Преподаватель который помогает студентам и школьникам в учёбе.

Отбор персонала для работы с конфиденциальной информацией,виды методик

Содержание:

ВВЕДЕНИЕ

Вхождение в мировое информационное сообщество принесло стране множество очевидных преимуществ, но, в то же время, и значительно подняло уровень ответственности. Глобализация одним из своих последствий имеет высокий шанс распространения и раскрытия информации, которая не должна быть раскрыта. В связи с этим вопросы обеспечения информационной безопасности все больше занимают мысли представителей служб безопасности на самых разных уровней – от частных персональных компьютеров и индивидуальных предпринимателей до мегакорпораций и политических формирований. И это легко объяснимо – ведь повсеместная компьютеризация значительно подняла риски раскрытия и неправомерного использования конфиденциальной информации.

Так, к сегодняшнему дню сложился достаточно обширный перечень угроз информационной безопасности, некоторые из которых можно легко избежать, грамотно подбирая персонал. Такой инструмент обеспечения информационной безопасности как специализированный отбор сотрудников для работы с конфиденциальной безопасностью актуален как для коммерческих, так и для политических организаций. Работая с документацией, сотрудники по простой случайности или недосмотру могут нарушить конфиденциальность безопасности, тем самым поставив под угрозу успешную деятельность всего предприятия. В связи с этим таким значительным представляется процесс отбора персонала для работы с конфиденциальной информацией.

Цель данной работы – изучение методик отбора персонала для работы с конфиденциальной информацией.

Задачи работы перечислены ниже:

рассмотреть понятие конфиденциальной информации;
охарактеризовать методы защиты конфиденциальной информации;
описать требования к персоналу, работающему с конфиденциальной информацией;
проанализировать методики отбора персонала для работы с конфиденциальной информацией;
подвести итоги исследования.

Объект исследования – конфиденциальная информация, а предмет – процесс и методики отбора персонала для работы с конфиденциальной информацией.

Теоретическая база работы – научные труды исследователей вопросов информационной безопасности, конфиденциальной безопасности и управления персоналом, в частности – Василькова А. В., Мельникова В. В., Шаньгина В. Ф. и др. Кроме того, в процессе исследования использовался Федеральный закон «Об информации, информационных технологиях и о защите информации» и Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера».

1 Конфиденциальная информация

1.1 Понятие конфиденциальной информации

Под конфиденциальной информацией современные исследователи понимают незначительно отличающиеся вещи. Так, одно из наиболее распространенных определений называет конфиденциальную информацию как данные с ограниченным доступом, которая не содержит государственной тайны.

Необходимо отметить, что само слово «конфиденциальность» в переводе с латинского означает «доверие». Получается, при передаче информации, попадающей под определение «конфиденциальной», мы рассчитываем на ее сохранность и нераспространение. Это определение небезупречно. Вряд ли можно согласиться с определением конфиденциальной информации опять–таки через информацию с ограниченным доступом, не содержащую государственную тайну во–первых, потому, что такое определение оказывается в замкнутом круге: нельзя определять подобное подобным; во–вторых, государственная тайна – это тоже конфиденциальная информация.

Возникает вопрос и о соотношении конфиденциальной информации и информации ограниченного доступа. Понятие информации, находящейся в ограниченном обороте, очень «молодое» даже по меркам российского информационного права. Впервые это понятие было введено в Федеральный закон «О кредитных историях». Несмотря на то что смысловое содержание понятия информации, находящейся в ограниченном обороте, активно использовалось и ранее, законодатель официально ввел его в российскую правовую систему только в начале 2005 г. Согласно ч. 4 ст. 7 указанного законодательного акта совокупность информации, содержащейся в титульной, основной и дополнительной (закрытой) частях кредитных историй, является ограниченно оборотоспособным объектом [15].

Представляется не только достаточно удобным, но и обоснованным и возможным распространить этот термин на весь спектр информации, хоть и не относящейся к государственной тайне, но свободное распространение которой нанесет существенный вред общественным отношениям. Под информацией, находящейся в ограниченном обороте, следует понимать информацию, обладатель которой принимает меры к ее охране и защите и свободное распространение которой может нарушить права и свободы человека или затронуть его законные интересы, а также может нанести вред экономическим интересам организации.

