ВОПРОС 7. ОСОБЕННОСТИ РАБОТЫ С ПЕРСОНАЛОМ, ВЛАДЕЮЩИМ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ

Процессу приема сотрудника на работу предшествует ряд подготовительных этапов, которые позволяют составить представление о том, какой специалист и какой квалификации действительно нужен для данной должности, какими деловыми и личностными качествами он должен обладать:

· Предварительно сформулировать, какие функции должен выполнять сотрудник, каков круг его ответственности, какие качества, знания и уровень квалификации нужно иметь претенденту;

· Составить перечень ценных и конфиденциальных сведений, с которыми будет работать специалист;

· Составить перечень форм поощрения и стимулирования, которые может получать сотрудник;

· Составить другие перечни вопросов, которые необходимо будет решать специалисту, перечни его личных качеств, возрастных, профессиональных и иных характеристик;

· Составить описание должности.

Кандидаты предварительно знакомятся с этими документами, что делает собеседование с ними более целенаправленным и конкретным.

Помимо пассивного ожидания прихода нужного человека, существует ряд направлений активного поиска кандидатов на вакантную должность:

1. Поиск кандидатов внутри фирмы. Метод дает возможность продвигать перспективных сотрудников по служебной лестнице и заинтересовывать их работой. Преимущество данного метода в том, что о кандидате достаточно много известно всему коллективу и судить о его профессиональных и личностных качествах можно по обширному опыту. Недостаток же в том, что без притока новых людей коллектив теряет свои новаторские качества.

2. Поиск кандидатов среди студентов и выпускников учебных заведений. Эффективно вести поиск наиболее способных студентов, привлекать их в процессе учебы к работе в организации, оплачивать их труд и, может быть, финансировать их обучение.

3. Обращение в государственные и частные бюро, агентства по найму рабочей силы, биржи труда и т.д. Подобные агентства ведут целенаправленный поиск необходимого специалиста высокой квалификации, организуют переподготовку специалистов по индивидуальным заказам.

4. Рекомендации работающих в фирме сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, так как с рекомендуемыми людьми сотрудникам придется работать вместе.

Эти направления поиска кандидатов на должности, связанные с владением конфиденциальной информации, позволяют выбрать необходимых работников из ряда лиц, изъявивших желание занять вакантную должность.

Технологическая цепочкаприема сотрудников, работа которых связана с владением ценной информации, включает следующие процедуры:

· Подбор предполагаемого кандидата для приема на работу или перевода, получение резюме;

· Изучение резюме (личного дела) руководством фирмы, структурного подразделения или службой персонала, вызов для беседы подходящих кандидатов;

· Информирование кандидатов, работающих в фирме, об их будущих должностных обязанностях, связанных с владением тайны фирмы;

· Предварительное собеседование, уточнение отдельных положений резюме; ответы на вопросы о будущей работе; изучение полученных рекомендательных писем;

· Составление кандидатами, не работающими в организации, и представление в отдел кадров заявления о приеме, автобиографии, личного листка по учету кадров, копий документов об образовании, передача в отдел кадров рекомендательных писем;

· Обновление материалов личного дела работающего в организации сотрудника; получение представления о переводе на новую должность от руководителя структурного подразделения;

· Собеседование кандидатов с работником отдела кадров по представленным документам, при необходимости подтверждение тех или иных сведений;

· Опрос сотрудником отдела кадров авторитетных для организации лиц, лично знающих кандидата на должность, протоколирование опроса;

· Собеседование экспертов с кандидатами с целью определения их личных и моральных качеств, а для неработающих в фирме сотрудников дополнительно – профессиональных способностей;

· При необходимости – тестирование и анкетирование кандидатов;

· По совокупности собранных материалов и их анализа принятие решения руководством организации об отборе единственного претендента и возможности предложить ему работу, связанную с владением тайны фирмы;

· Заключительное собеседование, получение от претендента согласия на работу с конфиденциальной информацией;

