Особенности работы с персоналом, владеющим конфиденциальной информацией (Понятие и виды информации ограниченного доступа)

Содержание:

Введение

Выбор данной темы для написания курсовой работы обусловлен тем, что главным критерием успеха в предпринимательской деятельности кроме получения прибыли и обеспечения целостности организационной структуры, является обеспечение экономической безопасности, а важнейшей составляющей экономической безопасности является информационная безопасность. По данным аналитического центра InfoWatch ежегодные потери мировой экономики из-за утечки информации ограниченного доступа составили 175 миллиардов долларов [5, с.60]. Структура инсайдерских (внутренних) рисков наглядно представляет самые опасные внутренние угрозы, в числе которых с огромным отрывом лидирует такая позиция, как нарушение конфиденциальности информации.

Основываясь на приведённых данных, можем отметить, что проблема защиты информации «изнутри» играет очень важную, если не решающую роль. Особенно остро такая проблема встаёт при организации трудовых отношений, где человеческий фактор и психоличностные особенности представляют одну из наиболее опасных угроз конфиденциальности информации. Ввиду этого, исследование проблемы реализации политики информационной безопасности в рамках проведения кадровых процедур представляется особенно актуальным.

Объектом исследования является система защиты информации ограниченного доступа на предприятиях всех форм собственности, а предметом – трудовые отношения и кадровые процедуры с персоналом в рамках работы сотрудников с защищаемой информацией.

Цель исследования определяется как выявление оптимальных форм и методов работы с персоналом с позиции обеспечения информационной безопасности.

Для достижения поставленной цели необходимо выполнить следующие задачи:

1. Рассмотреть понятие государственной и коммерческой тайны в законодательстве Российской Федерации;
2. Определить особенности работы с персоналом, владеющим конфиденциальной информацией на основе анализа действующих нормативных актов и документов органов власти и предприятий Томской области;
3. Проанализировать правовое регулирование работы с персоналом, имеющим доступ к конфиденциальной информации и информации, отнесенной к категории государственной тайны;
4. Определить виды ограниченного доступа к информации;
5. Выявить права и обязанности сотрудников, допущенных к государственной и коммерческой тайне;
6. Определить особенности работы с персоналом, владеющим конфиденциальной информации;
7. Выявить особенности увольнения сотрудников.

Глава 1. Правовое регулирование работы с персоналом, имеющим доступ к конфиденциальной информации

На сегодняшний день, Законодательство о защите конфиденциальной информации основано на Конституции Российской Федерации, кроме того включают положения Гражданского Кодекса Российской Федерации, Уголовного Кодекса Российской Федерации, Федеральные законы «О государственной тайне», «О коммерческой тайне» и ряд других законов и подзаконных актов.

Федеральный закон «Об информации, информационных технологиях и защите информации» содержит в себе ряд норм, отнесенных к охране коммерческой тайны. Так, например, закон раскрывает понятия конфиденциальной информации, защите информации, информационных ресурсов и т.п.

Трудовой кодекс Российской Федерации допускает включение в трудовой договор условий о неразглашении работником сведений, составляющих государственную или коммерческую тайну, ставших известными им при исполнении своих должностных обязанностей.

Налоговый кодекс Российской Федерации, законы РФ «О частной детективной и охранной деятельности в РФ», «О таможенном тарифе» содержат требования, обязывающие работников не разглашать сведения, ставшие известными им в связи с выполнением служебных обязанностей и составляющих конфиденциальную информацию предприятия.

1.1 Понятие и виды информации ограниченного доступа

Согласно Федеральному закону «Об информации, информационных технологиях и защите информации» под информацией понимается следующее – это сведения (сообщения, данные) независимо от формы их представления. Кроме того, согласно приведенному выше закону, всю информацию можно разделить на следующие группы:

1. Информацию, свободно распространяемую;

2. Информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;

3. Информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

4. Информацию, распространение которой в Российской Федерации ограничивается или запрещается.

По мнению И.А. Яковлевой, в основе любой разновидности информации с ограниченным доступом лежит свойство конфиденциальности [18]. Под конфиденциальностью, согласно статье 2 Закона об информации понимается – «требование, являющееся обязательным для исполнения лицом, получившим доступ к конфиденциальным сведениям, не передавать данную информацию третьим лицам без согласия ее обладателя».

Понятие «тайны» используется законодательством для определения конкретных видов конфиденциальной информации.

Из вышесказанного можно сделать выводы, что понятия «тайна» и понятия «конфиденциальная информация» – равнозначны. Поэтому, говоря о правовом режиме конфиденциальной информации, целесообразно будет использовать термин «режим тайны».

Во многих сферах общественной жизни, можно встретить информацию, ограниченного доступа. Так, например, в предпринимательской деятельности, успех фирмы напрямую зависит от эффективности технологических решений, многочисленности клиентской базы, а также от актуальности и новизны проектов, принимаемых фирмой.

В этих условиях становятся понятным стремление предпринимателей сохранить в тайне определенные сведения. Особенно это актуально для тех видов информации, которые невозможно защитить в установленном порядке.

