Отбор персонала для работы с конфиденциальной информацией,виды методик
Содержание:
ВВЕДЕНИЕ
Вхождение в мировое информационное сообщество принесло стране множество очевидных преимуществ, но, в то же время, и значительно подняло уровень ответственности. Глобализация одним из своих последствий имеет высокий шанс распространения и раскрытия информации, которая не должна быть раскрыта. В связи с этим вопросы обеспечения информационной безопасности все больше занимают мысли представителей служб безопасности на самых разных уровней – от частных персональных компьютеров и индивидуальных предпринимателей до мегакорпораций и политических формирований. И это легко объяснимо – ведь повсеместная компьютеризация значительно подняла риски раскрытия и неправомерного использования конфиденциальной информации.
Так, к сегодняшнему дню сложился достаточно обширный перечень угроз информационной безопасности, некоторые из которых можно легко избежать, грамотно подбирая персонал. Такой инструмент обеспечения информационной безопасности как специализированный отбор сотрудников для работы с конфиденциальной безопасностью актуален как для коммерческих, так и для политических организаций. Работая с документацией, сотрудники по простой случайности или недосмотру могут нарушить конфиденциальность безопасности, тем самым поставив под угрозу успешную деятельность всего предприятия. В связи с этим таким значительным представляется процесс отбора персонала для работы с конфиденциальной информацией.
Цель данной работы – изучение методик отбора персонала для работы с конфиденциальной информацией.
Задачи работы перечислены ниже:
- рассмотреть понятие конфиденциальной информации;
- охарактеризовать методы защиты конфиденциальной информации;
- описать требования к персоналу, работающему с конфиденциальной информацией;
- проанализировать методики отбора персонала для работы с конфиденциальной информацией;
- подвести итоги исследования.
Объект исследования – конфиденциальная информация, а предмет – процесс и методики отбора персонала для работы с конфиденциальной информацией.
Теоретическая база работы – научные труды исследователей вопросов информационной безопасности, конфиденциальной безопасности и управления персоналом, в частности – Василькова А. В., Мельникова В. В., Шаньгина В. Ф. и др. Кроме того, в процессе исследования использовался Федеральный закон «Об информации, информационных технологиях и о защите информации» и Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера».
1 Конфиденциальная информация
1.1 Понятие конфиденциальной информации
Под конфиденциальной информацией современные исследователи понимают незначительно отличающиеся вещи. Так, одно из наиболее распространенных определений называет конфиденциальную информацию как данные с ограниченным доступом, которая не содержит государственной тайны.
Необходимо отметить, что само слово «конфиденциальность» в переводе с латинского означает «доверие». Получается, при передаче информации, попадающей под определение «конфиденциальной», мы рассчитываем на ее сохранность и нераспространение. Это определение небезупречно. Вряд ли можно согласиться с определением конфиденциальной информации опять–таки через информацию с ограниченным доступом, не содержащую государственную тайну во–первых, потому, что такое определение оказывается в замкнутом круге: нельзя определять подобное подобным; во–вторых, государственная тайна – это тоже конфиденциальная информация.
Возникает вопрос и о соотношении конфиденциальной информации и информации ограниченного доступа. Понятие информации, находящейся в ограниченном обороте, очень «молодое» даже по меркам российского информационного права. Впервые это понятие было введено в Федеральный закон «О кредитных историях». Несмотря на то что смысловое содержание понятия информации, находящейся в ограниченном обороте, активно использовалось и ранее, законодатель официально ввел его в российскую правовую систему только в начале 2005 г. Согласно ч. 4 ст. 7 указанного законодательного акта совокупность информации, содержащейся в титульной, основной и дополнительной (закрытой) частях кредитных историй, является ограниченно оборотоспособным объектом [15].