В действующем законодательстве отсутствует единое понятие конфиденциальной информации, равно как и четкое определение ее структурного состава. Согласно ст. 2 Закона об информации в качестве конфиденциальной признается документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ [1].

Указом Президента РФ от 06.03.1997 утвержден Перечень сведений конфиденциального характера. В этот перечень включены:

сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами РФ;
служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна);
сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и пр.);
сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна);
сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [2].

Из приведенного перечня видно, что информация, находящаяся в ограниченном обороте, встречается во многих сферах общественной жизни. Информация, находящаяся в ограниченном обороте, характеризуется следующими признаками: она не является государственной тайной; в информации содержатся сведения, свободный оборот которых может нанести ущерб обладателю данных сведений или лицу, сведения о котором содержатся в информации. Собственник или законный обладатель принимает меры по охране и защите информации

1.2 Методы защиты конфиденциальной информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

На практике используют несколько групп методов защиты, в том числе:

препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
управление, или оказание воздействия на элементы защищаемой системы;
маскировка, или преобразование данных, обычно – криптографическими способами;
регламентация, или разработка нормативно–правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
побуждение, или создание условий, которые мотивируют пользователей к должному поведению [20].

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.

Организационные средства защиты информации

Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.

Чаще всего специалисты по безопасности:

разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ–менеджментом организации;
составляют планы восстановления системы на случай выхода из строя по любым причинам [16].

Если в компании нет выделенной ИБ–службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ–инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
обеспечение возможности использовать резервные системы электропитания;
обеспечение безопасности от пожара или повреждения оборудования водой;
установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа [7].

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией.
Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль [4].

В данной главе исследования было определено, что именно понимается в ключе категории «конфиденциальная безопасность». Выяснено, что определения конфиденциальной безопасности расходятся, но при этом все основываются на положениях, установленных законодательно. Также в первой главе данной работы было определено, какие именно меры и методы обеспечения информационной безопасности наиболее распространены, и выявлено, что весомым значением обладает организационная группа методов обеспечения информационной безопасности, к которой, в том числе, относится и работа с персоналом.

2 Система отбора персонала для работы с конфиденциальной информацией

2.1 Требования к персоналу, работающему с конфиденциальной информацией

Из информации, приведенной в предыдущей главе становится очевидно, что работа с персоналом входит в организационных блок мероприятий по обеспечению конфиденциальности информации и информационной безопасности предприятия в целом. Так, при осуществлении подбора сотрудников, которым предстоит работа с конфиденциальной информацией, необходимо обратить внимание на личные характеристики и качества соискателей, оценить их честность и порядочность, и только после этого станет возможной адекватная оценка их профессиональных компетенций, знаний, умений, навыков.

В самом начале отбора кандидатов должны быть отсеяны соискатели, которые формально, согласно результатам применения оценочных методик, не соответствуют требованиям к должности. Так, HR-менеджеру необходимо обращать внимание на анализ достоверности и корректности предъявленных документов, а также на верность заполнения анкет/опросников для соискателей – соответствие фамилии, имени и отчества, других персональных данных, наличие в документах необходимых отметок и записей, идентичность фотографий и личности гражданина и т.п. Все печати должны соответствовать названиям тех организаций, которые выдали документ. Подобные первичные признаки при грамотном подходе позволят определить недобросовестность или некоторую неискренность/непорядочность соискателя в самом начале отбора [10]

При каких–либо сомнениях соискателя можно попросить представить дубликаты испорченных документов, заверить исправления. Документы, вызвавшие явное сомнение, возвращаются гражданину и одновременно ему отказывается в рассмотрении вопроса о приеме на работу. Только после тщательного анализа представленных документов с кандидатами на должность проводится собеседование.

По мнению многих специалистов в области защиты информации при беседах и собеседованиях с кандидатами на должность преследуются следующие цели:

выявить реальную причину желания кандидата работать на данной фирме;
выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут способствовать шпионажу;
убедиться, что кандидат не принес с собой конфиденциальную информацию другой фирмы, которую хочет тайно использовать;
убедиться в добровольном согласии кандидата соблюдать правила защиты информации и иметь определенные ограничения в профессиональной и личной жизни [8].

