Автор работы: Пользователь скрыл имя, 10 Марта 2014 в 20:34, реферат
Фраза «проверка безопасности» употребляется взаимозаменяемо с фразой «аудит компьютерной безопасности», хотя эти понятия отличаются. Проверка безопасности (pen-test) - это узко направленная проверка наличия брешей в критических ресурсах, таких как межсетевая защита или Web сервер. Проверяющие безопасность могут рассматривать лишь один сервис на сетевом ресурсе. Они обычно работают извне с минимальной информацией о данной сети для того, чтобы как можно более реалистично симулировать возможную атаку хакера.
С другой стороны, аудит компьютерной безопасности – это систематическая оценка того, как устроена политика безопасности данной организации.
Исходя из этого, аудитору необходимо объективно и честно идентифицировать свои личные качества с тем, чтобы развивать положительные и максимально использовать их в работе. Необходимо также принципиально идентифицировать и свои отрицательные качества с тем, чтобы уметь их подавлять.
Необходимые элементы в работе аудитора - это этичность поведения, беспристрастность и объективность в оценке фактов, прилежание в работе и умение принимать правильные решения.
Достижение успеха при проведении аудита в значительной степени зависит от того, какие отношения складываются между аудитором и аудируемыми. Поэтому исключительно важно разъяснение целей аудита, особенностей, отличающих аудит от других видов проверочной деятельности. Аудит не должен рассматриваться негативно, как деятельность по поиску ошибок, недостатков и упущений в работе.
Аудитору целесообразно сразу же сообщать о своих наблюдениях, но не следует делать поспешных выводов. Пренебрежение этими простыми правилами может вызвать у аудируемого настороженность, противодействие.
Для создания контакта между аудитором и аудируемым, достижения понимания того, что аудируемый и аудитор объединены общей целью - найти подтверждения функционирования системы управления охраной труда и резервы для ее совершенствования, - имеют значение многие факторы.
Установлено, что даже размещение аудитора и аудируемого при беседе по разные стороны стола создает психологическую преграду в общении. Для групповых обсуждений идеальным является размещение за круглым столом. При размещении собеседников необходимо учитывать, что самым удобным для аудируемого будет его собственное рабочее место, при этом у него самый удобный доступ к документам и другой информации.
При планировании аудита необходимо не нарушать установленного графика работы. Не следует также начинать аудит с первой минуты рабочего дня: целесообразно сделать это немного позже, предоставив возможность аудируемому решить неотложные производственные вопросы.
Умение слушать - важное качество аудитора. Аудитор должен уметь как выслушивать ответы других, так и отвечать на вопросы. Слово «аудит» латинского происхождения, означающее в переводе на русский язык «слушание». Следовательно, аудитор - слушающий, а аудитория - место, где происходит слушание. С точки зрения правового положения аудитор - лицо, компетентное для проведения аудита.
Во время диалога необходимо демонстрировать аудируемому, что его сообщение заслуживает внимания. Аудит должен вестись в форме диалога, а не путем перекрестного допроса или в форме «вопрос - ответ».
Вопросы аудитора
Аудитору необходимо уметь правильно построить вопрос. Вопросы должны задаваться таким образом, чтобы при ответе на них аудитор мог получить интересующую информацию, не предполагать определенного ответа.
В практике проведения аудитов используются три категории вопросов:
- открытые вопросы - предполагают получение обстоятельного ответа, на них нельзя ответить словами «да» или «нет». Положительной стороной таких вопросов является то, что интервьюируемый, давая обстоятельные ответы, осуществляет некоторый контроль над беседой, что увеличивает его доверие к аудитору и способствует общению. Ответы на открытые вопросы способны увести беседу в сторону от намеченной цели беседы, поэтому необходимо в тактичной форме просить интервьюируемого по возможности не отклоняться от заданной темы;
- закрытые или прямые вопросы - на них можно ответить словами «да» или «нет». Положительной стороной этих вопросов является возможность оперативно получить необходимую информацию. Частое использование закрытых (прямых) вопросов создает у аудируемого впечатление перекрестного допроса, что является нежелательным;
- разъясняющие вопросы -
задаются для уточнения
Следует избегать вопросов, которые могут вызвать у собеседника противодействие (вопросы, содержащие обвинения, необоснованные оценки деятельности, критику и т.п.).