Представляется не только достаточно удобным, но и обоснованным и возможным распространить этот термин на весь спектр информации, хоть и не относящейся к государственной тайне, но свободное распространение которой нанесет существенный вред общественным отношениям. Под информацией, находящейся в ограниченном обороте, следует понимать информацию, обладатель которой принимает меры к ее охране и защите и свободное распространение которой может нарушить права и свободы человека или затронуть его законные интересы, а также может нанести вред экономическим интересам организации.
В действующем законодательстве отсутствует единое понятие конфиденциальной информации, равно как и четкое определение ее структурного состава. Согласно ст. 2 Закона об информации в качестве конфиденциальной признается документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ [1].
Указом Президента РФ от 06.03.1997 утвержден Перечень сведений конфиденциального характера. В этот перечень включены:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами РФ;
- служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с ГК РФ и федеральными законами (служебная тайна);
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией РФ и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и пр.);
- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с ГК РФ и федеральными законами (коммерческая тайна);
- сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [2].
Из приведенного перечня видно, что информация, находящаяся в ограниченном обороте, встречается во многих сферах общественной жизни. Информация, находящаяся в ограниченном обороте, характеризуется следующими признаками: она не является государственной тайной; в информации содержатся сведения, свободный оборот которых может нанести ущерб обладателю данных сведений или лицу, сведения о котором содержатся в информации. Собственник или законный обладатель принимает меры по охране и защите информации
1.2 Методы защиты конфиденциальной информации
Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.
Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.
На практике используют несколько групп методов защиты, в том числе:
- препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
- управление, или оказание воздействия на элементы защищаемой системы;
- маскировка, или преобразование данных, обычно – криптографическими способами;
- регламентация, или разработка нормативно–правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
- принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
- побуждение, или создание условий, которые мотивируют пользователей к должному поведению [20].
Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.
Организационные средства защиты информации
Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.
Чаще всего специалисты по безопасности:
- разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
- проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
- разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
- внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ–менеджментом организации;
- составляют планы восстановления системы на случай выхода из строя по любым причинам [16].
Если в компании нет выделенной ИБ–службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ–инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.
Технические средства защиты информации
Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:
- резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
- дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
- создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
- обеспечение возможности использовать резервные системы электропитания;
- обеспечение безопасности от пожара или повреждения оборудования водой;
- установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа [7].
В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.
Аутентификация и идентификация
Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.
Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией.
Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.
Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль [4].
В данной главе исследования было определено, что именно понимается в ключе категории «конфиденциальная безопасность». Выяснено, что определения конфиденциальной безопасности расходятся, но при этом все основываются на положениях, установленных законодательно. Также в первой главе данной работы было определено, какие именно меры и методы обеспечения информационной безопасности наиболее распространены, и выявлено, что весомым значением обладает организационная группа методов обеспечения информационной безопасности, к которой, в том числе, относится и работа с персоналом.
2 Система отбора персонала для работы с конфиденциальной информацией
2.1 Требования к персоналу, работающему с конфиденциальной информацией
Из информации, приведенной в предыдущей главе становится очевидно, что работа с персоналом входит в организационных блок мероприятий по обеспечению конфиденциальности информации и информационной безопасности предприятия в целом. Так, при осуществлении подбора сотрудников, которым предстоит работа с конфиденциальной информацией, необходимо обратить внимание на личные характеристики и качества соискателей, оценить их честность и порядочность, и только после этого станет возможной адекватная оценка их профессиональных компетенций, знаний, умений, навыков.
В самом начале отбора кандидатов должны быть отсеяны соискатели, которые формально, согласно результатам применения оценочных методик, не соответствуют требованиям к должности. Так, HR-менеджеру необходимо обращать внимание на анализ достоверности и корректности предъявленных документов, а также на верность заполнения анкет/опросников для соискателей – соответствие фамилии, имени и отчества, других персональных данных, наличие в документах необходимых отметок и записей, идентичность фотографий и личности гражданина и т.п. Все печати должны соответствовать названиям тех организаций, которые выдали документ. Подобные первичные признаки при грамотном подходе позволят определить недобросовестность или некоторую неискренность/непорядочность соискателя в самом начале отбора [10]
При каких–либо сомнениях соискателя можно попросить представить дубликаты испорченных документов, заверить исправления. Документы, вызвавшие явное сомнение, возвращаются гражданину и одновременно ему отказывается в рассмотрении вопроса о приеме на работу. Только после тщательного анализа представленных документов с кандидатами на должность проводится собеседование.
