Файл: Особенности работы с персоналом, владеющим конфиденциальной информацией).pdf
Добавлен: 24.05.2023
Просмотров: 101
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. ПЕРСОНАЛ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
ГЛАВА 2. ОРГАНИЗАЦИЯ РАБОТЫ С ПЕРСОНАЛОМ
2.1. Приём на работу сотрудников, владеющих конфиденциальной информацией
2.2. Организация доступа к конфиденциальным сведениям
2.3. Особенности увольнения сотрудников, владеющих конфиденциальной информацией
ВВЕДЕНИЕ
Информационная безопасность понимается как защищённость информации на любых носителях от случайных и преднамеренных несанкционированных воздействий естественного и искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений.
В основе системы защиты информации лежит человеческий фактор, предполагающий преданность персонала интересам фирмы, и осознанное соблюдение им установленных правил защиты информации. Если отдельный сотрудник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информации и предотвратить ее разглашение.
В решении проблемы информационной безопасности значительное место занимает выбор эффективных методов работы с персоналом, обладающим конфиденциальной информацией. Персонал генерирует новые идеи, новшества, открытия и изобретения, которые ускоряют научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Поэтому любой сотрудник объективно заинтересован сохранять в тайне те новшества, которые повышают прибыли и престиж фирмы.
Несмотря на это персонал, к сожалению, является в то же время основным источником утраты ценной и конфиденциальной информации. Объясняется это тем, что с точки зрения психологических особенностей персонал - явление сложное, каждый из сотрудников всегда индивидуален, трудно предсказуем и мотивации его поведения часто противоречивы и не отвечают требованиям сложившейся жизненной ситуации. Это определяет особую значимость решения проблемы тщательного изучения персонала в структурах, связанных с необходимостью заботиться о сохранении в тайне тех или иных сведений, документов и баз данных. Трудности в работе с персоналом и сложности в подборе достойных во всех отношениях людей испытывает любая организация, которая использует в работе достаточные объёмы конфиденциальных сведений.
Цель работы – рассмотреть основные вопросы, возникающие при работе с персоналом, владеющим конфиденциальной информацией.
Объект исследования – персонал, владеющий конфиденциальной информацией.
Предмет исследования – методы работы с таким персоналом.
ГЛАВА 1. ПЕРСОНАЛ И ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Прежде чем приступать к конкретным мероприятиям по работе с персоналом, владеющим конфиденциальной информацией, требуется рассмотреть теоретические аспекты этой работы. Один из таких аспектов связан с выбором приоритетных групп для диагностики влияния их на принятие решений в сфере информационной безопасности и их роли в формировании корпоративной культуры безопасности. Эти группы можно дифференцировать следующим образом.
Руководители. Несомненно, руководители имеют прямое отношение к проблемам информационной безопасности. Руководители принимают стратегические решения о расширении информационной базы и о принятии на работу специалиста по информационной безопасности. Вследствие отсутствия знаний по данной проблеме многие руководители усугубляют проблемы, предполагая, что эксперт по безопасности, находясь в каком-нибудь отдалённом месте, сможет предотвратить, обнаружить или залатать бреши в защите на десятках ПК, рассеянных по всей организации. Нередко руководители, осмысливая только часть проблемы и давая команду о повсеместной установке определённого средства защиты, не только не решают проблемы, но и усложняют её решение.
Специалисты по информационной безопасности. Если организация невелика, то в ней нередко предпринимаются попытки совместить в одном лице обязанности менеджера по информационной безопасности и администратора сети. Это далеко не всегда приводит к успешной защите информационных интересов фирмы, т.к. объём профессиональных обязанностей данных специалистов различен. Администратор сети отвечает за функционирование сети, в том числе и за её безопасность (в технических и программных аспектах), тогда как менеджер по безопасности должен держать в поле зрения все участки информационной среды фирмы и предотвращать все угрозы её информационной безопасности (технические способы несанкционированного доступа – подслушивание, подключение, внедрение, похищение документов, шантаж и подкуп персонала, дезинформация и т.п.). Поэтому менеджер по безопасности должен владеть всем комплексом проблем информационной безопасности, уметь работать с людьми не в меньшей степени, чем с техническими средствами защиты. Цель специалиста по безопасности не в написании памяток или заявлений стратегического порядка, а в повышении безопасности информации.
Администраторы локальных сетей. Администраторы сети – это, как правило, технически грамотные молодые люди. Они достигли своего положения, благодаря своей кропотливой работе, умению быстро постигать и возможности покупать книги соответствующего содержания.
Администраторы сети сталкиваются с большим количеством проблем связанных с безопасностью сети. У них, как и у специалистов по информационной безопасности, возникает масса конфликтов с пользователями из-за ущемления прав пользователей. Менеджеры сети в большинстве случаев сталкиваются со следующими проблемами:
- отказ выполнять процедуры управления;
- отказ выполнять процедуры управления надлежащим образом;
- отказ исправлять известные изъяны системы;
- отказ следовать установленным процедурам эксплуатации;
- отказ в дисциплинарном наказании пользователей при нарушении ими информационной безопасности.