Ответы кандидата фиксируются и отдельные из ответов, вызывающие сомнения, уточняются путем опроса знающих кандидата лиц, путем тестирования и другими приемами (если это необходимо – с помощью частных детективных агентств).

Особое внимание обращается на правильность составления вопросников для собеседования с кандидатами на должность, логическую последовательность вопросов. Например, заготовки вопросников, должны касаться всех сторон изучаемой человеческой личности – отношение к работе, отношение к профессиональному росту, отношение к коллегам по работе, отношения в семье, поведение в конфликтных ситуациях, отношение к употреблению алкоголя и наркотиков, отношение к случайным интимным связям и т.д.

Одной из главных задач собеседования и тестирования является выявление несоответствия мотивации в различных логических группах вопросов. Например: несоответствие – хочет получать большую зарплату, но раньше ее уже получал, работал близко от дома, а хочет работать на предприятии, находящемся на значительном отдалении и т.п. [21]

С точки зрения безопасности психологический отбор способствует:

выявлению преступных связей, сомнительных знакомств, криминальных действий;
определению характера преступных склонностей, предрасположенности кандидата к совершению противоправных действий, дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;
установлению факторов, свидетельствующих о морально–психологической ненадежности, неустойчивости, уязвимости психики кандидата и т.д. [19]

К основным личным качествам, которыми должен обладать потенциальный работник, связанных с конфиденциальной информацией относятся следующие:

порядочность, честность, принципиальность и добросовестность;
исполнительность, дисциплинированность;
эмоциональная устойчивость (самообладание);
стремление к успеху и порядок в работе;
самоконтроль в поступках и действиях;
правильная самооценка собственных возможностей и способностей;
умеренная склонность к риску;
умение хранить секреты в любой обстановке и любом состоянии;
тренированное внимание;
хорошая память, умение вести сравнительную оценку фактов, предложений и т.д. [3]

Личные качества, не способствующие сохранению секретов:

эмоциональное расстройство;
неуравновешенность поведения;
разочарование в себе и своих способностях;
отчуждение от коллег по работе;
недовольство своим служебным положением;
ущемленное личное самолюбие;
крайне эгоистическое поведение;
отсутствие достаточного благоразумия;
нежелание и неспособность защищать информацию;
нечестность;
финансовая безответственность, желание получать деньги без особых затрат умственных и физических сил;
употребление наркотиков;
отрицательное воздействие алкоголя, приводящее к болтливости, необдуманным поступкам, случайным знакомствам и связям и т.д. [3]

Психологический отбор, как утверждают специалисты, не заменяет прежние, достаточно надежные кадровые процедуры (анализ документов, собеседование, опросы сослуживцев и лиц, знающих кандидата, оперативная проверка в правоохранительных органах и т.д.). Только при умелом сочетании традиционных и психологических кадровых методов анализа можно с высокой степенью достоверности прогнозировать поведение сотрудников в различных, в том числе экстремальных ситуациях.

При проведении любых экспертных мероприятий (собеседования, тестирования и т.п.) надо быть абсолютно уверенным в том, что перед вами именно тот человек, который выступает в роли кандидата на должность. Это подразумевает тщательную проверку паспортных данных, фотографий и самого претендента. Очки, парики, макияж и т.п. могут резко изменять внешность испытуемого. Целесообразны цветные фотографии, дающие возможность сравнить цвет глаз, волос, кожи лица. Ход собеседования может фиксироваться в аудио–, видеорежиме [22].

2.2 Методики отбора персонала для работы с конфиденциальной информацией

Организационные мероприятия при подборе и работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:

проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
инструктирование и обучение сотрудников практическим действиям по защите информации;
контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений и другие группы мероприятий [12].

При подборе кандидатов проводится оценка соответствия каждого из них следующим основным требованиям:

по уровню подготовки и квалификации, наличию необходимого опыта работы;
по морально–деловым и личностным качествам, степени ответственности за принимаемые управленческие и исполнительские решения (в зависимости от занимаемой должности).

Оптимальный результат поиска возможных кандидатов для назначения на должности, связанные с конфиденциальной информацией, достигается в случае, когда рассмотренные кандидатуры полностью удовлетворяют указанным требованиям.