По мнению многих специалистов в области защиты информации при беседах и собеседованиях с кандидатами на должность преследуются следующие цели:
- выявить реальную причину желания кандидата работать на данной фирме;
- выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут способствовать шпионажу;
- убедиться, что кандидат не принес с собой конфиденциальную информацию другой фирмы, которую хочет тайно использовать;
- убедиться в добровольном согласии кандидата соблюдать правила защиты информации и иметь определенные ограничения в профессиональной и личной жизни [8].
Ответы кандидата фиксируются и отдельные из ответов, вызывающие сомнения, уточняются путем опроса знающих кандидата лиц, путем тестирования и другими приемами (если это необходимо – с помощью частных детективных агентств).
Особое внимание обращается на правильность составления вопросников для собеседования с кандидатами на должность, логическую последовательность вопросов. Например, заготовки вопросников, должны касаться всех сторон изучаемой человеческой личности – отношение к работе, отношение к профессиональному росту, отношение к коллегам по работе, отношения в семье, поведение в конфликтных ситуациях, отношение к употреблению алкоголя и наркотиков, отношение к случайным интимным связям и т.д.
Одной из главных задач собеседования и тестирования является выявление несоответствия мотивации в различных логических группах вопросов. Например: несоответствие – хочет получать большую зарплату, но раньше ее уже получал, работал близко от дома, а хочет работать на предприятии, находящемся на значительном отдалении и т.п. [21]
С точки зрения безопасности психологический отбор способствует:
- выявлению преступных связей, сомнительных знакомств, криминальных действий;
- определению характера преступных склонностей, предрасположенности кандидата к совершению противоправных действий, дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;
- установлению факторов, свидетельствующих о морально–психологической ненадежности, неустойчивости, уязвимости психики кандидата и т.д. [19]
К основным личным качествам, которыми должен обладать потенциальный работник, связанных с конфиденциальной информацией относятся следующие:
- порядочность, честность, принципиальность и добросовестность;
- исполнительность, дисциплинированность;
- эмоциональная устойчивость (самообладание);
- стремление к успеху и порядок в работе;
- самоконтроль в поступках и действиях;
- правильная самооценка собственных возможностей и способностей;
- умеренная склонность к риску;
- умение хранить секреты в любой обстановке и любом состоянии;
- тренированное внимание;
- хорошая память, умение вести сравнительную оценку фактов, предложений и т.д. [3]
Личные качества, не способствующие сохранению секретов:
- эмоциональное расстройство;
- неуравновешенность поведения;
- разочарование в себе и своих способностях;
- отчуждение от коллег по работе;
- недовольство своим служебным положением;
- ущемленное личное самолюбие;
- крайне эгоистическое поведение;
- отсутствие достаточного благоразумия;
- нежелание и неспособность защищать информацию;
- нечестность;
- финансовая безответственность, желание получать деньги без особых затрат умственных и физических сил;
- употребление наркотиков;
- отрицательное воздействие алкоголя, приводящее к болтливости, необдуманным поступкам, случайным знакомствам и связям и т.д. [3]
Психологический отбор, как утверждают специалисты, не заменяет прежние, достаточно надежные кадровые процедуры (анализ документов, собеседование, опросы сослуживцев и лиц, знающих кандидата, оперативная проверка в правоохранительных органах и т.д.). Только при умелом сочетании традиционных и психологических кадровых методов анализа можно с высокой степенью достоверности прогнозировать поведение сотрудников в различных, в том числе экстремальных ситуациях.
