Текущая работа с персоналом, владеющим конфиденциальной информацией

По мнению большинства специалистов по безопасности ин­формационных систем, главное внимание должно быть обращено на персонал, постоянно работающий с конфиденциальными до­кументами и базами данных.

Основными задачами должны быть две:

1) максимально затруднить работу злоумышленнику или его сообщнику по добыванию необходимой информации, противо­действовать им в пассивном или активном режиме на основе ре­зультатов аналогичных выводов

2) не допустить установления определенных взаимоотношений злоумышленника и сотрудника фирмы, владеющего конфиденциальной информацией.

Текущая работа с персоналом, обладающим конфиденциаль­ной информацией, включает в себя:

• обучение и систематическое инструктирование сотрудников;

• проведение регулярной воспитательной работы с персона­лом, работающим с конфиденциальными сведениями и до­кументами;

• постоянный контроль за выполнением персоналом требова­ний по защите конфиденциальной информации;

• контрольную работу по изучению степени осведомленности персонала в области конфиденциальных работ фирмы;

• проведение, служебных расследований по фактам утечки ин­формации и нарушений персоналом требований по защите информации;

• совершенствование методики текущей работы с персоналом.

Процесс обучения сотрудников фирмы правилам защиты инфор­мации должен быть постоянным, так как система защиты требует регулярного обновления и видоизменения. Занятия не должны пре­вращаться в редкие, необязательные и формальные собрания. Обучение сотрудника начинается с момента проведения собе­седования с ним при приеме на работу и подписания им обяза­тельства о неразглашении тайны и кончая моментом увольнения и подписания этим лицом обязательства о недопустимости ис­пользования конфиденциальных сведений в чьих-либо целях.

Обу­чение сотрудников может начинаться также с момента начала ра­боты коллектива над новой идеей, оцененной в качестве фирменного секрета, работы с использованием ноу-хау и т.п. Обычная периодичность обучения для работающих сотрудников один раз в 3—5 лет, как правило, после аттестации или перезаключения контракта.

Задачи обучения включают в себя изучение:

• характера и состава конфиденциальной информации;

• возможных угроз конфиденциальным сведениям, каналов их объективного распространения и каналов утраты, мето­дов работы злоумышленников;

• структуры системы защиты, требований и правил защиты конфиденциальной информации;

• порядка работы сотрудников с конфиденциальными сведе­ниями, документами и базами данных;

• действий персонала в конкретных экстремальных ситуациях.

Обучение сотрудников предполагает приобретение и поддержание на высоком уровне производственных навыков работы с конфиден­циальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой конфиденциальной информации.

Пер­сонал должен получить знания по оценке важности тех или иных сведений для упрочения престижа фирмы и ее финансовой стабиль­ности, а значит, и для благополучия каждого сотрудника. Методика обучения включает в себя:

• специализированные программы обучения для обеспечения лекционных курсов и практических занятий;

• проведение лекций, семинаров и собеседований как общеозна­комительного плана, так и по конкретным направлениям за­щиты; тестирование сотрудников;

• решение ситуационных задач, связанных с выполнением необходимых требований по защите конфиденциальной информации;

• практическую ситуационную учебу по действиям персонала в экстремальных ситуациях;

• проведение деловых игр, обучающих методам противодей­ствия замыслам злоумышленника.

Очень важно сделать процесс обучения индивидуализирован­ным. Он должен быть конкретизирован по должностному составу сотрудников, по типовым рабочим местам и часто — по отдель­ным сотрудникам.

В процессе обучения сотрудник должен полу­чить только те знания, которые ему необходимы для работы. Из­быточности знаний в области состава конфиденциальной инфор­мации и способов ее защиты не должно быть. Отдельно от осталь­ного персонала обучаются сотрудники службы безопасности, сек­ретарь-референт, сотрудники, работающие с особо ценными до­кументами, делами и изделиями.

Информация, сообщаемая в процессе обучения сотрудников, является строго конфиденциальной. Конспекты, записи сотруд­ники делают в специальных тетрадях, хранящихся в соответствии с общим порядком работы с конфиденциальными документами. По окончании обучения проводится проверка усвоения со­трудниками полученных знаний. Результаты проверки фиксиру­ются в протоколе комиссии, ведущей проверку.

Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Сотрудники, не прошедшие проверку зна­ний, от работы с конфиденциальной информацией отстраняются. Одновременно с обучением должны проводиться регулярные совещания-инструктажи с сотрудниками.

