Персонал как основная опасность утраты конфиденциальной информации
В основе системы защиты информации лежит человеческий фактор, предполагающий преданность персонала интересам фирмы, и осознанное соблюдение им установленных правил защиты информации. Если отдельный сотрудник не оправдает доверия, то никакая эффективная система защиты не сможет гарантировать безопасность информации и предотвратить ее разглашение. В решении проблемы информационной безопасности значительное место занимает выбор эффективных методов работы с персоналом, обладающим конфиденциальной информацией.
Персонал генерирует новые идеи, новшества, открытия и изобретения, которые ускоряют научно-технический прогресс, повышают благосостояние сотрудников фирмы и являются полезными не только для фирмы в целом, но и для каждого отдельного сотрудника. Поэтому любой сотрудник объективно заинтересован сохранять в тайне те новшества, которые повышают прибыли и престиж фирмы. Несмотря на это персонал, к сожалению, является в то же время основным источником утраты ценной и конфиденциальной информации.
Объясняется это тем, что с точки зрения психологических особенностей персонал — явление сложное, каждый из сотрудников всегда индивидуален, трудно предсказуем и мотивации его поведения часто противоречивы и не отвечают требованиям сложившейся жизненной ситуации. Это определяет особую значимость решения проблемы тщательного изучения персонала в структурах, связанных с необходимостью заботиться о сохранении в тайне тех или иных сведений, документов и баз данных.
Трудности в работе с персоналом и сложности в подборе достойных во всех отношениях людей испытывает любая фирма, которая использует в работе достаточные объемы конфиденциальных сведений. В современных предпринимательских структурах практически каждый основной сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов и криминальных структур. В контексте безопасности кадровая политика имеет профилактическую роль по отношению к такому типу угрозы, как неблагонадежность отдельных сотрудников.
Вопросы управления персоналом, работа которого связана с обработкой, хранением и использованием конфиденциальных сведений, документов и баз данных, в настоящее время все в большей степени в концептуальном и практическом аспектах включаются в число главных при решении проблем информационной безопасности. Информационная безопасность понимается как защищенность информации на любых носителях от случайных и преднамеренных несанкционированных воздействий естественного и искусственного свойства, направленных на уничтожение, разрушение, видоизменение тех или иных данных, изменение степени доступности ценных сведений. Помимо профессиональных способностей сотрудники, связанные с секретами фирмы, должны обладать высокими моральными качествами, порядочностью, исполнительностью и ответственностью. Они добровольно соглашаются на определенные ограничения в использовании информационных ресурсов и вырабатывают в себе самодисциплину, самоконтроль действий. поступков и высказываний.
Зарубежные специалисты считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала фирмы. Повышение ответственности персонала за выполняемую работу, сохранность ценных сведений, активное участие в принятии управленческих решений требует нового содержания при оценке таких критериев, как образование, профессионализм, личная культура, моральные качества и этика работников. Люди рассматриваются как самый ценный ресурс фирмы и решают, с одной стороны, производственные и коммерческие задачи, а с другой получают во владение ценные и конфиденциальные сведения фирмы и обеспечивают их правильное использование и сохранность.
Работа с персоналом подразумевает целенаправленную деятельность руководства фирмы и трудового коллектива, направленную на наиболее полное использование трудовых и творческих способностей каждого члена коллектива, воспитание, в нем фирменной гордости, препятствующей возникновению желания нанести вред организации, стать соучастником в недобросовестной конкуренции или криминальных действиях. Человеческий фактор должен постоянно учитываться в долговременной стратегии фирмы и ее текущей деятельности, являться основным элементом построения действенной и эффективной системы защиты информационных ресурсов.
Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:
• проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
• документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
• инструктирование и обучение сотрудников практическим действиям по защите информации;
• контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений. Сложности в работе с персоналом определяются:
• большой ценой решения о допуске лица к тайне предприятия;
• наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);
• разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности, Персонал является основным и самым трудно контролируемым источником ценной и конфиденциальной информации. Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:
• всех сотрудников данной фирмы, ее персонал;
• сотрудников других фирм — посредников, изготовителей комплектующих деталей, торговых фирм, рекламных агентств и т.п.);
• сотрудников государственных учреждений, к которым фирма обращается в соответствии с законом — налоговых и иных инспекций, муниципальных органов, правоохранительных органов и т.д.;
• журналистов средств массовой информации, сотрудничающих с фирмой;
• посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;
• посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих:
• родственников, знакомых и друзей всех указанных выше лиц. Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.
Наиболее осведомлены в секретах фирмы первый руководитель, его основной заместитель, их референты и секретари, работники службы конфиденциальной документации. Следовательно, персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными делами и базами данных, является наиболее осведомленным и часто достаточно доступным источником для злоумышленника, желающего получить необходимые ему сведения.
Причем овладение требуемой информацией происходит в значительном числе случает в результате безответственности и необученности персонала, его недостаточно высоких личных и моральных качеств.