Персонал предприятия считается одним из наиболее важных объектов защиты, так как является не только носителем информации с ограниченным доступом, но и источником создания такой информации. Сложность персонала как объекта защиты заключается не только в отсутствии возможности постоянного контроля за его действиями, особенно в неслужебное (нерабочее) время, но и в его уязвимости, обусловленной, например, возможностью подкупа, преследования им корыстных целей, воздействия на сотрудников и членов их семей с целью шантажа, возможностью похищения и т.п. Сложность реализации мер защиты в отношении персонала предприятия обусловливает необходимость постоянного внимания этой задаче.
Рассмотрим основные направления работы с персоналом в плане защиты информации с ограниченным доступом.
Подбор и расстановка кадров осуществляются из двух источников — внутренних перестановок и за счет найма на рынке труда.
Основные методы изучения и отбора персонала:
• тестирование;
• изучение личных документов, документов об образовании, трудовой деятельности на предыдущих местах работы, рекомендаций, характеристик; проверка подлинности личных документов и документов об образовании; изучение и подтверждение полноты и точности сведений, изложенных в анкетных материалах и автобиографии;
• проведение конкурсов на замещение вакансий;
• аттестование сотрудников предприятия в целях подтверждения профессиональной квалификации, возможного выдвижения на более высокие должности, для создания резерва кандидатов на продвижение по службе;
• проверка с использованием баз учета органов внутренних дел (наличие судимости, нахождение под следствием, в розыске и т.д.
• проверка финансового состояния и кредитной истории.
К основным группам качеств для сравнения кандидатов относятся: профессиональные, образовательные, организационные и личные. Основным требованием при отборе является тщательное изучение деловых, моральных и этических данных каждого кандидата путем глубокого изучения его трудового прошлого.
Юридическое обеспечение — заключение контракта и получение сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой и других тайн, в том числе:
• обязанности сохранять в тайне информацию ограниченного доступа, полученную в ходе трудовой деятельности и после прекращения трудовых отношений;
• права собственности предприятия на результаты интеллектуальной деятельности работника, созданные в рамках выполнения трудового договора;
• обязанности работника возвратить полученные в ходе трудовой деятельности носители информации ограниченного доступа;
• обязанность не использовать сведения, составляющие коммерческую тайну предприятия, после смены места работы в ходе трудовой деятельности на других предприятиях;
• обязанности выполнять требования по защите информации ограниченного доступа, установленные как законодательством, так внутренними правилами и инструкциями предприятия;
• обязанности использовать технические средства обработки информации и средства связи (телекоммуникации), принадлежащие предприятию, только в служебных целях.
Договорные (контрактные) обязательства по вопросам защиты государственной тайны определяются в соответствии с «Инструкцией о порядке допуска должностных лиц и граждан Российской Федерации к государственной тайне», утвержденной постановлением Правительства Российской Федерации 1995 г. № 1050.
Изучение персонала службой безопасности осуществляется в рамках Закона Российской Федерации от 11 марта 1992 г. № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»*, а также с учетом конституционных прав и свобод граждан.
Обучение осуществляется по двум направлениям — обучение персонала, обеспечивающего защиту информации с ограниченным доступом, и обучение персонала, использующего в своей работе такую информацию. Основные формы обучения персонала первой группы — вечерняя и заочная, в учебных заведениях высшего и среднего профессионального образования, на курсах подготовки, переподготовки и повышения квалификации, на рабочем месте под руководством более опытного работника, при стажировке в однопрофильных организациях, инструктажи, конференции и т.п. Основная форма обучения персонала второй группы — проведение занятий и инструктажи — вводный, на рабочем месте, по отдельным вопросам, при выявлении нарушений.
Стимулирование труда применяется для поощрения добросовестности и бдительности персонала при выполнении обязанностей по защите информации ограниченного доступа. Основные формы поощрения: материальное, финансовое, моральное, продвижение по службе.
Применение мер дисциплинарной, административной и материальной ответственности в виде дисциплинарных взысканий, административных штрафов, возмещения материального ущерба, увольнения.
Контроль действий персонала по подчиненности; периодический и внезапный контроль подразделением защиты информации, в том числе через доверенных лиц, контроль переговоров по служебным средствам связи, с использованием средств контроля доступа, администрирования, видеонаблюдения. Проводится также контроль обученности персонала вопросам защиты информации.
Оценка деятельности тесно связана с контролем, стимулированием труда и применением дисциплинарных, административных и других мер воздействия.
Организационно-правовое обеспечение — разработка внутренних нормативных актов по защите информации ограниченного доступа и изучение ее с персоналом; анализ и оценка эффективности и достаточности принимаемых мер защиты информации.
Обмен информацией о кадрах с близкими по профилю организациями и контрагентами осуществляется службой безопасности предприятия с санкции его руководителя и с учетом законодательства о персональных данных. Сотрудники должны быть убеждены, что при наличии нарушений информация о них может быть направлена по новому месту работы.
Материально-техническое обеспечение персонала по вопросам защиты информации заключается в обеспеченности персонала техническими средствами обработки и хранения информации, соответствующими установленным требованиям, наличии необходимого оборудования, расходных материалов, защищенных средств связи и т.п.
Ротация кадров является необходимым условием уменьшения рисков, связанных со сговорами и круговой порукой, могущими привести к хищению информации ограниченного доступа или сокрытию фактов ее утраты.
Безопасность персонала включает принятие мер по защите наиболее привлекательных с точки зрения противоправных акиий сотрудников предприятия (руководителей и их заместителей, лиц с широкими правами доступа на объекты защиты и к информации, осуществляющих хранение информации и т.п.). Может осуществляться как службой безопасности предприятия (в рамках Закона Российской Федерации от 11 марта 1992 г. № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации»), так и специализированными охранными фирмами.