· В случае согласия – подписание обязательства о неразглашении тайны организации; информирование о характере конфиденциальной информации, наличии системы защиты и тех ограничениях, которые придется учитывать работнику в служебной и неслужебной обстановке;

· Беседа-инструктаж руководителя структурного подразделения, руководителя службы безопасности и сотрудника службы персонала с претендентом на должность; ознакомление с должностной инструкцией, рабочими технологичес. инструкциями и т.д.;

· Подписание договора о временной работе без права доступа к конфиденциальной информации;

· Составление и подписание приказа о приеме на работу с испытательным сроком;

· Заведение личного дела, заполнение Л/К №Т-2 и других учетных форм;

· Внесение фамилии сотрудника в первичные учетные бухгалтерские документы;

· Внесение соответствующей записи в трудовую книжку сотрудника;

· Обучение сотрудника правилам работы с конфиденциальными документами, инструктажи, проверка знаний;

· Анализ результатов работы сотрудника в течение испытательного срока издание соответствующего приказа или отказ сотрудника в работе;

· Оформление допуска работника к конфиденциальной информации и документам.

Представленные кандидатом документы тщательно проверяются на достоверность: соответствие фамилий, имен и отчеств, других персональных данных, наличие необходимых отметок и записей, идентичность фотокарточки и личности гражданина. Документы, явно недостоверные, могут быть возвращены гражданину, и одновременно ему отказывается в рассмотрении вопроса о приеме на работу без объяснений причины отказа. Сведения, указанные в резюме, не проверяются.

Заявление о назначение на должность, личный листок по учету кадров, автобиография пишутся гражданином собственноручно, без использования пишущей машинки или принтера.

Копии с аттестатов, дипломов, свидетельств, грамот и т.д. снимаются в отделе кадров и заверяются сотрудником отдела кадров. Копии, принесенные гражданином, внимательно сличаются с подлинником и тоже заверяются этим сотрудником. Нотариального заверения копий не требуется.

Собеседование с кандидатами преследуют следующие цели: выявить реальную причину желания работать в данной организации; выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут провоцировать преступные действия; убедить в добровольном согласии кандидата соблюдать правила защиты информации.

Психологический отбор преследует следующие цели:

· Выявление имевших ранее место судимостей, преступных связей, криминальных наклонностей;

· Определение возможных преступных склонностей, предрасположенности кандидата к совершению противоправных действий, дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;

· Установление факторов, свидетельствующих о морально-психологической ненадежности, неустойчивости, уязвимости кандидата.

Личные качества, не способствующие сохранению секретов: эмоциональная неуравновешенность, разочарование в себе и в своих способностях, отчуждение коллег по работе, недовольство своим служебным положением, ущемленное самолюбие, эгоистическое поведение, нежелание и неспособность защищать информацию, нечестность, финансовая безответственность, употребление наркотиков и алкоголя.

Обязательство о неразглашении конфиденциальной информации и сохранении тайны организации претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений. Обязательство – это правовой документ, которым претендент добровольно и письменно дает согласие на ограничение его прав в отношении использования конфиденциальной информации. Документ содержит полный перечень информации, не подлежащей разглашению, а также перечень административных наказаний, которым может быть подвергнут работник за несоблюдение правил.

После подписания обязательства и проведения беседы-инструктажа с претендентом заключается трудовой договор. В договоре должен быть пункт об обязанности работника не разглашать сведения, составляющие тайну организации, а также конфиденциальные сведения партнеров и клиентов, об обязательстве соблюдать правила защиты конфиденциальных сведений. В обязательном порядке включается пункт об обязанности работника немедленно сообщать непосредственному руководителю и службе безопасности об утере носителей конфиденциальной информации, документов, дел, конфиденциальных документов, материалов и т.д.

В заключительной части указывается степень ответственности за разглашение тайны организации или несоблюдение правил защиты информации. Обычно это расторжение трудового договора, при необходимости – дальнейшее судебное разбирательство.

