Лекция 8. Кадровое обеспечение комплексной системы защиты информации

8.1. Кадровая политика предприятия при создании КСЗИ

Большинство систем не может функционировать без участия человека, что является верным и для комплексных систем ЗИ. Группа обеспечения таких систем, с одной сто­роны, ее необходимый элемент, с другой — он же может быть причиной и движущей силой нарушения и преступле­ния. Сотрудник предприятия является определяющей фигу­рой в обеспечении сохранности сведений. Он может высту­пать в качестве создателя интеллектуальной собственности предприятия (совершенствуя технологию, создавая какие-либо товары и др.). При этом значительная часть ценней­шей для предприятия информации не отражается в техни­ческой документации, а остается в голове. И в дальнейшем, накопив опыт, многие из них потенциально готовы в буду­щем реализовать свои идеи на практике. Кроме того, если сотрудник привлекается к закрытым работам, руководи­тель предприятия вынужден предоставить ему наиболее ценную информацию, полученную другим работником.

Проведя анализ статистических данных по отечест­венным и зарубежным источникам, можно сделать вывод, что около 70% (а по некоторым источникам эта цифра еще выше) всех нарушений, связанных с безопасностью инфор­мации, совершаются именно сотрудниками предприятия. Можно выделить 5 причин этого факта:

1)при нарушениях, вызванных безответственностью, сотрудник целенаправленно или случайно производит ка­кие-либо действия по компрометации информации, связан­ные со злым умыслом;

2) бывает, что сотрудник предприятия ради само­утверждения (для себя или коллег) затевает своего рода игру «пользователь — против системы». И хотя намерения могут быть безвредными, будет нарушена сама практика безопасности. Такой вид нарушений называется зондиро­ванием системы;

3) нарушение может быть вызвано и корыстным инте­ресом. В этом случае сотрудник будет пытаться целенап­равленно преодолеть систему защиты для доступа к храни­мой, перерабатываемой и обрабатываемой на предприятии информации;

4) за рубежом известна практика переманивания спе­циалистов, так как это позволяет ослабить конкурента и дополнительно получить информацию о предприятии. Та­ким образом, не обеспечив закрепление лиц, осведомлен­ных в секретах, талантливых специалистов, невозможно в полной мере сохранить секреты предприятия. Вопросам предупреждения текучести кадров в зарубежных фирмах уделяют большое внимание. Представители японской ад­министрации рассматривают компанию как совокупность различных ресурсов. При этом люди стоят на первом мес­те, т. к. именно они воплощают технологию и в них в пер­вую очередь заключается конкурентоспособная сила фир­мы. То есть текучесть кадров четвертая причина;

5) специалист, работающий с конфиденциальной ин­формацией, испытывает отрицательное психическое воз­действие, обусловленное спецификой этой деятельности. Поскольку сохранение чего-либо в тайне противоречит потребности человека в общении путем обмена информа­цией, сотрудник постоянно боится возможной угрозы утра­ты документов, содержащих секреты. Выполняя требова­ния режима секретности, сотрудник вынужден действовать в рамках ограничения своей свободы, что может привести его к стрессам, психологическим срывам, а как резуль­тат — нарушении безопасности информации.

Понимая ведущую роль кадров в сохранении секретов, руководителям предприятия важно помнить, какие личные качества человека не способствуют сохранению доверен­ной ему тайны. То есть причины нарушения безопасности информации могут быть связаны с психологическими особенностями человека, его личными качествами, следовательно, и спо­собы предотвращения перечисленных нарушений вытека­ют из анализа побудительных мотивов: тщательный подбор персонала, подготовка персонала, поддержание здорового рабочего климата, мотивация и стимулирование деятельности сотрудников.

8.2. Этапы работы с персоналом

Организация эффективной защиты экономической безопасности предприятия со стороны персонала включает три основных этапа работы с ними:

1) предварительный (в период предшествующий приему на работу);

2) текущий (в период работы сотрудника);

3) заключительный (во время увольнения сотрудника).

