Для стабильной и прибыльной деятельности предприятия, для защиты предпринимательской деятельности от различного вида угроз необходима постоянная работа с работниками предприятия, которые имеют доступ к конфиденциальной информации и могут стать как объектом, так и субъектом таких угроз. Это является одним из наиболее важных направлений в деятельности руководства предприятия. Работа с кадрами предполагает проведение профилактических и текущих мер, направленных на сохранение конфиденциальности информации, которой обладают сотрудники предприятия. Актуальность данной работы с персоналом и её важность определены ещё и тем, что в случае, если сотрудника готов разгласить сведения (по корыстным или каким-либо другим причинам), которые являются конфиденциальной информацией, помешать этому не смогут даже самые современные и самые дорогостоящие технические средства защиты. По исследованиям западных специалистов по обеспечению экономической безопасности сохранность конфиденциальности информации не менее чем на 80% определяется правильным подбором, расстановкой и воспитанием персонала.Работники предприятия, постоянно работающие со сведениями конфиденциального характера являются основным субъектом правоотношений в сфере защиты конфиденциальности информации. От того насколько персонал профессионально подготовлен в области защиты информации, какие он имеет психологические и морально-деловые качества, в полной мере зависит его способность противостоять потенциальным попыткам получения конкурентами или какими-либо другими злоумышленниками информации, которая данным предприятием отнесена к категории конфиденциальной. [1]

В Федеральном законе от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» четко и однозначно прописаны основные понятия, касающиеся безопасности информации:

Коммерческая тайна — конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду;

Информация, составляющая коммерческую тайну – это научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны;

Обладатель информации, составляющей коммерческую тайну – лицо, которое владеет информацией, составляющей коммерческую тайну, на законном основании, ограничило доступ к этой информации и установило в отношении ее режим коммерческой тайны.

Предоставление информации, составляющей коммерческую тайну – передача информации, составляющей коммерческую тайну и зафиксированной на материальном носителе, ее обладателем органам государственной власти, иным государственным органам, органам местного самоуправления в целях выполнения их функций.

Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которых информация, составляющая коммерческую тайну, в любой возможной форме (устной, письменной, иной форме, в том числе с использованием технических средств) становится известной третьим лицам без согласия обладателя такой информации либо вопреки трудовому или гражданско-правовому договору. [2]

 В связи с широким развитием цифровых технологий встаёт вопрос о сохранении конфиденциальности информации в сетях. Это создает обширный круг проблем. Для благополучия деятельности не только бизнеса, но и государственных структур, да и государства в целом информационная безопасность имеет основополагающее значение. Задачи, которые должна решать информационная безопасность:

Обеспечение целостности данных. Учитывая, что в современном мире вся коммерческая информация, бухгалтерские данные, финансовая отчетность, базы клиентов, договора, какие-либо новаторские идеи и разработки сотрудников предприятия, планы и стратегия развития этого предприятия хранятся в локальной компьютерной сети и зачастую не дублируются на бумажных носителях, велика вероятность безвозвратной утери этих данных. В данном случаев задачи информационной безопасности входит обеспечение надежную защиту серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере. Таким образом, информационная безопасность должна базироваться на профессиональном сопровождении всей IT- инфраструктуры фирмы, что предусматривает серьёзный подход к подбору технического персонала, профессиональные качества, которого позволят снизить технические риски возможной потери информации. [3]

Защита коммерческой тайны напрямую влияет на устойчивость предприятия на рынке и её конкурентоспособность. В данном случае информационная безопасность как с внешними, так и с внутренними преднамеренными угрозами, которые направлены на хищение важных данных. У всех на устах недавний скандал, когда хакеры, взломавшие базу данных Всемирного антидопингового агентства (ВАДА), опубликовали конфиденциальные данные, указывающие на применение запрещенных препаратов известными спортсменами из США, в том числе на Олимпиаде в Рио-де-Жанейро. Но не столько хакеры и промышленный шпионаж, сколько утечка информации по вине собственных сотрудников представляет наибольшую угрозу.

