Работники предприятия или персонал является одним из потенциально возможных источников утечки конфиденциальной информации и как следствие финансовых потерь предприятия. Как правило, персоналсодержит сведения о:
- всех без исключения работниках данного предприятия, его персонале;
- работниках других организаций, фирм - посредников, изготовителей комплектующих деталей, торговых фирм, рекламных агентств и т. п.;
- сотрудниках государственных учреждений, к которым организация обращается в соответствии с законом, — налоговых, муниципальных правоохранительных органов и т. д.;
- представителях средств массовой информации, сотрудничающих с организацией;
- посетителях фирмы, работниках коммунальных служб, почтовых служащих, работниках служб экстремальной помощи и т.д.;
- посторонних лицах, работающих или проживающих рядом со зданием или помещениями организации;
- родственниках, знакомых и друзьях всех указанных выше лиц.
Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Но наиболее осведомлены в конфиденциальной информации:первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации.
Работа с персоналом по вопросам обеспечения информационной безопасности начинается в ходе процесса подбора и расстановки кадров, заканчивается – после увольнения сотрудника из организации.
Текущая работа с персоналом, обладающим конфиденциальной информацией, подразумевает:
- обучение и систематическое инструктирование работников:
- проведение регулярной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами;
- постоянный контроль за выполнением персоналом требований по защите информации;
- аналитическую работу по изучению степени осведомленности персонала в области конфиденциальных работ;
- проведение служебных расследований по фактам утраты информации и нарушений персоналом требований по защите информации.
Процесс обучения работников правилам защиты информации должен быть систематическим и регулярным,т. к. состав и уровень ограничения доступа к конфиденциальной информации часто меняются, а система зашиты, требует регулярного обновления и видоизменения. Занятия не должны иметь форму редких, необязательных и формальных собраний.
Обучение работника начинается с момента получения им допусков для работы с конфиденциальной информацией и заканчивается при увольнении.Обычная периодичность обучения для работающих сотрудников составляет раз в 3—5 лет, как правило, после аттестации или перезаключения контракта.
Задачами обучения являются:
- изучение характера и состава конфиденциальной информации;
- изучение возможных угроз конфиденциальным сведениям, каналов их объективного распространения и каналов утраты, методов работы злоумышленников;
- изучение структуры системы зашиты, требований и правил защиты конфиденциальной информации;
- изучение порядка работы сотрудников с конфиденциальными сведениями, документами и базами данных;
- изучение действий персонала в конкретных экстремальных ситуациях
Обучение работников предполагает приобретение и поддержание на высоком профессиональном уровне производственных навыков работы с конфиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой и конфиденциальной информации.
Обучение организует служба безопасности. Учебные занятия могут проводиться на базе специализированных учебных заведений, институтов повышения квалификации, а также собственными силами работников службы безопасности.
Наиболее важным и сложным в обучении является то, что процесс обучения должен быть индивидуализирован:конкретизирован по должностному составу сотрудников, по типовым рабочим местам и часто по отдельным сотрудникам. В процессе обучения сотрудник должен получить только те знания, которые ему необходимы для работы. Избыточность знаний в области состава конфиденциальной информации и способов ее защиты должна быть исключена.
Отдельно от остального персонала обучаются работники службы безопасности, секретарь-референт первого руководителя, секретари-референты заместителей первого руководителя, сотрудники, работающие с особо ценными документами, делами и изделиями, сотрудники, работающие в научно-исследовательской области, разрабатывающие технологические и технические новшества.
Информация, сообщаемая работникам в процессе обучения, является строго конфиденциальной. По окончании обучения обязательно следует проводить проверку усвоения работниками полученных знаний. Целесообразно организовывать проверку знаний путем тестирования или решения ситуационной задачи. Работники, не прошедшие проверку знании, от работы с конфиденциальной информацией отстраняются.
Одновременно с обучением должны проводиться регулярные совещания-инструктажи с работниками. Инструктажи необходимы для поддержания у работников постоянного чувства ответственности за сохранность конфиденциальной информации и актуализации их конкретных знаний по защите информации, с которой они работают.