Предварительный этап является наиболее ответственным и, соответственно, более сложным. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, целесообразнее всего соблюсти следующую технологию приема.

Прежде всего, на основании должностной инструкции и особенностей деятель-ности разрабатываются требования к кандидату на должность. Они включают не только формальные требования - пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить –какой работник необходим предприятию, а самому кандидату - сопоставить соб­ственные качества с требующимися.

Затем производится подбор кандидатов на вакантную должность. Методы подбора кандидата могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур. К ним относятся:

· обращение в службы занятости, агентства по найму рабочей силы и прочие аналогичные организации;

· поиск кандидатов среди студентов и выпускников высших учебных заведений;

· подбор кандидатов по рекомендациям предприятий - партнеров;

· подбор кандидатов по рекомендациям надежных сотрудников предприятия.

Подбор, основанный на случайном обращении кандидатов непосредственно на предприятие может представлять угрозу ее экономической безопасности в будущем.

Целесообразно, особенно при случайном подборе кандидата, произвести запрос на предыдущее место работы с целью получения характеристики его морально-деловых качеств, а также данных о погашенных судимостях.

Для более полного ознакомления с личностью кандидата имеется возможность воспользоваться услугами органов внутренних дел. Последние могут оказывать такого рода платные услуги. Органы внутренних дел предоставляют сведения о наличии (отсутствии) судимости кандидата и о лицах, находящихся в розыске.

После ознакомления с документами кандидата (личными документами, об образовании, прежней должности и стаже работы, характеристиками и рекомендациями), а последнего - с требованиями к нему и признания обоюдного соответствия, производится собеседование работника кадровой службы предприятия с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

В случае успешного прохождения кандидатом проверки и признания его соответствующим должности, осуществляется заключение (подписание) двух документов:

• трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;

• договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Непосредственная деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники предприятия, имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности предприятия. Размер этого перечня определяется руководителем предприятия, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

Эффективным способом защиты информации, особенно если предприятие имеет ряд производств (цехов, подразделений, участков), является ограничение физического доступа (перемещения) персонала в другие зоны, не связанные с функциональными обязанностями работников. Посещение же "закрытых" территорий производится только с разрешения руководства.

Оригинальным приемом защиты информации, используемым некоторыми предприятиями, является разбиение однородной информации на отдельные самостоятельные блоки и ознакомление сотрудников только с одним из них, что не позволяет работникам представить общее положение дел в данной сфере.

Третий этап - увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанностей перед предприятием, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.

8.3. Комплексная защита информации и персонал

Персонал является первостепенным и наиболее сложным элементом управления государственными и негосударственными структурами. В концепции комплексной защиты информации кадровая политика играет очень важную профилактическую роль по отношению к множеству видов угроз, исходящих от персонала, в том числе такой угрозы как неблагонадежность отдельных сотрудников.

Основным “производителем” и “держателем” защищаемой информации является человек. Этот первичный канал как возникновения, так и утраты любого объекта информации. Исходя из этого основное внимание должно быть уделено сотрудникам предприятия, начиная от момента их поступления на работу.

Миграция специалистов, особенно имеющих дело с защищаемой информацией, самый основной и трудно контролируемый канал утечки информации. Так, практика разного рода совместительства сотрудников, прежде всего научно-исследовательских организаций, где они используют свои профессиональные знания и навыки, приобретенные по основному месту работы, т.е. фактически интеллектуальный продукт организации, только должным образом не оформленный в ее собственность, является одним из наиболее вероятных каналов утечки служебной информации.

Вторым по значимости с каналом утечки конфиденциальной информации являются

всевозможные публикации в печати, депонированные рукописи, монографии, отчеты по НИОКР, а так же научно-технические семинары, конференции, симпозиумы и т.п., являются одним из существенно значимых факторов, способствующих утечке коммерчески значимой для предприятия и организации информации.

