Защиты информации в процессе организации работы с кадрами (на примере США)

o физическая охрана объектов; 
o электронные системы охраны; 
o методы проверки кадрового состава; 
o методы противодействия промышленному шпионажу.     

Особое внимание следует обратить на обучение сотрудников, занимающихся сбытом продукции и услуг компании. Эти люди часто находятся в ситуациях, благоприятных для утечки информации. Они должны быть четко проинструктированы, что можно говорить, что нельзя. Нередки анонимные запросы от "потенциальных клиентов" с просьбой сообщить информацию об изделии для понимания того, как его применить наилучшим образом. Конкурент может выяснить существенные вещи, проанализировав эту незначительную на первый взгляд информацию. Лучше всего, чтобы люди, занимающиеся сбытом, не обладали информацией о новых разработках, еще не поступивших в производство. 
     Надо быть предельно осторожным при проведении различных ярмарок, выставок, торговых показов. Весь персонал, работающий на них, должен быть самым тщательным образом проинструктирован. 
     Альтернативный путь организации - формирование совета по безопасности. Для совета выбирается один представитель от каждого отдела. Это позволит СБ иметь как бы своего делегата в каждом отделе, который будет пояснять программу безопасности и сам иногда проводить тренинги. Созданный таким образом совет обучает работников и выявляет возникающие проблемы по защите коммерческой тайны. Такая система имеет следующие преимущества:

- укрепляются связи между сотрудниками  СБ и сотрудниками производства; 
- растет понимание требований защиты информации сотрудниками; 
- развиваются и совершенствуются стратегии обеспечения защиты информации в каждом отделе, получается поддержка правил и норм, установленных администрацией; 
- рассмотрение существующих проблем безопасности с позиций отделов; 
- сокращение штата СБ; 
- экономия средств на тренинги.     

Обучение можно считать успешным, если у работников сформировалось убеждение  в важности и необходимости мер  защиты на предприятии. Американские специалисты  в области противодействия промышленному  шпионажу рекомендуют использовать любую возможность для пропаганды программ обеспечения экономической безопасности фирмы, не забывать вознаграждать работников фирмы за успех в этой работе, стимулировать заинтересованность и участие сотрудников в выполнение программы защиты коммерческой тайны.

 

 

 

 

РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ДОСТУПА ПЕРСОНАЛА К ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ

 
     Доступ - это получение разрешения руководителя на выдачу тому или иному  сотруднику конкретных сведений с учетом его служебных обязанностей. 
     Регламентация доступа - установление правил, определяющих порядок доступа. 
     Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа.     

Если ценная информация фирмы похищена или стала известной, ей будет  трудно удержать свои позиции на рынке. Однако само по себе обладание ценной информацией не принесет никакой выгоды, если работникам не разрешается ее использовать. 
     При распределении информации, с одной стороны, необходимо обеспечить предоставление каждому конкретному сотруднику полного объема данных для качественного выполнения порученных ему функций, а с другой стороны - исключить ознакомление с излишними ненужными ему для работы сведениями. 
     В целях обеспечения правомерного доступа сотрудников фирмы к конфиденциальным сведениям, содержащимся в грифованных документах, необходимо внедрить соответствующую систему доступа. Для этого вначале составляется перечень сведений, содержащих коммерческую тайну, определяется ценность того или иного документа и присваивается соответствующий гриф. Для коммерческой тайны в США используются самые разнообразные грифы: "Секрет фирмы", "конфиденциально", "строго конфиденциально", "секрет производства" и т.д. Затем составляется список сотрудников, допущенных к тем или иным документам. Он утверждается вице-президентом фирмы и является правовой основой для практической реализации доступа. 
     Система доступа должна отвечать следующим требованиям:

- распространяться на все виды классифицированных документов;

- определять порядок доступа  всех категорий сотрудников, получивших право на ознакомление и использование документов, содержащих конфиденциальную информацию; 
- определять порядок доступа к коммерческой информации представителей различных государственных служб; 
- устанавливать надлежащий порядок оформления разрешений на доступ к конфиденциальным документам; 
- регламентировать права определенных должностных лиц на оформление доступа сотрудников; 
- исключать возможность бесконтрольной и несанкционированной выдачи грифованных документов.     