В процессе текущего совещания-инструктажа до сведения работников доводятся:
- изменения и дополнения, внесенные в действующие нормативно - методические документы по защите информации;
- приказы и указания руководства в области защиты информации и информационной безопасности;
- информация о конкретных угрозах информации, о каналах утечки информации, действиях злоумышленников, принятых дополнительных мерах по защите информации;
- результаты анализа случаев нарушения работниками правил «защиты информации, информация о фактах утраты секретов по | вине работников.
Инструктирование так же, как и обучение, проводится индивидуально, информация, сообщаемая на инструктажах, разглашению не подлежит. Совещания-инструктажи проводятся, как правило, не периодически, а при возникновении в них необходимости. Организуются они службой безопасности.
Обучение и инструктирование находятся в тесной связи с воспитанием работников, привитием им устойчивых положительных личных качеств поведения в той или иной ситуации, связанной с обеспечением недоступности информации посторонним лицам, исключением возможности привлечения этими лицами к сотрудничеству работников для несанкционированного доступа к ценным конфиденциальным сведениям.
Воспитание — это процесс систематического и целенаправленного воздействия на формирование и развитие личности в целях наиболее полного использования ее профессиональных способностей, деловых, высоких моральных и иных положительных качеств, в целях повышения эффективности деятельности, благополучия и конкурентоспособности.
Воздействие на личность осуществляется руководством предприятия в ходе обучения и инструктирования сотрудников, коллективом во время решения совместных производственных и иных задач и отдельными сотрудниками в неформальной обстановке.
Воспитательный процесс тесно связан с исследованием мотиваций в поведении человека. Функция мотивации поведения, мышления и действии персонала в различных ситуациях и жизненных обстоятельствах имеет существенное значение в управлении персоналом, особенно если его деятельность связана с владением ценными и конфиденциальными сведениями.
Мотивация деятельности человека понимается как совокупность движущих сил, побуждающих человека к осуществлению определенных действий. Эти силы находятся вне или внутри человека и заставляют его осознанно или же неосознанно совершать определенные поступки. Применительно к задачам управления персоналом мотивация — это набор приемов и инструментов, который управляющий (менеджер) использует для направления внутренних движущих сил (мотивов) персонала на достижение установленных положительных целей.
Каждый из сотрудников, работающий с конфиденциальными сведениями, документами и базами данных, должен находиться в сфере постоянного наблюдения руководства и коллектива с целью оценки степени его лояльности по отношению к организации, в которой он трудится.
Одна из задач работы с персоналом - создание здорового психологического климата в коллективе, позволяющего объединить осознанные усилия персонала на решение стоящих задач и преодоление возникающих трудностей.
При формировании здорового психологического климата решаются следующие задачи:
- создание действенной системы стимулирования труда персонала;
- обеспечение долговременной работы в организации каждого способного работника;
- отношение к работникам как самостоятельным членам коллектива, участие
персонала в выработке решений;
- справедливое участие персонала в прибылях;
- реализация на практике (при необходимости) гибкой нетравмируемой системы увольнений;
- расстановка кадров в соответствии с их способностями;
- главенство в отношениях руководства и работников духа коллективизма.
При хорошем психологическом климате сотрудники доброжелательно относятся к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пониманием важности выполняют все требования этой системы.
Структурно здоровый психологический климат должен включать следующие основные элементы:
- постоянное изучение и анализ комплекса качеств каждого работника, т. е. знание каждого работника в отдельности, а не абстрактная воспитательная работа с коллективом;
- строгое выполнение работодателем пунктов и положений коллективного договора и соглашений;
- создание реальных условий для продвижения работников по службе или повышения заработной платы с учетом их трудовых достижений, а не по иным причинам;
- оплата обучения или переподготовки способных и ценных для предприятия работников;
- неотвратимость и обоснованность применения норм дисциплинарной ответственности;
- строгое выполнение руководством норм по технике безопасности и охране труда, создание наилучших условий для работы сотрудников и их отдыха;
- организация благоприятных условий для проведения отпусков и выходных дней работников;
- своевременное выявление неформальных лидеров в коллективе, выдвижение их на руководящие должности или перевод в другие подразделения (иногда, при их отрицательном влиянии на коллектив — увольнение);
- заинтересованное соучастие руководства в решении работниками своих бытовых затруднений;
- охрана персонала, гарантия юридической и физической защиты в случае попыток криминальных действий злоумышленника по отношению к ним, их родственникам и близким людям.