В процессе инструктажа:

• до сведения сотрудников доводятся изменения и дополне­ния, внесенные в действующие нормативно-методические документы по защите информации, приказы и указания ру­ководства фирмы в области защиты информации и инфор­мационной безопасности;

• сотрудники информируются о конкретных угрозах инфор­мации, о каналах утечки информации, действиях злоумыш­ленников, принятых дополнительных мерах по защите ин­формации;

• анализируются случаи нарушения правил защиты информа­ции сотрудниками, сообщается о фактах утраты секретов по вине сотрудников. Инструктаж, так же как и обучение, проводится индивидуально, информация, сообщаемая на инструктажах, разглашению не подлежит.

Совещания-инструктажи проводятся, как правило, по мере необходимости. Следовательно, обязательной и первостепенной частью теку­щей работы с персоналом должно стать обучение сотрудников правилам работы с конфиденциальной информацией, докумен­тами и базами данных.

Трудно говорить об эффективности рабо­ты с персоналом, если сотрудники не имеют достаточно твердых представлений о системе защиты конфиденциальной информа­ции, методах противодействия злоумышленникам. Обучение и инструктаж находится в тесной связи с процессом воспитания сотрудников, направленным на то, чтобы привить им устойчивые мотивационные стереотипы поведения в той или иной ситуации, связанной с обеспечением недоступности информации посторонним лицам, исключением возможности несанкционирован­ного доступа этих лиц к ценным и конфиденциальным сведениям. Воспитание — это процесс систематического и целенаправлен­ного воздействия на формирование и развитие личности в целях наиболее полного использования ее профессиональных способнос­тей, деловых, высоких моральных и иных положительных качеств для деятельности фирмы, повышения ее благополучия и конкурен­тоспособности.

Воздействие на личность осуществляется руковод­ством фирмы в процессе обучения и инструктажа сотрудников, коллективом фирмы в процессе решения совместных производствен­ных и иных задач и отдельными сотрудниками фирмы в нефор­мальной обстановке. Воспитательный процесс тесно связан с исследованием моти­ваций в поведении человека. Функция мотивации поведения, мыш­ления и действий персонала в различных ситуациях и жизненных обстоятельствах имеет существенное значение в управлении персо­налом, особенно если его деятельность связана с владением цен­ными и конфиденциальными сведениями.

Мотивация деятельности человека понимается как совокупность движущих сил, побуждающих человека к осуществлению определен­ных действий, Эти силы находятся вне или внутри человека и застав­ляют его осознанно или неосознанно совершать определенные по­ступки. В соответствии с этим текущая или профилактическая рабо­та с персоналом является обязательной составной частью предотвра­щения попыток отдельных сотрудников воспользоваться в личных целях ценной для фирмы информацией, нарушить требования обес­печения информационной безопасности фирмы. Каждый из сотруд­ников фирмы, работающий с закрытыми сведениями, документами и базами данных, должен находиться под постоянным наблюдением руководства и коллектива фирмы, оценивающих степень его лояльности по отношению к делам фирмы.

Со своей стороны фирма обязана обеспечить любому сотруднику необходимые условия труда и отдыха, постоянно заботиться о его благополучии, повышении квалификации и поддержании на высоком уровне интереса к выпол­няемым обязанностям и работам. Между руководством и сотрудника­ми не может быть глухой стены непонимания стоящих задач. Все дела фирмы должны быть важны для коллектива в целом и для каждого отдельного сотрудника. Достигается это сложным и длительным про­цессом индивидуального воспитания сотрудников на основах взаим­ного доверия, взаимопонимания и заботы. Руководители всех рангов несут персональную ответственность за качество этой работы.

В основе воспитательной работы с персоналом фирмы должны лежать не пустые словесные увещевания о необходимости хорошо работать и грядущем благополучии для всего персонала. Дально­видные руководители серьезных фирм под воспитательной рабо­той подразумевают прежде всего создание реально здорового пси­хологического климата в коллективе фирмы, позволяющего объе­динить осознанные усилия персонала на решение стоящих перед фирмой задач и преодоление возникающих трудностей. Здоровый психологический климат в коллективе фирмы создает трудно преодолимый барьер на пути любого злоумышленника, который пытается получить конфиденциальные сведения.