В число основных методов проверки и оценки соответствия кандидата предъявляемым требованиям входят:

изучение материалов личного дела, анкетных, автобиографических и других персональных данных, резюме и иных документов кандидата;
личная беседа с кандидатом должностных лиц предприятия (работников кадрового органа);
проведение тестирования [17].

Одним из методов проверки соответствия кандидата поручаемой работе является испытание. Порядок установления и проведения испытания определяется ст. 70 Трудового кодекса РФ. По результатам испытания работодателем может быть принято решение о расторжении трудового договора с данным работником или о признании его выдержавшим испытание.

На основе изучения материалов личного дела, анкетных, автобиографических и других персональных данных, иных документов кандидата, а также результатов личной беседы с кандидатом должностных лиц предприятия (работников кадрового органа) формируется вывод об оценке соответствия кандидата предъявляемым требованиям. Результаты тестирования позволяют определить уровень подготовленности кандидата к выполнению должностных обязанностей, в том числе знание им положений нормативно–методических документов, и имеющиеся у него практические навыки работы по данной специальности [6].

При подготовке к собеседованию руководитель подразделения, на должность в котором претендует кандидат, совместно с кадровым органом должен:

сформулировать основные задачи и обязанности, которые предстоит выполнять сотруднику, занимающему указанную должность;
сформировать перечень сведений конфиденциального характера, к которым предполагается допустить сотрудника;
подготовить перечень форм и методов стимулирования труда сотрудника (в том числе материального);
подготовить должностную инструкцию, определяющую требования к кандидату для назначения на должность [6].

К кандидатам предъявляют следующие основные требования, касающиеся их морально–деловых и личностных качеств:

порядочность, честность, принципиальность и добросовестность;
исполнительность и дисциплинированность;
эмоциональная устойчивость (самообладание);
постоянное стремление к повышению уровня теоретических знаний и практических навыков;
способность выделить главное в работе, сконцентрироваться на решении наиболее важных вопросов;
правильная оценка собственных способностей и возможностей;
умеренная склонность к возможным рискам;
хорошая память.

Оптимальный результат работы по подбору кадров – отбор необходимого числа кандидатов для назначения на конкретные должности, в полном объеме удовлетворяющих предъявляемым требованиям [14].

При подборе кандидатов для назначения на должности, связанные с конфиденциальной информацией, в обязательном порядке учитывается уровень каждой конкретной должности с точки зрения принятия и реализации управленческих решений, выполнения организаторских функций и задач повседневной деятельности предприятия. Исходя из названных критериев, такие должности подразделяют на следующие группы:

должности руководителей предприятия (руководитель предприятия, его филиала, представительства);
должности заместителей руководителя;
должности руководителей структурных подразделений;
должности руководителей служб безопасности и их заместителей;
должности сотрудников служб безопасности предприятия;
должности сотрудников предприятия, осуществляющих на постоянной основе работу с конфиденциальной информацией в соответствующих структурных подразделениях [4].

При отборе кандидатов для назначения на перечисленные должности дополнительно учитывается объем и важность сведений конфиденциального характера, к которым допускаются сотрудники, занимающие эти должности.

Особенности подбора, приема и оформления на работу кандидатов для назначения на должности, связанные с допуском к государственной тайне, определены в Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне. В данной инструкции конкретизированы функции, возлагаемые на кадровый орган предприятия (должностное лицо, ведущее кадровую работу) и сотрудника этого органа, ответственного за работу с кандидатами при их приеме на работу.

В ходе предварительной беседы с оформляемым на работу гражданином работник кадрового органа наряду с уточнением отдельных вопросов анкеты, заполняемой при оформлении материалов на допуск к государственной тайне, выявляет представляющие интерес сведения, не предусмотренные вопросами анкеты:

имел ли гражданин за последний год отношение к секретным работам, документам и изделиям;
давал ли он обязательство по неразглашению сведений, составляющих государственную тайну;
работал ли (служил) на режимных объектах [6].

Работник кадрового органа также запрашивает необходимые справки и документы, знакомит гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.