После заключения трудового договора и издания приказа о приеме на работу в отделе кадров формируется личное дело сотрудника, включающее стандартный набор документов. Материалы, связанные с профессиональным и психологическим анализом данного работника (протоколы собеседований, тесты, протоколы бесед и опросов) подшиваются в дело кадровой службы «Материалы по приему сотрудников на работу», но не в личное дело сотрудника. Дело с материалами имеет гриф конфиденциальности «Строго конфиденциально».

После получения допуска к конфиденциальной информации, сотрудник в индивидуальном порядке должен быть обучен правилам работы с документами, базами данных, которые будут предоставлены. Результаты обучения фиксируются в обязательстве.

Стабильность кадрового состава является важнейшей предпосылкой надежной информационной безопасности фирмы. Но полностью избежать увольнений сотрудников невозможно. Необходим тщательный анализ причин увольнения, на основе которого составляется и реализуется программа, исключающая эти причины.

Технологическая цепочка увольнения сотрудника включает:

· Написание сотрудником заявления об увольнении с подробным раскрытием причины увольнения и желательно указанием места предполагаемой работы;

· Передача заявления руководителю структурного подразделения для оформления и передачи в отдел кадров или службу персонала;

· Прием службой конфиденциальной документации от увольняющегося сотрудника всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, с которыми он работал, проверка их комплектности, полноты и оформление приеме в описи исполнителя или актом;

· Сдача сотрудником пропуска для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входить в рабочее помещение с использованием шифра кодового замка (при необходимости – изменение кода);

· Проведение сотрудником службы безопасности или службы персонала беседы с сотрудником с целью напоминания ему об обязательстве сохранения в тайне тех сведений, которые ему были доверены по службе, предупреждение сотрудника о запрещении использования этих сведений в интересах конкурента или в личных целях, выяснение причины увольнения и места новой работы;

· Подписание сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения;

· Документальное оформление увольнения;

· Прием от сотрудника пропуска для входа в здание организации, выдача ему трудовой книжки и расчета по заработной плате, сопровождение его до выхода их здания сотрудником службы безопасности.

Беседа с увольняющимся работником имеет целью предотвратить утрату информации или ее неправильное использование бывшим сотрудником в результате его природной или умышленной забывчивости. Ему напоминают, что после увольнения в течение года за его деятельностью будет осуществлять наблюдение. Предупреждение включается в обязательство, которое подписывает сотрудник.

Рекомендуется по истечении 3 месяцев после увольнения направить сотруднику письмо-уведомление о необходимости сохранения тайны организации.

Данная технология оформления увольнения сотрудника, владеющего ценными и конфиденциальными сведениями, позволяет не только повысить ответственность всего персонала за сохранность доверенных им сведений, но и предотвратить факты кражи увольняющимися сотрудниками ценной информации, ограничить возможность использования ее в других организациях и фирмах.

Регламентация доступа персонала к конфиденциальной информации является одной из центральных проблем системы защиты информации. Регламентация порядка доступа лежит в основе режима конфиденциальности проводимых организацией работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Режим - совокупность ограничительных правил, мероприятий, норм, обеспечивающих контролируемый доступ на определенную территорию, в помещения, к информации и документам. Любой режим базируется на разрешительной системе. Разрешительная система предусматривает необходимость получения специального разрешения на осуществление соответствующих правовых мероприятий.

Разрешительная система в сфере коммерческой тайны представляет собой совокупность правовых норм и требований, устанавливаемых первым руководителем или коллективным органом руководства организации с целью обеспечения правомерного ознакомления и использования сотрудниками фирмы конфиденциальных сведений, необходимых им для выполнения служебных обязанностей.

Принципы построения разрешительной системы доступа:

· Надежность (исключение возможности несанкционированного доступа посторонних лиц к документам в обычных и экстремальных условиях);

· Полнота охвата всех категорий исполнителей и всех категорий документов, информации на любых носителях;

· Конкретность (исключение двоякого толкования и однозначность решения доступа);

· Производственная необходимость как единственный критерий доступа исполнителя к документу, а также доступа к документам представителей государственных служб;

· Определенность состава и компетенции должностных лиц, дающих разрешение на доступ исполнителя к информации, документам и базам данных, исключение возможности бесконтрольной и несанкционированной выдачи таких разрешений;

· Строгая регламентация порядка работы всех категорий сотрудников организации с информацией, документами и базами данных.