По мнению Н.В. Сенаторовой: «Коммерческая тайна – это информация, содержащая конфиденциальные сведения, которые могут позволить ее обладателю увеличить доходы, избежать неоправданных расходов, получать прибыли и сохранить свое положение на рынке товаров и услуг» [14].

В статье 5 Федерального закона «О коммерческой тайне» установлен перечень сведений, не относящихся к коммерческой тайне:

1. Содержащихся в документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры, а также учредительных документах юридического лица;
2. Включающих сведения государственного или муниципального унитарного предприятия, государственного учреждения об использовании ими средств соответствующих бюджетов, а также о составе имущества;
   1. Включенные в документы, которые позволяют осуществлять предпринимательскую деятельность;
   2. О численности и об оплате труда работников некоммерческих организаций, о размерах и структуре их доходов, о размерах и составе их имущества, об их расходах, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;
   3. Об имеющихся задолженностях работодателей по социальным выплатам и по выплате заработной платы;

6. О состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, загрязнении окружающей среды, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

• 1. Об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, о численности, о составе работников, о системе оплаты труда, об условиях труда и о наличии свободных рабочих мест;
  2. О фактах привлечения к ответственности за нарушение законодательства Российской Федерации;
  3. Включающие условия проведения конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;
  4. О перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11. Обязательность раскрытия, которых или недопустимость ограничения доступа, к которым установлена иными федеральными законами.

Право на отнесение информации к сведениям, составляющим коммерческую тайну, принадлежит обладателю этой информации с учетом положений настоящего Федерального закона. На основании статьи 4 п. 3: «Информация, полученная от ее обладателя на основании договора или иным законным способом, является законной».

По мнению А. Фатьянова, информацию, подлежащую защите необходимо классифицировать по трем основным признакам:

1. По принадлежности;
2. По содержанию;
3. По степени конфиденциальности.

По степени принадлежности информации, ее владельцами могут быть органы государственной власти и образуемые ими структуры, юридические и физические лица.

По степени конфиденциальности, на данный момент, можно классифицировать информацию, составляющую государственную тайну в соответствии со статьей 8 Федерального закона «О государственной тайне».

По содержанию защищаемая информация может быть разделена на политическую, технологическую, личную, коммерческую, экономическую, военную, научную и т.п. [17, с.56].

Таким образом, подводя итог к данному разделу, следует отметить, что представленные выше классификации информации ограниченного доступа не являются исчерпывающими. Их дальнейшая доработка и разработка предстоит законодательству РФ, а отсутствие единой классификации конфиденциальной информации может привести к большому количеству противоречий.

1.2 Права и обязанности субъектов обращения коммерческой тайны

Работники – лица, которые имеют доступ к информации, содержащие конфиденциальные сведения. Именно они имеют доступ к финансовой документации, участвуют в переговорах с партнерами, принимают участие в создании новых разработок, работают с базами данных клиентов компании. И для руководителя важно, чтобы работники, имеющие доступ к подобной информации, не распространяли ее сторонним лицам.

Согласно статье 57 Трудового кодекса Российской Федерации, в трудовой договоре работника могут быть предусмотрены дополнительные условия, не ухудшающие права работника, которые содержат нормы трудового права, а именно – условие о неразглашении сведений, которые могут составлять коммерческую, государственную и иную тайну.

В обязанности сотрудников, допущенных к коммерческой тайне на основании ч.3 статьи 11 Федерального закона «О коммерческой тайне» входит:

• 1. Выполнение режима коммерческой тайны, установленного работодателем;
• Обязательство о не разглашении тайной информации, собственниками которой являются работодатель и его контрагенты. Кроме того, не использовать ценную информацию без их согласия в личных целях в течение всего срока действия режима коммерческой тайны, том числе после прекращения действия трудового договора;
  1. Если работник виновен в разглашении информации, составляющей коммерческую тайну и ставшей ему известной в связи с исполнением им трудовых обязанностей, то он обязан возместить причиненные работодателю убытки;
  2. При прекращении или расторжении трудового договора все материальные носители информации, имеющиеся в пользовании работника и содержащие информацию, составляющую коммерческую тайну необходимо передать работодателю.

Согласно статье 89 Трудового Кодекса Российской Федерации, работник имеет право на:

1. Полную информацию об их персональных данных и обработке этих данных;
2. Бесплатный свободный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;
3. Определение своих представителей для защиты своих персональных данных;
4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Кодекса или иного федерального закона. Если работодатель откажется исключить или исправить персональные данные работника, то он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
5. Доступ к медицинской документации, отражающей состояние их здоровья, с помощью медицинского работника по их выбору;
6. Требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
7. Обжалование в суд любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.

В связи с предоставленным доступом работника к информации, работник обязан:

1. Соблюдать предусмотренные статьей 57 Трудового Кодекса РФ и действующем в Обществе Положением о коммерческой тайне обязанности работника в части защиты хозяйственных (предпринимательских) и иных интересов Общества, связанных с отнесением информации, принадлежащей Обществу, к коммерческой тайне, передачей данной информации, охраной ее конфиденциальности;

2. Не разглашать информацию и без согласия Работодателя не использовать ее в личных целях;

1. Принимать все необходимые меры для предотвращения разглашения информации и предотвращение доступа к ней лиц, не имеющих к ней допуска;
2. Не предпринимать попыток получения неправомерного доступа к информации;
3. Незамедлительно сообщать Работодателю о выявленных им фактах нарушения режима коммерческой тайны, а также фактах разглашения, попыток разглашения, посягательств на разглашение информации, попыток получения от Работника информации третьими лицами;
4. Возместить причиненные Работодателю убытки за разглашение информации.

