Текущая работа с персоналом, владеющим конфиденциальной информацией

    При хорошем психологическом климате  сотрудники доброжелательно относятся  к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пониманием важности выполняют все требования этой системы.

    Здоровый  психологический  климат должен включать в себя следующие  основные элементы:

    - постоянное изучение и анализ  комплекса качеств каждого сотрудника фирмы, т. е. знание каждого сотрудника в отдельности, а не абстрактная воспитательная работа с коллективом;

    - строгое выполнение пунктов и  положений коллективного договора;

    - создание реальных условий для  продвижения сотрудников по службе или повышение оклада с учетом их трудовых достижений, а не по иным причинам;

    - оплата фирмой обучения или  переподготовки способных и ценных  для фирмы сотрудников;

    - строгое выполнение работодателем  норм по технике безопасности  и охране труда, создание наилучших условий для работы сотрудников и их отдыха;

    - организация благоприятных условий  для проведения отпусков и  выходных дней сотрудников;

    - своевременное выявление неформальных  лидеров в коллективе, выдвижение  их на руководящие должности  или перевод в другие подразделения (при их отрицательном влиянии на коллектив - увольнение);

    - заинтересованное соучастие руководства  фирмы в решении сотрудниками  своих личных и бытовых затруднений;

    - охрана персонала, гарантия юридической  и физической защиты в случае попыток криминальных действий злоумышленника по отношению к ним, их родственникам и близким людям.

    Процесс обучения и воспитания сотрудников  фирмы должен завершаться контролем  работы персонала с конфиденциальной информацией и документами. Важен  контроль защиты ценной информации от недобросовестных посягательств отдельных сотрудников.

    Превентивный  контроль работы персонала предполагает прежде всего наличие в фирме  строгого учета степени осведомленности  каждого сотрудника в фирменных  секретах. В данном случае учет создает информационную базу не только для облегчения контрольной функции, но и для аналитических исследований по обнаружению каналов утраты защищаемой информации.

    Следует соблюдать правило, по которому в  обычном принудительном режиме регистрируются все лица, имеющие доступ к определенным документам, базам данных и носителям  коммерческих секретов. Одновременно подлежат специальному (экстремальному) учету все замеченные несанкционированные или ошибочные действия персонала с документами и информацией, нарушения системы доступа к информации и правил работы с конфиденциальными документами и базами электронных данных. Подобные факты подлежат оперативному тщательному сравнительному анализу, а результаты анализа должны докладываться непосредственно первому руководителю фирмы.

    Регулярный  и своевременный учет состава  конфиденциальной информации, известной  каждому из сотрудников фирмы, является наиболее информативной частью контрольной работы. Учитываются любые контакты любого сотрудника с конфиденциальными сведениями, в том числе санкционированные, а также случайное, несанкционированное ознакомление с информацией, к которой сотрудник не имеет доступа, в том числе несанкционированное ознакомление с конфиденциальной информацией сотрудников, вообще не имеющих доступа к подобной информации.

    Традиционная (карточная) или электронная учетная  форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, который должен соответствовать выполняемым видам работы. Целесообразно включить в учетную форму следующие зоны:

    - зону штатных функциональных  обязанностей сотрудника, при реализации  которых используется конфиденциальная информация (по утвержденной должностной инструкции);

    - зону изменений и дополнений, внесенных в функциональные обязанности  сотрудника, с указанием документа-основания,  его даты и фамилии руководителя, подписавшего документ;

    - зону стандартного состава конфиденциальных  сведений и их индексов (по  перечню конфиденциальной информации), к которым допущен сотрудник  в соответствии с должностной  инструкцией (с указанием наименования  документа о допуске, его даты, номера и фамилии руководителя, подписавшего документ);

    - зону изменений и дополнений  в составе конфиденциальных сведений  и их индексов по перечню,  к которым допускается сотрудник  в связи с пересмотром его  должностных обязанностей (с указанием  наименований и дат документов о допуске, фамилии руководителей, подписавших документы);

    - зону документированной информации (документов), с которой знакомится  или работает сотрудник, с указанием  наименований документов, их дат  и номеров, краткого содержания, целевого использования содержащихся в документах конфиденциальных сведений и их индексов по перечню, фамилий руководителей, разрешивших работу с документами;

    - зону недокументированной конфиденциальной  информации, которая стала известна  сотруднику, с указанием даты  и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений и их индексов по перечню;

    - зону обнаруженного несанкционированного  ознакомления сотрудника с конфиденциальной  информацией с указанием даты  ознакомления, условий или причин ознакомления, фамилии виновного сотрудника, места ознакомления, состава конфиденциальных сведений и их индексов по перечню. Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т. е. ведется поиск несоответствия.

    Следовательно, главным фактором воспитания у сотрудников  фирменной гордости, ответственного отношения к выполнению своих  служебных обязанностей является прежде всего упорная работа руководства  фирмы по формированию здорового  психологического климата в коллективе. Работник, ответственно-относящийся к своей работе и участвующий в делах и прибылях фирмы, как правило, так же ответственно относится к сохранению конфиденциальности тех работ, которые ведет фирма, строго соблюдает требования информационной безопасности.

