Организация работы с персоналом в системе информационной безопасности

Работники предприятия или персонал является одним из потенциально возможных источников утечки конфиденциальной информации и как следствие финансовых потерь предприятия. Как правило, персоналсодержит сведения о:

- всех без исключения работниках данного предприятия, его персонале;

- работниках других организаций, фирм - посредников, изготовителей комплектующих деталей, торговых фирм, рекламных агентств и т. п.;

- сотрудниках государственных учреждений, к которым организация обращается в соответствии с законом, — налоговых, муниципальных правоохранительных органов и т. д.;

- представителях средств массовой информации, сотрудничающих с организацией;

- посетителях фирмы, работниках коммунальных служб, почтовых служащих, работниках служб экстремальной помощи и т.д.;

- посторонних лицах, работающих или проживающих рядом со зданием или помещениями организации;

- родственниках, знакомых и друзьях всех указанных выше лиц.

Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных све­дений. Но наиболее осведомлены в конфиденциальной информации:первый руко­водитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации.

Работа с персоналом по вопросам обеспечения информационной безопасности начинается в ходе процесса подбора и расстановки кадров, заканчивается – после увольнения сотрудника из организации.

Текущая работа с персоналом, обладающим конфиденциальной инфор­мацией, подразумевает:

- обучение и систематическое инструктирование работников:

- проведение регулярной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами;

- постоянный контроль за выполнением персоналом требований по защите информации;

- аналитическую работу по изучению степени осведомленности персонала в области конфиденциальных работ;

- проведение служебных расследований по фактам утраты информации и нарушений персоналом требований по защите информации.

Процесс обучения работников правилам защиты информации должен быть систематическим и регулярным,т. к. состав и уровень ограничения досту­па к конфиденциальной информации часто меняются, а система зашиты, требует регулярного обновления и видоизменения. Занятия не должны иметь форму ред­ких, необязательных и формальных собраний.

Обучение работника начинается с момента получения им допусков для работы с конфиденциальной информацией и заканчивается при увольнении.Обычная периодичность обучения для работающих сотрудников составляет раз в 3—5 лет, как правило, после аттестации или перезаключения кон­тракта.

Задачами обучения являются:

- изучение характера и состава конфиденциальной информации;

- изучение возможных угроз конфиденциальным сведениям, каналов их объективного распространения и каналов утраты, методов работы злоумышленников;

- изучение структуры системы зашиты, требований и правил защиты конфиденциальной информации;

- изучение порядка работы сотрудников с конфиденциальными сведениями, документами и базами данных;

- изучение действий персонала в конкретных экстремальных ситуациях

Обучение работников предполагает приобретение и поддержание на высоком профессиональном уровне производственных навыков работы с конфиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой и конфиденциальной информации.

Обучение организует служба безопасности. Учебные занятия могут проводиться на базе специализированных учебных заведений, институтов повы­шения квалификации, а также собственными силами работников службы безопас­ности.

Наиболее важным и сложным в обучении является то, что процесс обучения должен быть индивидуализирован:конкретизирован по должностному составу сотрудников, по типовым рабочим местам и часто по отдельным сотрудникам. В процессе обучения сотрудник должен получить только те знания, которые ему не­обходимы для работы. Избыточность знаний в области состава конфиденциальной информации и способов ее защиты должна быть исключена.

Отдельно от остального персонала обучаются работники службы безопасно­сти, секретарь-референт первого руководителя, секретари-референты заместите­лей первого руководителя, сотрудники, работающие с особо ценными документа­ми, делами и изделиями, сотрудники, работающие в научно-исследовательской области, разрабатывающие технологические и технические новшества.

Информация, сообщаемая работникам в процессе обучения, является строго конфиденциальной. По окончании обучения обязательно следует проводить проверку усвоения ра­ботниками полученных знаний. Целесообразно организовывать проверку знаний путем тестирования или ре­шения ситуационной задачи. Работники, не прошедшие проверку знании, от рабо­ты с конфиденциальной информацией отстраняются.

Одновременно с обучением должны проводиться регулярные совещания-инструктажи с работниками. Инструктажи необходимы для поддержания у ра­ботников постоянного чувства ответственности за сохранность конфиденциальной информации и актуализации их конкретных знаний по защите информации, с которой они рабо­тают.

