоти у використанні;

наочності;

практичного спрямовання;

самонавчальності;

функціонувати в умовах високої невизначеності вихідної інформації.

Дозволяти:

установити взаємозв'язок між показниками (вимогами);

задавати різні рівні захисту;

одержувати кількісні оцінки;

контролювати стан СЗІ;

застосовувати різні методики оцінок;

оперативно реагувати на зміни умов функціонування;

об'єднати зусилля різних фахівців єдиним задумом.

Існує три "координати вимірів" - три групи складових моделі СЗІ.

1. З чого складається (основи)?

. Для чого призначена (напрямки)?

. Як працюють (етапи)?

Основами складовими частинами практично будь-якої складної системи (у тому числі і системи захисту інформації) є:

законодавча, нормативно-правова і наукова база;

структура і завдання органів (підрозділів), що забезпечують безпеку ІТ;

організаційно-технічні і режимні виміри і методи (політика інформаційної безпеки);

програмно-технічні способи і засоби.

Напрямки формуються виходячи з конкретних особливостей ІС як об'єкта захисту.

у загальному випадку, з огляду на типову структуру ІС і історично сформовані види робіт із захисту інформації, пропонується розглянути наступні напрямки:

захист об'єктів інформаційних систем;

захист процесів, процедур і програм обробки інформації;

захист каналів зв'язку;

придушення побічних електромагнітних випромінювань;

управління системою захисту.

Але, оскільки кожен з цих напрямків базується на перерахованих вище основах, то елементи основ і напрямків, розглядаються нерозривно один з одним.

Проведений аналіз існуючих методик (послідовностей) робіт зі створення СЗІ дозволяє виділити наступні етапи:

визначення інформаційних і технічних ресурсів, а також об'єктів ІС, що підлягають захисту;

виявлення повної множини потенційно можливих погроз і каналів витоку інформації;

проведення оцінки вразливості і ризиків інформації (ресурсів ІС) при наявній множині погроз і каналів витоку;

визначення вимог до системи захисту інформації;

здійснення вибору засобів захисту інформації і їхніх характеристик;

впровадження й організація використання обраних методів і засобів захисту.

здійснення контролю цілісності і керування системою захисту.

Усе це можна представити у вигляді своєрідного кубика Рубика, на гранях якого утворилася мозаїка взаємозалежних складових елементів системи захисту. Отримано матрицю запитань, відповіді на які дозволять сформувати представлення про стан захищеності інформації у конкретній ІС.

Нагадаємо, що матриця не існує сама по собі, а формується виходячи з опису конкретної ІС і конкретних завдань захисту інформації в цій системі (рис. 3.4) [33].

Як оцінити ефективність створюваної чи уже функціонуючої СЗІ?

Знову допоможе підхід на основі тривимірної матриці. Тільки тепер по показниках (елементах) матриці (140) треба виставити відповідні оцінки. Існує багато методів оцінок, вибирайте будь-який зрозумілий і прозорий для вас. Найбільш популярний на сьогоднішній день метод - це так званий „Три П" підлога, палець, стеля.

Рис. 3.4. Опис конкретної ІС і конкретних завдань захисту інформації

Наочно зазначені властивості матриці приведені на рис. 3.5

Рис. 3.5 . Оцінка ефективності СЗІ

Для відповіді на питання, якою мірою система захисту інформації забезпечує необхідний рівень безпеки, необхідно оцінювати ефективність СЗІ. Удосконалювання нормативної бази, методичного забезпечення в області інформаційної безпеки повинне відбуватися, насамперед, у цьому напрямку. Змістовні результати по оцінці ефективності систем захисту інформації можуть бути отримані при системному підході. Однак і віддача, насамперед економічна, буде набагато вагоміша, а інтереси, як замовника, так і розроблювача СЗІ, будуть захищені більш надійно [33].