Правовой основой для возникновения ответственности за предание огласке, утере, утечке сведений, составляющих коммерческую тайну, является их занесение в перечень сведений, составляющих коммерческую тайну. Туда же должны быть занесены сроки пересмотра грифов. Перечень доводится до сведения всех сотрудников под расписку об ознакомлении. 
     На многих американских фирмах конфиденциальная информация разбивается на блоки, каждому блоку присваивается свой код, а для каждого сотрудника разрабатывается и выдается ему на руки карта-предписание с перечнем тех кодов, по которым он может получить информацию, необходимую и достаточную для нормального выполнения его должностных обязанностей. 
     Со всеми сотрудниками, получившими доступ, на фирмах США проводятся соответствующие занятия, преследующие конкретные цели:

- четкое знание сотрудником  объемов охраняемой информации, за безопасность которой они  несут личную ответственность;

- понимание работником характера  и ценности данных, с которыми  он работает, возможных способов  и методов проникновения к  этим данным, которыми может воспользоваться потенциальный нарушитель;

- обучение установленным правилам  и процедурам хранения и защиты  коммерческих сведений.     

Подробнее этот вопрос рассмотрен в  разделе "Организация обучения сотрудников  по вопросам защиты коммерческой тайны".      

Не менее актуальная проблема - разграничение доступа к данным, находящимся в памяти ЭВМ.     

Особое внимание хотелось бы уделить  интеллектуальным картам как надежному  средству контроля доступа. По мнению экспертов, технология изготовления интеллектуальных карточек по-прежнему будет влиять на мировой рынок, по мере того, как он будет пытаться удовлетворить запросы потребителя в системах информационного менеджмента. 
     Ведущая технология отрасли на сегодняшний день - Expocard, производимая фирмой CHESEPEAKE (США), представляет собой маленький пластиковый (размером с кредитную карточку) прибор, содержащий встроенный компьютерный чип. 
     Информационная емкость этой карточки примерно в 500 раз превышает соответствующий параметр карточек с магнитными метками, что существенно ускоряет пропуск посетителей при использовании их в системах санкционированного доступа. 
     Пластиковая карточка имеет встроенную полупроводниковую память, которая хранит информацию о пользователе. Для использования таких карточек применяются считывающие/записывающие устройства, позволяющие не только расшифровывать и прочитывать информацию, занесенную в карточку, но и внести в нее по мере необходимости дополнительную информацию.    

Expocard представляет собой одну из многих типов карточек, разработанных фирмой CHESEPEAKE. Среди возможных ее применений можно отметить такие как контроль безопасности сетей компьютеров, зданий, охрана парковок, а также - учет банковских счетов, оплата телефонных разговоров и т.д.     

До настоящего времени  не сообщалось ни об одном случае подделки интеллектуальных карточек. Расходы  на эксплуатацию, что немаловажно, тоже очень низкие. 
     Технология интеллектуальных карточек делится на 2 группы: карточки с памятью и микропроцессорные карточки. Карточки с памятью также делятся на карточки со свободным доступом и карточки с секретным доступом. Карточки со свободным доступом имеют переменную емкость памяти и могут быть использованы многократно. Служебная функция их такова, что на них заносятся часто изменяемые данные, такие как в портативные файлы данных. Карточки с ограниченным секретным доступом выполняют секретные функции "считывание/запись" в пределах объема своей памяти. Примеры их использования - идентификационные карточки, парковочные карточки и т.д. 
     Технология карточек с памятью на интегральных схемах открывает широкую дорогу к использованию персональных компьютеров.      