Разрешительная система решает задачи:

· Ограничения и регламентации состава сотрудников, функциональные обязанности которых требуют знаний тайны организации и работы с ценными документами;

· Строгого избирательного и обоснованного распределения документов и информации между сотрудниками;

· Обеспечения сотрудника всем необходимым для реализации своих служебных функций;

· Беспрепятственного прохода сотрудника в здание организации, в рабочую зону;

· Исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных;

· Рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование сотрудником защищаемой информации.

Разрешительная система включает в себя две составные части: допуск сотрудника к конфиденциальной информации и непосредственный доступ этого сотрудника к конкретным сведениям.

Допуск - процедура оформления права сотрудника или иного лица на доступ к сведениям ограниченного распространения и одновременно правовой акт согласия собственника информации на передачу ее для работы конкретному лицу.

Наличие допуска предоставляет сотруднику право работать со строго определенным кругом конфиденциальной информации.

Разрешение дает первый руководитель организации. Оно оформляется соответствующим пунктом трудового договора, также может быть оформлено приказом руководителя с указанием типового перечня сведений, с которыми разрешается работать данному сотруднику или группе сотрудников.

Доступ – это практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом конфиденциальных сведений, документов и баз данных. Он санкционируется полномочным должностным лицом в отношении конкретной информации и конкретного сотрудника.

Разрешение на доступ к конкретной информации может быть дано при соблюдении следующих условий:

· Наличие подписанного приказа первого руководителя о приеме на работу (переводе, временном замещении) или назначении на должность, в функциональную структуру которой входит работа с данной информацией;

· Наличие подписанного сторонами трудового договора, имеющего пункт о сохранении тайны организации и подписанного обязательства о неразглашении ставших известными конфиденциальных сведений и соблюдении правил их защиты;

· Соответствие функциональных обязанностей сотрудника передаваемым ему документа и информации;

· Знание сотрудником требований нормативно-методических документов по защите информации и сохранении тайны организации;

· Наличие необходимых условий в офисе для работы с конфиденциальными документами и базами данных;

· Наличие систем контроля за работой сотрудника.

Структура процедуры разграничения доступа должна быть многоуровневой, иерархической. Иерархическая последовательность доступа к информации реализуется по принципу «чем выше уровень доступа, тем меньшее число сотрудников может их знать». В организации может составляться схема выдачи разрешений на доступ к массовой конфиденциальной информации. При это учитываются два аспекта:

1) выдача разрешений в зависимости от категорий документов;

2) выдача разрешений в зависимости от занимаемой должности.

Может составляться матрица полномочий, в которой по горизонтали – наименование категорий должностей, по вертикали – фамилии или должности сотрудников.

Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация необходима для работы. Задачей процедуры разграничения доступа является регламентация минимальных потребностей персонала в конфиденциальных сведениях. Это дает возможность разделить знание элементов коммерческой тайны среди как можно большего числа сотрудников. Желательно, чтобы целиком идею, формулу, конструкцию не знал никто, чтобы каждый знал лишь свою незначительную часть.

Разрешение на доступ строго персонифицировано, т.е. руководители несут персональную ответственность за правильность выдаваемых ими разрешений на доступ исполнителей к конфиденциальным сведениям, а лица, работающие с ними, несут ответственность за сохранение в тайне их содержания. Разрешение дается в письменном виде: резолюцией на документе, приказом, утверждающем схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком-разрешением на обложке дела, списком ознакомления с документом и т.д.

Без дополнительного разрешения допускаются к документам их исполнители и лица, визировавшие, подписавшие, утвердившие документ. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов.

