Файл: Особенности работы с персоналом, владеющим конфиденциальной информацией (Угрозы конфиденциальной информации).pdf

ГОСТ 28147-89 - единственный российский стандарт симметричного шифрования. Стандарт был введен в 1990 году и объявлен полностью открытым в 1994 году. Однако разработан он был гораздо раньше в одном из закрытых НИИ Советского Союза. Это высоконадежный и простой в реализации алгоритм шифрования.

В ассиметричных раскладах применяются два ключа. Единственный с их называется открытым (либо публичным) также способен легко переходить третьим личностям. Данное источник способен являться специализирован также с целью кодирования также с целью расшифровки. Все зависит с этого, с целью чего же применяется кодирование. Второй источник именуется прикрытым (либо тайным), некто обязан являться популярен только лишь одному субъекту. Если ассиметричное кодирование применяется с целью извлечения уведомлений с множества субъектов, закрытым считается источник с целью расшифровки. В обратном условии, если единственный лицо отправляет шифрованные информации большинству субъектам, в таком случае закрытым источником считается источник с целью кодирования.

Электронная подпись решает проблему идентификации передаваемых данных. Электронная подпись представляет собой некоторую вставку в данные (документ), зашифрованную закрытым ключом. При этом сами данные могут быть как в зашифрованном, так и в открытом виде. В состав электронной подписи обычно входит информация, идентифицирующая как передаваемые данные (например, контрольная сумма, позволяющая проверить целостность данных), так и того, кто передает эти данные (некий личный идентификатор известный получателю). В качестве параметра, определяющего правильность производимой расшифровки, в электронной подписи может содержаться в частности и сам открытый ключ, которым эта подпись расшифровывается. ^[7]

Глава 2. Особенности работы с персоналом, владеющим конфиденциальной информацией

2.1 Персонал как основная опасность утраты конфиденциальной информации

В основе системы защиты информации лежит человеческий фактор, предполагающий преданность персонала интересам фирмы, и осознанное соблюдение им установленных правил защиты информации. Если отдельный сотрудник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информации и предотвратить ее разглашение.

В выводе проблемы информативной сохранности значительное пространство занимает подбор лучших способов службы с персоналом, владеющим секретными данными. Персонал возбуждает новые идеи, новаторства, раскрытия и изобретения, какие убыстряют научно - промышленный прогресс, увеличивают достаток служащих компании и представляются нужными не только для компании в целом, однако и для любого отдельного работника. Потому другой работник беспристрастно заинтересован хранить в секрете те новшества, какие увеличивают прибыли и авторитет компании.

Несмотря на это, персонал, к сожалению, является в то же время основным источником утраты ценной и конфиденциальной информации. Объясняется это тем, что с точки зрения психологических особенностей персонал - явление сложное, каждый из сотрудников всегда индивидуален, трудно предсказуем и мотивации его поведения часто противоречивы и не отвечают требованиям сложившейся жизненной ситуации. Это определяет особую значимость решения проблемы тщательного изучения персонала в структурах, связанных с необходимостью заботиться о сохранении в тайне тех или иных сведений, документов и баз данных. Трудности в работе с персоналом и сложности в подборе достойных во всех отношениях людей испытывает любая фирма, которая использует в работе достаточные объемы конфиденциальных сведений. ^[8]

В современных предпринимательских структурах практически каждый основной сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов и криминальных структур. В контексте безопасности кадровая политика имеет профилактическую роль по отношению к такому типу угрозы, как неблагонадежность отдельных сотрудников. Вопросы управления персоналом, работа которого связана с обработкой, хранением и использованием конфиденциальных сведений, документов и баз данных, в настоящее время все в большей степени в концептуальном и практическом аспектах включаются в число главных, при решении проблем информационной безопасности. ^[9]

Информативная безопасность подразумевается, как огражденность данных на других носителях от неожиданных и намеренных неразрешенных влияний природного и ненастоящего характеристики, командированных на ликвидирование, поражение, изменение этих либо других этих, модифицирование ступени доступности дорогих сведений. Кроме высококлассных возможностей работники, сопряженные с тайнами компании, обязаны владеть рослыми нравственными свойствами, порядочностью, исполнительностью и ответственностью. Они добровольно соглашаются на назначенные лимитированиям в применении информативных ресурсов и производят в себя самодисциплину, самодисциплина усилий, операций и выражений.

Зарубежные специалисты считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала фирмы. Повышение ответственности персонала за выполняемую работу, сохранность ценных сведений, активное участие в принятии управленческих решений требует нового содержания при оценке таких критериев, как образование, профессионализм, личная культура, моральные качества и этика работников. Люди рассматриваются как самый ценный ресурс фирмы и решают, с одной стороны, производственные и коммерческие задачи, а с другой - получают во владение ценные и конфиденциальные сведения фирмы и обеспечивают их правильное использование и сохранность. ^[10]

Служба с персоналом предполагает целеустремленную активность управления компании и трудящийся коллектива, командированную на более целое применение трудящийся и созидательных возможностей любого члена коллектива, воспитание в нем фирменной гордости, мешающей происхождению хотения надуть ущерб компании, начинать соучастником в бесчестной конкуренции либо преступных усилиях.

