Кадровое Обеспечение Функционирования КСЗИ

     3. Настоящие обязательства исполняются  сторонами в пределах срока  действия договора и в течение  одного года после прекращения  действия договора, если не будет оговорено иное.

     4. Каждая из сторон обязуется  возместить другой стороне в  полном объеме все убытки, причиненные  последней разглашением ее конфиденциальной информации в нарушение п.п. 1—3 настоящего договора.

     5. Клиент (поставщик и пр.) не вправе  использовать свое положение как стороны по настоящему договору в целях и интересах третьих лиц.

     6. Стороны обязуются незамедлительно  предупредить другую сторону  о возникновении неуправляемых  факторов или процессов, могущих  повлечь за собой нарушении  конфиденциальности сторон.

     Служба  защиты информации принимает меры по сохранению коммерческой тайны путем максимального ограничения круга лиц, физической сохранности документов, содержащих такие сведения, обработки информации с грифом конфиденциальности на защищенных ЭВМ, внесение требований по конфиденциальности конкретной информации в договоры с внутренними и внешнеторговыми партнерами и других мер по решению руководства.

     Все работы с документами, содержащими  конфиденциальную информацию, регламентируются положением о конфиденциальном делопроизводстве. 

     Защита  и обработка конфиденциальных документов предусматривает:

         • порядок определения информации, содержащей коммерческую тайну,  и сроков ее действия;

         • систему допуска сотрудников,  командированных и частных лиц  к сведениям, составляющим коммерческую тайну;

         • обеспечение сохранности документов  на бумажных и магнитных носителях  с грифом конфиденциальности;

         • обязанности лиц, допущенных  к сведениям, составляющим коммерческую тайну;

         • принципы организации и проведения  контроля за обеспечением режима при работе со сведениями, составляющим коммерческую тайну;

         • ответственность за разглашение  сведений, утрату документов, содержащих коммерческую тайну.

     Допуск  сотрудников к сведениям, составляющим коммерческую тайну, осуществляется Генеральным директором и руководителем СЗИ.

     Руководитель  СЗИ ответственен за подбор лиц, допускаемых  к сведениям с грифом, обязан обеспечить контроль за тем, чтобы, к этим сведениям получали доступ только те лица, которым такие сведения необходимы для выполнения своих служебных обязанностей. 

     4. Кадровое обеспечение комплексной системы защиты информации 

     4.1 Кадровая политика предприятия  при создании КСЗИ

     Большинство систем не может функционировать  без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной стороны, ее необходимый элемент, с другой — он же может быть причиной и движущей силой нарушения и преступления. Сотрудник предприятия является определяющей фигурой в обеспечении сохранности сведений. Он может выступать в качестве создателя интеллектуальной собственности предприятия (совершенствуя технологию, создавая какие-либо товары и др.). При этом значительная часть ценнейшей для предприятия информации не отражается в технической документации, а остается в голове. И в дальнейшем, накопив опыт, многие из них потенциально готовы в будущем реализовать свои идеи на практике. Кроме того, если сотрудник привлекается к закрытым работам, руководитель предприятия вынужден предоставить ему наиболее ценную информацию, полученную другим работником.

     Проведя анализ статистических данных по отечественным  и зарубежным источникам, можно сделать вывод, что около 70% (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью информации, совершаются именно сотрудниками предприятия. Можно выделить 5 причин этого факта:

     1)при  нарушениях, вызванных безответственностью,  сотрудник целенаправленно или случайно производит какие-либо действия по компрометации информации, связанные со злым умыслом;

     2) бывает, что сотрудник предприятия  ради самоутверждения (для себя  или коллег) затевает своего рода  игру «пользователь — против  системы». И хотя намерения могут  быть безвредными, будет нарушена  сама практика безопасности. Такой  вид нарушений называется зондированием системы;

     3) нарушение может быть вызвано  и корыстным интересом. В этом  случае сотрудник будет пытаться  целенаправленно преодолеть систему  защиты для доступа к хранимой, перерабатываемой и обрабатываемой на предприятии информации;