При организации доступа сотрудников к конфиденциальным массивам электронных документов, базам данных необходимо помнить о его многоступенчатом характере. Выделяют следующие составные части:

· Доступ к ПК, серверу или рабочей станции;

· Доступ к машинным носителям информации, хранящимся вне ЭВМ;

· Непосредственный доступ к базам данных и файлам.

Доступ к персональному компьютеру, серверу или рабочей станции,которые используются для обработки конфиденциальной информации, предусматривает:

· Определение и регламентацию первым руководителем организации состава сотрудников, имеющих право доступа в помещение, в котором находится соответствующая вычислительная техника, средства связи;

· Регламентацию первым руководителем временного режима нахождения этих лиц в указанных помещениях;

· Организацию охраны этих помещений в рабочее и нерабочее время, определение правил вскрытия помещений и отключения охранных технических средств информации и сигнализирования; определение правил постановки помещений на охрану;

· Организацию контролируемого режима входа в указанные помещения и выхода из них;

· Организацию действий охраны и персонала в экстремальных ситуациях или при авариях техники и оборудования помещений;

· Организацию выноса из указанных помещений материальных ценностей, машинных и бумажных носителей информации; контроль вносимых в помещение и выносимых персоналом личных вещей.

Доступ к машинным носителям конфиденциальной информации, хранящимсявне ЭВМ,предполагает:

· Организацию учета и выдачи сотрудникам чистых машинных носителей информации;

· Организацию ежедневной фиксируемой выдачи сотрудникам и приема от сотрудников носителей записанной информации;

· Определение и регламентацию руководителем состава сотрудников, имеющих право оперировать конфиденциальной информацией с помощью компьютеров, установленных на их рабочих местах, и получать в службе конфиденциальных документов учтенные машинные носители информации;

· Организацию системы закрепления за сотрудниками машинных носителей информации и контроля за сохранностью и целостностью информации, учета динамики изменения состава записанной информации;

· Организацию порядка уничтожения информации на носителе, порядка и условий физического уничтожения носителя;

· Организацию хранения машинных носителей в службе конфиденциальных документов в рабочее и нерабочее время, регламентацию порядка эвакуации носителей в экстремальных ситуациях;

· Определение и регламентацию руководителем состава сотрудников, не сдающих по объективным причинам технические носители информации на хранение в службу КД в конце рабочего дня, организацию особой охраны помещений и компьютеров этих сотрудников.

Доступ к конфиденциальным базам данных ифайламявляется завершающим этапом доступа сотрудника организации к компьютеру. Обычно доступ к базам данным и файлам подразумевает:

· Определение и регламентацию первым руководителем состава сотрудников, допускаемых к работе с определенными базами данных и файлами; контроль системы доступа администратором базы данных;

· Именование баз данных и файлов, фиксирование в машинной памяти имен пользователей и операторов, имеющих право доступа к ним;

· Учет состава базы данных и файлов, регулярную проверку наличия, целостности и комплектности электронных документов;

· Регистрацию входа в базу данных, автоматическую регистрацию имен пользователей и времени работы; сохранение первоначальной информации;

· Регистрацию попыток несанкционированного входа в базу данных, регистрацию ошибочных действий пользователя, автоматическую передачу сигнала тревоги охране и автоматическое отключение компьютера;

· Установление и нерегулярное по сроку изменение имен пользователей, массивов и файлов (паролей, кодов и т.д.), особенно при частой смене персонала;

· Отключение ЭВМ при нарушениях в системе регулирования доступа или сбое системы защиты информации;

· Механическое блокирование отключенной, но загруженной ЭВМ при недлительных перерывах в работе пользователя.

Главное внимание в обеспечении безопасности информационных ресурсов должно быть обращено на персонал, постоянно работающий с конфиденциальной информацией. Основными задачами должны быть две:

1) максимально затруднить работу злоумышленника по добыванию необходимой информации, противодействовать ему в пассивном или активном режиме на основе результатов аналогичных выводов;

2) не допустить установления определенных взаимоотношений злоумышленника и сотрудника, владеющего конфиденциальной информацией.