Як висновок можна сказати, що по-перше, робота з кадрами потребує лише комплексного підходу, адже потрібно забезпечувати безпеку на всіх етапах праці підприємства. Різні методи для покращення роботи підприємства, потрібно використовувати в сукупності, але кожен у свій час і для різних потреб. Так, наприклад, економічні групи методів потрібні для загального знання про ринок праці, визначення потреби в працівниках (в яких саме відділах і якого кваліфікаційного рівня), а також для того, аби палнувати і розробляти концепції та стратегії розвитку кадрів в певній установі. Організаційно-розпорядчі методи потрібні аби мати змогу впливати та керувати працівниками на правових підставах, які конкретно спрямовують діяльність, визначають обов’язки та права працівників, а також встановлюють відповідальність, за порушення встановлених норм. І нарешті соціально-психологічні методи. Керівники відповідних повинні створювати такі умови праці, щоб працівник мав бажання працювати саме тут, зберігати усе в таємниці, і навіть просто з моральних принципів не хотів збирати інформацію для конкурентів, знищувати чи блокувати документи, що містять конфіденційну інформацію.

Для впровадження комплексу систем роботи з кадрами потрібні внутрішні правові акти, які дають змогу впорядковувати і узаконювати роботу керівників, але лише, не виходячи за межі чинного законодавства країни. В кожному підрозділі має формуватися своя нормативна, правові документи мають видаватися лише у разі необхідності і задля вдосконалення роботи відділу.

Модель захисту інформації має містити детальну інформацію про можливі загрози, потенційних порушниках, методах, засобах захисту від них, а також враховувати всі чинники, як навмисні, так і без злого умислу. Модель захисту конфіденційної інформації включає в себе різні моделі, які мають чітко прописані ресурси для забезпечення захисту, суб’єкти та об’єкти, аналіз всієї цієї системи, а також її оцінку, і кошти,що потрібні для впровадження вищеперерахованого в життя. Модель повинна носити комплексний характер, враховувати все в сукупності, і лише тоді буде підвищуватись ефективність і діяльності персоналу з конфіденційними документами, і їх захисту .

Висновки

1. Доведено, що людський фактор є одним із самих небезпечних загроз, які потребують комплексного підходу у забезпеченні безпекою руху документів на підприємстві. Кожен аспект потребує чіткої і відлагодженої роботи персоналу та керівників відділу.

. З’ясовано, що немало важливу роль відіграє внутрішня правова база, як у кожному відділі, так і в цілому в установі чи організації, адже оббіг документів, перелік осіб, які допущені до роботи з ними,а також відповідальність за порушення цих встановлених норм, має бути чітко регламентована і доведена до відома осіб, які з нею працюють.

. Виявлено, що однією з важливих ланок є попередження реалізації загроз конфіденційній інформації чи/та взагалі не допущення їх виникнення, як таких. Для цього потрібно аналізувати і економічний стан ринку, конкурентну діяльність у зовнішній сфері, і плинність кадрів, можливих порушників, загроз, визначати методи і засоби захисту конфіденційних документів, а також обсяг коштів, які для цього потрібні, у внутрішній сфері діяльності підприємства. Тому керівники мають складати моделі захисту, яка буде включати в себе усі, вищеперераховані аспекти.

. Доведено, що сформована система захисту конфіденційної інформації (яка включає і роботу персоналу, керівників, і внутрішні інструкції, щодо руху документів, та багато інших сторін) потребує постійного вдосконалення, моніторингу, нагляду за персоналом, його мотивування, а для цього потрібен індивідуальний підхід до кожного працівника, а це в свою чергу може забезпечити лише висококваліфікований керівник, який має хороший досвід роботи і позитивні результати за роки праці.

. Вияснено, що проектування системи захисту потрібно перш за все для того, аби обмежити коло осіб, але й разом з тим забезпечити персоналу доступ до тих документів, які потрібні їх для виконання службових обов’язків. Тому тут потрібно чітко розуміти, що чим вищий ступінь конфіденційності, тим менше осіб керівник повинен допускати до роботи з ними, щоб виключити ті загрози, які пов’язані з персоналом і їх роботою х документами (несанкціонований доступ, знищення документів з конфіденційною інформацією, шпигунство тощо).

Використана література

. Закон України "Про інформацію" від 10.08.2012 року // Відом. Верховної Ради України, 1992, № 48, ст. 650.

. Закон України "Про доступ до публічної інформації" від 19.11.2012 р. // Відом. Верховної Ради України, 2011, № 32, ст. 314.

. Наказ "Про затвердження Положення про роботу із засобами обчислювальної техніки та телекомунікаційною мережею Міністерства економічного розвитку і торгівлі України від 28.12.2011 Міністерство економічного розвитку і торгівлі № 437.