Для сотрудника фирмы часто важен не столько оклад, который он получает, сколько та доброжелательная обстановка, которая существует в коллективе, уверенность в том, что его уважают как специалиста, ценят его упорный труд и он может надеяться на продвижение по службе. При формировании здорового психологического климата реша­ются следующие задачи:

• создание действенной системы стимулирования труда, персо­нала;

• обеспечение долговременной работы в фирме каждого со­трудника;

• формирование отношения к сотрудникам как самостоятель­ным членам коллектива, участие персонала в выработке ре­шений:

• справедливое участие персонала в прибылях фирмы;

• реализация на практике гибкой, нетравмируемой системы увольнений; • расстановка кадров в соответствии с их способностями;

• главенство в отношениях руководства и сотрудников духа коллективизма. При хорошем психологическом климате сотрудники доброжела­тельно относятся к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пони­манием важности выполняют все требования этой системы.

Здоровый психологический климат должен включать в себя сле­дующие основные элементы: • постоянное изучение и анализ комплекса качеств каждого сотрудника фирмы, т.е. знание каждого сотрудника в от­дельности, а не абстрактная воспитательная работа с кол­лективом; • строгое выполнение пунктов и положений коллективного договора; • создание реальных условий для продвижения сотрудников по службе или повышение оклада с учетом их трудовых достижений, а не по иным причинам; • оплата фирмой обучения или переподготовки способных и цен­ных для фирмы сотрудников; • строгое выполнение администрацией норм по технике безопасности и охране труда, создание наилучших условий для работы сотрудников и их отдыха; • организация благоприятных условий для проведения отпус­ков и выходных дней сотрудников; • своевременное выявление неформальных лидеров в коллек­тиве, выдвижение их на руководящие должности или пере­вод в другие подразделения (при их отрицательном влиянии на коллектив — увольнение); • заинтересованное соучастие администрации фирмы в реше­нии сотрудниками своих личных и бытовых затруднений; • охрана персонала, гарантия юридической и физической за­щиты в случае попыток криминальных действий злоумыш­ленника по отношению к ним, их родственникам и близким людям.

Процесс обучения и воспитания сотрудников фирмы должен завершаться контролем работы персонала с конфиденциальной ин­формацией и документами. Важен контроль защиты ценной ин­формации от недобросовестных посягательств отдельных сотруд­ников. Превентивный контроль работы персонала предполагает прежде всего наличие в фирме строгого учета степени осведомленности каждого сотрудника в фирменных секретах. В данном случае учет создает информационную базу не только для облегчения конт­рольной функции, но и для аналитических исследований по обна­ружению каналов утраты защищаемой информации. Следует соблюдать правило, по которому в обычном принуди­тельном режиме регистрируются все лица, имеющие доступ к оп­ределенным документам, базам данных и носителям коммерческих секретов.

Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные дей­ствия персонала с документами и информацией, нарушения сис­темы доступа к информации и правил работы с конфиденциаль­ными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно пер­вому руководителю фирмы, Регулярный и своевременный учет состава конфиденциальной информации, известной каждому из сотрудников фирмы, является наиболее информативной частью контрольной работы.

Учитывают­ся любые контакты любого сотрудника с конфиденциальными све­дениями, в том числе санкционированные, а также случайное, несанкционированное ознакомление с информацией, к которой сотрудник не имеет доступа, в том числе несанкционированное ознакомление с конфиденциальной информацией сотрудников, вообще не имеющих доступа к подобной информации. Традиционная (карточная) или электронная учетная форма дол­жна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциаль­ной информации, полученной сотрудником, который должен соот­ветствовать выполняемым видам работы.

Целесообразно включить в учетную форму следующие зоны:

• зону штатных функциональных обязанностей сотрудника, при реализации которых используется конфиденциальная ин­формация (по утвержденной должностной инструкции);

• зону изменений и дополнений, внесенных в функциональ­ные обязанности сотрудника, с указанием документа-осно­вания, его даты и фамилии руководителя, подписавшего документ;

• зону стандартного состава конфиденциальных сведений и их индексов (по перечню конфиденциальной информации), к ко­торым допущен сотрудник в соответствии с должностной ин­струкцией (с указанием наименования документа о допуске, его даты, номера и фамилии руководителя, подписавшего до­кумент);