Работодатель обязан:

1. Ознакомить под расписку работника с перечнем информации, составляющей коммерческую тайну;
2. Ознакомить под расписку работника с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
3. Создать работнику условия для соблюдения им установленного работодателем режима коммерческой тайны.

Кроме того, настоящим соглашением Работник подтверждает, что в соответствии с Гражданским кодексом РФ Работник, незаконными методами получивший информацию или разгласивший ее, обязан возместить Работодателю возникшие в связи с этим причиненные убытки.

Также, в соответствии со статьей 192 Трудового кодекса РФ за неисполнение или ненадлежащие исполнение Работником по его вине возложенных на него обязанностей по соблюдению режима коммерческой тайны Работодатель имеет право применить следующие дисциплинарные взыскания:

1. Замечание;
2. Выговор;
3. Увольнение по соответствующим основаниям.

В соответствии со статьей 81 ТК РФ, в случае разглашения Работником информации, трудовой договор с Работником может быть расторгнут по инициативе работодателя.

Статьей 183 Уголовного Кодекса РФ предусмотрена ответственность за совершение преступления в отношении коммерческой тайны.

Таким образом, из вышесказанного можно сделать следующие выводы о том, что к дисциплинарной ответственности может быть привлечен только сотрудник организации и сам факт разглашения информации, составляющей коммерческую тайну, доказать достаточно сложно. Но, если работодателю удастся это сделать, то виновного Работника может ожидать как дисциплинарная ответственность, так и уголовная, а именно штраф в размере 120 тыс. рублей или в размере заработной платы, либо иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо лишением свободы на срок до трех лет.

Если же действия работника, совершившего данное преступление, нанесли значительный ущерб организации или были совершены в корыстных интересах, то его ожидает наказание в виде штрафа до 200 тыс. рублей или в размере заработной платы, либо иного дохода осужденного за период до 18 месяцев с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо лишением свободы на срок до 5 лет.

Если же те же действия работника повлекли за собой тяжкие последствия, то, в соответствии с ч.4 статьи 183 УК РФ, наказание за них предусмотрено лишением свободы сроком до 10 лет.

Глава 2. Особенности работы с персоналом, владеющим конфиденциальной информацией

2.1 Персонал как основная опасность конфиденциальной информации

Система защиты информации основана на человеческом факторе, следовательно, персонал, допущенный к конфиденциальной информации, обязан соблюдать правила защиты информации, быть преданным интересам организации. Если же хотя бы один сотрудник компании будет пренебрегать возложенными на него обязанностями по сохранению ценных сведений, то даже самая эффективная система защиты информации не сможет обеспечить гарантированную безопасность сведений и предотвратить их разглашение.

Для решения проблемы информационной безопасности необходимо применять наиболее эффективные методы работы с персоналом, владеющим конфиденциальной информацией.

Персонал – это значимый ресурс каждой организации, а также – генераторы новых идей, инноваций и новшеств. Кроме того, они являются ускорителями научно-технического прогресса, улучшают благосостояние сотрудников фирмы и являются неотъемлемой частью не только для фирмы в целом, но и для каждого отдельного сотрудника компании.

Именно поэтому, главным источником утечки информации, к сожалению, является – персонал.

Этот фактор имеет место быть, потому что, рассматривая персонал организации с психологической точки зрения это – сложная структура, имеющая свои индивидуальные психологические особенности, которые невозможно предугадать. Поведение сотрудников, как и его мотивированность, в разных жизненных ситуациях, могут выходить из-под контроля.

Именно поэтому, очень важно наиболее тщательнее относиться к подбору и изучению персонала в организациях, которые содержат какие-либо ценные сведения, секреты производства [16, с.57].

Проблема, связанная с подбором персонала, встречается, чуть ли не в каждой фирме, использующей в своей деятельности конфиденциальную информацию.

На сегодняшний день, в современных организациях практически каждый сотрудник имеет доступ к ценным сведениям фирмы, вызывающих особый интерес у конкурентов.

Кадровая политика организации играет профилактическую роль при отборе сотрудников, показавшихся неблагонадежными для данной компании и которые в дальнейшем могут представлять угрозу утечки информации, например, к конкурентам организации.

Защита информации в организации понимается как защита всей информации на любых носителях от случайных и преднамеренных воздействий естественного или искусственного свойства, основной целью которых являются: разрушение, уничтожение, видоизменение и изменение степени доступности ценной информации [16, с.59].

Кроме профессиональных способностей, сотрудники, допущенные к конфиденциальным сведениям компании, должны обладать высокими моральными качествами, порядочностью, ответственностью, исполнительностью.

Такие сотрудники добровольно соглашаются на определенные ограничения использования информационных ресурсов организации и, тем самым, самостоятельно вырабатывают в себе такие качества как: самодисциплина, самоконтроль действий, поступков, высказываний.

