Особенности работы с персоналом, владеющим конфиденциальной информацией)

Содержание:

ВВЕДЕНИЕ

Информационная безопасность понимается как защищённость информации на любых носителях от случайных и преднамеренных несанкционированных воздействий естественного и искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений.

В основе системы защиты информации лежит человеческий фактор, предполагающий преданность персонала интересам фирмы, и осознанное соблюдение им установленных правил защиты информации. Если отдельный сотрудник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информации и предотвратить ее разглашение.

В решении проблемы информационной безопасности значительное место занимает выбор эффективных методов работы с персоналом, обладающим конфиденциальной информацией. Персонал генерирует новые идеи, новшества, открытия и изобретения, которые ускоряют научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Поэтому любой сотрудник объективно заинтересован сохранять в тайне те новшества, которые повышают прибыли и престиж фирмы.

Несмотря на это персонал, к сожалению, является в то же время основным источником утраты ценной и конфиденциальной информации. Объясняется это тем, что с точки зрения психологических особенностей персонал - явление сложное, каждый из сотрудников всегда индивидуален, трудно предсказуем и мотивации его поведения часто противоречивы и не отвечают требованиям сложившейся жизненной ситуации. Это определяет особую значимость решения проблемы тщательного изучения персонала в структурах, связанных с необходимостью заботиться о сохранении в тайне тех или иных сведений, документов и баз данных. Трудности в работе с персоналом и сложности в подборе достойных во всех отношениях людей испытывает любая организация, которая использует в работе достаточные объёмы конфиденциальных сведений.

Цель работы – рассмотреть основные вопросы, возникающие при работе с персоналом, владеющим конфиденциальной информацией.

Объект исследования – персонал, владеющий конфиденциальной информацией.

Предмет исследования – методы работы с таким персоналом.

ГЛАВА 1. ПЕРСОНАЛ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Прежде чем приступать к конкретным мероприятиям по работе с персоналом, владеющим конфиденциальной информацией, требуется рассмотреть теоретические аспекты этой работы. Один из таких аспектов связан с выбором приоритетных групп для диагностики влияния их на принятие решений в сфере информационной безопасности и их роли в формировании корпоративной культуры безопасности. Эти группы можно дифференцировать следующим образом.

Руководители. Несомненно, руководители имеют прямое отношение к проблемам информационной безопасности. Руководители принимают стратегические решения о расширении информационной базы и о принятии на работу специалиста по информационной безопасности. Вследствие отсутствия знаний по данной проблеме многие руководители усугубляют проблемы, предполагая, что эксперт по безопасности, находясь в каком-нибудь отдалённом месте, сможет предотвратить, обнаружить или залатать бреши в защите на десятках ПК, рассеянных по всей организации. Нередко руководители, осмысливая только часть проблемы и давая команду о повсеместной установке определённого средства защиты, не только не решают проблемы, но и усложняют её решение.

Специалисты по информационной безопасности. Если организация невелика, то в ней нередко предпринимаются попытки совместить в одном лице обязанности менеджера по информационной безопасности и администратора сети. Это далеко не всегда приводит к успешной защите информационных интересов фирмы, т.к. объём профессиональных обязанностей данных специалистов различен. Администратор сети отвечает за функционирование сети, в том числе и за её безопасность (в технических и программных аспектах), тогда как менеджер по безопасности должен держать в поле зрения все участки информационной среды фирмы и предотвращать все угрозы её информационной безопасности (технические способы несанкционированного доступа – подслушивание, подключение, внедрение, похищение документов, шантаж и подкуп персонала, дезинформация и т.п.). Поэтому менеджер по безопасности должен владеть всем комплексом проблем информационной безопасности, уметь работать с людьми не в меньшей степени, чем с техническими средствами защиты. Цель специалиста по безопасности не в написании памяток или заявлений стратегического порядка, а в повышении безопасности информации.

Администраторы локальных сетей. Администраторы сети – это, как правило, технически грамотные молодые люди. Они достигли своего положения, благодаря своей кропотливой работе, умению быстро постигать и возможности покупать книги соответствующего содержания.

Администраторы сети сталкиваются с большим количеством проблем связанных с безопасностью сети. У них, как и у специалистов по информационной безопасности, возникает масса конфликтов с пользователями из-за ущемления прав пользователей. Менеджеры сети в большинстве случаев сталкиваются со следующими проблемами:

- отказ выполнять процедуры управления;

- отказ выполнять процедуры управления надлежащим образом;

- отказ исправлять известные изъяны системы;

- отказ следовать установленным процедурам эксплуатации;

- отказ в дисциплинарном наказании пользователей при нарушении ими информационной безопасности.

Пользователи. Самые типичные угрозы информационной безопасности исходят от «внутреннего врага». Чаще всего компьютеры становятся жертвой небрежного пользователя. Но угроза информационной безопасности исходят не только от небрежного пользователя. Очень компетентные и аккуратные пользователи так же представляют угрозу. Они могут подобрать для работы сложное программное обеспечение, которое с трудом будут использовать другие, списать из сети и установить файл, содержащий вирус.

Пользователей больше волнуют их личные перспективы, а не нужды организации, в связи с этим от них исходит потенциальная угроза информационной безопасности. Особое место занимает группа недовольных обозлённых пользователей. Люди, которые вредят изнутри, наиболее хрупкое место информационной безопасности, поскольку это те люди, которым доверяют.

Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользователь, пользователь, опытный пользователь, пользователь-специалист. Критерием здесь выступает опыт самостоятельного, успешного использования ИТ.

Начинающим пользователем считается человек, который хотя бы раз в жизни работал на компьютере. Умение совершать элементарные действия (включить-выключить ПК и т.п.), разбираться во всех базовых (пользовательских) операциях – также уровень начинающего пользователя.

Следующий уровень квалификации – пользователь, который характеризуется уверенным владением программным обеспечением общего назначения (Word, Excel и т. д.).