Пользователи. Самые типичные угрозы информационной безопасности исходят от «внутреннего врага». Чаще всего компьютеры становятся жертвой небрежного пользователя. Но угроза информационной безопасности исходят не только от небрежного пользователя. Очень компетентные и аккуратные пользователи так же представляют угрозу. Они могут подобрать для работы сложное программное обеспечение, которое с трудом будут использовать другие, списать из сети и установить файл, содержащий вирус.
Пользователей больше волнуют их личные перспективы, а не нужды организации, в связи с этим от них исходит потенциальная угроза информационной безопасности. Особое место занимает группа недовольных обозлённых пользователей. Люди, которые вредят изнутри, наиболее хрупкое место информационной безопасности, поскольку это те люди, которым доверяют.
Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользователь, пользователь, опытный пользователь, пользователь-специалист. Критерием здесь выступает опыт самостоятельного, успешного использования ИТ.
Начинающим пользователем считается человек, который хотя бы раз в жизни работал на компьютере. Умение совершать элементарные действия (включить-выключить ПК и т.п.), разбираться во всех базовых (пользовательских) операциях – также уровень начинающего пользователя.
Следующий уровень квалификации – пользователь, который характеризуется уверенным владением программным обеспечением общего назначения (Word, Excel и т. д.).
Опытными пользователями считаются сотрудники, способные реализовать все возможности ИТ на своём участке работы. Для таких пользователей и создаются многофункциональные сложные программы. Они способны сами решить, какое программное обеспечение оптимально решит их задачи, могут самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в ПО инструментов.
Иногда квалификация пользователя в отдельных аспектах ИТ достигает специального уровня. Такой пользователь-специалист может осуществлять отдельные функции системного администратора или специалиста по технической поддержке. Например, может сам подобрать себе конфигурацию ПК, обслуживать своё автоматизированное рабочее место (АРМ), осуществлять несложный ремонт оргтехники, настраивать отдельные виды ПО.
Одна из наиболее серьёзных угроз информационной безопасности - так называемые «ламеры» (от английского глагола to lame - калечить), оно обозначает пользователя, необоснованно считающего себя специалистом и пытающегося выполнять соответствующие функции, допуская грубейшие ошибки, порой выводя из строя ИС. Выражение активно используется специалистами по ИТ, его важно правильно понимать, но категорически не рекомендуется использовать применительно к сотрудникам, так как в субкультуре продвинутых пользователей и специалистов по ИТ «ламер» - тяжкое оскорбление.
Отмечено, что причина утечки информации чаще всего происходит в результате небрежности первых лиц организации. Например, в частных фирмах более 75 % ответственных сотрудников, принимая посетителей, не считают необходимым убирать конфиденциальные документы со стола или же выключать компьютер. Это часто приводит к потере значительной части оперативной информации.
По данным опросов, 75 % руководителей крупных предприятий хорошо знают об увеличении возможности утечки информации при использовании современных множительных средств типа ксерокса. Тем не менее, копирование материала в 53,6 % случаев происходит в режиме самообслуживания, в -32,7 % - оператором по устной просьбе служащего и только в 3,5 % случаев оператор делает копии под расписку или по письменному заказу.
Руководители компаний, несмотря на хорошую осведомлённость о рисках, которым подвергается информационная безопасность со стороны поставщиков ИТ-услуг и сотрудников их организаций, не предпринимают адекватных мер.
Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:
• проведение усложнённых аналитических процедур при приёме и увольнении сотрудников;
• документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
• Инструктирование и обучение сотрудников практическим действиям по защите информации;
• контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений.
Сложности в работе с персоналом определяются:
• большой ценой решения о допуске лица к тайне предприятия;
• наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);
• разбиением тайны на отдельные элементы, каждый из которых известен определённым сотрудникам в соответствии с направлением их деятельности.
Персонал является основным и самым трудно контролируемым источником ценной и конфиденциальной информации.
Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:
• всех сотрудников данной фирмы, ее персонал;
• сотрудников других фирм - посредников, изготовителей комплектующих деталей, торговых фирм, рекламных агентств и т.п.);
• сотрудников государственных учреждений, к которым фирма обращается в соответствии с законом - налоговых и иных инспекций, муниципальных органов, правоохранительных органов и т.д.;
• журналистов средств массовой информации, сотрудничающих с фирмой;
• посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;
• посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;
• родственников, знакомых и друзей всех указанных выше лиц. Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.
Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации.
Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомлённым и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения. Причём овладение требуемой информацией происходит в значительном числе случаев в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств.