Файл: Особенности работы с персоналом, владеющим конфиденциальной информацией).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 24.05.2023

Просмотров: 147

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Разрешение на доступ к конфиденциальным сведениям представителя другой фирмы или предприятия оформляется резолюцией полномочного должностного лица на предписании (или письме, обязательстве), представленном заинтересованным лицом. В резолюции должны быть указаны конкретные документы или сведения, к которым разрешён доступ. Одновременно указывается фамилия сотрудника фирмы, который знакомит представителя другого предприятия с этими сведениями и несет ответственность за его работу - в помещении фирмы.

Следует соблюдать правило, по которому регистрируются все лица, имеющие доступ к определённым документам, коммерческим секретам. Это позволяет на высоком уровне осуществлять информационное обеспечение аналитической работы по выявлению возможных каналов утраты информации.

При организации доступа сотрудников фирмы к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Можно выделить следующие главные составные части:

• доступ к персональному компьютеру, серверу или рабочей станции;

• доступ к машинным носителям информации, хранящимся вне ЭВМ;

• непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции, которые используются для обработки конфиденциальной информации, предусматривает:

• определение и регламентацию первым руководителем фирмы состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится соответствующая вычислительная техника, средства связи;

• регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях; персональное и временное протоколирование (фиксирование) руководителем подразделения или направления деятельности фирмы наличия разрешения и периода работы этих лиц в иное время (например, в вечерние часы, выходные дни и др.);

• организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану; регламентацию работы указанных технических средств в рабочее время;

• организацию контролируемого (в необходимых случаях пропускного) режима входа в указанные помещения и выхода из них;

• организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

• организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.


Несмотря на то, что по окончании рабочего дня конфиденциальные сведения должны быть перенесены на гибкие носители и стёрты с жёсткого диска компьютера, помещения, в которых находится вычислительная техника, подлежат охране. Объясняется это тем, что, во-первых, в неохраняемый компьютер легко установить какое-либо средство промышленного шпионажа, во-вторых, злоумышленник может с помощью специальных методов восстановить стёртую конфиденциальную информацию на жёстком диске (произвести «уборку мусора»).

Доступ к машинным носителям конфиденциальной информации, хранящимся вне ЭВМ, предполагает:

• организацию учёта и выдачи сотрудникам чистых машинных носителей информации;

• организацию ежедневной фиксируемой выдачи сотрудникам и приёма от сотрудников носителей с записанной информацией (основных и резервных);

• определение и регламентацию первым руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе КД учтённые машинные носители информации;

• организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учёта динамики изменения состава записанной информации;

• организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

• организацию хранения машинных носителей в службе КД в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;

• определение и регламентацию первым руководителем состава сотрудников не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников. Работа сотрудников службы КД и фирмы в целом с машинными носителями информации вне ЭВМ должна быть организована по аналогии с бумажными конфиденциальными документами.

Доступ к конфиденциальным базам данных и файлам является завершающим этапом доступа сотрудника фирмы к компьютеру. И если этот сотрудник – злоумышленник, то можно считать, что самые серьёзные рубежи защиты охраняемой электронной информации он успешно прошёл. В конечном счёте он может просто унести компьютер или вынуть из него и унести жёсткий диск, не «взламывая» базу данных.

Обычно доступ к базам данных и файлам подразумевает:


• определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определёнными базами данных и файлами; контроль системы доступа администратором базы данных;

• именование баз данных и файлов, фиксирование в машинной памяти имён пользователей и операторов, имеющих право доступа к ним;

• учёт состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

• регистрацию входа в базу данных, автоматическую регистрацию имени пользователя и времени работы; сохранение первоначальной информации;

• регистрацию попытки несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

• установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов, классификаторов, ключевых слов и т.п.), особенно при частой смене персонала;

• отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

• механическое (ключом или иным приспособлением) блокирование отключённой, но загруженной ЭВМ при недлительных перерывах в работе пользователя. Коды, пароли, ключевые слова, ключи, шифры, специальные программные продукты, аппаратные средства и т.п. атрибуты системы защиты информации в ЭВМ разрабатываются, меняются специализированной организацией и индивидуально доводятся до сведения каждого пользователя работником этой организации или системным администратором. Применение пользователем собственных кодов не допускается.

Следовательно, процедуры допуска и доступа сотрудников к конфиденциальной информации завершают процесс включения данного сотрудника в состав лиц, реально владеющих тайной фирмы. С этого времени большое значение приобретает текущая работа с персоналом, в распоряжении которого находятся ценные и конфиденциальные сведения.