• зону изменений и дополнений в составе конфиденциальных сведений и их индексов по перечню, к которым допускается сотрудник в связи с пересмотром его должностных обязан­ностей (с указанием наименований и дат документов о до­пуске, фамилий руководителей, подписавших документы);

• зону документированной информации (документов), с кото­рой знакомится или работает сотрудник, с указанием наиме­нований документов, их дат и номеров, краткого содержания, целевого использования содержащихся в документах кон­фиденциальных сведений и их индексов по перечню, фами­лий руководителей, разрешивших работу с документами; • зону недокументированной конфиденциальной информации, которая стала известна сотруднику, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего озна­комление, состава конфиденциальных сведений и их индек­сов по перечню;

• зону обнаруженного несанкционированного ознакомления со­трудника с конфиденциальной информацией с указанием даты ознакомления, условий или причин ознакомления, фамилии виновного сотрудника, места ознакомления, состава конфи­денциальных сведений и их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информа­ции, т.е. ведется поиск несоответствия. Следовательно, главным фактором воспитания у сотрудников фирменной гордости, ответственного отношения к выполнению своих служебных обязанностей является прежде всего упорная работа руководства фирмы по формированию здорового психо­логического климата в коллективе. Работник, ответственно от­носящийся к своей работе и участвующий в делах и прибылях фирмы, как правило, также ответственно относится к сохране­нию конфиденциальности тех работ, которые ведет фирма, строго соблюдает требования информационной безопасности и защиты информации.

Основными формами контроля качества работы персонала, по­вышения ими своих профессиональных знаний, в том числе в части защиты информации, можно назвать следующие:

• аттестация сотрудников;

•отчеты руководителей подразделений о работе подразделе­ний и состоянии системы зашиты информации;

•регулярные проверки руководителем фирмы или службой, безопасности соблюдения сотрудниками требований по за­щите информации;

•самоконтроль сотрудников.

Аттестация сотрудников представляется одной из наиболее эф­фективных форм контроля их деятельности как в профессиональ­ной сфере, так и в сфере соблюдения информационной безопас­ности фирмы. Аттестация персонала — это коллективная форма оценки профессиональной пригодности сотрудника, его соответ­ствия занимаемой должности. Аттестация проводится периодически (ежеквартально, раз в год и иные сроки).

При проведении аттестации рассматриваются следующие ха­рактеристики сотрудника: трудовая дисциплина, исполнитель­ность, трудолюбие, ответственность, требовательность и принци­пиальность, организованность в работе, качество и эффектив­ность выполняемой работы, самостоятельность и инициатива, творческая деятельность, прогрессивность профессиональных ре­шений, профессиональный кругозор, умение общаться с людьми, организаторские способности, преданность делу фирмы. В части соблюдения сотрудником требований защиты информации рас­сматриваются такие характеристики, как знание нормативных и инструктивных документов по защите информации, умение приме­нять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными докумен­тами, умение общаться с посторонними лицами, не раскрывая секреты фирмы, и т.д.

На основе изучения этих характеристик формируется представление о каждом сотруднике, его деловых и человеческих качествах. По результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о поощ­рении, переаттестации, повышении в должности или увольнении сотрудников. Аттестационная комиссия может также выносить решение об отстранении сотрудника от работы с информацией и документами, составляющими тайну фирмы. Одна из форм контроля — заслушивание руководителей струк­турных подразделений и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований сотрудниками подразделений.

Одновременно на совещании принимаются реше­ния по фактам нарушения сотрудниками этой системы. Формой контроля являются также регулярные проверки вы­полнения сотрудниками (в том числе хорошо работающими) пра­вил работы с конфиденциальной информацией, документами и ба­зами данных. Проверки проводятся руководителями структурных подразделений и направлений деятельности фирмы, заместителями первого руководителя, работниками службы безопасности. Одно­временно с соблюдением сотрудником правил работы с конфи­денциальными документами проверяется наличие у этого сотруд­ника числящихся за ним документов, носителей информации, дел, магнитных носителей информации, электронных массивов информации, изделий и иных элементов, составляющих тайну фирмы.

Проверки могут быть плановыми, внеплановыми (внезапными), Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации. Самоконтроль сотрудников фирмы состоит в проверке самими руководителями и исполнителями полноты и правильности вы­полнения ими действующих инструктивных положений, а также в немедленном информировании непосредственного руководителя и службу безопасности о фактах утери документов, утрате по какой-либо причине ценной информации, разглашении лично или другими сотрудниками сведений, составляющих тайну фирмы, нарушении сотрудниками порядка защиты информации.