Зарубежные специалисты считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала фирмы [6].

Организационные мероприятия по работе с персоналом, допущенным к конфиденциальной информации, подразделяются на некоторые группы:

1. Проведение при приеме и увольнении сотрудников аналитических процедур;
2. Добровольное согласие о неразглашении конфиденциальной информации должно быть задокументировано. Сотрудники обязаны соблюдать правила обеспечения безопасности информации;
3. Обучение и проведение подробных инструктажей о практических действиях по защите информации [16, с.37].

Персонал – трудно-контролируемый источник ценной конфиденциальной информации. В качестве источников такой информации могут быть:

1. Все сотрудники данной фирмы, ее персонал;
2. Сотрудники других фирм — (посредники, изготовители комплектующих деталей, торговые фирмы, рекламные агентства и т.п.);
3. Сотрудники государственных учреждений, к которым фирма обращается в соответствии с законом — налоговых и иных инспекций, муниципальных органов, правоохранительных органов и т.д.;
4. Журналисты средств массовой информации, сотрудничающих с фирмой;
5. Посетители фирмы, работники коммунальных служб, почтовые служащие, работники служб экстремальной помощи и т.д.;
6. Посторонние лица, работающие или проживающие рядом со зданием или помещениями фирмы, уличные прохожие;
7. Родственники, знакомые и друзья всех указанных выше лиц.

Перечисленные выше лица, в какой-либо степени могут, в силу обстоятельств, стать источником конфиденциальной информации. Каждый из представленных лиц может представлять угрозу организации путем несанкционированного разглашения секретных сведений.

Таким образом, наиболее посвященными в секреты организации являются: первый руководитель компании, его заместитель, их секретари-референты, работники службы конфиденциальной документации.

Из этого также следует, что персонал фирмы, допущенный к секретным сведениям организации и работающий с конфиденциальной информацией, является наиболее осведомленным и достаточно доступным источником секретов фирмы для конкурентов, желающих получить необходимые сведения.

В основном, овладение нужной информацией происходит в результате безответственности и недостаточной квалификации сотрудников, а также в связи с их невысокими личными и моральными качествами.

2.2 Прием и перевод сотрудников на работу, связанную с владением конфиденциальной информацией

Поиск кандидатов на вакантную должность в организации, имеющей какие-либо секретные сведения, не может осуществляться спонтанно.

На данный момент существует ряд эффективных направлений поиска сотрудников:

1. Поиск кандидатов на вакантную должность или рабочее место среди сотрудников данной организации. С помощью этого метода, есть возможность кадровых передвижек по карьерной лестнице;
2. Поиск по рекомендациям сотрудников, находящихся в данной организации;
3. Поиск кандидатов среди выпускников учебных заведений и студентов ВУЗов;

4. Поиск кандидатов через кадровые агентства и биржи труда, организации по трудоустройству лиц, уволенных в связи с сокращением штатов.

При отборе работников на должность, связанную с допуском к конфиденциальной информации фирмы, прежде всего, следует обратить внимание на моральные и личные качества работников, их порядочность и ответственность, и, только потом, его профессиональные навыки, умения, знания.

Крайне важно уже на первых этапах отбора исключать те кандидатуры, которые не соответствуют требованиям, предъявленным будущему сотруднику фирмы.

Собеседование с кандидатами на должность, связанную с допуском к секретным сведениям фирмы, должно иметь следующие цели:

1. Выявить реальную причину желания работать в данной организации;
2. Выявить возможных недоброжелателей фирмы и попытаться рассмотреть слабые качества кандидата, которые могут спровоцировать преступные действия;
3. Убедиться, что кандидат на занимаемую должность не намерен использовать вверенную ему информацию в корыстных целях, а также ценную информацию фирмы – предыдущего работодателя;

4. Убедиться, что кандидат на занимаемую должность добровольно соглашается соблюдать правила защиты информации и иметь ограничения в профессиональной и личной жизни.

По мнению Е.А. Степанова: «Одной из главных задач собеседования и тестирования является выявление несоответствия мотивации в различных логических группах вопросов.

Например, несоответствие: – хочет получать большую зарплату, но раньше он получал столько же, работал близко от дома, а хочет работать в фирме, находящейся на значительном расстоянии и т. п.» [16, с.43].

Психологический отбор, с точки зрения безопасности информации, преследует следующие цели:

1. Выявление имевшихся ранее судимостей кандидата, криминальных связей;
2. Определение предрасположения кандидата к совершению противоправных действий, необдуманных поступков, возникающих вследствие сложившихся ситуаций;
3. Установление факторов, свидетельствующих о морально-психологической ненадежности, уязвимости кандидата на занимаемую должность.

Все документы и материалы, используемые при анализе кандидата на должность, также являются конфиденциальными сведениями организации.

Соглашение о неразглашении конфиденциальных сведений представляет собой правовой документ, которым претендент на занимаемую должность в добровольном порядке соглашается на ограничение своих прав в отношении использования конфиденциальной информации, а также данным соглашением он предупреждается об ответственности в случае нарушения режима конфиденциальности.

Таким образом, усиленные процедуры, связанные с приемом на работу, предусматривающую доступ к конфиденциальным сведениям организации и проверки сведений, предоставляемых кандидатами на занимаемую должность, дают возможность всесторонне оценить претендента. Также, они предоставляют возможность руководителю фирмы, без особой спешки, оценить ситуацию и принять правильное решение.

Процедуру отбора кандидатов, проводимую кадровой службой фирмы, необходимо сочетать с психологическим анализом претендента на вакантную должность. Это позволит сделать обоснованные выводы о профессиональной пригодности кандидата на занимаемую должность, связанную с допуском к конфиденциальной информации организации.

2.3 Доступ персонала к конфиденциальным сведениям, документам и базам данных

Доступ персонала к конфиденциальным сведениям, документам, базам данных, а именно регламентация этого доступа на сегодняшний день является наиболее важной проблемой в системе защиты информации.

Под режимом конфиденциальности понимается – совокупность ограничительных правил, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам.

Разрешительной (разграничительной) системой доступа в коммерческой тайне является – совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Разграничительная система состоит из двух основных частей: допуска сотрудника к конфиденциальным сведениям и непосредственный доступ данного сотрудника к секретным сведениям.

Допуск – это процедура оформления права сотрудника фирмы или иного лица на доступ к сведениям ограниченного распространения и одновременно правовой акт согласия собственника информации на передачу ее для работы конкретному лицу.

Наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

На предприятии, допуск дает первый руководитель фирмы. Разрешение на допуск оформляется на основании соответствующего пункта в трудовом договоре (контракте) сотрудника. Допуск к сведениям может носить временный характер, выдаваться сотруднику на период выполнения определенных видов работ и пересматриваться при изменении направленности работы сотрудника фирмы.

Под доступом понимается – практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Доступ определяется полномочным должностным лицом в отношении конкретной информации и конкретного сотрудника.

Право на выдачу разрешения на допуск строго регламентировано.

Для того чтобы получить разрешение на допуск, необходимо выполнение следующих условий:

• 1. Наличие подписанного приказа первого руководителя о приеме на работу или назначении на должность, в обязанности которой входит работа с конфиденциальной информацией;
  2. Наличие трудового договора (контракта) с подписями сторон, включающего в себя пункт о сохранении секретов фирмы и подписанного соглашения о неразглашении конфиденциальной информации и соблюдение правил их защиты;
  3. Соответствие должностных обязанностей сотрудника передаваемым ему документам и информации;
  4. Знание работником нормативно-методических требований по защите информации (в том числе документированной) и сохранении секретов фирмы;
  5. Наличие условий, необходимых для работы с конфиденциальными сведениями и базами данных в офисе;
  6. Наличие систем контроля за сотрудниками организации.

Все конфиденциальные сведения фирмы может знать только ее первый руководитель.

Сведения, составляющие конфиденциальную информацию, отнесенные к определенному виду работы, в полном объеме может получить лишь соответствующий заместитель первого руководителя фирмы, руководители структурных подразделений или направлений деятельности по специальному перечню, утвержденным первым руководителем. Кроме того необходимо добиваться максимального снижения привилегий к доступу к секретной информации для персонала.

Разрешение на доступ к конфиденциальным сведениям дается в письменном виде полномочным руководителем. Разрешение на доступ к секретным сведениям организации представителя другого предприятия или фирмы оформляется резолюцией полномочного должностного лица на предписании (письме обязательстве), представленном заинтересованным лицом. Резолюция должна содержать сведения о конкретных документах или сведениях, к которым разрешен доступ. Кроме того, указывается Фамилия и инициалы сотрудника фирмы, который знакомит представителя другой организации с данными сведениями и несет ответственность за его работу в помещении фирмы.

Необходимо соблюдение правил регистрации лиц, имеющих доступ к конкретным документам, секретам фирмы. Это позволит осуществить информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации на высоком уровне.

При организации доступа сотрудников к конфиденциальным электронным документам организации, можно выделить основные составные части:

1. Доступ к персональному компьютеру;
2. Доступ к машинным носителям информации, находящимся вне ЭВМ;
3. Непосредственный доступ к базам данных и файлам.

Таким образом, процедуры допуска и доступа сотрудников к конфиденциальной информации являются завершающими стадиями процесса включения данного сотрудника в состав лиц, допущенных к конфиденциальной информации организации. С этого момента большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся наиболее ценные и конфиденциальные сведения.

2.4 Текущая работа с персоналом. Порядок проведения контроля качества работы сотрудников. Формы контроля

Говоря о безопасности информационных систем фирмы, большинство специалистов считают, что максимум внимания необходимо уделять персоналу организации, допущенного к работе с конфиденциальными сведениями.

Текущая работа с персоналом, допущенным к конфиденциальным сведениям, обязана включать в себя следующие этапы:

1. Инструктаж и обучение сотрудников фирмы;
2. Организация и проведение воспитательных работ с сотрудниками, допущенными к секретам фирмы;
3. Обеспечение тщательного контроля за выполнением основных требований по защите конфиденциальных сведений фирмы;
4. Регулярно проводить контрольную работу с целью получения сведений о степени осведомленности сотрудников, владеющих секретами фирмы;
5. Обязательное проведение служебных расследований по факту утечки ценной информации фирмы и нарушением требований по обеспечению защиты информации организации.

Обучение сотрудников, допущенных к конфиденциальной информации, основным правилам защиты секретных сведений фирмы должен осуществляться на постоянной основе.

Это связано с тем, что система безопасности конфиденциальной информации регулярно должна обновляться и видоизменяться. Собрания по обучению сотрудников не должны носить формальный характер.

Процесс обучения работников, допущенных к конфиденциальным сведениям фирмы, должен начинаться с момента проведения собеседования при приеме работника на работу и подписания с ним соглашения о неразглашения конфиденциальных сведений и заканчивая увольнением данного сотрудника и подписание им обязательства о недопустимости разглашения секретной информации в чьих-либо целях. Периодичность проведения обучения для работающих сотрудников – один раз в 3-5 лет. Обычно, оно проводится после аттестации или перезаключения контракта.

Методика обучения включает в себя:

1. Проведение специализированных программ обучения, а также проведение лекционных курсов и практических занятий;
2. Тестирование сотрудников, проведение аттестации, для выявления степени осведомленности о системе защиты секретных сведений фирмы;
3. Проведение практического ситуационного обучения по основным действиям сотрудников во время возникновения экстремальных ситуаций;
4. Проведение деловых игр, учебных кейсов, обучающих методам противодействия замыслам злоумышленника;
5. Решение ситуационных задач, связанных с выполнением необходимых требований защиты конфиденциальной информации [16, с.54]. Конспекты, записи сотрудники делают в специальных тетрадях, хранящихся в соответствии с общим порядком работы с конфиденциальными документами. После окончания обучения, проводится проверка полученных знаний сотрудниками фирмы. Результаты проверки фиксируются в протоколе комиссии, проводящей настоящую проверку. Кроме того, необходимо организовывать проверку знаний тестированием или решений ситуационных задач. Сотрудники, не прошедшие проверку знаний, от работы с конфиденциальной информацией отстраняются.

Воспитание – это процесс систематического и целенаправленного воздействия на формирование и развитие личности в целях наиболее полного использования ее профессиональных способностей, деловых, высоких моральных и иных положительных качеств для деятельности фирмы, повышение ее благополучия и конкурентоспособности [16, с.51].

Руководство фирмы осуществляет воздействие на личность сотрудников в процессе их обучения, инструктажа. А воздействие на личность посредством коллектива фирмы происходит в процессе решения производственных задач в неформальной обстановке.

Воспитательный процесс взаимосвязан с изучением мотивации в поведении человека.

Мышление и действия человека в различных ситуациях имеет важное значение в управлении персоналом, в основные обязанности которого входит работа с конфиденциальными сведениями фирмы.

Руководители ведущих фирм понимают под воспитательной работой, прежде всего, обеспечение благоприятного психологического климата в рабочих коллективах, который является определяющим, при решении стоящих перед фирмой задач и преодолении возникающих трудностей посредством усилий персонала.

Наличие благоприятного психологического климата в коллективе организации вызовет определенные трудности у злоумышленников, пытающихся заполучить конфиденциальную информацию.

Для сотрудников организации часто важен не только его основной оклад, получаемый им после выполнения работ, сколько существующая доброжелательная обстановка в коллективе, уверенность в том что его уважают как специалиста, ценят его труд и он может надеяться на продвижение по службе.

При формировании психологического климата в коллективе фирмы решаются следующие задачи:

1. Создание действующей системы стимулирования трудовых успехов персонала;
2. Обеспечение долговременной работы в организации каждого сотрудника;
3. Формирование отношения к сотрудникам как самостоятельным членам коллектива, участие персонала в выработке решений;
4. Справедливое участие персонала в прибыли фирмы;
5. Реализация на практике гибкой системы увольнения;
6. Расстановка кадров в соответствии с их способностями;
7. Главенство в отношениях руководства и сотрудников духа коллективизма [16, с.52].

При благоприятном психологическом климате, сотрудники доброжелательно относятся к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пониманием важности выполняют все требования этой системы.

Процесс воспитания сотрудников организации должен завершается контролем работы персонала, с секретными сведениями. Контроль защиты конфиденциальной информации важен для предотвращения несанкционированных попыток завладеть информацией.

Основными формами контроля качества работы, выполняемой сотрудниками организации, повышения ими своих профессиональных знаний и умений, в том числе в отношении конфиденциальной информации, можно назвать следующие:

1. Аттестация работников;
2. Отчеты руководителей подразделений об их работе и состоянии защиты информации;
3. Проведение регулярных проверок руководителем фирмы или службой безопасности организации соблюдения персоналом требований по защите секретных сведений;
4. Самоконтроль сотрудников.

Под аттестацией сотрудников понимается – наиболее эффективная форма контроля их деятельности как в профессиональной сфер, так и в сфере соблюдения информационной безопасности фирмы. Аттестация персонала – это коллективная форма оценки профессиональной пригодности сотрудника, его соответствия занимаемой должности [16, с.54].

Сроки проведения аттестации могут быть ежеквартальными, ежегодными или иметь другие сроки.

При проведении аттестации рассматриваются следующие характеристики сотрудника: трудовая дисциплина, исполнительность, трудолюбие, ответственность, требовательность и принципиальность, организованность в работе, качество и эффективность выполняемой работы, самостоятельность и инициатива, творческая деятельность, прогрессивность профессиональных решений, профессиональный кругозор, умение общаться с людьми, организаторские способности, преданность делу фирмы. После изучения представленных качеств начинает формироваться представление о каждом работнике фирмы, его деловых и человеческих качеств.

После проведения аттестации издается приказ, в котором отражены все решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников не прошедших аттестацию. Кроме того, аттестационная комиссия вправе отстранять сотрудников от работы, связанной с конфиденциальной информацией.

Формой контроля также является - регулярные проверки выполнения сотрудниками правил работы с секретной информацией фирмы, а также с конфиденциальными документами и базами данных.

Проведение проверок устанавливается первым руководителем организации, их заместителями, работниками службы безопасности.

Если же установлен факт невыполнения сотрудниками своих должностных обязанностей и требований по обеспечению защиты конфиденциальных сведений фирмы, в обязательном порядке к недобросовестным сотрудникам применяются меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка:

1. Выговор;
2. Лишение премии;
3. Понижение в должности;
4. Отстранение от работы с конфиденциальной информацией;
5. Увольнение.

Наказание должно быть своевременным и неотвратимым без учета должностного уровня сотрудника, совершившего правонарушение.

Особую ответственность за разглашение конфиденциальных сведений несет первый руководитель фирмы, потому что он полностью отвечает за разработку и реализацию мер, обеспечивающих безопасность всех видов деятельности организации.

Факт утечки информации становится известным вследствие анализа публикаций, рекламы выставочных и других материалов конкурентов организации.

После выявления данного факта, проводится тщательный анализ личных карточек сотрудников, допущенных к тайным сведениям фирмы и определением основного круга работников, владеющих утерянной информацией. В этом случае, уместно проводить служебное расследование.

Расследование проводится в кратчайшие сроки и обычно, в ходе расследования, анализу подлежат следующие виды документов:

1. Письменные объяснения опрошенных лиц, составленных в произвольной форме;
2. Акты проверки помещений и документаций, с указанием фамилий лиц, проводящих проверку, их должности, виды проверенного осмотра, результаты и указание подписей этих лиц по окончанию проверки;
3. Другие документы, отнесенные к расследованию.

После результатов анализа, составляется заключение о проведении служебного расследования, содержащее подробное описание проведенных работ, указание причин и условий случившегося, определение круга виновных, а также даются рекомендации для предотвращения в будущем фактов утечки информации. О наказании виновных лиц говорится после завершения служебного расследования. Мера наказания определяется первым руководителем фирмы. Если факт передачи секретной информации стороннему лицу будет подтвержден, то потерпевшая убытки фирма должна обратиться в суд для вынесения решения о возмещении материального ущерба, связанного с кражей конфиденциальных данных.

По данным РИА Новости за 11 мая 2016 года: «Компания InfoWatch Натальи Касперовой разработала систему, способную перехватывать разговоры по мобильному телефону в офисах. Прототип решения был разработан для защиты компании от утечек информации. По замыслу создателей, оборудование будет размещаться на территории заказчика, подключаться к сети мобильного оператора и перехватывать голосовой трафик.

Полученная информация будет автоматически расшифровываться, программа слежения сама найдет в тексте ключевые слова».

По мнению адвоката Владимира Постанюка: «Поскольку речь идет не о прослушивании телефонных переговоров, а именно об их машинном анализе на предмет наличия ключевых слов, свидетельствующих об утечки информации, такой контроль закону не противоречит» [12].

Таким образом, обучение основным правилам работы с секретными сведениями, документами и базами данных, становится обязательной первостепенной частью проведения текущей работы с персоналом.

Если сотрудники не будут иметь представления о системе защиты конфиденциальной информации, то организация эффективной работы с документами становится невозможной.

Установление благоприятного климата в коллективе фирме также является немаловажным фактором, влияющим на отношение работников к выполняемым ими трудовыми обязанностями.

На сегодняшний день разрабатываются все более новые системы и ПО, позволяющие с наименьшими погрешностями определять утечку секретной информации из организации и принять соответствующие меры.

Заключение

На сегодняшний день, практически любая деятельность, связанная с приобретением, получением, хранением и использованием различных потоков информации. С помощью информационного обмена осуществляется целостность современного мира, как сообщества.

Информация сегодня является наиболее важным ресурсом социально-экономического и научно-технического развития мирового сообщества.

Именно поэтому возникает большое количество проблем, связанных с обеспечением сохранности конфиденциальной информации.

Нормативно-методическое обеспечение защиты конфиденциальных сведений необходимо для регламентации процедур обеспечения безопасности предприятия, в том числе и при работе с персоналом, владеющим конфиденциальной информацией. В него включены основные организационные, инструктивные и информационные документы, устанавливающие основные принципы, методы, требования и способы предотвращения фактов утраты информации или утечки секретных сведений, возникающих по вине персонала, злоумышленников, конкурентов.

Таким образом, система защиты тайной, конфиденциальной информации предприятия осуществляется одновременно с комплексом нормативно-методических документов, рассматривающих ее в виде конкретных требований, с доведением их до сведения каждого работника.

