Текст книги "Организация комплексной системы защиты информации"
Автор книги: Наталия Гришина
сообщить о нарушении
Текущая страница: 8 (всего у книги 12 страниц)
– режим работы предприятия;
– технология производства и управления;
– тип и объем производства;
– местоположение и архитектурные особенности предприятия;
– форма собственности предприятия.
7.4. Модель системы автоматизированного проектирования защиты информации
Структурно-функциональная схема САПРа защиты информации может быть представлена в виде пяти основных модулей:
– типовая сетевая модель процесса создания СЗИ;
– типовой план проведения специального инженерного анализа защищаемой системы;
– модули расчета параметров подсистем СЗИ;
– модуль синтеза и оптимизации СЗИ;
– модуль выбора стандартных средств и типовых проектных решений.
Кроме этого, модель включает в себя проблемно-ориентированный банк данных и блок интерфейса и визуализации.
Модуль – типовая сетевая модель процесса создания СЗИ.
В качестве метода планирования комплекса работ по созданию системы защиты целесообразно принять метод сетевого планирования, т. к. создание СЗИ определяется большим числом и различным содержанием работ, требующих взаимной увязки по срокам исполнения. Необходимая цель создания СЗИ достигается коллективом специалистов. Помимо этого, необходимо обеспечивать заданные сроки создания СЗИ и т. д.
Типовая сетевая модель позволяет разработчику:
– формулировать общую программу работ и их последовательность;
– определять содержание работ по созданию СЗИ;
– определять исполнителей работ;
– определять исходные материалы, необходимые для выполнения каждой работы;
– определять выходные материалы и результаты выполнения каждой работы;
– определять усредненные сроки и трудоемкость работ;
– обеспечивать оптимизацию процесса создания СЗИ по срокам выполнения работ, затратам и ресурсам.
Типовая сетевая модель дает возможность представить все операции и работы процесса создания СЗИ, упорядочить эти работы в их надлежащей последовательности, выяснить содержание и значение каждой работы и определить, каким образом и с помощью каких средств она может быть выполнена.
Последовательность работ, определяющая наибольшую длительность разработки и создания СЗИ, является критическим путем L, а работы, входящие в критический путь, являются критическими работами. Критический путь L начинается с самого первого события сетевого графика и проходит через весь график, заканчиваясь последним событием. Анализ критических путей устанавливает приоритет работ. Критические работы должны быть завершены вовремя, иначе сроки создания СЗИ будут сорваны. При разработке конкретной СЗИ определение критического пути дает возможность ускорить выполнение комплекса работ за счет перераспределения средств и сил, выделяемых на выполнение работ.
Модуль типового плана проведения специального инженерного анализа защищаемой системы обеспечивает процесс исследования и формализации объекта защиты, построения его структурно-функциональной схемы для выявления возможных каналов компрометации информации в системе, определение состава и характеристик стратегий нападения на информацию.
Модуль реализует поддержку решения следующих задач:
1) анализ технологических процессов обработки информации, анализ информационных потоков, анализ дислокации элементов защищаемой системы, анализ технических и программных средств и особых условий, влияющих на безопасность информации в системе; итог – построение, структурно-функциональной схемы (СФС) системы;
2) деструктуризация СФС с целью выявления основных, в плане выполнения функций управления и в плане общности решений по защите информации, узлов системы с целью выявления возможных каналов компрометации информации;
3) определение состава системы нападения на информацию Y, оценку параметров элементов системы Y.
Модуль выбора стандартных средств и типовых проектных решений базируется на информации банка данных и ограничений проектировщика и заказчика системы.
Блок модели нарушителей содержит в себе описания категорий людей, которые могут предпринять попытку несанкционированного доступа к информации случайно или преднамеренно. Это могут быть операторы, инженерно-технический персонал, пользователи, разработчики, обслуживающий персонал и т. д. Нарушитель может быть осведомлен о структуре защищаемой системы, характере информации технического и программного обеспечения, наличии средств защиты, их устройстве и технических характеристиках. Неизвестными можно считать лишь те параметры и элементы средств защиты, которые подлежат периодической смене (ключи, пароли и т. п.).
Блок «Исходный набор У» предназначен для определения потенциальных стратегий нападения, которые выявляются посредством неформально-логического анализа выявленных в деструктурированных узлах системы возможных каналов компрометации информации и вероятных нарушений безопасности с использованием каталога основных потенциальных стратегий нападения на информацию.