Угрозы защите информации со стороны, например, конкурентов, реализуемые через ее персонал, могут принимать такие формы, как:

а) переманивание сотрудников, владеющих конфиденциальной информацией;

б) ложные предложения работы сотрудникам предприятия с целью выведения информации;

в) выведывание конфиденциальных сведений у сотрудников предприятия в такой форме, что последние не догадываются о цели вопросов;

г) прямой подкуп сотрудников предприятий - конкурентов;

д) засылка агентов на предприятие;

е) тайное наблюдение за сотрудниками предприятия.

Одним из основных принципов создания комплексной системы защиты информации является удобство работы сотрудников. Поэтому в методологию КСЗИ предприятия закладываются средства защиты не конкретных сотрудников, а локализованных замкнутых групп пользователей, внутри которых информационный обмен не формализован, а передача информации наружу контролируется средствами защиты.

Например, к функциям программно-аппаратных средств защиты информации можно отнести:

1. разграничение (ограничение) доступа сотрудников в различные подразделения

2. выделение сильно защищенных сотрудников, обрабатывающих строго конфиденциальную информацию;

3. защиту каналов связи между различными офисами организации, между отдельными подразделения или сотрудниками;

4. защиту рабочих станций пользователей от непосредственного доступа к ним других сотрудников;

5. строгое разграничение доступа к архивам документов, рабочей информации;

6. протоколирование и аудит действий сотрудников предприятия с конфиденциальной информацией;

7. резервное копирование архивов документов и др.

Среди актуальных проблем, касающихся комплексной защиты информации предприятия - проблема хранения паролей и парольной защиты в целом.

Появились технологии, способствующие эффективному решению данной проблемы, это технологии биометрической аутентификации пользователей (пользователь для получения доступа к персональному компьютеру, сетевому ресурсу или архиву документов предъявляет системе, например, свой отпечаток пальца, тем самым избавляя себя от необходимости запоминать пароли и хранить их).

В условиях же преобладания бумажного документооборота многие предприятия не могут отслеживать четкие маршруты прохождения документов, не могут ранжировать поступающие документы по степени конфиденциальности. Конфиденциальный документ, проходя согласование, визирование у многих руководителей и во многих подразделениях, оказывается в руках большого числа посторонних людей - секретарей, заместителей, помощников руководителей, не имеющих к нему прямого отношения.

Складывается ситуация, когда «все занимаются всем». Следовательно, все сотрудники потенциально имеют доступ ко всей информации, проходящей через подразделение. А через некоторые подразделения, как, например, бухгалтерия, проходит вообще вся коммерческая информация. В этом случае при утечке информации очень трудно выяснить, где она произошла.

Секретари-референты многих некрупных фирм, предпринимательских структур в малом и среднем бизнесе одновременно с выполнением функции документационного обеспечения деятельности предприятия и функции обеспечения защиты информации, т.е. информационной безопасности выполняют комплекс операций, свойственных обычно службе персонала. Вопросы документирования трудовых правоотношений, ведения личных дел и учетно-справочного аппарата, составления отчетности по кадрам, как правило, в достаточной степени известны секретарям-референтам. Вместе с тем, при выполнении работы, связанной с персоналом, секретари-референты всегда должны учитывать, что деятельность любого предприятия связана с использованием определенного объема конфиденциальной информации и то, что персонал владеет этими сведениями. Утрата их по вине персонала может нанести ущерб интересам и престижу предприятия, успеху в бизнесе.

Подобное обстоятельство требует от секретаря-референта знания тех особенностей, которые необходимо соблюдать при подборе, отборе и приеме на работу или переводе на должность, увольнении сотрудников предприятия, деятельность которых связана с оперированием конфиденциальными сведениями, т.е. с защитой коммерческой информации предприятия.