Опытными пользователями считаются сотрудники, способные реализовать все возможности ИТ на своём участке работы. Для таких пользователей и создаются многофункциональные сложные программы. Они способны сами решить, какое программное обеспечение оптимально решит их задачи, могут самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в ПО инструментов.

Иногда квалификация пользователя в отдельных аспектах ИТ достигает специального уровня. Такой пользователь-специалист может осуществлять отдельные функции системного администратора или специалиста по технической поддержке. Например, может сам подобрать себе конфигурацию ПК, обслуживать своё автоматизированное рабочее место (АРМ), осуществлять несложный ремонт оргтехники, настраивать отдельные виды ПО.

Одна из наиболее серьёзных угроз информационной безопасности - так называемые «ламеры» (от английского глагола to lame - калечить), оно обозначает пользователя, необоснованно считающего себя специалистом и пытающегося выполнять соответствующие функции, допуская грубейшие ошибки, порой выводя из строя ИС. Выражение активно используется специалистами по ИТ, его важно правильно понимать, но категорически не рекомендуется использовать применительно к сотрудникам, так как в субкультуре продвинутых пользователей и специалистов по ИТ «ламер» - тяжкое оскорбление.

Отмечено, что причина утечки информации чаще всего происходит в результате небрежности первых лиц организации. Например, в частных фирмах более 75 % ответственных сотрудников, принимая посетителей, не считают необходимым убирать конфиденциальные документы со стола или же выключать компьютер. Это часто приводит к потере значительной части оперативной информации.

По данным опросов, 75 % руководителей крупных предприятий хорошо знают об увеличении возможности утечки информации при использовании современных множительных средств типа ксерокса. Тем не менее, копирование материала в 53,6 % случаев происходит в режиме самообслуживания, в -32,7 % - оператором по устной просьбе служащего и только в 3,5 % случаев оператор делает копии под расписку или по письменному заказу.

Руководители компаний, несмотря на хорошую осведомлённость о рисках, которым подвергается информационная безопасность со стороны поставщиков ИТ-услуг и сотрудников их организаций, не предпринимают адекватных мер.

Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:

• проведение усложнённых аналитических процедур при приёме и увольнении сотрудников;

• документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;

• Инструктирование и обучение сотрудников практическим действиям по защите информации;

• контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений.

Сложности в работе с персоналом определяются:

• большой ценой решения о допуске лица к тайне предприятия;

• наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);

• разбиением тайны на отдельные элементы, каждый из которых известен определённым сотрудникам в соответствии с направлением их деятельности.

Персонал является основным и самым трудно контролируемым источником ценной и конфиденциальной информации.

Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:

• всех сотрудников данной фирмы, ее персонал;

• сотрудников других фирм - посредников, изготовителей комплектующих деталей, торговых фирм, рекламных агентств и т.п.);

• сотрудников государственных учреждений, к которым фирма обращается в соответствии с законом - налоговых и иных инспекций, муниципальных органов, правоохранительных органов и т.д.;

• журналистов средств массовой информации, сотрудничающих с фирмой;

• посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;

• посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;

• родственников, знакомых и друзей всех указанных выше лиц. Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.

Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации.

Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомлённым и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения. Причём овладение требуемой информацией происходит в значительном числе случаев в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств.

ГЛАВА 2. ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛОМ

2.1. Приём на работу сотрудников, владеющих конфиденциальной информацией

Процессу приёма сотрудника на работу предшествует ряд подготовительных этапов, которые позволяют составить точное представление о том, какой специалист и какой квалификации действительно нужен для данной должности, какими деловыми, моральными и личными качествами он должен обладать. Особенно это касается должностей, связанных с владением конфиденциальной информацией. Можно выделить следующие этапы:

• предварительно сформулировать, какие функции должен выполнять сотрудник, каков круг его ответственности, какие качества, знания и уровень квалификации необходимо иметь претенденту;

• составить перечень ценных и конфиденциальных сведений, с которыми будет работать специалист;

• составить перечень форм поощрения и стимулирования, которые может получать сотрудник;

• составить другие перечни вопросов, которые необходимо будет решать специалисту, перечни его личных качеств, возрастных, профессиональных и иных характеристик;

• составить описание должности – документ, аналогичный по структуре должностной инструкции, который определяет требования к кандидату на должность (но этот документ – вспомогательный).

Выполнение указанных этапов облегчит процедуру подбора кандидатов и сделает отбор их более обоснованным и объективным. Кандидаты предварительно знакомятся с указанными выше документами, что делает собеседование с ними более целенаправленным и конкретным. Кроме того, ознакомившись с документами, кандидат может отказаться от предлагаемой работы. Описание вакантной должности имеет для работодателя примерно такое же значение, как и резюме для кандидата.

Поиск кандидата на вновь создаваемую или вакантную должность в фирме не должен носить бессистемный характер. Случайный человек, пришедший с улицы, в определённой степени таит опасность для фирмы как с точки зрения его профессиональной пригодности, так и личных, моральных качеств. Особую опасность подобный метод подбора представляет для должностей, связанных с владением конфиденциальной информацией или материальными ценностями. Случайные претенденты на должность обычно рассылают или разносят по предприятиям, учреждениям и фирмам своё резюме. Им не важно, где работать, их просто интересует работа по данной специальности.

С другой стороны, случайный человек не всегда плох и поэтому данный метод при подборе персонала является наиболее распространённым и объективно завоевал право на существование. Но дело в том, что он не должен быть единственным.

Помимо пассивного ожидания прихода нужного человека, существует ряд эффективных направлений активного поиска кандидатов на вакантную должность или рабочее место. К числу основных направлений можно отнести следующие:

1. Поиск, кандидатов внутри фирмы, особенно если речь идёт о руководителе или специалисте высокого уровня. Этот метод даёт возможность продвигать перспективных работников по служебной лестнице и заинтересовывать их работой, воспитывать преданность делам фирмы. Можно приглашать на должность лицо, ранее работавшее в фирме и хорошо себя зарекомендовавшее.