    Основными формами контроля качества работы персонала, повышения ими своих профессиональных знаний, в том числе в части  защиты информации, можно назвать  следующие:

    - аттестация сотрудников;

    - отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации; 

    - регулярные проверки руководителем  фирмы и службой безопасности  соблюдения сотрудниками требований  системы защиты информации;

    - самоконтроль сотрудников.

    Аттестация  сотрудников представляется одной из наиболее эффективных форм контроля их деятельности как в профессиональной сфере, так и в сфере соблюдения информационной безопасности фирмы. Аттестация персонала - это коллективная форма оценки профессиональной пригодности сотрудника, его соответствия занимаемой должности. Аттестация проводится периодически (ежеквартально, раз в год и иные сроки).

    При проведении аттестации рассматриваются  следующие характеристики сотрудника: трудовая дисциплина, исполнительность, трудолюбие, ответственность, требовательность и принципиальность, организованность в работе, качество и эффективность выполняемой работы, самостоятельность и инициатива, творческая деятельность, прогрессивность профессиональных решений, профессиональный кругозор, умение общаться с людьми, организаторские способности, преданность делу фирмы. В части соблюдения сотрудником требований защиты информации рассматриваются такие характеристики, как знание нормативных и инструктивных документов по защите информации, умение применять требования этих документов в практической деятельности, отсутствие нарушений в работе с конфиденциальными документами, умение общаться с посторонними лицами, не раскрывая секретов фирмы, и т. д. На основе изучения этих характеристик формируется представление о каждом сотруднике, его деловых и человеческих качествах.

    По  результатам аттестации издается приказ (распоряжение), в котором отражаются решения аттестационной комиссии о  поощрении, переаттестации, повышении  в должности или увольнении сотрудников. Аттестационная комиссия может также выносить решение об отстранении сотрудника от работы с информацией и документами, составляющими секреты фирмы.

    Одна  из форм контроля - заслушивание отчетов  руководителей структурных подразделений  и руководителя службы безопасности на совещании у первого руководителя фирмы о состоянии системы защиты информации и выполнении ее требований сотрудниками подразделений. Одновременно на совещании принимаются решения по фактам нарушения сотрудниками этой системы.

    Формой  контроля являются также регулярные проверки выполнения сотрудниками (в том числе хорошо работающими) правил работы с конфиденциальной информацией, документами и базами данных. Проверки проводятся руководителями структурных подразделений и направлений деятельности фирмы, заместителями первого руководителя, работниками службы безопасности. Одновременно с соблюдением сотрудником правил работы с конфиденциальными документами проверяется наличие у сотрудника числящихся за ним документов, бумажных и магнитных носителей информации, электронных массивов информации, изделий и иных элементов, составляющих секреты фирмы.

    Проверки  могут быть плановыми, внеплановыми (внезапными). Внезапные проверки проводятся при возникновении малейшего  подозрения о разглашении или  утечке информации.

    Самоконтроль сотрудников фирмы состоит в проверке самими руководителями и исполнителями полноты и правильности выполнения ими действующих инструктивных положений, а также в немедленном информировании непосредственного руководителя и службы безопасности о фактах утери документов, об утрате по какой-либо причине ценной информации, о разглашении лично или другими сотрудниками сведений, составляющих секреты фирмы, о нарушении сотрудниками порядка защиты информации.

    При работе с персоналом фирмы следует  сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к секретам фирмы. Можно предполагать, что эти сотрудники могут быть посредниками в действиях злоумышленника: в проведении электронного шпионажа, создании условий для хищения документов, снятии с них копий и т. п.

    Кроме того, нужно учитывать, что сотрудники фирмы, работающие с конфиденциальной информацией, вынуждены действовать  в рамках требований, регламентированных инструкцией по обеспечению режима конфиденциальности. Ограничение свободы человека может приводить к стрессам, нервным срывам. Сохранение чего-то в тайне противоречит потребности человека в общении путем обмена информацией. В связи с этим психологический настрой коллектива и отдельных сотрудников всегда должен находиться в центре внимания руководства фирмы.

    В случае установления фактов невыполнения сотрудниками требований по защите информации к ним должны в обязательном порядке  и своевременно применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка: объявление выговора, понижение в должности, лишение премии, отстранение от работы с конфиденциальной информацией, увольнение.

    Важно, чтобы наказание было неотвратимым и своевременным, невзирая на должностной уровень сотрудника.

    Следует учитывать, что ответственность  за разглашение сведений, составляющих секреты фирмы, в первую очередь  несут руководители фирмы и ее структурных подразделений, направлений  деятельности, филиалов, так как они полностью отвечают за разработку и реализацию мер, обеспечивающих информационную безопасность всех видов деятельности фирмы.

    Факт  утраты информации выявляется в основном посредством анализа публикаций, рекламы, выставочных и других материалов фирм-конкурентов. В этом случае анализируются карточки учета осведомленности сотрудников в секретах фирмы, и выявляется круг сотрудников, владеющих утраченной информацией. Анализ ведется в рамках служебного расследования.