После принятия решения о назначении кандидата, наиболее полно удовлетворяющего предъявляемым требованиям, на должность, связанную с допуском к конфиденциальной информации, руководитель структурного подразделения, в которое назначено лицо, совместно со службой безопасности предприятия (режимно–секретным подразделением) организует проведение инструктажа. В ходе инструктажа до сведения вновь назначенного лица доводятся его должностные обязанности, положения нормативно–методических и внутренних организационно–распорядительных документов, регламентирующих вопросы защиты конфиденциальной информации на предприятии. Подготовка сотрудника к исполнению обязанностей в соответствии с новой должностью осуществляется по плацу, утверждаемому руководителем структурного подразделения, в которое назначен данный сотрудник [18].

По мнению большинства специалистов по безопасности информационных систем, главное внимание должно быть обращено на персонал, постоянно работающий с конфиденциальными документами и базами данных, и это важно не только на этапе отбора сотрудников, но и в повседневной профессиональной деятельности.

Основными задачами должны быть две:

максимально затруднить работу злоумышленнику или его сообщнику по добыванию необходимой информации, противодействовать им в пассивном или активном режиме на основе результатов аналогичных выводов
не допустить установления определенных взаимоотношений злоумышленника и сотрудника фирмы, владеющего конфиденциальной информацией.

Текущая работа с персоналом, обладающим конфиденциальной информацией, включает в себя:

обучение и систематическое инструктирование сотрудников;
проведение регулярной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами;
постоянный контроль за выполнением персоналом требований по защите конфиденциальной информации;
контрольную работу по изучению степени осведомленности персонала в области конфиденциальных работ фирмы;
проведение, служебных расследований по фактам утечки информации и нарушений персоналом требований по защите информации;
совершенствование методики текущей работы с персоналом [21].

Процесс обучения сотрудников фирмы правилам защиты информации должен быть постоянным, так как система защиты требует регулярного обновления и видоизменения. Занятия не должны превращаться в редкие, необязательные и формальные собрания. Обучение сотрудника начинается с момента проведения собеседования с ним при приеме на работу и подписания им обязательства о неразглашении тайны и кончая моментом увольнения и подписания этим лицом обязательства о недопустимости использования конфиденциальных сведений в чьих–либо целях.

Обучение сотрудников может начинаться также с момента начала работы коллектива над новой идеей, оцененной в качестве фирменного секрета, работы с использованием ноу–хау и т.п. Обычная периодичность обучения для работающих сотрудников один раз в 3–5 лет, как правило, после аттестации или перезаключения контракта [15].

Задачи обучения включают в себя изучение:

характера и состава конфиденциальной информации;
возможных угроз конфиденциальным сведениям, каналов их объективного распространения и каналов утраты, методов работы злоумышленников;
структуры системы защиты, требований и правил защиты конфиденциальной информации;
порядка работы сотрудников с конфиденциальными сведениями, документами и базами данных;
действий персонала в конкретных экстремальных ситуациях [19].

Обучение сотрудников предполагает приобретение и поддержание на высоком уровне производственных навыков работы с конфиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой конфиденциальной информации.

Персонал должен получить знания по оценке важности тех или иных сведений для упрочения престижа фирмы и ее финансовой стабильности, а значит, и для благополучия каждого сотрудника. Методика обучения включает в себя:

специализированные программы обучения для обеспечения лекционных курсов и практических занятий;
проведение лекций, семинаров и собеседований как общеознакомительного плана, так и по конкретным направлениям защиты; тестирование сотрудников;
решение ситуационных задач, связанных с выполнением необходимых требований по защите конфиденциальной информации;
практическую ситуационную учебу по действиям персонала в экстремальных ситуациях;
проведение деловых игр, обучающих методам противодействия замыслам злоумышленника [8].

Очень важно сделать процесс обучения индивидуализированным. Он должен быть конкретизирован по должностному составу сотрудников, по типовым рабочим местам и часто – по отдельным сотрудникам.

В процессе обучения сотрудник должен получить только те знания, которые ему необходимы для работы. Избыточности знаний в области состава конфиденциальной информации и способов ее защиты не должно быть. Отдельно от остального персонала обучаются сотрудники службы безопасности, секретарь–референт, сотрудники, работающие с особо ценными документами, делами и изделиями.