Перераспределение персонала в соответствии с его склонностями и способностями всегда даёт большой положительный эффект в улучшении работы фирмы и обеспечении её информационной безопасности. Но надо учитывать, что поддерживается коллективом только такое продвижение по службе, которое определяется высокими деловыми качествами работника. Не может получить одобрения персонала выдвижение плохого работника, в частности по принципу личных связей или знакомства.

Большим преимуществом этого метода является то, что о кандидате достаточно много известно всему коллективу и судить о профессиональных, моральных и личных качествах, соответствии предлагаемой должности можно на основании достаточно обширного опыта.

Метод имеет недостаток, который состоит в том, что без притока новых людей коллектив теряет свои новаторские качества. Новые люди – это новые идеи, предложения и перспективы развития. Тем не менее этот метод является наилучшим и наиболее надёжным при подборе кандидата на должность, связанную с владением ценной и конфиденциальной информацией.

2. Поиск кандидатов среди студентов и выпускников учебных заведений, установление связей с подразделениями вузов, занятыми трудоустройством выпускников. Можно иметь достаточно полную информацию о профессиональных и личных качествах студентов. Очень эффективно вести поиск (даже на средних курсах) наиболее способных студентов, привлекать их в процессе учёбы к работе в организации, отплачивать их труд и, может быть, финансировать обучение в вузе, платить стипендию. Коллектив фирмы должен регулярно омолаживаться. Это лекарство от застоя идей, путь к успеху.

3. Обращение в государственные и частные бюро, агентства по найму рабочей силы, биржи труда, организации по трудоустройству лиц, уволенных по сокращению штатов, трудоустройству молодёжи, бывших военнослужащих и т.п. Подобные агентства предлагают требуемый контингент работников на имеющиеся рабочие места, ведут целенаправленный поиск необходимого специалиста высокой квалификации, организуют переподготовку специалистов по индивидуальным заказам.

При обращении в агентство необходимо составить перечень служебных обязанностей и требований к нужному работнику, без указания конфиденциальных сведений, с которыми будет связана работа.

4. Рекомендации работающих в фирме сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, так как с рекомендуемыми людьми сотрудникам придётся работать вместе.

Указанные направления поиска кандидатов на должности, связанные с владением конфиденциальной информацией, как правило, позволяют выбрать необходимых работников из ряда лиц, изъявивших желание занять вакантную должность.

Технологическая цепочка приёма сотрудников, работа которых связана с владением ценной и (или) конфиденциальной информацией, включает следующие процедуры:

• подбор предполагаемого кандидата (кандидатов) для приёма на работу или перевода, получение резюме;

• изучение резюме (и личного дела, если кандидат работает на фирме) руководством фирмы, структурного подразделения и службой персонала, вызов для беседы подходящих кандидатов;

• информирование кандидатов, работающих в фирме, об их будущих должностных обязанностях, связанных с владением тайной фирмы;

• знакомство (предварительное собеседование) руководства фирмы, структурного подразделения и службы персонала с кандидатами, не работающими в фирме; беседа с ними, уточнение отдельных положений резюме; ответы на вопросы о будущей работе; изучение полученных от кандидата рекомендательных писем;

• заполнение кандидатами, не работающими в фирме, и представление в отдел кадров заявления о приёме, автобиографии, личного листка по учёту кадров (с цветной фотокарточкой), копий документов об образовании, наличии учёных степей, учёных и почётных званий, передача в отдел кадров рекомендательных писем и при наличии характеристик;

• обновление материалов личного дела работающего в фирме сотрудника; получение представления о переводе на новую должность от руководителя структурного подразделения;

• собеседование кандидатов с работником отдела кадров по представленным документам, при необходимости подтверждение тех или иных сведений представлением дополнительных документов;

• опрос сотрудником отдела кадров авторитетных для фирмы лиц, лично знающих кандидата на должность, протоколирование опроса;

• собеседование экспертов с кандидатами с целью определения их личных и моральных качеств, а для неработающих в фирме сотрудников дополнительно - профессиональных способностей; рассмотрение медицинской справки;

• при необходимости – тестирование и анкетирование кандидатов;

• по совокупности собранных материалов и их анализа принятие решения руководством фирмы об отборе единственного претендента и возможности предложить ему работу, связанную с владением тайной фирмы;

• заключительное собеседование с претендентом на должность, получение от него принципиального согласия на работу с конфиденциальной информацией;

• в случае согласия – подписание претендентом обязательства о неразглашении тайны фирмы, в частности, сообщаемых ему конфиденциальных сведений; информирование претендента о характере конфиденциальной информации, с которой он будет работать, наличии системы защиты этой информации и тех ограничениях, которые придётся учитывать работнику в служебной и неслужебной обстановке;

• беседа-инструктаж руководителя структурного подразделения, руководителя службы безопасности и сотрудника службы персонала с претендентом на должность; ознакомление претендента с должностной инструкцией, рабочими технологическими инструкциями, инструкцией по обеспечению информационной безопасности фирмы и другими аналогичными материалами;

• составление проекта контракта, содержащего пункт об обязанности работника не разглашать конфиденциальные сведения фирмы;

• подписание контракта о временной работе без права доступа к конфиденциальной информации;

• составление и подписание приказа о приёме на работу с испытательным сроком (или на временную работу);

• заведение личного дела на вновь принятого сотрудника;

• заполнение на сотрудника необходимых учётных форм;

• внесение фамилии сотрудника в первичные учётные бухгалтерские документы;

• внесение соответствующей записи в трудовую книжку сотрудника;

• изучение личных, моральных и профессиональных качеств сотрудника в течение испытательного срока;

• обучение сотрудника правилам работы с конфиденциальной информацией и документами, инструктажи, проверка знаний;

• анализ результатов работы сотрудника в течение испытательного срока, составление нового контракта о длительной работе и издание соответствующего приказа или отказ сотрудника в работе;

• оформление допуска сотрудника к конфиденциальной информации и документам.