Здоровый психологический климат воспитывает гордость персонала и создает труднопреодолимый барьер на пути любого злоумышленника, который пытается получить конфиденциальные сведения.
Здоровый психологический климат в коллективе формируется не только за счет взаимопонимания руководства и сотрудников в вопросах повышения эффективности работы, но и ответственного отношения руководителей к соблюдению трудового законодательства.
Контроль соблюдения персоналом правил защиты конфиденциальной информации осуществляется регулярно. С этой целью руководителям и службе безопасности следует организовать наблюдение за работой персонала. Назначение наблюдения — проверка правильности применения работниками знаний и навыков, полученных в ходе обучения и инструктирования. Контролируются все работники, в том числе педантично соблюдающие правила работы с конфиденциальной информацией.
Основными формами контроля качества работы персонала, в том числе в части соблюдения требований по защите информации, можно назвать следующие:
- аттестация работников;
- отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;
- регулярные проверки руководством и службой безопасности соблюдения работниками требований по защите информации;
- самоконтроль сотрудников.
Аттестация работников - коллективная форма оценки аттестационной комиссией предприятия профессиональной пригодности работника, его соответствия занимаемой должности. Аттестация проводится периодически (ежеквартально, раз в год, пять лет и иные сроки).
При проведении аттестации рассматриваются следующие характеристики работника: трудовая дисциплина, исполнительность, трудолюбие, ответственность, требовательность и принципиальность, организованность в работе, качество и эффективность выполняемой работы, самостоятельность и инициатива, творческая деятельность, прогрессивность профессиональных решений, профессиональный кругозор, умение общаться с людьми, организаторские способности, преданность делу организации.
В части соблюдения работником требований по защите информации рассматриваются такие характеристики, как знание соответствующих нормативных и инструктивных документов, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не разглашая конфиденциальной информации и т. д.
Другой формой контроля является заслушивание руководителей структурных подразделений и руководителя службы безопасности на совещании у первого руководителя о состоянии системы защиты информации и выполнении ее требований работниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения работниками этой системы.
Формой контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных.
Проверки проводятся руководителями структурных подразделений и направлений деятельности предприятия, заместителями первого руководителя и работниками службы безопасности. Одновременно с соблюдением работниками правил работы с конфиденциальными документами проверяется наличие у работника числящихся за ним документов, носителей информации, дел, магнитных носителей электронных массивов информации, изделий и иных элементов, составляющих конфиденциальную информацию.
Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего подозрения о разглашении или утечке информации.
Самоконтроль состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании службы безопасности и непосредственного руководителя о фактах утраты документов, разглашении лично или другими сотрудниками сведений, составляющих нарушении работниками порядка защиты информации.
При работе с персоналом следует сосредотачивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Следует учитывать, что эти работники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т. п.
Одновременно с рассмотренными формами контроля работы персонала, владеющего конфиденциальной информацией, ведется регулярная аналитическая работа по изучению степени осведомленности работников о конфиденциальной информации. Эта работа входит в состав комплексного аналитического исследования по поиску и обнаружению каналов утраты персоналом конфиденциальной информации.
Объектами комплексного аналитического исследования являются выявление, классификация и постоянное изучение источников и объективных, каналов распространения конфиденциальной информации, а также обнаружение и анализ степени опасности источников угрозы информации. В итоге важен превентивный контроль безопасности ценной информации от недобросовестных посягательств отдельных сотрудников.
Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному, тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю.
В целях превентивного контроля рекомендуются следующие учетные и аналитические действия по отношению к персоналу, который обладает или может обладать конфиденциальной информацией:
- анализ реального состава известной персоналу конфиденциальной информации и динамики ее распределения по структурным подразделениям;
- анализ степени владения конфиденциальной информацией руководством, руководителями структурных подразделений;
- анализ выявленных потенциальных и реальных источников угрозы персоналу в целом и каждому отдельному работнику;
- анализ эффективности защитных мер, предпринятых по отношению к персоналу, их действенности в обычных условиях и при активных действиях злоумышленника.
По фактам разглашения или утечки конфиденциальной информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации организуется служебное расследование.
Служебное расследование фактов утраты информации проводится специальной комиссией, формируемой приказом первого руководителя. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом, установления круга виновных лиц, размера причиненного ущерба. По результатам расследования даются рекомендации по устранению причин случившегося.