При проведении любых экспертных мероприятий (собеседования, тестирования и т.п.) надо быть абсолютно уверенным в том, что перед вами именно тот человек, который выступает в роли кандидата на должность. Это подразумевает тщательную проверку паспортных данных, фотографий и самого претендента. Очки, парики, макияж и т.п. могут резко изменять внешность испытуемого. Целесообразны цветные фотографии, дающие возможность сравнить цвет глаз, волос, кожи лица. Ход собеседования может фиксироваться в аудио–, видеорежиме [22].
2.2 Методики отбора персонала для работы с конфиденциальной информацией
Организационные мероприятия при подборе и работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:
- проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
- документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
- инструктирование и обучение сотрудников практическим действиям по защите информации;
- контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений и другие группы мероприятий [12].
При подборе кандидатов проводится оценка соответствия каждого из них следующим основным требованиям:
- по уровню подготовки и квалификации, наличию необходимого опыта работы;
- по морально–деловым и личностным качествам, степени ответственности за принимаемые управленческие и исполнительские решения (в зависимости от занимаемой должности).
Оптимальный результат поиска возможных кандидатов для назначения на должности, связанные с конфиденциальной информацией, достигается в случае, когда рассмотренные кандидатуры полностью удовлетворяют указанным требованиям.
В число основных методов проверки и оценки соответствия кандидата предъявляемым требованиям входят:
- изучение материалов личного дела, анкетных, автобиографических и других персональных данных, резюме и иных документов кандидата;
- личная беседа с кандидатом должностных лиц предприятия (работников кадрового органа);
- проведение тестирования [17].
Одним из методов проверки соответствия кандидата поручаемой работе является испытание. Порядок установления и проведения испытания определяется ст. 70 Трудового кодекса РФ. По результатам испытания работодателем может быть принято решение о расторжении трудового договора с данным работником или о признании его выдержавшим испытание.
На основе изучения материалов личного дела, анкетных, автобиографических и других персональных данных, иных документов кандидата, а также результатов личной беседы с кандидатом должностных лиц предприятия (работников кадрового органа) формируется вывод об оценке соответствия кандидата предъявляемым требованиям. Результаты тестирования позволяют определить уровень подготовленности кандидата к выполнению должностных обязанностей, в том числе знание им положений нормативно–методических документов, и имеющиеся у него практические навыки работы по данной специальности [6].
При подготовке к собеседованию руководитель подразделения, на должность в котором претендует кандидат, совместно с кадровым органом должен:
- сформулировать основные задачи и обязанности, которые предстоит выполнять сотруднику, занимающему указанную должность;
- сформировать перечень сведений конфиденциального характера, к которым предполагается допустить сотрудника;
- подготовить перечень форм и методов стимулирования труда сотрудника (в том числе материального);
- подготовить должностную инструкцию, определяющую требования к кандидату для назначения на должность [6].
К кандидатам предъявляют следующие основные требования, касающиеся их морально–деловых и личностных качеств:
- порядочность, честность, принципиальность и добросовестность;
- исполнительность и дисциплинированность;
- эмоциональная устойчивость (самообладание);
- постоянное стремление к повышению уровня теоретических знаний и практических навыков;
- способность выделить главное в работе, сконцентрироваться на решении наиболее важных вопросов;
- правильная оценка собственных способностей и возможностей;
- умеренная склонность к возможным рискам;
- хорошая память.
Оптимальный результат работы по подбору кадров – отбор необходимого числа кандидатов для назначения на конкретные должности, в полном объеме удовлетворяющих предъявляемым требованиям [14].