Поскольку счистка и, вообще, обработка  карточек с памятью не требует  применения механических движущихся систем, портативные компьютеры, использующие эти карточки могут быть выполнены более компактно. Имплантированные микросхемные чипы потребляют мало энергии и могут питаться от батарей или аккумуляторов достаточно долгое время, что повышает портативность и автономность систем. 
     В данном параграфе рассмотрен один из важнейших вопросов защиты коммерческой тайны на сегодняшний день - разграничение доступа персонала фирмы к конфиденциальной информации. Затронуты вопросы формирования разрешительной системы доступа к документам, проблема аутентификации пользователя в ПС; особое внимание уделено новому направлению в контроле доступа - интеллектуальным карточкам Expocard, производимым в США.

ВЫВОД

 
     Проведение кадровой политики в  области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту

информации ценится очень  высоко.     

В области подготовленности кадров по вопросам зашиты информации Соединенные Штаты являются одной из передовых стран. Этот вопрос решается на государственном уровне и деятельность служб безопасности контролируются президентом. Поэтому тот положительный опыт, который по этим вопросам можно использовать у нас в стране, очень ценен.     

Используя опыт США, в нашей стране создаются институты и центры подготовки кадров для служб безопасности, работающие по новым, разработанным  на основе американских, методикам.     

Задача, которая сейчас стоит перед  этими учреждениями - подготовка кадров широкого профиля по комплексной защите информации с узкой специализацией по одному из направлений защиты информации.      

Учитывая опыт США, мы должны научиться  дорожить информацией. Каждый специалист в области защиты информации должен понимать всю важность решаемой им проблемы, осознавать свою ответственность перед обществом.     

Целесообразно использовать опыт Соединенных  Штатов в области документирования процесса работы с персоналом, допущенным к коммерческой тайне (письменные формы, заполняемые сотрудниками при приеме на работу, увольнении, посещении предприятия сторонними лицами и организациями и др.). Это может помочь при решении спорных вопросов в судебном порядке.     

Немаловажное значение имеет психологический  аспект. В Соединенных Штатах при приеме сотрудника в службу безопасности досконально изучается его характер, окружение, прошлое, семья и др. Помимо простого анкетирования, проводится ряд тестов на профессиональную пригодность, определяются положительные и отрицательные черты характера, иногда проводится даже графологическая экспертиза. Таким образом, возможность попадания в службу безопасности лиц, несоответствующих данной профессии исключается практически совсем.     

Большое воздействие на сотрудника имеет материальное обеспечение. При хорошей зарплате сотрудников на предприятии существует меньшая вероятность хищения информации, представляющей ценность для конкурентов.     

Немаловажным аспектом является моральное  воздействие на сотрудников. В США  существует "Кодекс поведения государственных служащих", где на первый план выступает гражданская позиция.     

Руководствуясь положительным  опытом Соединенных Штатов, в России можно создать четкую и отлаженную систему организации работы с  кадрами, способную защитить секреты  предприятия.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК  ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

• Герасименко В.Г., Сергеев В.В. Опыт решения проблем обеспечения ИБ в банках США и Великобритании // Вопросы защиты информации. – 1996.
• Особенности правовой охраны интеллектуальной собственности в США/ Сост. и автор аналитического обзора Л.Г. Кравец.-М.: ИНИЦ Роспатента.-2001.
• Практика защиты коммерческой тайны в США: Руководство по защите Вашей деловой информации. Пер. с англ. – М.: СП «Crocus International», 1990.
• Семин Н.Л. Разведывательное сообщество и внешняя политика США (2001-2006 гг.)// США: Канада: Экономика – политика – культура.-2007.
• Пыхалов И.В. Спецслужбы США.-М., 2002.
• Свон Р.Д. Эффективность правоохранительной деятельности и ее кадровое обеспечение в США и России/Под общ. ред. В.П.Сальникава. – СПб.: Санкт-Петербургский ун-т МВД России. 2000.