Информация, сообщаемая в процессе обучения сотрудников, является строго конфиденциальной. Конспекты, записи сотрудники делают в специальных тетрадях, хранящихся в соответствии с общим порядком работы с конфиденциальными документами. По окончании обучения проводится проверка усвоения сотрудниками полученных знаний. Результаты проверки фиксируются в протоколе комиссии, ведущей проверку.

Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Сотрудники, не прошедшие проверку знаний, от работы с конфиденциальной информацией отстраняются. Одновременно с обучением должны проводиться регулярные совещания–инструктажи с сотрудниками [9].

В процессе инструктажа:

до сведения сотрудников доводятся изменения и дополнения, внесенные в действующие нормативно–методические документы по защите информации, приказы и указания руководства фирмы в области защиты информации и информационной безопасности;
сотрудники информируются о конкретных угрозах информации, о каналах утечки информации, действиях злоумышленников, принятых дополнительных мерах по защите информации;
анализируются случаи нарушения правил защиты информации сотрудниками, сообщается о фактах утраты секретов по вине сотрудников. Инструктаж, так же как и обучение, проводится индивидуально, информация, сообщаемая на инструктажах, разглашению не подлежит.

Совещания–инструктажи проводятся, как правило, по мере необходимости. Следовательно, обязательной и первостепенной частью текущей работы с персоналом должно стать обучение сотрудников правилам работы с конфиденциальной информацией, документами и базами данных [9].

Трудно говорить об эффективности работы с персоналом, если сотрудники не имеют достаточно твердых представлений о системе защиты конфиденциальной информации, методах противодействия злоумышленникам. Обучение и инструктаж находится в тесной связи с процессом воспитания сотрудников, направленным на то, чтобы привить им устойчивые мотивационные стереотипы поведения в той или иной ситуации, связанной с обеспечением недоступности информации посторонним лицам, исключением возможности несанкционированного доступа этих лиц к ценным и конфиденциальным сведениям. Воспитание – это процесс систематического и целенаправленного воздействия на формирование и развитие личности в целях наиболее полного использования ее профессиональных способностей, деловых, высоких моральных и иных положительных качеств для деятельности фирмы, повышения ее благополучия и конкурентоспособности.

Воздействие на личность осуществляется руководством фирмы в процессе обучения и инструктажа сотрудников, коллективом фирмы в процессе решения совместных производственных и иных задач и отдельными сотрудниками фирмы в неформальной обстановке. Воспитательный процесс тесно связан с исследованием мотиваций в поведении человека. Функция мотивации поведения, мышления и действий персонала в различных ситуациях и жизненных обстоятельствах имеет существенное значение в управлении персоналом, особенно если его деятельность связана с владением ценными и конфиденциальными сведениями [6].

Во второй главе исследования определено, какими чертами и личностными характеристиками должны обладать соискатели, претендующие на должности, сопряженные с конфиденциальной информацией. При этом определено также, что отбор персонала – наиболее подходящий этап для формирования представления о сотруднике как о подходящем на подобную должность, так как раннее выявление подходящих и неподходящих черт позволяет минимизировать возможные риски. Также во второй главе рассмотрены методики отбора персонала для работы с конфиденциальной информацией – какие именно методики необходимо использовать, что спрашивать и как выявить соответствие и несоответствие той или иной должности.

ЗАКЛЮЧЕНИЕ

В ходе исследования была достигнута поставленная цель – изучены методики отбора персонала для работы с конфиденциальной информацией. Для достижения данной цели были выполнены поставленные цели:

рассмотрено понятие конфиденциальной информации;
охарактеризованы методы защиты конфиденциальной информации;
описаны требования к персоналу, работающему с конфиденциальной информацией;
проанализированы методики отбора персонала для работы с конфиденциальной информацией.

При выполнении работы определено, что именно представляет собой конфиденциальная информация, и какие методы ее защиты на сегодняшний день существуют. Необходимо отметить, что работа с персоналом является одним из важнейших мероприятий, входящих в блок организационных мер, реализуемых в ключе обеспечения информационной безопасности. Работа с конфиденциальной информацией требует от сотрудника не только определенных профессиональных навыков и умений, но также и наличия некоторых личностных характеристик, которые позволят минимизировать риск раскрытия и несанкционированного использования конфиденциальной информации.