При работе с персоналом фирмы следует сосредоточивать вни­мание не только на сотрудниках, работающих с конфиденциаль­ной информацией. Под контролем должны находиться также лица, не имеющие доступа к тайне фирмы. Можно предполагать, что эти сотрудники могут быть посредниками в действиях злоумышлен­ника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т.п. Кроме того, нужно учитывать, что сотрудники фирмы, рабо­тающие с конфиденциальной информацией, вынуждены действо­вать в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности.

Ограничение свободы человека может приводить к стрессам, нервным срывам. Сохране­ние чего-то в тайне противоречит потребности человека в обще­нии путем обмена информацией. В связи с этим психологический настрой коллектива и отдельных сотрудников всегда должен нахо­диться в центре внимания руководства фирмы. В случае установления фактов невыполнения сотрудниками тре­бований по защите информации к ним должны в обязательном порядке и своевременно применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка: объяв­ление выговора, понижение в должности, лишение премии, отстра­нение от работы с конфиденциальной информацией, увольнение. Важно, чтобы наказание было неотвратимым и своевременным невзирая на должностной уровень сотрудника.

Следует учитывать, что ответственность за разглашение сведе­ний, составляющих тайну фирмы, в первую очередь несут руко­водители фирмы и ее структурных подразделений, направлений деятельности, филиалов, так как они полностью отвечают за разра­ботку и реализацию мер, обеспечивающих информационную безо­пасность всех видов деятельности фирмы. Факт утраты информации выявляется в основном посредством анализа публикаций, рекламы, выставочных и других материалов фирм-конкурентов. В этом случае анализируются карточки учета осведомленности сотрудников в тайне фирмы и выявляется круг сотрудников, владеющих утраченной информацией. Анализ ведется в рамках служебного расследования. Служебное расследование организуется по фактам разглашения или утечки информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации,

Расследование проводится специальной комиссией, формируемой приказом пер­вого руководителя фирмы. Расследование предназначено для выяс­нения причин, всех обстоятельств и их последствий, связанных с конкретным фактом установления круга виновных лиц, размера причиненного фирме ущерба. Все мероприятия обязательно доку­ментируются.

План проведения служебного расследования: • определение возможных версий случившегося (утрата, хищение, уничтожение по неосторожности, умышленная пе­редача сведений, неосторожное разглашение и т.д.); • определение (планирование) конкретных мероприятий по проверке версий (осмотр помещений, полистная проверка документации, опрос сотрудников, взятие письменного объяснения у подозреваемого лица и т.д.); • назначение ответственных лиц за проведение каждого ме­роприятия; • указание сроков проведения каждого мероприятия; • определение порядка документирования; • обобщение и анализ выполненных действий по всем ме­роприятиям; • установление причин утраты информации, виновных лиц, объема ущерба для фирмы; • передача материалов служебного расследования с заключи­тельными выводами первому руководителю фирмы для при­нятия решения. Служебное расследование проводится в кратчайшие сроки. В ходе служебного расследования обычно анализируются следующие виды документов: • письменные объяснения опрашиваемых лиц, составляемые в произвольной форме; • акты проверки документации и помещений, где указываются фамилии лиц, проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц и дата; • другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т.д.).

По результатам анализа составляется заключение о результатах проведенного служебного расследования, в котором подробно опи­сывается проведенная работа, указываются причины и условия слу­чившегося, определяются виновные лица, даются рекомендации по предотвращению в будущем подобных фактов. Вопрос о наказании - виновных лиц ставится только после завершения служебного рас­следования, мера наказания определяется лично первым руково­дителем фирмы. При подтверждении факта передачи сотрудни­ком информации постороннему лицу фирма должна обратиться в суд для вынесения решения

о возмещении материального ущерба от кражи информации. Следовательно, рекомендуемые направление и методы теку­щей работы с персоналом фирмы позволяют организовать эф­фективную систему заинтересованного участия сотрудников в обеспечении безопасности фирменных секретов, постоянного кон­троля за работой персонала с конфиденциальной информацией и своевременного выявления попыток злоумышленника завладеть интеллектуальной собственностью фирмы.

Дата добавления: 2014-01-07; Просмотров: 1516; Нарушение авторских прав?; Мы поможем в написании вашей работы!