Добрянская Анастасия ЛПА-304

Вопрос №14 Организация контроля за соблюдением персоналом

требований режима защиты информации. Методы проверки персонала

Работники предприятия или персонал является одним из потенциально

возможных источников утечки конфиденциальной информации и как
следствие финансовых потерь предприятия. Как правило, персонал содержит
сведения о:
 всех без исключения работниках данного предприятия, его персонале;
 работниках других организаций, фирм - посредников, изготовителей
комплектующих деталей, торговых фирм, рекламных агентств и т. п.;
 сотрудниках государственных учреждений, к которым организация
обращается в соответствии с законом, — налоговых, муниципальных
правоохранительных органов и т. д.;
 представителях средств массовой информации, сотрудничающих с
организацией;
 посетителях фирмы, работниках коммунальных служб, почтовых
служащих, работниках служб экстремальной помощи и т.д.;
 посторонних лицах, работающих или проживающих рядом со зданием
или помещениями организации;
 родственниках, знакомых и друзьях всех указанных выше лиц.
Перечисленные лица в той или иной мере являются или могут стать в силу
обстоятельств источниками конфиденциальных сведений. Но наиболее
осведомлены в конфиденциальной информации: первый руководитель, его
основной заместитель, их референты и секретари, работники службы
конфиденциальной документации.
Работа с персоналом по вопросам обеспечения информационной
безопасности начинается в ходе процесса подбора и расстановки кадров,
заканчивается – после увольнения сотрудника из организации.
Текущая работа с персоналом, обладающим конфиденциальной инфор-
мацией, подразумевает:

 обучение и систематическое инструктирование работников:

 проведение регулярной воспитательной работы с персоналом,
работающим с конфиденциальными сведениями и документами;
 постоянный контроль за выполнением персоналом требований по
защите информации;
 аналитическую работу по изучению степени осведомленности
персонала в области конфиденциальных работ;
 проведение служебных расследований по фактам утраты информации и
нарушений персоналом требований по защите информации.
Процесс обучения работников правилам защиты информации должен быть
систематическим и регулярным,т. к. состав и уровень ограничения доступа к
конфиденциальной информации часто меняются, а система зашиты, требует
регулярного обновления и видоизменения. Занятия не должны иметь форму
редких, необязательных и формальных собраний.
Обучение работника начинается с момента получения им допусков для
работы с конфиденциальной информацией и заканчивается при увольнении.
Обычная периодичность обучения для работающих сотрудников составляет
раз в 3—5 лет, как правило, после аттестации или перезаключения контракта.

Задачами обучения являются:

 изучение характера и состава конфиденциальной информации;
 изучение возможных угроз конфиденциальным сведениям, каналов их
объективного распространения и каналов утраты, методов работы
злоумышленников;
 изучение структуры системы зашиты, требований и правил защиты
конфиденциальной информации;
 изучение порядка работы сотрудников с конфиденциальными
сведениями, документами и базами данных;
 изучение действий персонала в конкретных экстремальных ситуациях
Обучение работников предполагает приобретение и поддержание на
высоком профессиональном уровне производственных навыков работы с
конфиденциальными сведениями, психологическое воспитание сотрудников
и воспитание глубокой убежденности в необходимости выполнения
требований по защите любой и конфиденциальной информации.
Обучение организует служба безопасности. Учебные занятия могут
проводиться на базе специализированных учебных заведений, институтов
повышения квалификации, а также собственными силами работников
службы безопасности.
Информация, сообщаемая работникам в процессе обучения, является
строго конфиденциальной. По окончании обучения обязательно следует
проводить проверку усвоения работниками полученных знаний.
Целесообразно организовывать проверку знаний путем тестирования или ре-
шения ситуационной задачи. Работники, не прошедшие проверку знании, от
работы с конфиденциальной информацией отстраняются.
Одновременно с обучением должны проводиться регулярные совещания-
инструктажи с работниками. Инструктажи необходимы для поддержания у
работников постоянного чувства ответственности за сохранность
конфиденциальной информации и актуализации их конкретных знаний по
защите информации, с которой они работают.
В процессе текущего совещания-инструктажа до сведения работников
доводятся:

 изменения и дополнения, внесенные в действующие нормативно -

методические документы по защите информации;
 приказы и указания руководства в области защиты информации и
информационной безопасности;
 информация о конкретных угрозах информации, о каналах утечки
информации, действиях злоумышленников, принятых дополнительных
мерах по защите информации;
 результаты анализа случаев нарушения работниками правил «защиты
информации, информация о фактах утраты секретов по вине
работников.
Обучение и инструктирование находятся в тесной связи с воспитанием
работников, привитием им устойчивых положительных личных качеств
поведения в той или иной ситуации, связанной с обеспечением
недоступности информации посторонним лицам, исключением возможности
привлечения этими лицами к сотрудничеству работников для
несанкционированного доступа к ценным конфиденциальным сведениям.

Воспитание— это процесс систематического и целенаправленного воздейст-

вия на формирование и развитие личности в целях наиболее полного
использования ее профессиональных способностей, деловых, высоких
моральных и иных положительных качеств, в целях повышения
эффективности деятельности, благополучия и конкурентоспособности.