Управление персоналом начинается не с приема нового сотрудника на работу, а раньше – с составления штатного расписания и описания должностных обязанностей. И уже на данном этапе желательно подключить к работе специалиста по информационной безопасности для определения доступности уровня информации, необходимого для нормальной деятельности сотрудника в данной должности. Принято выделять два общих принципа, которые следует иметь в виду: Принцип разделения обязанностей предписывает порядок распределения роли и ответственности, чтобы один человек не мог нарушить критически важный для организации процесс. Таким образом, снижается вероятность ошибок. Принцип минимизации привилегий предписывает для уменьшения ущерба от случайных или умышленных некорректных действий выделять пользователям только те права доступа, которые необходимы им для выполнения служебных обязанностей. Предварительное составление описания должностных обязанностей позволяет спланировать и процедуру проверки и отбора кандидатов. Нельзя отказываться от предварительной проверки, чтобы случайно не принять на работу человека с психическим заболеванием, уголовным прошлым или просто нечистого на руку.

Когда кандидатура соискателя на должность определена, ему, возможно, необходимо будет пройти обучение. Также следует подробно ознакомить кандидата со служебными обязанностями и, конечно же, с нормами и процедурами информационной безопасности. Необходимо, чтобы меры безопасности были им усвоены до вступления в должность и до получения доступа к конфиденциальной информации. [4]

Так как большая часть информации в настоящее время является цифровой, то попробуем выделить вопросы по безопасности информации в работе персонала именно в информационном поле. В процессе деятельности сотрудника в своей должности постепенно изменяется его окружение, его служебные обязанности и т.п. Все это требует соответствующего изменения привилегий и уровня доступа пользователя. Временные перемещения пользователя, выполнение им обязанностей сотрудника, заболевшего или ушедшего в отпуск, и иные обстоятельства, когда новый уровень полномочий нужно сначала предоставить, а через некоторое время отменить. В такие периоды интенсивность и направление активности пользователя может резко меняться, что, возможно, создаст сложности при обнаружении подозрительных ситуаций, которые могут грозить утечкой информации. Также тщательность следует соблюдать и при выдаче новых постоянных полномочий, не забывая отменить или уничтожить старые права доступа. Ликвидация системного счета пользователя, определенный должностными обязанностями уровень привилегий, особенно в случае конфликта между сотрудником и организацией, или его увольнении должны производиться максимально оперативно (в идеале – одновременно с извещением о наказании или увольнении). Мне, допустим, известны случаи, когда уволенные из предприятия водители продолжали пользоваться заправочными картами, т.к. они не были заблокированы. Во избежание утечки информации возможно и физическое ограничение доступа сотрудника к рабочему месту.

К области управления сотрудниками относится также и контроль лиц, работающих по контракту (к примеру, специалистов фирмы-поставщика, осуществляющих шеф-монтаж оборудования, помогающих запустить новую систему, аудиторов и т.д.). Принимая во внимание принцип минимизации привилегий, контрактникам необходимо выделять ровно столько прав, сколько нужно для выполнения своих обязанностей, и изымать эти права сразу по выполнении оговоренных контрактом работ. И основная проблема в этой ситуации в том, что на начальном этапе осуществления своей контрактной деятельности “внешние” сотрудники будут администрировать “местных”, а не наоборот. И здесь опять на первый план выходит квалификация персонала организации, его способность к быстрому обучению и применению полученных навыков в своей работе. А на администрации предприятия лежит оперативное проведение учебных курсов. Важен также и принцип выбора деловых партнеров.

Иногда внешние организации берут на обслуживание и администрирование, ответственные компоненты компьютерной системы, например, сетевое оборудование, сервера, где хранится информация, которая не подлежит разглашению. Очень часто администрирование выполняется в удаленном режиме. И всё это создает в системе хранения информации уязвимые места, которые необходимо нужно более тщательно контролировать средствами удаленного доступа или, опять же, обучением собственных сотрудников. [5]

Мы видим, что проблема обучения – одна из ключевых с точки зрения сохранения конфиденциальной безопасности. Если персонал не знаком с политикой безопасности своей организации, он не может добиваться сформулированных в ней целей и задач. Не имея понятия о мерах информационной безопасности, он не может их соблюдать. И, напротив, если сотрудник знает, что его действия контролируются и фиксируются, он, возможно, воздержится от нарушений. Незнание и несоблюдение техники безопасности может нанести вред работнику, незнание и несоблюдение мер информационной безопасности может нанести гораздо больший вред в корпоративном, отраслевом и даже в национальном масштабе.