Результатом работы данного модуля САПР является сформированный рабочий набор стратегий нападения Y в виде табличного файла:
Модуль комплекса моделей расчета параметров подсистем СЗИ включает в себя программно-математические средства проектирования системы криптозащиты, технических средств, системы разграничения доступа, системы постобработки регистрационной информации и т. д. В процессе функционирования САПР комплекс моделей должен пополняться и совершенствоваться.
Модуль синтеза и оптимизации СЗИ осуществляет разработку мер защиты. Этот этап следует непосредственно после проведения инженерного анализа СЗИ и определения состава и основных характеристик системы нападения на информацию. В результате выполнения этапа определяется оптимальный состав СЗИ и основные требования к качеству мер защиты информации, а также производится оценка затрат, требующихся для реализации СЗИ.
Синтез и оптимизация СЗИ выполняются в следующей последовательности:
– для каждой стратегии нападения на информацию, выявленной в результате анализа защищаемой системы, из каталога основных мер защиты выбираются такие меры, с помощью которых обеспечивается противодействие каждой вошедшей в набор Y стратегии нападения, т. е. такие меры защиты, для которых в матрице качества элементы qij для данной стратегии нападения отличны от нуля. При этом качество каждой j-й меры защиты по отношению к i-й стратегии нападения определяется величиной q – вероятностью блокировки i-й стратегии нападения с помощью j-й меры защиты информации;
– для каждой выбранной меры защиты в соответствии с методикой оценки качества мер защиты от конкретных стратегий нападения производится уточнение величин qy;
– в соответствии с методикой оптимизации плана СЗИ составляется и решается система уравнений задачи оптимизации. В дальнейшем при разработке конкретных мер зашиты, вошедших в оптимальный план СЗИ, необходимо обеспечить выполнение требований к качеству мер защиты информации;
– определяются оценочные затраты, необходимые для реализации СЗИ, равные сумме затрат на реализацию мер защиты, вошедших в оптимальный план СЗИ.
Блок оценки качества мер защиты содержит методику оценки качества мер защиты. Возможны следующие методы оценки параметров qij:
– расчетные;
– на основе статистических данных;
– метод экспертных оценок.
Все затраты на реализацию системы защиты информации по своей структуре состоят из суммы капитальных вложений и текущих расходов.
Капитальные вложения представляют затраты на разработку мер защиты СЗИ в целом, разработку и отладку аппаратуры, предназначенной для защиты информации, на конструктивную доработку комплекса технически средств в целях обеспечения их специальных свойств, на создание экранирующих сооружений, на создание систем заземления, на приобретение аппаратуры, монтаж и отладку охранной и противопожарной сигнализации.
Текущие расходы представляют затраты на заработную плату персонала, обслуживающего СЗИ, накладные расходы, затраты на энергоснабжение и т. д.
Критерием оптимизации плана СЗИ может быть минимизация затрат на реализацию СЗИ в АСОД при условии обеспечения заданных уровней защищенности информации от несанкционированных действий со стороны всех вероятных стратегий нападения, т. е.
где Ci – затраты на реализацию i-й стратегии,
dij = 1, если i-я мера зашиты входит в j-й набор мер;
dij = 0, если i-я мера защиты не входит в j-й набор мер.
U= log P – уровень защищенности информации в АСОД;
где qj – вероятность применения стратегии; S – число возможных подсистем стратегий нападения; mk – число возможных стратегий нападения в составе k-й подсистемы нападения; nk – число мер защиты, направленных на противодействие k-й подсистеме стратегий нападения.
В качестве системы защиты принимается такой набор мер защиты Ri для которого Сi = min{Cj}.
Визуализация оптимизированной матрицы может быть представлена в виде:
В качестве информационной базы структурно-функциональной схемы САПРа защиты информации используется проблемно-ориентированный банк данных, в который входят:
– файл исходных данных;
– файл стандартных средств защиты;
– файл штатных средств защиты;
– каталог стратегий нападения Y;
– каталог мер защиты X;
– нормы эффективности защиты.
Рис. 29. Модель системы автоматизированного проектирования защиты информации
Каталог потенциальных стратегий нападения, направленных на несанкционированные действия, является результатом специального инженерного анализа.
Каталог мер защиты – перечень мер, обеспечивающих защиту от стратегий нападения.
Каталог норм эффективности защиты. Нормой эффективности защиты информации в АСОД от утечки информации при воздействии конкретной стратегии нападения называется допустимая вероятность Р несанкционированного доступа к информации при реализации данной стратегии нападения в условиях противодействия со стороны защиты. Однако для целого ряда прикладных задач по защите информации нормы отсутствуют. В таких случаях в качестве ориентиров используются требования заказчика, согласованные с разработчиком системы.