Предоставленный комплект документов, из которых в дальнейшем будет сформировано личное дело сотрудника, является предметом тщательного изучения руководителями фирмы, структурного подразделения, коллегиального органа управления и службы персонала при решении вопроса о назначении данного лица на должность.

Изучение документов не должно носить формально-бюрократический характер и быть единственным критерием в решении вопроса о назначении данного лица на должность. Изучение документов следует сочетать с объективным анализом нескольких личностей, претендующих на должность, сопоставлением результатов собеседований, тестирования, опросов и т.п. Все это в совокупности позволит на конкурсной или неконкурсной основе правильно провести отбор именно того претендента на должность, который более всего отвечает составленным ранее требованиям.

Предоставленные кандидатом персональные документы тщательно проверяются на достоверность: соответствие фамилий, имён и отчеств, других персональных данных, наличие необходимых отметок и записей, идентичность фотокарточки и личности гражданина (на фотографии очки, парик – только при постоянной носке), соответствие формы бланка годам их использования, отсутствие незаверенных подчисток, исправлений, попыток замены листов, фотографий, соответствие и качество печатей и т.п. При каких-то сомнениях кандидата просят представить дубликаты испорченных документов, заверить исправления. Сведения, включённые в характеристики, рекомендательные письма, списки научных трудов и изобретений, выданные и заверенные другими учреждениями, могут быть проверены путём обращения в эти учреждения. Документы, явно недостоверные, могут быть возвращены гражданину, и одновременно ему отказывается в рассмотрении вопроса о приёме на работу без объяснения причины отказа. Сведения, указываемые в резюме, не проверяются.

Заявление о назначении (переводе) на должность, личный листок по учёту кадров, автобиография пишутся или заполняются гражданином собственноручно, без использования пишущей машинки или принтера.

Все записи, сделанные в личном листке по учёту кадров, и текст автобиографии сравниваются сотрудником отдела кадров с персональными документами. Неподтверждённые записи, на которых настаивает гражданин, дополняются записью сотрудника отдела кадров «со слов гражданина». Исправления в указанных документах не допускаются.

Копии с аттестатов, дипломов, свидетельств, грамот и т.п., которые приобщаются к документам для решения вопроса о приёме на работу, снимаются с помощью копировальной техники в отделе кадров и заверяются сотрудником отдела. Копии, принесённые гражданином, внимательно сличаются с подлинником и также заверяются этим сотрудником. Нотариального заверения копий не требуется. Запрещается заверение копий с копии.

Паспорт, военный билет, дипломы, аттестаты и другие подобные персональные документы после работы с ними сотрудника отдела кадров возвращаются гражданину (кроме трудовой книжки).

При подборе персонала для работы с ценной или конфиденциальной информацией следует в первую очередь обращать внимание на личные и моральные качества кандидатов на должность, их порядочность и лишь затем - на их профессиональные знания, умения и навыки.

Важно уже на первых этапах отбора исключить те кандидатуры, которые по формальным признакам явно не соответствуют требованиям, предъявляемым к будущему сотруднику.

Собеседования с кандидатами на должность преследуют следующие цели:

• выявить реальную причину желания работать в данной фирме;

• выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут провоцировать преступные действия;

• убедиться, что кандидат не намерен использовать в работе секреты фирмы, в которой он раньше работал;

• убедиться в добровольном согласии кандидата соблюдать правила защиты информации и иметь определённые ограничения в профессиональной и личной жизни. Вопросники для собеседования составляются таким образом, чтобы выяснить:

• причины увольнения кандидата с прежнего места работы;

• источник информации о вакансии в данной фирме - кто подсказал, кто рекомендовал и т.п.;

• работал ли кандидат ранее с конфиденциальной информацией, подписывал ли обязательство о ее неразглашении;

• возникшие сомнения, появившиеся в связи с изучением документов кандидата;

• отношения в семье, уровень благосостояния кандидата, жилищные условия, культурный уровень и т.п.

Ответы кандидата фиксируются, и те из них, которые вызвали сомнения, уточняются путём опроса знающих кандидата лиц, путём тестирования и другими способами (если это необходимо).

При приёме на работу, связанную с информацией особой предпринимательской важности, для сбора полных сведений о кандидате могут привлекаться работники частных детективных агентств.

Одной из главных задач собеседования и тестирования является выявление несоответствия мотиваций в различных логических группах вопросов. Например: несоответствие - хочет получать большую зарплату, но раньше он получал столько же, работал близко oт дома, а хочет работать в фирме, находящейся на значительном расстоянии, и т.п.

С точки зрения безопасности психологический отбор преследует следующие цели:

• выявление имевших ранее место судимостей, преступных связей, криминальных наклонностей;

• определение возможных преступных склонностей, предрасположенности кандидата к совершению противоправных действий, дерзких и необдуманных поступков в случае формирования в его окружении определённых обстоятельств;

• установление факторов, свидетельствующих о морально-психологической ненадёжности, неустойчивости, уязвимости кандидата и т.д.

По мнению многих специалистов-психологов, основные личные качества, которыми должен обладать потенциальный сотрудник, включают:

• порядочность, честность, принципиальность и добросовестность;

• исполнительность, дисциплинированность;

• эмоциональная устойчивость (самообладание);

• стремление к успеху и порядку в работе;

• самоконтроль в поступках и действиях;

• правильная самооценка собственных возможностей и способностей;

• умеренная склонность к риску;

• умение хранить секреты;

• тренированное внимание;

• хорошая память, способности к сравнительной оценке фактов и т.д. Личные качества, не способствующие сохранению секретов:

• эмоциональная неуравновешенность;

• разочарование в себе и своих способностях;

• отчуждение от коллег по работе;

• недовольство своим служебным положением;

• ущемлённое самолюбие;

• крайне эгоистическое поведение;

• отсутствие достаточного благоразумия;

• нежелание и неспособность защищать информацию;

• нечестность;

• финансовая безответственность;

• употребление наркотиков;

• отрицательное воздействие алкоголя, приводящее к болтливости, необдуманным поступкам и т.д.