     4) за рубежом известна практика переманивания специалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Таким образом, не обеспечив закрепление лиц, осведомленных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров в зарубежных фирмах уделяют большое внимание. Представители японской администрации рассматривают компанию как совокупность различных ресурсов. При этом люди стоят на первом месте, т. к. именно они воплощают технологию и в них в первую очередь заключается конкурентоспособная сила фирмы. То есть текучесть кадров четвертая причина;

     5) специалист, работающий с конфиденциальной  информацией, испытывает отрицательное психическое воздействие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информацией, сотрудник постоянно боится возможной угрозы утраты документов, содержащих секреты. Выполняя требования режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам, а как результат — нарушении безопасности информации.

     Понимая ведущую роль кадров в сохранении секретов, руководителям предприятия важно помнить, какие личные качества человека не способствуют сохранению доверенной ему тайны. То есть причины нарушения безопасности информации могут быть связаны с психологическими особенностями человека, его личными качествами, следовательно, и способы предотвращения перечисленных нарушений вытекают из анализа побудительных мотивов: тщательный подбор персонала, подготовка персонала, поддержание здорового рабочего климата, мотивация и стимулирование деятельности сотрудников. 

     4.2 Этапы работы с персоналом

     Организация эффективной защиты экономической  безопасности предприятия со стороны персонала включает три основных этапа работы с ними:

     1) предварительный (в период предшествующий  приему на работу);

     2) текущий (в период работы сотрудника);

     3) заключительный (во время увольнения  сотрудника).

     Предварительный этап является наиболее ответственным  и, соответственно, более сложным. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, целесообразнее всего соблюсти следующую технологию приема.

     Прежде  всего, на основании должностной  инструкции и особенностей деятельности разрабатываются требования к кандидату  на должность. Они включают не только формальные требования - пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить –какой работник необходим предприятию, а самому кандидату - сопоставить собственные качества с требующимися.

     Затем производится подбор кандидатов на вакантную  должность. Методы подбора кандидата могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур. К ним относятся:

         • обращение в службы занятости,  агентства по найму рабочей  силы и прочие аналогичные  организации;

         • поиск кандидатов среди студентов  и выпускников высших учебных  заведений;

         • подбор кандидатов по рекомендациям предприятий - партнеров;

         • подбор кандидатов по рекомендациям  надежных сотрудников предприятия.

     Подбор, основанный на случайном обращении  кандидатов непосредственно на предприятие может представлять угрозу ее экономической безопасности в будущем.

     Целесообразно, особенно при случайном подборе  кандидата, произвести запрос на предыдущее место работы с целью получения характеристики его морально-деловых качеств, а также данных о погашенных судимостях.

     Для более полного ознакомления с  личностью кандидата имеется возможность воспользоваться услугами органов внутренних дел. Последние могут оказывать такого рода платные услуги. Органы внутренних дел предоставляют сведения о наличии (отсутствии) судимости кандидата и о лицах, находящихся в розыске.

     После ознакомления с документами кандидата (личными документами, об образовании, прежней должности и стаже  работы, характеристиками и рекомендациями), а последнего - с требованиями к нему и признания обоюдного соответствия, производится собеседование работника кадровой службы предприятия с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

     В случае успешного прохождения кандидатом проверки и признания его соответствующим должности, осуществляется заключение (подписание) двух документов:

     • трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;

     • договора (обязательства) о неразглашении  конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

     Непосредственная  деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

     В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники предприятия, имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности предприятия. Размер этого перечня определяется руководителем предприятия, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

     Эффективным способом защиты информации, особенно если предприятие имеет ряд производств (цехов, подразделений, участков), является ограничение физического доступа (перемещения) персонала в другие зоны, не связанные с функциональными обязанностями работников. Посещение же "закрытых" территорий производится только с разрешения руководства.

     Оригинальным  приемом защиты информации, используемым некоторыми предприятиями, является разбиение однородной информации на отдельные самостоятельные блоки и ознакомление сотрудников только с одним из них, что не позволяет работникам представить общее положение дел в данной сфере.