8.4. Мотивация

Мотивация — это процесс побуждения себя и других к деятельности для достижения личных целей или целей организации. Мотивация, определяющая отношение к де­ятельности, — это личное побуждение к деятельности, т. е. побуждение, основанное на потребностях личности, ее цен­ностных ориентациях, интересах. Среди мотивов в первую очередь следует выделить интерес к деятельности, чувство долга, стремление к профессиональному росту. Мотивация на основе интереса связана с удовлетворением стремле­ния к знанию и развитию. Причем существует два аспекта этой мотивации: интерес к деятельности и интерес к само­му себе как субъекту, овладевшему этой деятельностью. Продуктивность мотивации, основанной на интересе к де­ятельности, связана с содержательностью, т. е. той сторо­ной деятельности, которая вызывает наибольший интерес. Мотивация на основе чувства долга связана с потребнос­тью соответствовать требованиям организации, ее нуждам. Особое значение составляют мотивы, основывающиеся на принципе взаимной ответственности и требовательности, характерные для коллективных отношений. Мотивация на основе стремления к профессиональному росту может проявляться когда человек уже достаточно прочно чувствует себя как субъект деятельности. Тогда обостряется желание быстрее достичь некоторых стандартов деятельности или превзойти их.

Напрашивается способ мотивации, связанный со сти­мулированием или другими словами, мотивация через пот­ребности. Поскольку характер каждого человека — это со­единение самых разнообразных черт, то, следовательно, существует огромное число человеческих потребностей, которые, по мнению каждого человека, приводят к удовлетворению его потребностей.

Перечислим методы удовлетворения потребностей вы­сших уровней.

I. Социальные потребности:

1) давайте сотрудникам такую работу, которая позво­ляет им общаться;

2) создавайте на рабочих местах дух единой компа­нии;

3) проводите с подчиненными периодические совеща­ния;

4) не старайтесь разрушить возникшие неформальные группы;

5) создавайте условия для социальной активности чле­нов организации вне ее рамок.

II, Потребности в уважении:

1) предлагайте подчиненным более содержательную работу;

2) обеспечьте им положительную обратную связь с до­стигнутым результатом;

3) высоко оценивайте и поощряйте достигнутые под­чиненными результаты;

4) привлекайте подчиненных к формулированию це­лей и выработке решений;

5) делегируйте подчиненным дополнительные права и обязанности;

6) продвигайте подчиненных по карьерной лестнице;

7) обеспечьте обучение и переподготовку, которая по­вышает уровень компетентности.

III. Потребности в самовыражении:

1) обеспечивайте подчиненных возможностью для обучения и развития, которые позволили бы полностью ис­пользовать их потенциал;

2) давайте подчиненным сложную и важную работу, требующую их полной отдачи;

3) поощряйте и развивайте у подчиненных творческие способности.

Большое значение для мотивации имеет климат в кол­лективе. И если все-таки дело дошло до увольнения, очень важно, чтобы работник ушел, не затаив зла. Возможно, не­обходимо поговорить с ним, выяснить причины ухода и в том случае, если уход связан с конфликтом, чувством не­удовлетворенности и т. д., потребовать еще раз разобраться в ситуации, и тем самым, возможно, поправить положение.

8.5. Разработка кодекса корпоративного поведения

Большинство компаний используют для создания и поддержания организационной культуры правила внутрен­него трудового распорядка. Стоит заметить, что они не от­вечают современным требованиям и к тому же не являются мотивационным инструментом. По соотношению доступ­ности и результативности формирования и поддержания позитивной организационной культуры внедрение кодек­са корпоративного поведения является наиболее эффек­тивным. В таком кодексе должны быть максимально четко обозначены приоритетные цели и задачи организации, ее миссия, а также расставлены акценты во внутренних и вне­шних отношениях, с сотрудниками, клиентами, руководс­твом. Это элемент традиционной корпоративной культуры, улучшающий и укрепляющий психологическую атмосфе­ру коллектива.

Кодекс корпоративного поведения может выполнять три основные функции:

1) репутационная;

2) управленческая;

3) функция развития корпоративной культуры.