Не следует думать, что психологический отбор полностью заменяет прежние, достаточно надёжные кадровые процедуры (анализ документов, собеседование, опросы сослуживцев и лиц, знающих кандидата, оперативная проверка в правоохранительных органах и т.д.). Только при умелом сочетании традиционных и психологических кадровых методов анализа можно с определённой степенью достоверности прогнозировать поведение сотрудников в различных, в том числе экстремальных, ситуациях.

Обычно отобранным для работы считается кандидат, у которого результаты анализа документов, собеседований, проверок, тестов и психологического изучения не противоречат друг другу, и не содержат данных, которые препятствовали бы приёму на работу.

Материалы проверок и анализа кандидатов на должность (в том числе вопросники и протоколы собеседований, заполненные тесты, а также используемые виды тестов и «ключи» к тестам, тестовые нормы, инструкции по проведению и интерпретации и другие подобные материалы) являются строго конфиденциальной информацией.

Обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений.

Обязательство (подписка, соглашение) о неразглашении конфиденциальных сведений представляет собой правовой документ, которым претендент добровольно и письменно даёт согласие на ограничение его прав в отношении использования конфиденциальной информации. Одновременно в обязательстве претендент предупреждается об ответственности за разглашение этой информации.

Текст обязательства может заканчиваться фразой об ознакомлении лица с его содержанием и добровольном согласии выполнять все пункты.

Многие американские фирмы включают в соглашение (обязательство) следующие пункты:

• детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;

• краткое изложение порядка охраны конфиденциальных сведений;

• изложение мер, которые должен принимать сам работник для обеспечения сохранности этих сведений;

• перечень административных наказаний, которым может быть подвергнут работник, разгласивший сведения, составляющие тайну фирмы (увольнение, понижение в должности, перевод на другую работу и т.п.).

Хорошо, если обязательство содержит пункт о том, что сотрудник не будет использовать в своей деятельности информацию, принадлежащую на правах собственности фирме, в которой он ранее работал. Подобные обязательства подписывают не только претенденты на работу в данной фирме, но и все лица, тем или иным образом участвующие в работе фирмы и потенциально имеющие возможность узнать элементы тайны фирмы, например акционеры, поставщики, сотрудники работающих с фирмой рекламных и торговых структур, эксперты и т.п. Подписание обязательства о неразглашении тайны фирмы следует предусмотреть для служащих фирмы, которые не имеют непосредственного отношения к закрытым сведениям, однако имеют возможность ознакомиться с ними при исполнении служебных обязанностей (водители, дворники, уборщицы, сотрудники охраны и др.).

Считается, что обязательство о неразглашении тайны фирмы не даёт полной гарантии сохранения этих сведений, однако, как показывает практика, существенно снижают риск разглашения персоналом или иными лицами этих сведений, риск незаконного их использования, а также число попыток конкурентов внедрить на фирму свою агентуру.

После подписания обязательства и проведения беседы-инструктажа с претендентом заключается трудовой договор (контракт). В контракте должен быть пункт об обязанности работника не разглашать сведения, составляющие тайну фирмы, а также конфиденциальные сведения партнеров и клиентов, об обязательстве соблюдать правила защиты конфиденциальных сведений. Может быть пункт о собственности фирмы на результаты работы сотрудника, на сделанные им изобретения и открытия и согласие сотрудника на публикацию этих достижений только с разрешения руководства фирмы. Часто содержится пункт об обязанности сотрудника сообщать в службу безопасности о всех попытках посторонних лиц получить у него конфиденциальную информацию. В обязательном порядке включается пункт об обязанности сотрудника немедленно сообщать непосредственному руководителю и службе безопасности об утере носителей конфиденциальной информации, документов, дел, конфиденциальных материалов, изделий и т.п.

В заключительной части указывается степень ответственности за разглашение тайны фирмы или несоблюдение правил защиты информации. Обычно это расторжение трудового договора, при необходимости - последующее судебное разбирательство.

Отличительной особенностью индивидуальных трудовых соглашений от трудовых договоров (контрактов) в части сохранения коммерческой тайны является то, что в трудовых соглашениях должны быть указаны конкретные сведения, составляющие предпринимательскую тайну фирмы и доверенные сотруднику в связи с выполнением им работы, а также конкретные меры со стороны сотрудника по обеспечению сохранения этих сведений.

После подписания приказа о приёме на работу в отделе кадров формируется личное дело сотрудника, включающее стандартный набор документов.

Материалы, связанные с профессиональным и психологическим анализом данного работника (протоколы собеседований, тесты, протоколы бесед и опросов и т.п.) подшиваются в дело кадровой службы «Материалы по приёму сотрудников на работу», но не в личное дело сотрудника. Дело с материалами имеет гриф конфиденциальности «Строго конфиденциально».

Вести какие-либо досье на сотрудников, содержащие сведения, полученные неофициальным путём, запрещается.

После получения допуска к конфиденциальной информации сотрудник в индивидуальном порядке должен быть обучен правилам работы с документами, базами данных, которые будут ему предоставлены. Результат обучения фиксируется в обязательстве или контракте. Отметка заверяется подписями руководителя службы безопасности и сотрудника.

Следовательно, усложнённые процедуры приёма на работу, связанную с владением конфиденциальной информацией, и проверки достоверности сведений, указанных в документах, дают возможность всесторонне оценить кандидата на должность. С другой стороны, они дают возможность руководству фирмы и самому кандидату оценить ситуацию и без спешки принять правильное решение. Методы психологического анализа, проводимые одновременно с хорошо зарекомендовавшими себя приёмами анализа документов претендента на должность, позволяют сделать достаточно обоснованные выводы о пригодности данного лица для замещения вакантной должности, связанной с владением конфиденциальной информацией. Следует учитывать, что использование только психологических методов анализа личности не даёт достоверного результата и может иметь лишь рекомендательный характер.

2.2. Организация доступа к конфиденциальным сведениям

Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых фирмой работ. Важно чётко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Режим представляет собой совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определённую территорию, в помещения, к информации и документам. Любой режим базируется на так называемой разрешительной системе. Разрешительная система в общем виде предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий, например на въезд в пограничную зону, на посещение воинской части и т.п.