2.3. Особенности увольнения сотрудников, владеющих конфиденциальной информацией

Стабильность кадрового состава является важнейшей предпосылкой надёжной информационной безопасности фирмы. Миграция специалистов - самый трудно контролируемый канал утраты ценной и конфиденциальной информации. Вместе с тем полностью избежать увольнений сотрудников не представляется возможным. Необходим тщательный анализ причин увольнения, на основе которого составляется и реализуется программа, исключающая эти причины. Например, повышение окладов, аренда жилья для сотрудников вблизи фирмы и оздоровление психологического климата, увольнение руководителей, злоупотребляющих своим служебным положением, и др.


Технологическая цепочка увольнения сотрудника включает в себя:

• написание сотрудником заявления об увольнении с подробным раскрытием причины увольнения и желательно указанием места предполагаемой работы;

• передача заявления руководителю структурного подразделения для оформления и передачи в отдел кадров или службу персонала;

• приём службой конфиденциальной документации от увольняющегося сотрудника всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, с которыми он работал, проверка их комплектности, полноты и оформление приёма в описи исполнителя или актом;

• сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входить в рабочее помещение с использованием знания шифра кодового замка (при необходимости – изменение кода);

• проведение сотрудником службы безопасности или службы персонала беседы с сотрудником с целью напоминания ему об обязательстве сохранения в тайне тех сведений, которые ему были доверены по службе в фирме, предупреждение сотрудника о запрещении использования этих сведений в интересах конкурента или в личных целях, выяснение причины увольнения и места новой работы;

• подписание сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения;

• документальное оформление увольнения в соответствии с общими правилами;

• приём от сотрудника пропуска для входа в здание фирмы, выдача ему трудовой книжки и расчёта по заработной плате, сопровождение его до выхода из здания сотрудником службы безопасности.

После сдачи всех документов и материалов сотруднику запрещается входить в режимную рабочую зону. При необходимости у него может быть изъят пропуск (идентификатор) сотрудника и выдан идентификатор посетителя с правом входа только в определённые административные помещения.

Беседа с увольняющимся сотрудником имеет целью предотвратить утрату информации или ее неправильное использование бывшим сотрудником в результате его природной или умышленной забывчивости. Следует напомнить увольняющемуся сотруднику, что он подписывал при поступлении на работу обязательство (подписку) о неразглашении фирменных секретов.

Ему напоминают, что и после увольнения из фирмы по крайней мере в течение года за его деятельностью будет осуществляться наблюдение. Предупреждение включается в обязательство, которое подписывает увольняющийся сотрудник.


Аналогичный порядок рекомендуется применять в отношении консультантов, экспертов и временно работавших сотрудников. По крайней мере от них целесообразно в обязательном порядке потребовать письменное обязательство о неразглашении ставших известными им фактов и сведений, запрещении использования их в своей деятельности или работе конкурирующих фирм в течение определённого времени.

Эффективным средством против разглашения фирменных секретов считается заключение соглашения о предоставлении увольняющимся сотрудником консультационных услуг фирме в течение ряда лет. В течение этого времени, т.е. срока конфиденциальности известных ему сведений, ему выплачивается жалованье, близкое по размерам к зарплате. В результате бывший сотрудник противостоит соблазну использовать тайну фирмы в своих интересах.

Ущерб от увольнения сотрудника резко уменьшается, если тайна фирмы раздроблена и известна по частям достаточно большому числу служащих. В этом случае не приходится прибегать к указанным выше сложным и часто малоэффективным способам защиты тайны, известной уволенным сотрудникам.

В любом случае рекомендуется по истечении трёх месяцев после увольнения направить бывшему сотруднику письмо-напоминание о необходимости сохранения тайны фирмы.

Если руководству фирмы стали известны случаи несанкционированного использования бывшим сотрудником конфиденциальных сведений или ноу-хау фирмы, следует начать активное судебное разбирательство выявленных фактов.

Служба безопасности организации должна решить, как она будет поступать с запросами на характеристики бывших сотрудников организации, устраивающихся на работу на новое место. Возможно, предприятие считает, что оно не должно предоставлять такие сведения, но тогда следует учесть, что и на аналогичный запрос самого предприятия на нового кандидата может прийти отказ в ответе. По общим соображениям целесообразнее организовать взаимодействие между службами безопасности предприятий отрасли, предварительно определив перечень данных, которые могут быть сообщены коллегам. Подобное сотрудничество при правильной организации позволит только улучшить состояние информационной безопасности отдельного предприятия.

Рассмотренная технология оформления увольнения сотрудников, владеющих ценными и конфиденциальными сведениями, позволит не только повысить ответственность всего персонала за сохранность доверенных им сведений, но и предотвратить факты кражи увольняющимися сотрудниками ценной информации, ограничить возможность использования её в других организациях и фирмах