Не следует также задавать наводящие вопросы. Такие вопросы, заранее предполагающие определенный ответ, могут привести к искажению фактической ситуации. Кроме того, собеседник может почувствовать себя некомфортно, что создает сложности в общении.
Интервью (собеседование)
Важная роль в установлении того, как выполняются те или иные требования охраны труда, отводится проведению интервью (собеседования) с работниками.
При проведении интервью с работниками необходимо учитывать следующее:
опрос необходимо проводить в рабочее время и по возможности на рабочем месте опрашиваемого;
опрашиваемое лицо должно быть психологически подготовлено к опросу;
опрос следует вести в свободной, благожелательной форме;
опрос целесообразно начинать с просьбы рассказать о своей работе;
необходимо объяснить причину проведения опроса, а также то, какие осуществляются записи;
необходимо избегать наводящих вопросов, не следует обращаться с просьбой высказаться о причинах тех или иных недостатков в работе;
по окончании опроса необходимо сообщить опрашиваемому, какие сделаны выводы по обсужденным вопросам;
необходимо поблагодарить опрашиваемого за сотрудничество.
Аудитор должен всегда помнить, что на основе его заключений могут приниматься очень важные решения, имеющие серьезные материальные последствия для аудируемой организации. Поэтому выводы аудитора должны быть сделаны на бесспорно установленных фактах.
В обязательном порядке должны составляться отчеты о результатах проведения периодических аудитов функционирования системы управления охраны труда, а при выявлении несоответствий установленным требованиям - отчеты о несоответствиях и их реестр.
Совершенно очевидно, что проведение аудитов должно осуществляться квалифицированными и незаинтересованными в результатах проверки специалистами.
Возникает вопрос: где взять специалистов, обладающих перечисленными выше способностями и качествами? Очевидно, что аудиторами не рождаются, ими становятся в результате соответствующего обучения, постоянного самообразования и самосовершенствования.
В Белорусском государственном институте повышения квалификации и переподготовки кадров по стандартизации, метрологии и управлению качеством ведется обучение внутренних аудиторов по системе управления охраной труда, разработанной в соответствии с СТБ 18001-2009. После проведения обучения и успешной сдачи экзаменов прошедшим курс обучения выдается соответствующий документ, дающий право проводить в своей организации аудиторскую работу.
Накопление опыта в этом направлении позволит более обоснованно и точно установить квалификационные требования к аудитору (эксперту-аудитору) по системе управления охраной труда.
Однако проведение внутренних аудитов только силами специалистов, хотя и прошедших соответствующее обучение, является лишь первым шагом в этом направлении. Проведение аудитов для указанных специалистов является дополнительной, как правило, неоплачиваемой нагрузкой к своим непосредственным должностным обязанностям.
Проведение внутренних аудитов в организации должно осуществляться на профессиональном уровне состоящими в штате организации специалистами. На роль внутренних аудиторов могут быть рекомендованы специалисты структурных подразделений, функциональных служб и филиалов организации. Опыт российских организаций убедительным образом свидетельствует о необходимости введения штатных аудиторов по системе управления охраной труда, которые будут профессионально заниматься этим видом деятельности. Для этого необходимы соответствующие решения Министерства труда и социальной защиты РБ, Государственного комитета по стандартизации РБ.
Наряду со штатными аудиторами в организации необходимо также сформировать группу внештатных аудиторов, руководствуясь при этом следующими требованиями: аудиторы не должны зависеть от руководителей проверяемых подразделений и служб и не должны проверять свою работу. В качестве внештатных аудиторов целесообразно привлекать и лиц, которые не работают в данной организации.
Из числа работающих в организации наиболее подходящими на роль внештатных аудиторов являются члены комиссии организации по охране труда - органа, создание которого предусмотрено ст.18 Закона РБ от 23.06.2008 № 356-З «Об охране труда». В силу своего служебного и общественного положения эти лица наиболее заинтересованы в повышении эффективности системы управления охраной труда, и в то же время у них отсутствует ответственность за проверяемую деятельность (за исключением, быть может, тех подразделений, в которых они работают в качестве руководителей или специалистов).
Разумеется, внештатные аудиторы должны допускаться к проведению аудита после соответствующего обучения, проверки знаний и получения в установленном порядке соответствующего документа.
Информация о работе Введение в Республике Беларусь аудита безопасности