Разрешительная (разграничительная) система доступа в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Принципы построения разрешительной системы доступа:

• надёжность, т.е. относительное исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях;

• полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;

• конкретность, т.е. исключение двоякого толкования и однозначность решения о доступе;

• производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

• определённость состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к конфиденциальным сведениям, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;

• строгая регламентация порядка работы всех категорий сотрудников фирмы с информацией, документами и базами данных. Разрешительная система решает следующие задачи:

• ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами;

• строгого избирательного и обоснованного распределения документов и информации между сотрудниками;

• обеспечения сотрудника всем необходимым для реализации своих служебных функций (документами, делами, базами данных, информацией, техническими средствами и т.д.);

• беспрепятственного прохода сотрудника в здание фирмы, в конкретное рабочее помещение (режимную зону), к выделенному ему офисному рабочему оборудованию и компьютеру;

• исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

• рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации (коллективный контроль за работой сотрудников). Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Под допуском понимается процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям (информации) ограниченного распространения и одновременно правовой акт согласия (разрешения) собственника (владельца) информации на передачу ее для работы конкретному лицу.

Оформление допуска, т.е. согласия лица на определённые ограничения в использовании информации, всегда носит добровольный характер. Наличие допуска предоставляет сотруднику формальное право работать со строго определённым кругом конфиденциальных документов, баз данных и отдельных сведений.

Как отмечалось выше, к конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определённое время и зарекомендовавшие себя с положительной стороны.

В предпринимательских структурах разрешение на допуск даёт первый руководитель фирмы. Разрешение оформляется соответствующим пунктом в контракте (трудовом договоре). Допуск может оформляться приказом первого руководителя с указанием типового состава сведений, с которыми разрешается работать данному сотруднику или группе сотрудников. Допуск может носить временный характер на период выполнения определённой работы и пересматриваться при изменении профиля работы сотрудника.

Законодательством США предусмотрено, что никто не имеет права иметь допуск к засекреченной информации лишь благодаря своему чину или положению. Конечной инстанцией, решающей вопрос о необходимости допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль.

Доступ – практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определённым составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом (первым руководителем, его заместителем, руководителем подразделения, службы или направления деятельности) в отношении конкретной информации и конкретного сотрудника. Право на выдачу такого разрешения строго регламентируется.

Разрешение (санкция) на доступ к конкретной информации может быть дано при соблюдении следующих условий:

• наличие подписанного приказа первого руководителя о приёме на работу (переводе, временном замещении, изменении должностных обязанностей и т.п.) или назначении на должность, в функциональную структуру которой входит работа

• с данной, конкретной информацией;

• наличие подписанного сторонами трудового договора (контракта)» имеющего пункт о сохранении тайны фирмы и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

• соответствие функциональных обязанностей сотрудника передаваемым ему документам и информации;

• знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны фирмы;

• наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

• наличие систем контроля за работой сотрудника.

Особенность информационного обслуживания потребителей конфиденциальной информации заключается в том, что вопросы определения состава необходимой им информации решаются полномочным руководителем, а не самими потребителями. Существует общее, обязательное правило: исполнители, которым документ не адресован руководителем, не только не имеют права доступа к нему, но и не должны знать о существовании такого документа и исходных данных о нем.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем уже круг допущенных лиц», «чем выше ценность сведений, тем меньшее число сотрудников может их знать». В фирме может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. Такая схема разрабатывается с учётом двух аспектов: а) выдача разрешений в зависимости от категорий документов и б) выдача разрешений в зависимости от занимаемой должности. Графы схемы: категории документов, должностные лица, дающие разрешение, категории исполнителей, кому даётся разрешение. В схеме отражаются также категории документов, с которыми знакомятся определённые категории исполнителей без специального разрешения.

Может составляться матрица полномочий, в которой по горизонтали - наименования категорий документов, по вертикали - фамилии или должности сотрудников.

Всю конфиденциальную информацию фирмы может знать только первый руководитель фирмы. Конфиденциальную информацию по конкретной работе в полном объёме вправе получать лишь соответствующий заместитель первого руководителя, руководители структурных подразделений или направлений деятельности по специальному перечню, утверждённому первым руководителем.

Необходимо добиваться минимизации для персонала привилегий по доступу к информации. При сбое в системе защиты информации или обнаружении факта утраты информации должно мгновенно вводиться ограничение на доступ или прекращение доступа к любой конфиденциальной информации до окончания служебного расследования.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях.

Это даёт возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Например, желательно, чтобы целиком идею, формулу, конструкцию не знал никто, каждый знал бы лишь свою незначительную часть. Дробление информации также не позволяет конкурентам использовать ее за счёт приёма на работу уволенного из фирмы сотрудника.

При составлении конфиденциального документа следует учитывать, что его содержание не только определяет функциональное назначение документа, но и лежит в основе разрешительной процедуры доступа персонала к данному документу. Поэтому документ необходимо посвящать только одной тематической группе вопросов, предназначенной, по возможности, одному конкретному исполнителю или структурному подразделению.

В соответствии с иерархической последовательностью доступа определяется структура рубежей защиты информации, которая предусматривает постепенное ужесточение защитных мер по иерархической вертикали возрастания уровня конфиденциальности сведений.

Этим обеспечивается недоступность этих сведений для случайных людей, злоумышленника и определяется необходимый уровень защищённости информации.

Разрешение на доступ к конфиденциальным сведениям строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с конфиденциальными документами, несут персональную ответственность за сохранение в тайне их содержания, сохранность носителя и соблюдение установленных правил работы с документами.