В общем виде система автоматизированного проектирования представлена на рис. 29.
8. КАДРОВОЕ ОБЕСПЕЧЕНИЕ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ
8.1. Подбор персонала
Большинство систем не может функционировать без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной стороны, ее необходимый элемент, с другой – он же может быть причиной и движущей силой нарушения и преступления. Сотрудник предприятия является определяющей фигурой в обеспечении сохранности сведений. Он может выступать в качестве создателя интеллектуальной собственности предприятия (совершенствуя технологию, создавая какие-либо товары и др.). При этом значительная часть ценнейшей для предприятия информации не отражается в технической документации, а остается в голове. И в дальнейшем, накопив опыт, многие из них потенциально готовы в будущем реализовать свой идей на практике. Кроме того, если сотрудник привлекается к закрытым работам, руководитель предприятия вынужден предоставить ему наиболее ценную информацию, полученную другим работником.
Проведя анализ статистических данных по отечественным и зарубежным источникам, можно сделать вывод, что около 70 % (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью информации, совершаются именно сотрудниками предприятия. Можно выделить 5 причин этого факта:
1) при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит какие-либо действия по компрометации информации, связанные со злым умыслом;
2) бывает, что сотрудник предприятия ради самоутверждения (для себя или коллег) затевает своего рода игру «пользователь – против системы». И хотя намерения могут быть безвредными, будет нарушена сама практика безопасности. Такой вид нарушений называется зондированием системы;
3) нарушение может быть вызвано и корыстным интересом. В этом случае сотрудник будет пытаться целенаправленно преодолеть систему защиты для доступа к хранимой, перерабатываемой и обрабатываемой на предприятии информации;
4) за рубежом известна практика переманивания специалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Таким образом, не обеспечив закрепление лиц, осведомленных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров в зарубежных фирмах уделяют большое внимание. Представители японской администрации рассматривают компанию как совокупность различных ресурсов. При этом люди стоят на первом месте, т. к. именно они воплощают технологию и в них в первую очередь заключается конкурентоспособная сила фирмы. То есть текучесть кадров четвертая причина;
5) специалист, работающий с конфиденциальной информацией, испытывает отрицательное психическое воздействие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информацией, сотрудник постоянно боится возможной угрозы утраты документов, содержащих секреты. Выполняя требования режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам, а как результат – нарушении безопасности информации.
Понимая ведущую роль кадров в сохранении секретов, руководителям предприятия важно помнить, какие личные качества человека не способствуют сохранению доверенной ему тайны. То есть причины нарушения безопасности информации связаны с психологическими особенностями человека, его личными качествами, следовательно, и способы предотвращения перечисленных нарушений вытекают из анализа побудительных мотивов: тщательный подбор персонала, подготовка персонала, поддержание здорового рабочего климата, мотивация и стимулирование деятельности сотрудников.
В любой профессиональной деятельности есть стабильные составляющие и переменные, связанные с конкретными условиями, в которых эта деятельность осуществляется. При подборе кадров важно принимать во внимание обе составляющие, т. е. дается описание психологических характеристик, соблюдение которых необходимо для выполнения определенных профессиональных обязанностей. В психограмму включаются требования, предъявляемые профессиональной деятельности, к психологическим процессам (памяти, воображению, восприятию), психическим состояниям (усталости, апатии, стрессу), вниманию как состоянию сознания, эмоциональным (сдержанность, индифферентность) и волевым (настойчивость, импульсивность) характеристикам. Некоторые из этих психологических требований являются основными, главными, без них вообще невозможна качественная деятельность.
Психологическое несоответствие требованиям профессии особенно сильно проявляется в сложных ситуациях, когда требуется мобилизация всех личностных ресурсов для решения сложных задач. Поэтому это особенно важно в рамках комплексной системы защиты информации.
Но описание психологических требований недостаточно, чтобы, ориентируясь только на них, подбирать человека для работы. При подборе кадров необходимо ориентироваться не только на отдельные характеристики психики, а на черты личности как ее системные свойства. Выделим наиболее результативные методы изучения личности:
– изучение жизненного пути личности;
– изучение мнения коллектива, в котором работает личность;
– изучение ближайшего окружения личности;
– создание ситуации, наиболее подходящей для проявления профессионально важных качеств и свойств;
– изучение высказывания личности о собственной роли в делах коллектива.