В процессе текущего совещания-инструктажа до сведения работников до­водятся:

- изменения и дополнения, внесенные в действующие нормативно - методические документы по защите информации;

- приказы и указания руководства в области защиты информации и информационной безопасности;

- информация о конкретных угрозах информации, о каналах утечки информации, действиях злоумышленников, принятых дополнительных мерах по защите информации;

- результаты анализа случаев нарушения работниками правил «защиты информации, информация о фактах утраты секретов по | вине работников.

Инструктирование так же, как и обучение, проводится индивидуально, ин­формация, сообщаемая на инструктажах, разглашению не подлежит. Совещания-инструктажи проводятся, как правило, не периодически, а при возникновении в них необходимости. Организуются они службой безопасности.

Обучение и инструктирование находятся в тесной связи с воспитанием работ­ников, привитием им устойчивых положительных личных качеств поведения в той или иной ситуации, связанной с обеспечением недоступности информации посторонним лицам, исключением возможности привлечения этими лицами к со­трудничеству работников для несанкционированного доступа к ценным конфиденциальным сведениям.

Воспитание — это процесс систематического и целенаправленного воздейст­вия на формирование и развитие личности в целях наиболее полного использова­ния ее профессиональных способностей, деловых, высоких моральных и иных по­ложительных качеств, в целях повышения эффективности деятельности, благопо­лучия и конкурентоспособности.

Воздействие на личность осуществляется руководством предприятия в ходе обуче­ния и инструктирования сотрудников, коллективом во время решения со­вместных производственных и иных задач и отдельными сотрудниками в неформальной обстановке.

Воспитательный процесс тесно связан с исследованием мотиваций в поведе­нии человека. Функция мотивации поведения, мышления и действии персонала в различных ситуациях и жизненных обстоятельствах имеет существенное значение в управлении персоналом, особенно если его деятельность связана с владением ценными и конфиденциальными сведениями.

Мотивация деятельности человека понимается как совокупность движущих сил, побуждающих человека к осуществлению определенных действий. Эти силы находятся вне или внутри человека и заставляют его осознанно или же неосознан­но совершать определенные поступки. Применительно к задачам управления пер­соналом мотивация — это набор приемов и инструментов, который управляющий (менеджер) использует для направления внутренних движущих сил (мотивов) персонала на достижение установленных положительных целей.

Каждый из сотрудников, работающий с конфиденциальными сведе­ниями, документами и базами данных, должен находиться в сфере постоянного наблюдения руководства и коллектива с целью оценки степени его лояльности по отношению к организации, в которой он трудится.

Одна из задач работы с персоналом - создание здорового психологического климата в коллективе, позволяющего объединить осознанные усилия персонала на решение стоящих задач и преодоление возникающих трудностей.

При формировании здорового психологического климата решаются сле­дующие задачи:

- создание действенной системы стимулирования труда персонала;

- обеспечение долговременной работы в организации каждого способного работника;

- отношение к работникам как самостоятельным членам коллектива, участие
персонала в выработке решений;

- справедливое участие персонала в прибылях;

- реализация на практике (при необходимости) гибкой нетравмируемой системы увольнений;

- расстановка кадров в соответствии с их способностями;

- главенство в отношениях руководства и работников духа коллективизма.

При хорошем психологическом климате сотрудники доброжелательно отно­сятся к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пониманием важности выполняют все требования этой системы.

Структурно здоровый психологический климат должен включать сле­дующие основные элементы:

- постоянное изучение и анализ комплекса качеств каждого работника, т. е. знание каждого работника в отдельности, а не абстрактная воспитательная работа с коллективом;

- строгое выполнение работодателем пунктов и положений коллективного договора и соглашений;

- создание реальных условий для продвижения работников по службе или повышения заработной платы с учетом их трудовых достижений, а не по иным причинам;

- оплата обучения или переподготовки способных и ценных для предприятия работников;

- неотвратимость и обоснованность применения норм дисциплинарной ответственности;

- строгое выполнение руководством норм по технике безопасности и охране труда, создание наилучших условий для работы сотрудников и их отдыха;

- организация благоприятных условий для проведения отпусков и выходных дней работников;

- своевременное выявление неформальных лидеров в коллективе, выдвижение их на руководящие должности или перевод в другие подразделения (иногда, при их отрицательном влиянии на коллектив — увольнение);

- заинтересованное соучастие руководства в решении работниками своих бытовых затруднений;

- охрана персонала, гарантия юридической и физической защиты в случае попыток криминальных действий злоумышленника по отношению к ним, их родственникам и близким людям.