При подборе кандидатов для назначения на должности, связанные с конфиденциальной информацией, в обязательном порядке учитывается уровень каждой конкретной должности с точки зрения принятия и реализации управленческих решений, выполнения организаторских функций и задач повседневной деятельности предприятия. Исходя из названных критериев, такие должности подразделяют на следующие группы:
- должности руководителей предприятия (руководитель предприятия, его филиала, представительства);
- должности заместителей руководителя;
- должности руководителей структурных подразделений;
- должности руководителей служб безопасности и их заместителей;
- должности сотрудников служб безопасности предприятия;
- должности сотрудников предприятия, осуществляющих на постоянной основе работу с конфиденциальной информацией в соответствующих структурных подразделениях [4].
При отборе кандидатов для назначения на перечисленные должности дополнительно учитывается объем и важность сведений конфиденциального характера, к которым допускаются сотрудники, занимающие эти должности.
Особенности подбора, приема и оформления на работу кандидатов для назначения на должности, связанные с допуском к государственной тайне, определены в Инструкции о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне. В данной инструкции конкретизированы функции, возлагаемые на кадровый орган предприятия (должностное лицо, ведущее кадровую работу) и сотрудника этого органа, ответственного за работу с кандидатами при их приеме на работу.
В ходе предварительной беседы с оформляемым на работу гражданином работник кадрового органа наряду с уточнением отдельных вопросов анкеты, заполняемой при оформлении материалов на допуск к государственной тайне, выявляет представляющие интерес сведения, не предусмотренные вопросами анкеты:
- имел ли гражданин за последний год отношение к секретным работам, документам и изделиям;
- давал ли он обязательство по неразглашению сведений, составляющих государственную тайну;
- работал ли (служил) на режимных объектах [6].
Работник кадрового органа также запрашивает необходимые справки и документы, знакомит гражданина с содержанием договора (контракта) об оформлении допуска к государственной тайне.
После принятия решения о назначении кандидата, наиболее полно удовлетворяющего предъявляемым требованиям, на должность, связанную с допуском к конфиденциальной информации, руководитель структурного подразделения, в которое назначено лицо, совместно со службой безопасности предприятия (режимно–секретным подразделением) организует проведение инструктажа. В ходе инструктажа до сведения вновь назначенного лица доводятся его должностные обязанности, положения нормативно–методических и внутренних организационно–распорядительных документов, регламентирующих вопросы защиты конфиденциальной информации на предприятии. Подготовка сотрудника к исполнению обязанностей в соответствии с новой должностью осуществляется по плацу, утверждаемому руководителем структурного подразделения, в которое назначен данный сотрудник [18].
По мнению большинства специалистов по безопасности информационных систем, главное внимание должно быть обращено на персонал, постоянно работающий с конфиденциальными документами и базами данных, и это важно не только на этапе отбора сотрудников, но и в повседневной профессиональной деятельности.
Основными задачами должны быть две:
- максимально затруднить работу злоумышленнику или его сообщнику по добыванию необходимой информации, противодействовать им в пассивном или активном режиме на основе результатов аналогичных выводов
- не допустить установления определенных взаимоотношений злоумышленника и сотрудника фирмы, владеющего конфиденциальной информацией.
Текущая работа с персоналом, обладающим конфиденциальной информацией, включает в себя:
- обучение и систематическое инструктирование сотрудников;
- проведение регулярной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами;
- постоянный контроль за выполнением персоналом требований по защите конфиденциальной информации;
- контрольную работу по изучению степени осведомленности персонала в области конфиденциальных работ фирмы;
- проведение, служебных расследований по фактам утечки информации и нарушений персоналом требований по защите информации;
- совершенствование методики текущей работы с персоналом [21].
Процесс обучения сотрудников фирмы правилам защиты информации должен быть постоянным, так как система защиты требует регулярного обновления и видоизменения. Занятия не должны превращаться в редкие, необязательные и формальные собрания. Обучение сотрудника начинается с момента проведения собеседования с ним при приеме на работу и подписания им обязательства о неразглашении тайны и кончая моментом увольнения и подписания этим лицом обязательства о недопустимости использования конфиденциальных сведений в чьих–либо целях.