К качествам, соответствующим работе в таких условиях, относятся: честность, добросовестность, принципиальность (строгое следование основным правилам), исполнительность, пунктуальность, дисциплинированность, эмоциональная устойчивость (самообладание), стремление к успеху и порядку в работе, самоконтроль в поступках и действиях, правильная самооценка собственных способностей и возможностей, осторожность, умение хранить секреты, тренированное внимание и неплохая память.
Качества, не способствующие сохранению доверенной тайны: эмоциональное расстройство, неуравновешенность поведения, разочарование в себе, отчужденность от коллег по работе, недовольство своим служебным положением, ущемленное самолюбие, эгоистичные интересы, нечестность, употребление наркотиков и алкоголя, постепенно разрушающих личность.
8.2. Подготовка персонала для работы в новых условиях
С целью максимальной эффективности использования вновь принятого на работу человека, необходимо, принимая на работу нового сотрудника, не ограничиваться ознакомлением его с техникой безопасности, режимами работы, с рабочим местом, навыками владения средствами и предметами труда. В качестве примера влияния адаптационного периода рассмотрим результаты исследования феномена «летунов», т. е. людей, часто меняющих профессию или место работы, которые показывают, что в начале их трудового пути, как правило, был неудачный опыт адаптации к предприятию и коллективу. В результате, столкнувшись с первыми трудностями на работе, с первыми сложностями, с конфликтами, такой человек в силу особенностей психики уходит от этих трудностей путем увольнения с работы по собственному желанию.
Причина этих явлений условия, не способствующие адаптации вновь принятого работника. Такими неблагоприятными условиями могут быть условия обыденные, удобные, даже рациональные с точки зрения работников хорошо приспособившихся к окружающей их производственной среде. Поэтому трудности новичков не замечаются. Условно сложная адаптация может быть разделена на виды: профессиональная, социально-организационная, социально-психологическая.
Профессиональная адаптация – это адаптация к самой трудовой деятельности со всеми обеспечивающими ее предметными и временными составляющими. Она характерна при обстоятельствах, возникающих при первом знакомстве человека с условиями его новой работы. Эта адаптация неизбежна при всех изменениях, происходящих на предприятии или на рабочем месте.
Социально-организационная адаптация включает в себя знакомство с работой органов управления и обеспечения работы предприятия (отдел кадров, администрация и т. д.), со сферой жизни коллектива, связанной с бытом и отдыхом.
Социально-психологическая адаптация связана с вхождением нового работника в первичный коллектив.
8.3. Мотивация
Мотивация – это процесс побуждения себя и других к деятельности для достижения личных целей или целей организации. Мотивация, определяющая отношение к деятельности, – это личное побуждение к деятельности, т. е. побуждение, основанное на потребностях личности, ее ценностных ориентациях, интересах. Среди мотивов в первую очередь следует выделить интерес к деятельности, чувство долга, стремление к профессиональному росту. Мотивация на основе интереса связана с удовлетворением стремления к знанию и развитию. Причем существует два аспекта этой мотивации: интерес к деятельности и интерес к самому себе как субъекту, овладевшему этой деятельностью. Продуктивность мотивации, основанной на интересе к деятельности, связана с содержательностью, т. е. той стороной деятельности, которая вызывает наибольший интерес. Мотивация на основе чувства долга связана с потребностью соответствовать требованиям организации, ее нуждам. Особое значение составляют мотивы, основывающиеся на принципе взаимной ответственности и требовательности, характерные для коллективных отношений. Мотивация на основе стремления к профессиональному росту может проявиться когда человек уже достаточно прочно чувствует себя как субъект деятельности. Тогда обостряется желание быстрее достичь некоторых стандартов деятельности или превзойти их.
Напрашивается способ мотивации, связанный со стимулированием или другими словами, мотивация через потребности. Поскольку характер каждого человека – это соединение самых разнообразных черт, то, следовательно, существует огромное число человеческих потребностей, которые, по мнению каждого человека, приводят к удовлетворению его потребностей. Например, потребность в утверждении собственного «я» одного человека можно удовлетворить, признав его лучшим работником отдела, а удовлетворить аналогичную потребность кого-то другого – означает признать лучшим фасоном его одежды, объявив всем, что он одевается лучше других в группе.