Руководитель фирмы имеет право давать разрешение на ознакомление со всеми видами конфиденциальных документов фирмы и всем категориям исполнителей и другим лицам. Однако целесообразно, чтобы первый руководитель оставлял за собой право распоряжаться только наиболее ценной информацией, делегируя право выдачи разрешений на доступ к другой информации нижестоящим руководителям. Следует иметь в виду, что чрезмерная централизация в выдаче разрешений на доступ к конфиденциальной информации неизбежно ведёт к снижению оперативности в решении производственных вопросов. Излишняя децентрализация и либерализация создаёт условия для утраты ценных сведений.

Заместители первого руководителя по функциональным сферам (по науке, производственным вопросам, сбыту и др.) имеют право давать разрешение на ознакомление с конфиденциальными сведениями всем нижестоящим руководителям и исполнителям, но в пределах своей компетенции.

Руководителям структурных подразделений даётся право разрешать доступ к конфиденциальным сведения всем работникам своих подразделений по тематике их работы. Руководитель подразделения может давать разрешение только непосредственно подчинённым ему сотрудникам. Для осуществления доступа к документам данного подразделения работника другого подразделения необходимо разрешение соответствующего заместителя руководителя фирмы.

Ответственные исполнители работ (направлений деятельности) имею право давать разрешение на доступ к конфиденциальной информации подчинённым им исполнителям и в пределах их компетенции. В небольших фирмах разрешение на доступ даёт только первый руководитель.

Представителям государственных органов разрешение на доступ к конфиденциальным сведениям даёт только первый руководитель фирмы. При необходимости доступа к конфиденциальным сведения представителей других фирм и предприятий руководствуются теми обязательствами, которые были закреплены в соответствующем договоре (контракте) на выполнение работ или услуг. Это касается как документированной информации, так и информации устной, визуальной и любой другой. В этом случае разрешение на доступ даёт должностное лицо фирмы, включённое в специальный перечень, прилагаемый к договору и утверждённый первым руководителем.

Руководитель фирмы, вне зависимости от формы ее собственности, может устанавливать иные специальные или дополнительные правила доступа к конфиденциальным сведениям, документам, базам данных и носителям информации, конфиденциальным изделиям и продукции фирмы. Он несёт за это единоличную ответственность.

Разрешение на доступ к конфиденциальной информации всегда даётся полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утверждённым руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.п.

Без дополнительного разрешения допускаются к документам: их исполнители (если они продолжают работать по той же тематике) и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов. Если сотрудник допускается только к части документа, то в разрешении (резолюции) четко указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться. Сотрудник службы конфиденциальной документации (КД) обязан принять необходимые меры по исключению возможности ознакомления исполнителя с другими частями документа.

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешён доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу - в помещении фирмы.

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определённым документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:

• доступ к персональному компьютеру, серверу или рабочей станции;

• доступ к машинным носителям информации, хранящимся вне ЭВМ;

• непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

• определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

• регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

• организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

• организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

• организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

• организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стёрты с жёсткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стёртую конфиденциальную информацию на жёстком диске (произвести «уборку мусора»).

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

• организацию учёта и выдачи сотрудникам чистых машинных носителей информации;

• организацию ежедневной фиксируемой выдачи сотрудникам и приёма от сотрудников носителей с записанной информацией (основных и резервных);

• определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтённые машинные носители информации;

• организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учёта динамики изменения состава записанной информации;

• организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

• организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;

• определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник – злоумышленник, то можно считать, что самые серьёзные рубежи защиты охраняемой электронной информации он успешно прошёл. В конечном счёте он может просто унести компьютер или вынуть из него и унести жёсткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:

• определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определёнными базами данных и файлами; контроль системы доступа администратором базы данных;

• именование баз данных и файлов, фиксирование в машинной памяти имён пользователей и операторов, имеющих право доступа к ним;

• учёт состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

• регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

• регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

• установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

• отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

• механическое (ключом или иным приспособлением) блокирование отключённой, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение пользователем собственных кодов не допускается.

Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

2.3. Особенности увольнения сотрудников, владеющих конфиденциальной информацией

Стабильность кадрового состава является важнейшей предпосылкой надёжной информационной безопасности фирмы. Миграция специалистов - самый трудно контролируемый канал утраты ценной и конфиденциальной информации. Вместе с тем полностью избежать увольнений сотрудников не представляется возможным. Необходим тщательный анализ причин увольнения, на основе которого составляется и реализуется программа, исключающая эти причины. Например, повышение окладов, аренда жилья для сотрудников вблизи фирмы и оздоровление психологического климата, увольнение руководителей, злоупотребляющих своим служебным положением, и др.

Технологическая цепочка увольнения сотрудника включает в себя:

• написание сотрудником заявления об увольнении с подробным раскрытием причины увольнения и желательно указанием места предполагаемой работы;

• передача заявления руководителю структурного подразделения для оформления и передачи в отдел кадров или службу персонала;

• приём службой конфиденциальной документации от увольняющегося сотрудника всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, с которыми он работал, проверка их комплектности, полноты и оформление приёма в описи исполнителя или актом;

• сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входить в рабочее помещение с использованием знания шифра кодового замка (при необходимости – изменение кода);

• проведение сотрудником службы безопасности или службы персонала беседы с сотрудником с целью напоминания ему об обязательстве сохранения в тайне тех сведений, которые ему были доверены по службе в фирме, предупреждение сотрудника о запрещении использования этих сведений в интересах конкурента или в личных целях, выяснение причины увольнения и места новой работы;

• подписание сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения;

• документальное оформление увольнения в соответствии с общими правилами;

• приём от сотрудника пропуска для входа в здание фирмы, выдача ему трудовой книжки и расчёта по заработной плате, сопровождение его до выхода из здания сотрудником службы безопасности.

После сдачи всех документов и материалов сотруднику запрещается входить в режимную рабочую зону. При необходимости у него может быть изъят пропуск (идентификатор) сотрудника и выдан идентификатор посетителя с правом входа только в определённые административные помещения.

Беседа с увольняющимся сотрудником имеет целью предотвратить утрату информации или ее неправильное использование бывшим сотрудником в результате его природной или умышленной забывчивости. Следует напомнить увольняющемуся сотруднику, что он подписывал при поступлении на работу обязательство (подписку) о неразглашении фирменных секретов.