Обучение сотрудников может начинаться также с момента начала работы коллектива над новой идеей, оцененной в качестве фирменного секрета, работы с использованием ноу–хау и т.п. Обычная периодичность обучения для работающих сотрудников один раз в 3–5 лет, как правило, после аттестации или перезаключения контракта [15].
Задачи обучения включают в себя изучение:
- характера и состава конфиденциальной информации;
- возможных угроз конфиденциальным сведениям, каналов их объективного распространения и каналов утраты, методов работы злоумышленников;
- структуры системы защиты, требований и правил защиты конфиденциальной информации;
- порядка работы сотрудников с конфиденциальными сведениями, документами и базами данных;
- действий персонала в конкретных экстремальных ситуациях [19].
Обучение сотрудников предполагает приобретение и поддержание на высоком уровне производственных навыков работы с конфиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой конфиденциальной информации.
Персонал должен получить знания по оценке важности тех или иных сведений для упрочения престижа фирмы и ее финансовой стабильности, а значит, и для благополучия каждого сотрудника. Методика обучения включает в себя:
- специализированные программы обучения для обеспечения лекционных курсов и практических занятий;
- проведение лекций, семинаров и собеседований как общеознакомительного плана, так и по конкретным направлениям защиты; тестирование сотрудников;
- решение ситуационных задач, связанных с выполнением необходимых требований по защите конфиденциальной информации;
- практическую ситуационную учебу по действиям персонала в экстремальных ситуациях;
- проведение деловых игр, обучающих методам противодействия замыслам злоумышленника [8].
Очень важно сделать процесс обучения индивидуализированным. Он должен быть конкретизирован по должностному составу сотрудников, по типовым рабочим местам и часто – по отдельным сотрудникам.
В процессе обучения сотрудник должен получить только те знания, которые ему необходимы для работы. Избыточности знаний в области состава конфиденциальной информации и способов ее защиты не должно быть. Отдельно от остального персонала обучаются сотрудники службы безопасности, секретарь–референт, сотрудники, работающие с особо ценными документами, делами и изделиями.
Информация, сообщаемая в процессе обучения сотрудников, является строго конфиденциальной. Конспекты, записи сотрудники делают в специальных тетрадях, хранящихся в соответствии с общим порядком работы с конфиденциальными документами. По окончании обучения проводится проверка усвоения сотрудниками полученных знаний. Результаты проверки фиксируются в протоколе комиссии, ведущей проверку.
Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Сотрудники, не прошедшие проверку знаний, от работы с конфиденциальной информацией отстраняются. Одновременно с обучением должны проводиться регулярные совещания–инструктажи с сотрудниками [9].
В процессе инструктажа:
- до сведения сотрудников доводятся изменения и дополнения, внесенные в действующие нормативно–методические документы по защите информации, приказы и указания руководства фирмы в области защиты информации и информационной безопасности;
- сотрудники информируются о конкретных угрозах информации, о каналах утечки информации, действиях злоумышленников, принятых дополнительных мерах по защите информации;
- анализируются случаи нарушения правил защиты информации сотрудниками, сообщается о фактах утраты секретов по вине сотрудников. Инструктаж, так же как и обучение, проводится индивидуально, информация, сообщаемая на инструктажах, разглашению не подлежит.
Совещания–инструктажи проводятся, как правило, по мере необходимости. Следовательно, обязательной и первостепенной частью текущей работы с персоналом должно стать обучение сотрудников правилам работы с конфиденциальной информацией, документами и базами данных [9].
Трудно говорить об эффективности работы с персоналом, если сотрудники не имеют достаточно твердых представлений о системе защиты конфиденциальной информации, методах противодействия злоумышленникам. Обучение и инструктаж находится в тесной связи с процессом воспитания сотрудников, направленным на то, чтобы привить им устойчивые мотивационные стереотипы поведения в той или иной ситуации, связанной с обеспечением недоступности информации посторонним лицам, исключением возможности несанкционированного доступа этих лиц к ценным и конфиденциальным сведениям. Воспитание – это процесс систематического и целенаправленного воздействия на формирование и развитие личности в целях наиболее полного использования ее профессиональных способностей, деловых, высоких моральных и иных положительных качеств для деятельности фирмы, повышения ее благополучия и конкурентоспособности.