По теории Маслоу, все потребности человека можно расположить в виде строго иерархичной структуры. Верхний уровень образует вторичные потребности. К ним относятся потребности в самовыражения, уважения и социальные. А первичные потребности – безопасности, защищенности и физиологические потребности, образуют нижние уровни. Этим он хотел сказать, что потребности нижних уровней требуют удовлетворения и влияют на поведение человека прежде, чем на мотивации начнут сказываться потребности более высоких уровней. В каждый конкретный момент времени человек будет стремиться к той потребности, которая для него является наиболее важной или сильной. Прежде чем потребность следующего Уровня станет решающим фактором в поведении человека, должна быть удовлетворена потребность более низкого уровня. Для того чтобы следующий, более высокий уровень потребностей начал влиять на поведение человека, не обязательно удовлетворять полностью потребности более низкого уровня, т. е., хотя в данный момент одна из потребностей может преобладать, деятельность человека стимулируется не только ею. И хотя для большинства людей их основные потребности располагались приблизительно в том же порядке, как мы рассмотрели, однако бывают исключения.
Перечислим методы удовлетворения потребностей высших уровней.
I. Социальные потребности:
1) давайте сотрудникам такую работу, которая позволяет им общаться;
2) создавайте на рабочих местах дух единой компании;
3) проводите с подчиненными периодические совещания;
4) не старайтесь разрушить возникшие неформальные группы;
5) создавайте условия для социальной активности членов организации вне ее рамок.
II. Потребности в уважении:
1) предлагайте подчиненным более содержательную работу;
2) обеспечьте им положительную обратную связь с достигнутым результатом;
3) высоко оценивайте и поощряйте достигнутые подчиненными результаты;
4) привлекайте подчиненных к формулированию целей и выработке решений;
5) делегируйте подчиненным дополнительные права и обязанности;
6) продвигайте подчиненных по карьерной лестнице;
7) обеспечьте обучение и переподготовку, которая, повышает уровень компетентности.
III. Потребности в самовыражении:
1) обеспечивайте подчиненных возможностью для обучения и развития, которые позволили бы полностью использовать их потенциал;
2) давайте подчиненным сложную и важную работу, требующую их полной отдачи;
3) поощряйте и развивайте у подчиненных творческие способности.
Большое значение для мотивации имеет климат в коллективе. И если все-таки дело дошло до увольнения, очень важно, чтобы работник ушел, не затаив зла. Возможно, необходимо поговорить с ним, выяснить причины ухода и в том случае, если уход связан с конфликтом, чувством неудовлетворенности и т. д., потребовать еще раз разобраться в ситуации, и тем самым, возможно, поправить положение.
8.4. Разработка кодекса корпоративного поведения
Большинство компаний используют для создания и поддержания организационной культуры правила внутреннего трудового распорядка. Стоит заметить, что они не отвечают современным требованиям и к тому же не являются мотивационным инструментом. По соотношению доступности и результативности формирования и поддержания позитивной организационной культуры внедрение кодекса корпоративного поведения является наиболее эффективным. В таком кодексе должны быть максимально четко обозначены приоритетные цели и задачи организации, ее миссия, а также расставлены акценты во внутренних и внешних отношениях, с сотрудниками, клиентами, руководством. Это элемент традиционной корпоративной культуры, улучшающий и укрепляющий психологическую атмосферу коллектива.
Кодекс корпоративного поведения может выполнять три основные функции:
1) репутационная;
2) управленческая;
3) функция развития корпоративной культуры.
Репутационная функция кодекса заключается в формировании доверия к организации со стороны референтных внешних групп (государства, заказчиков, клиентов, конкурентов и т. д.). Наличие у компании кодекса корпоративного поведения становится общемировым деловым стандартом.
Управленческая функция кодекса состоит в регламентации поведения в сложных этических ситуациях. Повышение эффективности деятельности сотрудников осуществляется путем:
– регламентации приоритетов во взаимодействии со значимыми внешними группами;
– определения порядка принятия решений в сложных этических ситуациях;
– указания на неприемлемые формы поведения.
Корпоративная этика, кроме того, является составной частью организационной культуры и кодекс корпоративного поведения – значимый фактор ее развития. Кодекс призван выявлять приоритетные для организации ценности и доводить их до каждого сотрудника, как новичка, так и опытного профессионала. В идеале персонал будет ориентироваться на единые цели и тем самым повышать корпоративную идентичность, приверженность общему делу.
Содержание кодекса компании определяется, прежде всего, ее особенностями, структурой, задачами развития, установками ее руководителей.
Как правило, кодексы содержат две части:
– идеологическую (миссия, цели, ценности);
– нормативную (стандарты рабочего поведения).
При этом идеологическая часть может не включаться в содержание кодекса.