4. Zakon.nau.ua/doc/?uid=1078.5760.0.  5. Radnuk.info/komentar/kruminal/osobluva/300-rozd14/4633-330.

6. Zakon1.rada.gov.ua/laws/show/n0038323-11.

. Cyclop.com.ua/content/view/1148/58/1/17.

8. <Http://bookdn.com/book> 219 glava 60 8.Normativno-metodichne zabe.html

. Kadrovik.ua/content/osoblivost-roboti-z-dokumentami-shcho-m-styat-komerts-inu -ta-mnitsyu-p-dpri-mstva..

. Alls.in.ua/5411-lyudskijj-faktor-u-zabezpechenni-bezpeki-konfidencijjno-informaci.html.

. Uk.wikipedia.org/wiki/Організаційний захист інформації.

. Iqusion.com/ua/sistemi-zakhistu-informatsiji.

13. Buklib.net/books/33445.

. Bukvar.su/menedzhment/112117- Organizacionnoe-proektirovanie.html.

. Pravo-ukraine.org.ua/blogs/hr/rekryting/4431-sistema-upravlinnya-personalom-hr-i-sluzhba-bezpeki-sb-tandem-v-im-ya-bezpeki-biznesu

. Fingal.com.ua/content/view/495/39/1/1.

. Войцеховская А. Антикризисное управление финансами предприятия // Вісник Київського інституту бізнесу та технологій. - 2009. - № 1. - С. 70-72.

. Слав’юк Р.А. Фінанси підприємства: Навч. посіб. - К.: ЦУЛ, 2002. - 460 с.

19. Шило В.П., Верхоглядова Н.І. та ін. Аналіз фінансового стану виробничої та комерційної діяльності підприємства: Навч. посіб. - К.: Кондор, 2005. - 240 с.

. Www.rusnauka.com/10_NPE_2008/Economics/30021.doc.htm <http://www.rusnauka.com/10_NPE_2008/Economics/30021.doc.htm>.

21. Library.if.ua/book/147/9750.html.

2. Library.if.ua/book/147/9751.html.

3. Library.if.ua/book/147/9752.html.

4. Www.slv.com.ua/book/114/7674.html <http://www.slv.com.ua/book/114/7674.html>.

25. Цымбалова А.А., Губенко Н.Е. Анализ модели использования ресурсов с точки зрения информационной безопасности. Информационные управляющие системы и компьютерный моніторинг-2011 / Материали II всеукраинской научно-технической конференции студентов, аспирантов и молодых учёных. - Донецк, ДонНТУ - 2011. - С. 292-295.

. Домарев В.В. Безопасность информационных технологий. - ТИД Диа Софт, 2002. - С. 688.

. Табаков А.Б. Разработка моделей оптимизации средств защиты информации для оценки страхования информационных рисков [Електроний ресурс] - Режим доступу до статті:http://ej.kubagro.ru/2005/04/02.

. Грездов Г. Г. Способ решения задачи формирования комплексной системы защиты информации для автоматизированных систем 1 и 2 класса [Текст] / Г. Г. Грездов // ( Препринт/ НАН Украины. Отделение гибридных управляющих систем в энергетике ИПМЭ им. Г. П. Пухова НАН Украины; № 01/2005) - Киев : ЧП Нестреровой, 2005. - С. 66. [Електроний ресурс] - Режим доступу до статті: masters. donntu.edu.ua/2011/fknt/tsymbalova/diss/indexu.htm#model.

29. Трифаленков И., Макоев В. Критерии выбора средств защиты информации [Електроний ресурс] - Режим доступу до статті: <http://www.jetinfosoft.ru/> download/ public/cio 06 02 y.pdf.

30. Малюк А.А., Пазизин С.В, Погожин С.С. Введение в защиту информации в автоматизированных системах. [Текст] - М.: Горячая линия - Телеком, 2001. - 148 c .

31. Гусев М.О. Открытые информационные системы и защита информации [Електроний ресурс] - Режим доступу до статті: <http://jre.cplire.ru/jre/sep05/> 1/text. html .

. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учебное пособие для вузов. [Текст] - М.: Горячая линия - Телеком, 2004. - C 280.

33. Unicyb.kiev.ua/~boiko/it/Mudra_I_MSS.htm.