Также определено, что чем раньше соответствующие личностные характеристики будут выявлены, тем меньше риск для информационной безопасности. Именно в связи с этим так велико значение методик, применяемых при отборе персонала для работы с конфиденциальной информацией. В ключе данной работы также было обнаружено, что большим значением обладают не только мероприятия отбора персонала, но и дальнейшая работа с ним, которая позволит поддерживать уровень безопасности достаточно высоко.

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

Федеральный закон от 27 июля 2006 г. N 149–ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс]. Режим доступа: http://ivo.garant.ru/
Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями и дополнениями) [Электронный ресурс]. Режим доступа: http://base.garant.ru/
Баранова, Е. К. Информационная безопасность и защита информации: Учебное пособие / Е. К. Баранова, А.В. Бабаш. – М.: Риор, 2017. – 400 c.
Бирюков, А. А. Информационная безопасность. Защита и нападение / А. А. Бирюков. – М.: ДМК Пресс, 2015. – 474 c.
Брэгг, Р. Безопасность сетей: полное руководство / Р. Брэгг, М. Родс–Оусли, К. Страссберг. – М.: ЭКОМ, 2016. – 912 c.
Бузов, Г. А. Защита информации ограниченного доступа от утечки по техническим каналам / Г. А. Бузов. – М.: Горячая линия – Телеком, 2017. – 594 c.
Вагин, В. Н. Достоверный и правдоподобный вывод в интеллектуальных системах / В. Н. Вагин, Е. Ю. Головина, А. А. Загорянская. – Москва: Наука, 2015. – 684 c.
Васильков, А. В. Безопасность и управление доступом в информационных системах / А. В. Васильков, И. А. Васильков. – М.: Форум, 2016. – 368 c.
Васильков, А. В. Информационные системы и их безопасность / А. В. Васильков, А. А. Васильков, И. А. Васильков. – М.: Форум, 2016. – 528 c.
Галицкий, А. В. Защита информации в сети – анализ технологий и синтез решений / А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М.: Машиностроение, 2017. – 615 c.
Гафнер, В. В. Информационная безопасность / В. В. Гафнер. – М.: Феникс, 2014. – 336 c.
Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н. В. Гришина. – М.: Форум, 2015. – 240 c.
Девянин, П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах: моногр. / П. Н. Девянин. – М.: ИЛ, 2016. – 176 c.
Дейнеко, А. В. Управление персоналом: Учебник / А. В. Дейнеко – М.: Издательско–торговая корпорация «Дашков и Ко», 2018.
Емельянова, Н. З. Защита информации в персональном компьютере / Н. З. Емельянова, Т. Л. Партыка, И. И. Попов. – М.: Форум, 2016. – 368 c.
Жук, А. П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О. М. Лепешкин, А. И. Тимошкин. – М.: Риор, 2017. – 480 c.
Игнатьев, В. А. Защита информации в корпоративных информационно–вычислительных сетях: Монография / В. А. Игнатьев. – Ст. Оскол: ТНТ, 2015. – 552 c.
Ищейнов, В. Я. Защита конфиденциальной информации / В.Я. Ищейнов, М. В. Мецатунян. – М.: Форум, 2017. – 256 c.
Копылов, В. А. Информационное право / В. А. Копылов. – М.: Машиностроение, 2015. – 512 c.
Малюк, А. А. Введение в защиту информации в автоматизированных системах. Учебное пособие / А. А. Малюк. – М.: РГГУ, 2016. – 148 c.
Мельников, В. В. Безопасность информации в автоматизированных системах / В. В. Мельников. – М.: Финансы и Статистика, 2017. – 368 c.
Шаньгин, В. Ф. Информационная безопасность и защита информации / В. Ф. Шаньгин. – М.: ДМК, 2016. – 702 c.
Шаньгин, В. Ф. Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. – М.: ИД ФОРУМ, НИЦ Инфра–М, 2017. – 592 c.
Шкатулла, В. И. Подбор персонала и управление им (как работодателю и работнику найти друг друга) / В. И. Шкатулла. – М.: Редакция «Российской газеты», 2017