В профессионально однородных организациях (банки, исследовательские центры, консультационные компании) часто используются кодексы, описывающие в первую очередь узкоспециальные дилеммы. Эти кодексы являются производными от кодексов профессиональных сообществ. Соответственно, содержание таких кодексов в первую очередь регламентирует поведение сотрудников в сложных профессиональных этических ситуациях. В банковской деятельности, например, это доступ к конфиденциальной информации о клиенте и сведениям об устойчивости банка. Кодекс описывает правила обращения с такой информацией, запрещает использовать сведения в целях личного обогащения.
В первую очередь здесь решаются управленческие задачи. Дополнение такого кодекса главами о миссии и ценностях компании способствует развитию корпоративной культуры. При этом кодекс может иметь значительный объем и сложное специфическое содержание и адресоваться всем сотрудникам компании.
В больших неоднородных корпорациях сочетание всех трех функций становится сложным. С одной стороны, существует ряд политик и ситуаций, традиционно закрепляемых этическими кодексами в международной практике. Это политики по отношению к клиентам, поставщикам, подрядчикам. Описание ситуаций, связанных с возможными злоупотреблениями, например взятки, подкуп, хищения, обман, дискриминация. Исходя из управленческой функции, кодекс описывает стандарты образцового поведения в таких ситуациях. Такой кодекс имеет значительный объем и достаточно сложное содержание. Адресация его всем группам сотрудников в условиях значительной разницы в образовательном уровне и социальном статусе сотрудников затруднена. В то же время развитие корпоративной культуры компании требует единого кодекса для всех сотрудников – он должен задавать единое понимание миссии и ценностей компании для каждого сотрудника.
По сути, декларативный вариант – это только идеологическая часть кодекса без регламентации поведения сотрудников. При этом в конкретных ситуациях сотрудники сами должны ориентироваться, как им себя вести, исходя из базовых этических норм, обозначенных в кодексе. Однако в ряде случаев сотрудникам трудно оценить этическую правомерность конкретного поступка исходя из общих принципов.
Таким образом, декларативный вариант кодекса решает в первую очередь задачи развития корпоративной культуры. При этом для предоставления кодекса международному сообществу и решения конкретных управленческих задач необходима разработка дополнительных документов.
В развернутых вариантах кодекса с подробной регламентацией этики поведения сотрудников фиксируется конкретные поступки персонала в отдельных областях, где риск нарушений наиболее высок или возникают сложные этические ситуации. Эти регламенты описываются в виде политик в отношении заказчиков, государства, клиентов, политической деятельности, конфликта интересов, безопасности труда.
При этом большой объем и сложность содержания таких кодексов определяют их выборочную адресацию (см. табл. 3). В большинстве компаний такие кодексы разрабатываются для высшего и среднего менеджмента и не являются всеобщим документом, объединяющим всех сотрудников.
Итак, каждая компания определяет собственные задачи, Для решения которых она намерена использовать такой инструмент, как кодекс корпоративного поведения. Но создание кодекса, естественно, не ограничивается только написанием текста документа. Существует специфика исполнения подобных документов: заставить исполнять этический кодекс нельзя. Поэтому для того, чтобы он действительно работал, еще на этапе его создания необходимо предусмотреть процедуры, включающие в процесс разработки документа по возможности всех сотрудников компании. Только при условии принятия каждым сотрудником кодекса корпоративного поведения он будет реально исполняться.
Основным решением проекта стала идея «улицы с двусторонним движением»:
1) «сверху вниз» – определение базовых ценностей и целей высших руководителей, разработка на их основе проекта;
2) «снизу вверх» – каждому сотруднику предоставлялась возможность стать соавтором Кодекса через его обсуждение и внесение собственных предложений.
Общий план разработки состоит из трех этапов.
1-й этап. Проектирование. Разработка проекта кодекса с основным акцентом на цели и ценности, среди которых важное место отведено контролю безопасности и сохранности конфиденциальной информации. Здесь же указано отношение первых лиц и высшего руководства к существующей в организации проблематике этического характера.
Для этого проводится анализ существующих кодексов других компаний в контексте их применения.
Определялись базовые ценности и цели данной организации, а также наиболее актуальные сферы применения кодекса.
В итоге должна быть сформирована концепция кодекса, в том числе его идеология, формат, сферы применения и создается предварительный проект текста.
2-й этап. Обсуждение. Обсуждение проекта кодекса в трудовых коллективах, во всех подразделениях организации и сбор предложений по доработке текста кодекса и системы его исполнения.