Гуманный принцип обязан непрерывно предусматриваться в длительной стратегии компании и ее нынешной деятельности, проявляться главным составляющей теории эффективной и лучшей системы охраны информативных ресурсов.

Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:

- проведение усложненных аналитических процедур при приеме и увольнении сотрудников;

- документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;

- инструктирование и обучение сотрудников практическим действиям по защите информации.

А контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений. Сложности в работе с персоналом определяются:

- большой ценой решения о допуске лица к тайне предприятия;

- наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);

- разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности.

Персонал является основным и самым трудно-контролируемым источником ценной и конфиденциальной информации.

Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:

- всех сотрудников данной фирмы, ее персонал;

- сотрудников других фирм;

- сотрудников государственных учреждений муниципальных органов, правоохранительных органов и т.д;

- журналистов средств массовой информации, сотрудничающих с фирмой,

- посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;

- посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;

- родственников, знакомых и друзей всех указанных выше лиц.

Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.^[11]

Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации. Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомленным и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения. Причем овладение требуемой информацией происходит в значительном числе случается в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств. ^[12]

2.2 Доступ персонала к конфиденциальным сведениям, документам и базам данных

В соответствии со ст. 6 Федерального закона «Об информации, информационных технологиях и защите информации» вопросы ограничения доступа к информации, определения порядка и условий такого доступа относятся к исключительной компетенции обладателя информации. Последний при осуществлении своих прав обязан ограничивать доступ к информации и принимать меры по ее защите, если такая обязанность установлена федеральными законами. Под допуском к конфиденциальной информации понимается выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к конкретному виду конфиденциальной информации. ^[13]

Разрешительная система доступа лежит в основе организационно - правового регулирования вопросов допуска и непосредственного доступа персонала к конфиденциальной информации и ее носителям независимо от степени ее важности и конфиденциальности. Понятие, сущность и основные положения разрешительной системы доступа персонала предприятия к информации, подлежащей защите, представлены на примере информации, в установленном порядке отнесенной коммерческой тайне. В соответствии с Федеральным законом «О коммерческой тайне» под доступом к информации, составляющей коммерческую тайну, понимается ознакомление определенных лиц с этой информацией с согласия ее обладателя или на ином законном основании при условии сохранения конфиденциальности этой информации. В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным законом, устанавливает режим коммерческой тайны. Режим коммерческой тайны - правовые, организационные, технические и иные меры по охране конфиденциальности информации, составляющей коммерческую тайну, принимаемые ее обладателем. ^[14]

Приведенные мероприятия реализуются в рамках позволительной системы доступа персонала компании к данных, сочиняющей коммерческую секрет.

Система доступа персонала компании предугадывает установка на компании целого распорядка воззвания с носителями сведений, устройство ограничений на доступ к ним разных категорий персонала и ступени ответственности за защита подтвержденных носителей сведений. Творение и осуществление позволительной системы доступа персонала к данных, сочиняющей коммерческую секрет, - значительная часть всеобщей системы координационных граней по охране данных на компании.

Актуальность применения позволительной системы доступа к данных определена специальным ролью информативной сочиняющей другого производственного процесса на нынешнем компании, подключающего творение новоиспеченных бумаг (веществ), продуктов и услуг, незаконный доступ к каким сможет привести к утечке секретной данных и, тем наиболее, нанесению убытка предприятию. Творение и действие позволительной системы доступа персонала компании к данных ориентированы, в первоначальную участок, на заключение важных пред предприятием задач и приобретение главных целей его деловитости.

Основным принципом нормативно - законного регулировки процесса ознакомления точного труженика компании с сведениями, образующими коммерческую секрет, представляется уместность доступа сего труженика к точным сведениям либо их носителям. Главные условия обоснованного доступа персонала к коммерческой данных включают: подпись тружеником обещания об неразглашении сведений, образующих коммерческую секрет, а вдобавок трудящийся соглашения, какой в согласовании со ст. 57 Трудового кодекса Российской Федерации сможет иметь данные обещания; присутствие около труженика законного в поставленном распорядке допуска к сведениям, образующим коммерческую секрет; присутствие ратифицированных управляющим компании официальных повинностей труженика, устанавливающих сфера его задач и размер нужной для их вывода данных; формирование дозволения управляющего компании на изучение труженика с точной данными, изображающей коммерческой секретом, и ее носителями. Процесс регулировки доступа тружеников к коммерческому секрету ориентирован на изъятие неосновательного расширения сферы персон, допускаемых на компании к данных разной ступени конфиденциальности, и утечки данной данных, а вдобавок доступа к ней людей, не имеющих на то дозволения уполномоченных официальных граждан.