Руководство фирмы лично определяет как состав секретных сведений на предприятии, так и способы, и основные средства их защиты. Кроме того, первый руководитель фирмы определяет меры ответственности персонала за разглашение конфиденциальной информации организации, а также он определяет комплекс поощрений за соблюдение персоналом порядка защиты секретных сведений фирмы.

Система защиты конфиденциальной информации является совокупностью необходимых элементов защиты, каждый из которых в отдельности определяет свои специфические задачи и обладает конкретным их содержанием.

При работе с персоналом организации необходимо уделить достаточное количество внимания именно персоналу фирмы, владеющему секретной информацией.

Сохранение в тайне чего-либо может противоречить потребности человека в общении посредством обмена информацией, что также может стать причиной нервного стресса и перенапряжения.

Именно поэтому благоприятный климат в коллективе фирмы должен быть обеспечен и находится под непосредственным вниманием первого руководителя фирмы.

Список использованной литературы

1. Анисимов А.Л. Трудовые отношения и материальная ответственность / А.Л. Анисимов. – М.: Эксмо, 2005. – 495 с.

2. Гаврилов Э.П. О коммерческой тайне: [Электронный ресурс]: [Б.м., Б.д.] URL: http:// www.lawmix.ru (Дата обращения: 24.09.2016).

3. Гаврюшин Е.И. Человеческий фактор в обеспечении безопасности конфиденциальной информации: [Электронный ресурс] : в мире права: электрон. журн. 2016. URL: http://www.ictta.ru/prs_a_pr012002-3.shtml (Дата обращения: 22.09.2016).

4. Дегтярева А., Текиева Ю. Режим конфиденциальной информации: [Электронный ресурс]: Налоги: электрон. журн. 2007. № 22. URL: http://www.center-bereg.ru/n2629.html (дата обращения: 24.09.2016).

5. Доля А.А. Внутренние ИТ-угрозы в России – 2006 // Защита информации. Инсайд. 2007. № 2.

6. Еременко В.И. Особенности правовой охраны секретов производства и информации, составляющей коммерческую тайну: [Электронный ресурс]: отрасли права: электрон. журн. 2015. URL: http://отрасли-права.рф/ article/506 (Дата обращения: 20.09.2016).

7. Ищейнов В.Я. Защита конфиденциальной информации / В.Я. Ищейнов. – М.: Форум, 2013. – 254 с.

8. Комлева А.А. Государственная тайна: [Электронный ресурс]: бюджетный учет: электрон. журн. 2009. №3. URL: http://www.sejchas.ru/bux/32225# (Дата обращения 19.09.2016).

9. Орловский Ю.П. Комментарий к Трудовому кодексу Российской Федерации: (постатейный) с последними изменениями от 30 июня 2006 г. / Ю.П. Орловский. - М.: ИНФРА-М, 2007. – 563 с.

10. Погуляев В.В. Постатейный комментарий к Федеральному закону о коммерческой тайне: [Электронный ресурс]: Юстицинформ: электрон. журн. 2005. URL: http:// www.lawmix.ru (Дата обращения: 25.09.2016).

11. Пронин К.В. Защита коммерческой тайны: [Электронный ресурс]: ГроссМедиа: электрон. журн. 2006. URL: http://www.lawmix.ru, свободный. (Дата обращения: 25.09.2016).

12. РИА Новости: [Электронный ресурс]: Юристы: прослушка рабочих телефонов – «серая» зона права. URL: http://ria.ru/society/20160511/1431232288.html# (Дата обращения: 18.09.2016). 13. Сгляднева Н.А. Проблемы подготовки специалистов в области информационной и экономической безопасности: [Электронный ресурс]: в мире права: электрон. журн. 2016. URL: http://www.ictta.ru/prs_a_pr012002-3.shtml (Дата обращения 20.09.2016).

14. Сенаторова Н.В. Коммерческая тайна и трудовые отношения: [Электронный ресурс]: Финансовые и бухгалтерские консультации: электрон. журн. 2008. № 6. URL:https://www.lawmix.ru/bux/47931/ (Дата обращения: 22.09.2016).

15. Силинская А. Увольняем сотрудника за разглашение конфиденциальной информации: [Электронный ресурс]: Корпоративный юрист : электрон. журн. 2016. № 1. URL:http://www.clj.ru (дата обращения 25.09.2016).

16. Степанов Е.А. Информационная безопасность и защита информации / Е.А. Степанов, И.К. Корнеев. - Учебное пособие. М.: ИНФРА-М, 2001. – 304 с.

17. Фатьянов А.А. Правовое обеспечение безопасности информации в России / А.А. Фатьянов Учебное пособие. - М.: Юрист, 2001. - 412 с.

18. Яковлева И.А. Информация с ограниченным доступом: понятие, признаки и тенденции в правовом регулировании и использовании в бизнес – среде: [Электронный ресурс]: актуальные проблемы Российского права: электрон. журн. 2013. № 11.URL: http://www.center-bereg.ru/h61.html (Дата обращения: 20.09.2016)

19. Ярочкин В.Н. Информационная безопасность / В.Н. Ярочкин. – Учебное пособие для вузов. М.: Междунар. отношения, 2000. – 400 с.