Текущая работа с персоналом, владеющим конфиденциальной информациейвключает в себя:

· Обучение и систематическое инструктирование сотрудников;

· Проведение регулярной воспитательной работы с персоналом, работающим с конфиденциальными сведениями и документами;

· Постоянный контроль за выполнением персонала требований по защите конфиденциальной информации;

· Контрольную работу по изучению степени осведомленности персонала в области конфиденциальных работ организации;

· Проведение служебных расследований по фактам утечки информации и нарушений персоналом требований по защите информации;

· Совершенствование методики текущей работы с персоналом.

Процесс обучения сотрудниковправилам защиты информации должен быть постоянным, так как система защиты требует регулярного обновления и видоизменения.

Обучение сотрудника начинается с момента проведения собеседования с ним при приеме на работу и подписания им обязательства о не разглашении и заканчивается моментом увольнения и подписания этим лицом обязательства о недопустимости использования конфиденциальных сведений в чьих-либо целях.

Задачи обучения включают изучение:

· Характера и состава конфиденциальной информации;

· Возможных угроз конфиденциальным сведениям, каналов их объективного распространения и каналов утраты, методов работы злоумышленников;

· Структуры системы защиты, требований и правил защиты конфиденциальной информации;

· Порядка работы сотрудников с конфиденциальными сведениями, документами и базами данных;

· Действий персонала в конкретных экстремальных ситуациях.

Обучение предполагает приобретение и поддержание на высоком уровне производственных навыков работы с конфиденциальными сведениями, психологическое воспитание сотрудников и воспитание глубокой убежденности в необходимости выполнения требований по защите любой конфиденциальной информации.

Методика обучения включает в себя:

· Специализированные программы обучения для обеспечения лекционных курсов и практических занятий;

· Проведение лекций, семинаров и собеседований;

· Решение ситуационных задач;

· Практическую ситуационную учебу по действиям персонала в экстремальных ситуациях;

· Проведение деловых игр, обучающих методам противодействия замыслам злоумышленников.

Одновременно с обучением должны проводиться регулярные совещания-инструктажи с сотрудниками, в процессе которых до них доводятся изменения и дополнения в нормативно-методические документы по защите информации; также сотрудники информируются о конкретных угрозах информации, каналах утечки, принятых мерах, анализируются случаи нарушения правил защиты информации.

Здоровый психологический климат в коллективе создает барьер на пути любого злоумышленника, которые пытается получить конфиденциальную информацию.

Процесс обучения и воспитания сотрудников организации должен завершаться контролем работы персонала с конфиденциальной информацией и документами. Важен контроль защиты ценной информации от недобросовестных посягательств отдельных сотрудников.

Регулярный и своевременный учет состава конфиденциальной информации, известной каждому из сотрудников, является наиболее информативной частью контрольной работы. Учитываются любые контакты любого сотрудника с конфиденциальными сведениями, в т.ч. санкционированные, а также случайные.

Традиционная (карточная) или электронная учетная форма должна содержать ряд предметных зон, позволяющих сопоставлять функциональные обязанности сотрудника и состав конфиденциальной информации, полученной сотрудником, который должен соответствовать выполняемым видам работы. В учетную форму включены такие зоны:

· Зона штатных функциональных обязанностей сотрудника, при реализации которых используется конфиденциальная информация;

· Зона изменений и дополнений, внесенных в функциональные обязанности сотрудника, с указанием документа-основания, его даты и фамилии руководителя, подписавшего документ;

· Зона стандартного состава конфиденциальных сведений и их индексов, к которым допущен сотрудник в соответствии с должностной инструкцией;

· Зона изменений и дополнений в составе конфиденциальных изменений и их индексов по перечню, к которым допускается сотрудник в связи с пересмотром его должностных обязанностей;

· Зона документированной информации, с которой знакомится или работает сотрудник, с указанием наименований документов, их дат и номеров, краткого содержания, целевого использования сведений и их индексов по перечню, фамилии руководителей, разрешивших работу с документами;

· Зона недокументированной конфиденциальной информации, которая стала известна сотрудника, с указанием даты и цели ознакомления, фамилии руководителя, разрешившего ознакомление, состава конфиденциальных сведений и их индексов по перечню;

· Зона обнаруженного несанкционированного ознакомления сотрудника с конфиденциальной информацией с указанием даты ознакомления, условий и причин ознакомления, фамилия виновного сотрудника, места ознакомления, состава конфиденциальных сведений и их индексов по перечню.

Анализ осуществляется сравнением содержания записей в зонах и индексов известной сотруднику конфиденциальной информации, т.е. ведется поиск несоответствия.

Основными формами контроля качества работы персонала, повышения ими своих профессиональных знаний, в т.ч. в части защиты информации, можно назвать следующие:

· Аттестация сотрудников;

· Отчеты руководителей подразделений о работе подразделений и состоянии системы защиты информации;

· Регулярные проверки руководителем или службой безопасности соблюдения сотрудниками требований по защите информации;

· Самоконтроль сотрудников.

Аттестация сотрудников – одна из наиболее эффективных форм контроля деятельности сотрудников, как в профессиональной сфере, так и в сфере соблюдения информационной безопасности организации. Аттестация - это коллективная форма оценки профессиональной пригодности сотрудника, его соответствия занимаемой должности. Аттестация проводится периодически. По результатам аттестации издается приказ, в котором отражаются решения аттестационной комиссии о поощрении, переаттестации, повышении в должности или увольнении сотрудников. Комиссия может также выносить решение об отстранении сотрудника от работы с конфиденциальной информацией.

Одна из форм контроля – заслушивание руководителей структурных подразделений и руководителя службы безопасности о состоянии системы выполнении ее требований сотрудниками подразделений.

Другая форма контроля – регулярные проверки выполнения сотрудниками правил работы с конфиденциальными документами. Проверки проводятся руководителями структурных подразделений, замами первого руководителя, работниками службы безопасности. Проверки могут быть как плановыми, так и внеплановыми (внезапными).

При работе с персоналом следует сосредоточивать внимание не только на сотрудниках, работающих с конфиденциальной информацией. Под контролем должны находиться также лица, не имеющие доступа к тайне организации.

В случае установления фактов невыполнения сотрудниками требований по защите информации к ним должны применяться меры порицания и наказания в соответствии с правилами внутреннего трудового распорядка: объявление выговора, понижение в должности, лишение премии, отстранение от работы с конфиденциальной информацией, увольнение.

Факт утраты информации выявляется в основном посредством анализа публикаций, рекламы, выставочных и других материалов фирм-конкурентов. В этом случае анализируются карточки учета осведомленности сотрудников в тайне организации и выявляется круг сотрудников, владеющих утраченной информацией. Анализ ведется в рамках служебного расследования.

Служебное расследованиеорганизуется по фактам разглашения или утечки информации, утраты документов и изделий, другим грубым нарушениям правил защиты информации. Расследование ведется специально сформированной комиссией. Расследование предназначено для выяснения причин, всех обстоятельств и их последствий, связанных с конкретным фактом установления круга виновных лиц, размера причиненного организации ущерба. Все мероприятия документируются.

Расследование проводится в кратчайшие сроки. В ходе его обычно анализируются следующие виды документов:

· Письменные объяснения опрашиваемых лиц;

· Акты проверки документации и помещений, где указываются фамилии лиц, проводивших проверку, их должности, объем и виды проведенного осмотра, результаты, указываются подписи этих лиц, дата;

· Другие документы, относящиеся к расследованию (справки, заявления, планы, анонимные письма и т.д.).

По результатам анализа составляется заключение о результатах проведенного расследования, в котором подробно описывается проделанная работа, указываются причины и условия случившегося, определяются виновные лица, даются рекомендации по предотвращению в будущем подобных фактов. Вопрос о наказании виновных лиц ставится после завершения расследования. При подтверждении факта передачи сотрудником информации постороннему лицу фирма должна обратиться в суд для вынесения решения о возмещении материального ущерба от кражи информации.