Каждый из сотрудников, работающий с конфиденциальными сведениями,

документами и базами данных, должен находиться в сфере постоянного
наблюдения руководства и коллектива с целью оценки степени его
лояльности по отношению к организации, в которой он трудится.
Одна из задач работы с персоналом - создание здорового психологического
климата в коллективе, позволяющего объединить осознанные усилия
персонала на решение стоящих задач и преодоление возникающих
трудностей.
При формировании здорового психологического климата решаются сле-
дующие задачи:
 создание действенной системы стимулирования труда персонала;
 обеспечение долговременной работы в организации каждого
способного работника;
 отношение к работникам как самостоятельным членам коллектива,
участие
персонала в выработке решений;
  справедливое участие персонала в прибылях;
 реализация на практике (при необходимости) гибкой нетравмируемой
системы увольнений;
 расстановка кадров в соответствии с их способностями;
 главенство в отношениях руководства и работников духа
коллективизма.
При хорошем психологическом климате сотрудники доброжелательно отно-
сятся к любым ограничениям, связанным с функционированием системы
защиты информации, добровольно, с пониманием важности выполняют все
требования этой системы.

Контроль соблюдения персоналом правил защиты конфиденциальной

информации осуществляется регулярно. С этой целью руководителям и
службе безопасности следует организовать наблюдение за работой
персонала. Назначение наблюдения — проверка правильности применения
работниками знаний и навыков, полученных в ходе обучения и
инструктирования. Контролируются все работники, в том числе педантично
соблюдающие правила работы с конфиденциальной информацией.
Основными формами контроля качества работы персонала, в том числе в
части соблюдения требований по защите информации, можно назвать
следующие:
 аттестация работников;
 отчеты руководителей подразделений о работе подразделений и
состоянии системы защиты информации;
 регулярные проверки руководством и службой безопасности со-
блюдения работниками требований по защите информации;
 самоконтроль сотрудников.
Аттестация работников -коллективная форма оценки аттестационной
комиссией предприятия профессиональной пригодности работника, его
соответствия занимаемой должности. Аттестация проводится периодически
(ежеквартально, раз в год, пять лет и иные сроки).

При проведении аттестации рассматриваются следующие характеристики ра-

ботника: трудовая дисциплина, исполнительность, трудолюбие,
ответственность, требовательность и принципиальность, организованность в
работе, качество и эффективность выполняемой работы, самостоятельность и
инициатива, творческая деятельность, прогрессивность профессиональных
решений, профессиональный кругозор, умение общаться с людьми,
организаторские способности, преданность делу организации.
В части соблюдения работником требований по защите информации рассмат-
риваются такие характеристики, как знание соответствующих нормативных и
инструктивных документов, умение применять требования этих документов
в практической деятельности, отсутствие нарушений в работе с
конфиденциальными документами, умение общаться с посторонними
лицами, не разглашая конфиденциальной информации и т. д.
Другой формой контроля является заслушивание руководителей структур-
ных подразделений и руководителя службы безопасности на совещании у
первого руководителя о состоянии системы защиты информации и выполне-
нии ее требований работниками подразделений. Одновременно на совещании
принимаются решения по фактам нарушения работниками этой системы.
Формой контроля являются также регулярные проверки выполнения со-
трудниками (в том числе хорошо работающими) правил работы с
конфиденциальной информацией, документами и базами данных.

Проверки проводятся руководителями структурных подразделений и направ-

лений деятельности предприятия, заместителями первого руководителя и
работниками службы безопасности. Одновременно с соблюдением
работниками правил работы с конфиденциальными документами
проверяется наличие у работника числящихся за ним документов, носителей
информации, дел, магнитных носителей электронных массивов информации,
изделий и иных элементов, составляющих конфиденциальную информацию.
Проверки могут быть плановыми и внеплановыми (внезапными). Внезапные
проверки проводятся при возникновении малейшего подозрения о
разглашении или утечке информации.
Самоконтроль состоит в проверке самими руководителями и
исполнителями полноты и правильности выполнения ими действующих
инструктивных положений, а также в немедленном информировании службы
безопасности и непосредственного руководителя о фактах утраты
документов, разглашении лично или другими сотрудниками сведений,
составляющих нарушении работниками порядка защиты информации.
При работе с персоналом следует сосредотачивать внимание не только на
сотрудниках, работающих с конфиденциальной информацией. Следует
учитывать, что эти работники могут быть посредниками в действиях
злоумышленника: в проведении электронного шпионажа, создании условий
для хищения документов, снятии с них копий и т. п.

Одновременно с рассмотренными формами контроля работы персонала, вла-

деющего конфиденциальной информацией, ведется
регулярная аналитическая работа по изучению степени осведомленности
работников о конфиденциальной информации. Эта работа входит в состав
комплексного аналитического исследования по поиску и обнаружению
каналов утраты персоналом конфиденциальной информации.
Объектами комплексного аналитического исследования являются выявление,
классификация и постоянное изучение источников и объективных, каналов
распространения конфиденциальной информации, а также обнаружение и
анализ степени опасности источников угрозы информации. В итоге важен
превентивный контроль безопасности ценной информации от недобросо-
вестных посягательств отдельных сотрудников.
Одновременно подлежат специальному (экстремальному) учету все замечен-
ные несанкционированные или ошибочные действия персонала с
документами и информацией, нарушения системы доступа к информации и
правил работы с конфиденциальными документами и базами электронных
данных. Подобные факты подлежат оперативному, тщательному
сравнительному анализу, а результаты анализа должны докладываться
непосредственно первому руководителю.
Служебное расследование фактов утраты информации проводится
специальной комиссией, формируемой приказом первого руководителя.
Расследование предназначено для выяснения причин, всех обстоятельств и
их последствий, связанных с конкретным фактом, установления круга
виновных лиц, размера причиненного ущерба. По результатам расследования
даются рекомендации по устранению причин случившегося.