Порядок подбора персонала для работы с конфеденциальной информацией

МИНИСТЕРСТВО ОБРАЗОВАНИЯ  И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ  БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ 
«ДОНСКОЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»

(ДГТУ)

Факультет международный

Кафедра «Документоведение и языковая коммуникация»

Реферат

на тему: «Порядок подбора персонала для работы с конфеденциальной информацией» 
 

Ростов-на-Дону

2012г.

 

Содержание

 

Введение

Информационная безопасность, одна из главных проблем с которой сталкиваются современные организации. Обеспечение информационной безопасности тесно связано с подсистемой управления персоналом. 
 В настоящее время значительно возросло количество преступлений, связанных с конфиденциальной информацией, причем самый распространенный вид - преступления со стороны персонала организации. Персонал предприятия имеет возможность преодолеть систему охраны объекта, а также взломать защиту баз данных, тем самым получить доступ к активам предприятия, причем выявить данный факт очень сложно. А порой совсем невозможно. 
 Таким образом, четвертая часть преступлений на предприятии совершается персоналом, а обнаружение этих преступлений чаще всего происходит случайно. Именно работник организации, допущенный к работе с конфиденциальными сведениями, может нанести непоправимый ущерб организации. Поэтому сейчас перед большим количеством предприятий остро стоит проблема создания и применения эффективной системы безопасности информации. 
 Исследования, проведенные на базе имеющегося опыта организаций по управлению персоналом с целью обеспечения защиты конфиденциальных сведений, показывают, что  на уровне организации можно выявить следующие угрозы: непреднамеренные и преднамеренные со стороны лица, которое совершает преступление; некорыстные, например халатность, невнимательность, корыстные, к которым относятся мошенничества, вымогательства, грабежи, кражи и разбои; технические ошибки, которые могут носить как случайный, так и систематический характер; внутренние и внешние угрозы по отношение к организации.   
 Целью данной работы является поиск методов по сокращению риска и угроз со стороны сотрудников по отношению к конфиденциальной информации, на этапе их подбора. 
 Основная задача, при раскрытии данной темы, состоит в том, чтобы выявить основные угрозы со стороны работающего персонала организации, а также особенности приема сотрудника, имеющего доступ к конфиденциальной информации. А также, показать необходимость создания определенных структур в организации, которые в совместной работе с руководством и кадровой службой, решали бы проблемы в построении системы мотивации или влияния на работников, разработать систему действий по предотвращению действий сотрудников, которые могут нести потенциальную угрозу для деятельности и существования организации в целом и исключить использование сотрудников как инструмент недобросовестной конкуренции.

 

1 Общие сведения о конфиденциальной  информации

• 1.1 Понятие «конфиденциальная информация»

«Конфиденциальная информация» - понятие, ставшее неотъемлемой частью юридической лексики, в данное время оно используется в большинстве нормативных правовых актов Российской Федерации. Сведения о конфиденциальной информации нашли отражение не только в законодательных актах, но и стали все чаще использоваться  в различных договорах, а также в соглашениях о конфиденциальности, а наиболее распространены положения о запрете на распространение сведений конфиденциального характера  в трудовых договорах. 
 Но, несмотря на частое использование сведений конфиденциального характера, в законодательстве нет четкого определения понятия «конфиденциальная информация», а ранее такое понятие содержалось в ст.2, который утратил свою силу ФЗ «Об информации, информатизации и защите информации».

 Согласно этому закону «конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации»¹. Это определение, но в несколько ином виде и сейчас находит свое применение в актах органов государственной власти Российской Федерации. 
 Настоящий ФЗ «Об информации, информационных технологиях и защите информации» определение понятия «конфиденциальная информация» не содержит, но  данное определение можно получить на основании анализа его норм. 
 Согласно п. 1 ст. 2 указанного закона информация - это сведения (сообщения, данные) независимо от формы их представления. 
 В п. 7, 2 статьи, сказано, что конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя. 
 Таким образом, конфиденциальная информация - это сведения, независимо от формы их предоставления, которые не могут быть переданы лицом, получившим доступ к данным сведениям, третьим лицам без согласия их правообладателя. 
 В Указе Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» содержится перечень сведений конфиденциального характера. Исходя из данного указа к сведениям конфиденциального характера относятся: персональные данные; сведения которые составляют тайну следствия и судопроизводства; служебная тайна; коммерческая тайна;

-персональные данные; нотариальная, врачебная, адвокатская тайна, тайна телефонных переговоров и почтовой переписки.

Действующими нормативными актами выявлено 30 разновидностей конфиденциальной информации. Но четкой и единой классификации  в настоящее время нет.  
 Подводя итог всему вышесказанному, можно сказать о том, что в настоящее время видами конфиденциальной информации являются государственная, коммерческая, личная и семейная, служебная и профессиональная тайна, которая, в свою очередь, имеет  разновидности, но, несмотря на это правовой режим ряда названных тайн полностью не разработан, а между отдельными документами существуют серьезные противоречия, которые необходимо устранить.

• 1.2 Анализ  угроз связанных с разглашением конфиденциальной информации

Конфиденциальность коммерческой тайны и персональных данных сотрудников может быть нарушена угрозами информационной безопасности.

В общем виде выделяют угрозы направленные на нарушение:

-доступности информации;

-конфиденциальности информации; 

- целостности информации.