Ему напоминают, что и после увольнения из фирмы по крайней мере в течение года за его деятельностью будет осуществляться наблюдение. Предупреждение включается в обязательство, которое подписывает увольняющийся сотрудник.

Аналогичный порядок рекомендуется применять в отношении консультантов, экспертов и временно работавших сотрудников. По крайней мере от них целесообразно в обязательном порядке потребовать письменное обязательство о неразглашении ставших известными им фактов и сведений, запрещении использования их в своей деятельности или работе конкурирующих фирм в течение определённого времени.

Эффективным средством против разглашения фирменных секретов считается заключение соглашения о предоставлении увольняющимся сотрудником консультационных услуг фирме в течение ряда лет. В течение этого времени, т.е. срока конфиденциальности известных ему сведений, ему выплачивается жалованье, близкое по размерам к зарплате. В результате бывший сотрудник противостоит соблазну использовать тайну фирмы в своих интересах.

Ущерб от увольнения сотрудника резко уменьшается, если тайна фирмы раздроблена и известна по частям достаточно большому числу служащих. В этом случае не приходится прибегать к указанным выше сложным и часто малоэффективным способам защиты тайны, известной уволенным сотрудникам.

В любом случае рекомендуется по истечении трёх месяцев после увольнения направить бывшему сотруднику письмо-напоминание о необходимости сохранения тайны фирмы.

Если руководству фирмы стали известны случаи несанкционированного использования бывшим сотрудником конфиденциальных сведений или ноу-хау фирмы, следует начать активное судебное разбирательство выявленных фактов.

Служба безопасности организации должна решить, как она будет поступать с запросами на характеристики бывших сотрудников организации, устраивающихся на работу на новое место. Возможно, предприятие считает, что оно не должно предоставлять такие сведения, но тогда следует учесть, что и на аналогичный запрос самого предприятия на нового кандидата может прийти отказ в ответе. По общим соображениям целесообразнее организовать взаимодействие между службами безопасности предприятий отрасли, предварительно определив перечень данных, которые могут быть сообщены коллегам. Подобное сотрудничество при правильной организации позволит только улучшить состояние информационной безопасности отдельного предприятия.

Рассмотренная технология оформления увольнения сотрудников, владеющих ценными и конфиденциальными сведениями, позволит не только повысить ответственность всего персонала за сохранность доверенных им сведений, но и предотвратить факты кражи увольняющимися сотрудниками ценной информации, ограничить возможность использования её в других организациях и фирмах

ЗАКЛЮЧЕНИЕ

Информатизация современного бизнеса, интернетизация многих сфер предпринимательской деятельности (финансы, реклама, торговля и т.п.), внедрение компьютерных технологий управления выдвигают на первый план проблемы информационной безопасности организации. Вкладывая средства в информационную безопасность предприятия, не стоит пренебрегать человеческим фактором.

На всех стадиях информационного процесса ведущая роль принадлежит человеку – носителю, пользователю информации и знания. От того, как будут учтены в информационных процессах интересы, психологические установки, свойства личности, зависит эффективность использования информации.

Качественная разработка и строгое соблюдение системы правил комплексной защиты информации – достаточно действенная мера, направленная на то, чтобы привести к минимуму риск утраты наиболее важной информации и определить объем похищенных сведений.

Одним из важных элементов такой системы является разграничение доступа к информации. В основе её построения лежит положение о том, что каждый из членов трудового коллектива должен обладать только теми сведениями, которые необходимы ему в силу выполняемых обязанностей. В этом случае только руководитель имеет доступ ко всем материалам, независимо от их важности.

Первостепенное значение для информационной безопасности имеет система подбора кадров. Другой важный момент – взаимоотношения с сотрудником, который собирается покинуть организацию. В любом случае предпочтительнее сохранять хорошие отношения между сотрудником и организацией.

Защита информации невозможна без понимания того, что именно и от кого следует защищать. А добиться от персонала такого понимания трудно без чёткой организации работы компании в целом и отдельно каждого сотрудника. Поэтому так важно, чтобы в фирме строго соблюдались должностные инструкции, внутрифирменные приказы и распоряжения, связанные с организацией труда.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

1. Бакланов В.В. Введение в информационную безопасность. Направления информационной защиты: Учеб. пособие – УрФУ, 2012. – 235 с.
2. Беленькая М.Н., Малиновский С.Т., Яковенко Н.В. Администрирование в информационных системах. Учебное пособие для вузов. – М.: Горячая линия – Телеком, 2011. – 400 с.
3. Бирюков А.А. Информационная безопасность: защита и нападение. 2‑е изд., перераб. и доп. – М.: ДМК Пресс, 2017. – 434 с.
4. Доценко С.М., Шпак В.Ф. Комплексная безопасность объекта: от теории к практике. – СПб: ООО «Издательство Полигон», - 2000.
5. Игнатьев В.А. Информационная безопасность современного коммерческого предприятия: Монография. – Старый Оскол: ООО «ТНТ», 2005. – 448 с.
6. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб: БХВ-Петербург, 2003. – 752 с.
7. Организационное и правовое обеспечение информационной безопасности: учебник и практикум для бакалавриата и магистратуры / под ред. Т.А. Поляковой, А.А. Стрельцова. – М.: Издательство Юрайт, 2016. — 325 с. — Серия : Бакалавр и магистр. Академический курс.
8. Садердинов А.А., Трайнёв В.А., Федулов А.А. Информационная безопасность предприятия: Учебное пособие. 2-е изд. - М., Издательско-торговая корпорация «Дашков и К°», 2005.- 336 с.
9. Скабцов Н. Аудит безопасности информационных систем. — СПб.: Питер, 2018. — 272 с.: ил. — (Серия «Библиотека программиста»).
10. Шаньгин В.Ф. Комплексная защита информации в корпоративных системах. – М.: ИД «Форум»: ИНФРА-М, 2010. – 592 с.