Репутационная функция кодекса заключается в формировании доверия к организации со стороны референтных внешних групп (государства, заказчиков, клиентов, конку­рентов и т. д.). Наличие у компании кодекса корпоративно­го поведения становится общемировым деловым стандар­том.

Управленческая функция кодекса состоит в регламен­тации поведения в сложных этических ситуациях. Повы­шение эффективности деятельности сотрудников осущест­вляется путем:

— регламентации приоритетов во взаимодействии со значимыми внешними группами;

— определения порядка принятия решений в сложных этических ситуациях;

— указания на неприемлемые формы поведения.

Корпоративная этика, кроме того, является составной частью организационной культуры. И здесь кодекс корпоратив­ного поведения— значимый фактор ее развития. Кодекс призван выявлять приоритетные для организации ценнос­ти и доводить их до каждого сотрудника, как новичка, так и опытного профессионала. В идеале персонал будет ориен­тироваться на единые цели и тем самым повышать корпо­ративную идентичность, приверженность общему делу.

Содержание кодекса компании определяется, прежде всего, ее особенностями, структурой, задачами развития, установками ее руководителей.

Как правило, кодексы содержат две части:

— идеологическую (миссия, цели, ценности);

— нормативную (стандарты рабочего поведения).

При этом идеологическая часть может не включаться в содержание кодекса.

В профессионально однородных организациях (бан­ки, исследовательские центры, консультационные компа­нии) часто используются кодексы, описывающие в первую очередь узкоспециальные дилеммы. Эти кодексы являются производными от кодексов профессиональных сообществ. Соответственно, содержание таких кодексов в первую оче­редь регламентирует поведение сотрудников в сложных профессиональных этических ситуациях. В банковской де­ятельности, например, это доступ к конфиденциальной ин­формации о клиенте и сведениям об устойчивости банка. Кодекс описывает правила обращения с такой информаци­ей, запрещает использовать сведения в целях личного обо­гащения.

В больших неоднородных корпорациях сочетание всех трех функций становится сложным. С одной стороны, существует ряд политических ситуаций и ситуаций, традиционно закрепляе­мых этическими кодексами в международной практике. Это политики по отношению к клиентам, поставщикам, подряд­чикам. Описание ситуаций, связанных с возможными зло­употреблениями, например взятки, подкуп, хищения, об­ман, дискриминация. Исходя из управленческой функции, кодекс описывает стандарты образцового поведения в та­ких ситуациях. Такой кодекс имеет значительный объем и достаточно сложное содержание. Адресация его всем груп­пам сотрудников в условиях значительной разницы в об­разовательном уровне и социальном статусе сотрудников затруднена. В то же время развитие корпоративной куль­туры компании требует единого кодекса для всех сотруд­ников — он должен задавать единое понимание миссии и ценностей компании для каждого сотрудника.

По сути, декларативный вариант— это только идео­логическая часть кодекса без регламентации поведения со­трудников. При этом в конкретных ситуациях сотрудники сами должны ориентироваться, как им себя вести, исходя из базовых этических норм, обозначенных в кодексе. Од­нако в ряде случаев сотрудникам трудно оценить этичес­кую правомерность конкретного поступка исходя из общих принципов.

Таким образом, декларативный вариант кодекса решает в первую очередь задачи развития корпоративной культу­ры. При этом для предоставления кодекса международному сообществу и решения конкретных управленческих задач необходима разработка дополнительных документов.

В развернутых вариантах кодекса с подробной регла­ментацией этики поведения сотрудников фиксируется кон­кретные поступки персонала в отдельных областях, где риск нарушений наиболее высок или возникают сложные этические ситуации. Эти регламенты описываются в виде политик в отношении заказчиков, государства, клиентов, политической деятельности, конфликта интересов, безо­пасности труда.

При этом большой объем и сложность содержания таких кодексов определяют их выборочную адресацию (см. табл.8.1.). В большинстве компаний такие кодексы разрабатываются для высшего и среднего менеджмента и не являются всеобщим документом, объединяющим всех со­трудников.

Таблица 8.1.