Процессу приема сотрудника на работу, связанную с владением конфиденциальной информацией, как уже говорилось, должен предшествовать ряд подготовительных этапов, позволяющих составить точное представление о том, какой специалист и какой квалификации нужен для данной должности, какими он должен обладать моральными, личными и деловыми качествами.

Какими мы видим эти этапы:

Во-первых, работодатель должен заранее сформулировать, какие функции должен выполнять сотрудник на данной должности, каков круг его ответственности и какие качества, знания, умения и какой уровень квалификации необходимо иметь претенденту; Во-вторых, необходимо составить перечень конфиденциальных сведений, к которым будет иметь доступ специалист; Также необходим перечень вариантов стимулирования и поощрения, бонусов, которые может получать сотрудник; У работодателя должен быть конкретный перечень и других вопросов, которые необходимо будет решать специалисту, перечни требуемых личных качеств, возрастных, профессиональных и иных характеристик. Выполнение вышеуказанных этапов облегчит процедуру подбора кандидатов и сделает отбор их более объективным и обоснованным. Кандидаты должны предварительно ознакомиться с указанными выше документами. Это делает собеседование с ними более конкретным и целенаправленным. Также возможно, что кандидат может отказаться от предлагаемой должности после ознакомления с документами. Необходимо также обратить внимание, что при подборе кандидатов для назначения на должности, которые связаны с конфиденциальной информацией, обязательно нужно учитывать уровень каждой конкретной должности с точки зрения принятия и реализации решений, исполнения организаторских функций и вопросов повседневной деятельности организации. Принимая во внимание названные критерии, такие должности следует подразделять на следующие группы: руководители организации; заместители руководителя; руководители структурных подразделений; руководители служб безопасности и их заместителей; сотрудники служб безопасности предприятия; сотрудники предприятия, осуществляющие на постоянной основе работу с конфиденциальной информацией в соответствующих структурных подразделениях.

Комплексная проверка претендентов на работу предоставит возможность работодателям существенно уменьшить риск нанесения ущерба деятельности компании, а безупречность личных и деловых качеств сотрудников является наилучшей гарантией внутренней ее безопасности. [6]

1. Баткаева Е.Р.Что проверяет служба //  [Электронный ресурс]. URL: http://podborkadrov.com/priem-na-rabotu/obshhie-voprosy/chto-proveryaet-sluzhba-bezopasnosti.html
2. Махумтов Р. Требования предъявляемые сотрудникам // [Электронный ресурс]. URL: http://wiki.iteach.ru/index.php
3. Методы получения конфиденциальной информации у персонала. Особенности приема сотрудников на работу связанную с владением конфиденциальной информацией. //[Электронный ресурс]. URLhttp://studopedia.ru/7_165749_tema–metodi-polucheniya-konfidentsialnoy-informatsii-u-personala-osobennosti-priema-sotrudnikov-na-rabotu-svyazannuyu-s-vladeniem-konfidentsialnoy-informatsiey.html
4. Персонал как основная опасность утраты конфиденциальной информации. Организация мероприятий по работе с персоналом, получающим доступ к конфиденциальной информации. // [Электронный ресурс]. URL http://studopedia.ru/7_165748_tema–personal-kak-osnovnaya-opasnost-utrati-konfidentsialnoy-informatsii-organizatsiya-meropriyatiy-po-rabote-s-personalom-poluchayushchim-dostup-k-konfidentsialnoy-informatsii.html
5. Особенности работы с персоналом, владеющим конфиденциальной информацией. // [Электронный ресурс]. URL http://studopedia.ru/7_165747_tema–osobennosti-raboti-s-personalom-vladeyushchim-konfidentsialnoy-informatsiey.html
6. Ищейнов В.Я.Подбор персонала для работы с конфиденциальной информацией. // [Электронный ресурс]. URLhttp://lexandbusiness.ru/view-article.php?id=4866

Все статьи автора «neva_larisa»