Здоровый психологический климат воспитывает гордость персо­нала и создает труднопреодолимый барьер на пути любого злоумышленника, ко­торый пытается получить конфиденциальные сведения.

Здоровый психологический климат в коллективе формируется не толь­ко за счет взаимопонимания руководства и сотрудников в вопросах повышения эффективности работы, но и ответственного отношения руководителей к соблюдению трудового законодательства.

Контроль соблюдения персоналом правил защиты конфи­денциальной информации осуществляется регулярно. С этой целью руководителям и службе безопасности следует организовать наблюдение за работой персонала. Назначение наблюдения — проверка правильности применения работ­никами знаний и навыков, полученных в ходе обучения и инструктирования. Кон­тролируются все работники, в том числе педантично соблюдающие правила рабо­ты с конфиденциальной информацией.

Основными формами контроля качества работы персонала, в том числе в части соблюдения требований по защите информации, можно назвать следующие:

- аттестация работников;

- отчеты руководителей подразделений о работе подразделений и состоя­нии системы защиты информации;

- регулярные проверки руководством и службой безопасности со­блюдения работниками требований по защите информации;

- самоконтроль сотрудников.

Аттестация работников - коллективная форма оценки аттестационной комиссией предприятия профессиональной пригодности работника, его соответствия занимаемой должности. Аттестация проводится периодически (ежеквартально, раз в год, пять лет и иные сроки).

При проведении аттестации рассматриваются следующие характеристики ра­ботника: трудовая дисциплина, исполнительность, трудолюбие, ответственность, требовательность и принципиальность, организованность в работе, качество и эф­фективность выполняемой работы, самостоятельность и инициатива, творческая деятельность, прогрессивность профессиональных решений, профессиональный кругозор, умение общаться с людьми, организаторские способности, преданность делу организации.

В части соблюдения работником требований по защите информации рассмат­риваются такие характеристики, как знание соответствующих нормативных и ин­структивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными до­кументами, умение общаться с посторонними лицами, не разглашая конфиденциальной информации и т. д.

Другой формой контроля является заслушивание руководителей структур­ных подразделений и руководителя службы безопасности на совещании у пер­вого руководителя о состоянии системы защиты информации и выполне­нии ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками этой системы.

Формой контроля являются также регулярные проверки выполнения со­трудниками (в том числе хорошо работающими) правил работы с конфиден­циальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направ­лений деятельности предприятия, заместителями первого руководителя и работниками службы безопасности. Одновременно с соблюдением работниками правил работы с конфиденциальными документами проверяется наличие у работника числящих­ся за ним документов, носителей информации, дел, магнитных носителей элек­тронных массивов информации, изделий и иных элементов, составляющих конфиденциальную информацию.

Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.

Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положе­ний, а также в немедленном информировании службы безопасности и непосредст­венного руководителя о фактах утраты документов, разглашении лично или другими сотрудниками сведений, составляющих нарушении работниками порядка защиты инфор­мации.

При работе с персоналом следует сосредотачивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Следует учитывать, что эти работники могут быть посредниками в действиях злоумыш­ленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т. п.

Одновременно с рассмотренными формами контроля работы персонала, вла­деющего конфиденциальной информацией, ведется регулярная аналитическая работа по изучению степени осведомленности работников о конфиденциальной информации. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персоналом конфиденциальной информации.

Объектами комплексного аналитического исследова­ния являются выявление, классификация и постоянное изучение источников и объективных, каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. В ито­ге важен превентивный контроль безопасности ценной информации от недобросо­вестных посягательств отдельных сотрудников.

Одновременно подлежат специальному (экстремальному) учету все замечен­ные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с кон­фиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты ана­лиза должны докладываться непосредственно первому руководителю.

В целях превентивного контроля рекомендуются следующие учетные и ана­литические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:

- анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям;

- анализ степени владения конфиденциальной информацией руководством, руководителями структурных подразделений;

- анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику;

- анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.

По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование.

Служебное расследование фактов утраты информации проводится специальной комиссией, формируемой приказом первого руководителя. Расследование предназначено для выяс­нения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного ущерба. По результатам расследования даются рекомендации по устранению причин слу­чившегося.