Далее можно выделяются следующие типы угроз:

-утрата информации;

-утечка информации;

-хищение информации;

-несанкционированный доступ  к  информации;

-уничтожение информации;

- нарушение доступности или  блокирование информации;

- модификация или искажение  информации.

Выделяют также три главных источника угроз:

-технические средства;

-субъекты;

-стихийные бедствия и аварии.

 Так как угрозы могут быть  как внутренние, так и внешние  можно произвести анализ угроз  информационной безопасности.

1) Угрозы, которые обусловлены действиями  субъектов – то есть лицами, которые имеют доступ — несанкционированный или санкционированный — к конфиденциальным сведениям.

1.1) внешние угрозы:

- криминальные группы;

- компаньоны по бизнесу;

- представители надзорных организаций  и иных обслуживающих служб;

- представители государственных структур.

1.2) внутренние угрозы:

-основной персонал;

- вспомогательный персонал.

- работники службы безопасности;

- технический персонал; 

2) Угрозы, которые обусловлены работой  технических средств, а также  халатностью и неправильной работой персонала:

2.1) внутренние угрозы:

- средства охранной и пожарной  сигнализации и средства видеонаблюдения;

- аппаратные и программные средства  обработки       информации.

2.2) внешние угрозы:

- транспортные средства;

- средства различной коммуникации.

3) Угрозы, которые обусловлены авариями, стихийными бедствиями, такие угрозы  имеют особенность — не прогнозируемость  — а это значит. Что они могут  возникнуть неожиданно, а следовательно,  необходимо быть готовыми к  ним всегда, такие угрозы чаще всего внешние:

-пожары;

-форс-мажорные обстоятельства;

-ураганы;

-наводнения;

- землетрясения.

Подводя итог, следует отметить, что  осуществление защиты от всех данных угроз базируется на организационных  методах, которые, при правильном их введении, сводят вероятность угроз к нулю.

• 1.3 Перечень сведений, содержащих конфиденциальную информацию

Исследовав угрозы информационной безопасности можно составить перечень сведений, которые содержат конфиденциальную информацию и требующие защиты:

1)В информационно-аналитическом отделе:

- информация о технологиях, благодаря  которым будет осуществляться  концепция стратегического развития  предприятия; 

- сведения о применяемых оригинальных  методах управления.

2) В дирекции:

- сведения о подготовки и  принятии отдельных решений руководителя по различным вопросам;

3) В отделе кадров:

-  сведения о штатном расписании;

-персональные данные сотрудников;

- сведения о материальном вознаграждении.

4) В отделе информационных технологий:

- сведения об используемых  технологиях;

- сведения об используемых технических  средствах.

5) В бухгалтерии:

- сведения о финансовом состоянии  предприятия;

- сведения об условиях контрактов;

-сведения о кругообороте средств  предприятия;

- сведения о методах расчета,  структуре и уровне цен.

6) В службе безопасности:

- сведения о порядке и состоянии  организации защиты конфиденциальной  информации;

7) В юридическом отделе:

- сведения об условиях конфиденциальности, которых установлены в договорах,  контрактах, соглашениях и других обязательствах предприятия.

- сведения о порядке и состоянии  организации охраны, пропускном  режиме, системе сигнализации.

Проанализировав перечень сведений, содержащих конфиденциальную информацию, можно сказать, что во всех сферах деятельности существует такая информация, при разглашении которой организации может быть нанесен ущерб различного масштаба.

• 1.4 Концепция информационной безопасности предприятия

«Концепция информационной безопасности предприятия – это основа политики безопасности организации, включающая цели и задачи построения системы защиты информации»².

Целью защиты информации является предотвращение и сокращение ущерба от нарушения  таких свойств информации, как  конфиденциальность, целостность и  доступность.

Для выполнения данной цели должны быть реализованы такие задачи информационной безопасности:

-определение и классификация  информационных объектов организации;

-организация режимы охраны предприятия;

-определение угроз информационной  безопасности организации;

-ведение программного учета, аппаратного и другого информационного обеспечения объектов;

-организация работы с сотрудниками;

-организация работы с секретными  документами;

-организация контроля за выполнением  требований информационной безопасности;

- организация порядка использования технических средств;

- организация защиты персональных  данных работников и партнеров.

Ответственность за достижение основной цели информационной безопасности предприятия  и за выполнение перечисленных задач  несет:

- отдел информационных технологий;

-служба безопасности;

- руководители отделов;

- сотрудники;

- администраторы локальной вычислительной  сети.

Служба безопасности  отвечает за:

- информирование сотрудников о  данной концепции;

-разработку и выполнение концепции  информационной безопасности предприятия;

- внедрение и контроль за  выполнением требований концепции;

-осуществление анализа угроз  информационной безопасности  и  разработку мер противодействия  данным угрозам;

- организацию защиты информации.

Отдел информационных технологий  отвечает за:

-внедрение системы мер ограничения  доступа пользователей к компьютерным  системам и сети;

-организацию работы компьютерных  систем организации и локальной  вычислительной сети;

-защиту компьютерных систем  от вредоносных программ.

Администраторы локальной вычислительной сети  отвечают за:

-осуществление внедрения системы  мер ограничения и разграничения  доступа пользователей к компьютерным  системам и сети;