Воздействие на личность осуществляется руководством фирмы в процессе обучения и инструктажа сотрудников, коллективом фирмы в процессе решения совместных производственных и иных задач и отдельными сотрудниками фирмы в неформальной обстановке. Воспитательный процесс тесно связан с исследованием мотиваций в поведении человека. Функция мотивации поведения, мышления и действий персонала в различных ситуациях и жизненных обстоятельствах имеет существенное значение в управлении персоналом, особенно если его деятельность связана с владением ценными и конфиденциальными сведениями [6].
Во второй главе исследования определено, какими чертами и личностными характеристиками должны обладать соискатели, претендующие на должности, сопряженные с конфиденциальной информацией. При этом определено также, что отбор персонала – наиболее подходящий этап для формирования представления о сотруднике как о подходящем на подобную должность, так как раннее выявление подходящих и неподходящих черт позволяет минимизировать возможные риски. Также во второй главе рассмотрены методики отбора персонала для работы с конфиденциальной информацией – какие именно методики необходимо использовать, что спрашивать и как выявить соответствие и несоответствие той или иной должности.
ЗАКЛЮЧЕНИЕ
В ходе исследования была достигнута поставленная цель – изучены методики отбора персонала для работы с конфиденциальной информацией. Для достижения данной цели были выполнены поставленные цели:
- рассмотрено понятие конфиденциальной информации;
- охарактеризованы методы защиты конфиденциальной информации;
- описаны требования к персоналу, работающему с конфиденциальной информацией;
- проанализированы методики отбора персонала для работы с конфиденциальной информацией.
При выполнении работы определено, что именно представляет собой конфиденциальная информация, и какие методы ее защиты на сегодняшний день существуют. Необходимо отметить, что работа с персоналом является одним из важнейших мероприятий, входящих в блок организационных мер, реализуемых в ключе обеспечения информационной безопасности. Работа с конфиденциальной информацией требует от сотрудника не только определенных профессиональных навыков и умений, но также и наличия некоторых личностных характеристик, которые позволят минимизировать риск раскрытия и несанкционированного использования конфиденциальной информации.
Также определено, что чем раньше соответствующие личностные характеристики будут выявлены, тем меньше риск для информационной безопасности. Именно в связи с этим так велико значение методик, применяемых при отборе персонала для работы с конфиденциальной информацией. В ключе данной работы также было обнаружено, что большим значением обладают не только мероприятия отбора персонала, но и дальнейшая работа с ним, которая позволит поддерживать уровень безопасности достаточно высоко.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
- Федеральный закон от 27 июля 2006 г. N 149–ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс]. Режим доступа: http://ivo.garant.ru/
- Указ Президента РФ от 6 марта 1997 г. N 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями и дополнениями) [Электронный ресурс]. Режим доступа: http://base.garant.ru/
- Баранова, Е. К. Информационная безопасность и защита информации: Учебное пособие / Е. К. Баранова, А.В. Бабаш. – М.: Риор, 2017. – 400 c.
- Бирюков, А. А. Информационная безопасность. Защита и нападение / А. А. Бирюков. – М.: ДМК Пресс, 2015. – 474 c.
- Брэгг, Р. Безопасность сетей: полное руководство / Р. Брэгг, М. Родс–Оусли, К. Страссберг. – М.: ЭКОМ, 2016. – 912 c.
- Бузов, Г. А. Защита информации ограниченного доступа от утечки по техническим каналам / Г. А. Бузов. – М.: Горячая линия – Телеком, 2017. – 594 c.
- Вагин, В. Н. Достоверный и правдоподобный вывод в интеллектуальных системах / В. Н. Вагин, Е. Ю. Головина, А. А. Загорянская. – Москва: Наука, 2015. – 684 c.
- Васильков, А. В. Безопасность и управление доступом в информационных системах / А. В. Васильков, И. А. Васильков. – М.: Форум, 2016. – 368 c.
- Васильков, А. В. Информационные системы и их безопасность / А. В. Васильков, А. А. Васильков, И. А. Васильков. – М.: Форум, 2016. – 528 c.
- Галицкий, А. В. Защита информации в сети – анализ технологий и синтез решений / А. В. Галицкий, С. Д. Рябко, В. Ф. Шаньгин. – М.: Машиностроение, 2017. – 615 c.
- Гафнер, В. В. Информационная безопасность / В. В. Гафнер. – М.: Феникс, 2014. – 336 c.
- Гришина, Н. В. Информационная безопасность предприятия. Учебное пособие / Н. В. Гришина. – М.: Форум, 2015. – 240 c.
- Девянин, П. Н. Анализ безопасности управления доступом и информационными потоками в компьютерных системах: моногр. / П. Н. Девянин. – М.: ИЛ, 2016. – 176 c.
- Дейнеко, А. В. Управление персоналом: Учебник / А. В. Дейнеко – М.: Издательско–торговая корпорация «Дашков и Ко», 2018.
- Емельянова, Н. З. Защита информации в персональном компьютере / Н. З. Емельянова, Т. Л. Партыка, И. И. Попов. – М.: Форум, 2016. – 368 c.
- Жук, А. П. Защита информации: Учебное пособие / А.П. Жук, Е.П. Жук, О. М. Лепешкин, А. И. Тимошкин. – М.: Риор, 2017. – 480 c.
- Игнатьев, В. А. Защита информации в корпоративных информационно–вычислительных сетях: Монография / В. А. Игнатьев. – Ст. Оскол: ТНТ, 2015. – 552 c.
- Ищейнов, В. Я. Защита конфиденциальной информации / В.Я. Ищейнов, М. В. Мецатунян. – М.: Форум, 2017. – 256 c.
- Копылов, В. А. Информационное право / В. А. Копылов. – М.: Машиностроение, 2015. – 512 c.
- Малюк, А. А. Введение в защиту информации в автоматизированных системах. Учебное пособие / А. А. Малюк. – М.: РГГУ, 2016. – 148 c.
- Мельников, В. В. Безопасность информации в автоматизированных системах / В. В. Мельников. – М.: Финансы и Статистика, 2017. – 368 c.
- Шаньгин, В. Ф. Информационная безопасность и защита информации / В. Ф. Шаньгин. – М.: ДМК, 2016. – 702 c.
- Шаньгин, В. Ф. Комплексная защита информации в корпоративных системах: Учебное пособие / В.Ф. Шаньгин. – М.: ИД ФОРУМ, НИЦ Инфра–М, 2017. – 592 c.
- Шкатулла, В. И. Подбор персонала и управление им (как работодателю и работнику найти друг друга) / В. И. Шкатулла. – М.: Редакция «Российской газеты», 2017
- Государственная социальная политика поддержки слабозащищенных категорий граждан: современное состояние
- Наличные денежных средств в кассе предприятия,их учёт
- Комплексный анализ бренда как конкурентного преимущества компании
- Социальное обслуживание населения .
- Учет труда и заработной платы
- Роль международных организаций на примере ЮНЕСКО и ВОИС в осуществлении охраны и защиты интеллектуальной собственности
- Углубленное изучение задач, функций и методов бухгалтерского учета
- «Индивидуальное предпринимательство» . *
- Понятие и правовое регулирование права общей собственности
- Структура франчайзинга в малом бизнесе
- Документирование и инвентаризация как методы бухгалтерского учета
- Проектирование реализации операций бизнес процесса «Управление персоналом»