- формулирование и доведение до сведения всех работников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
- разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Сознательность, порядочность, внутренняя дисциплина, профессиональная грамотность и ответственность персонала – вот что лежит в основе любой даже самой технически совершенной системы защиты информации.
Персональная ответственность работающих сотрудников достигается путем:
- росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
- индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
- проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности при доступе как в автоматизированные системы, так и в выделенные помещения (зоны).
За рубежом имеются специализированные кадровые агентства, целенаправленно занимающиеся подбором персонала: Американское общество по обеспечению безопасности в промышленности, Ассоциация британских исследователей и др. [22]
Целенаправленная работа в области экономической безопасности обеспечивает соответствующую подготовку руководства и персонала предприятия к ведению переговоров с партнерами, действиям в экстремальных ситуациях, развитие у них необходимых для выполнения служебных обязанностей морально-психологических качеств, чувства преданности фирме. Предусматриваются изучение морально-психологи-ческого климата среди сотрудников, поддержание его на высоком уровне в целях повышения способности успешно противостоять внешним и внутренним угрозам безопасности, оценка психофизиологического состояния сотрудников, профилактика негативных процессов в коллективе, могущих способствовать правонарушениям.
Наряду с хищениями коммерческой тайны, значительное место занимают переманивание и подкуп кадров – ведущих специалистов, владельцев коммерческих тайн, создателей интеллектуальной собственности.
Если о сотрудниках мало думают, заботятся, редко спрашивают об их потребностях, то одни из них легко выдадут информацию, разговорившись о «тяжелой доле», других – легко перекупить у конкурента.
Мировой опыт в области защиты производственных секретов показывает, что чисто административные меры не гарантируют результат, поэтому предприниматели, не отказываясь от административных мер, переходят к совмещению их с активным вовлечением в процесс защиты конфиденциальной информации всех сотрудников фирмы.
Поэтому при разработке методов хранения коммерческой тайны рекомендуется изучать данные как о работающих, так и о принимаемых на работу сотрудниках. В программу при этом входят [47]:
- оценка и подбор кадров, исключающие прием случайных людей, и нахождение с ними взаимопонимания по вопросам необходимости хранения коммерческой тайны предприятия;
- предупреждение об ответственности за хранение коммерческой тайны;
- ознакомление сотрудников с нормами и требованиями по хранению коммерческой тайны;
- подписание обязательства-соглашения (контракта) о неразглашении коммерческой тайны и разъяснение значимости этого документа;
- систематическое напоминание о необходимости хранения коммерческой тайны и контроль за соблюдением режима хранения;
- подготовка помещений для обсуждения секретной информации (они должны быть звуконепроницаемыми или экранируемыми и систематически проверяться на наличие подслушивающих (сканирующих) устройств;
- текущий контроль (мониторинг) за деятельностью сотрудника по повышению его бдительности в отношении угроз безопасности;
- своевременное выявление и устранение конфликтных ситуаций в работе с персоналом;
- использование для служебных записей специальных пронумерованных тетрадей (блокнотов);
- контроль за тем, чтобы каждый сотрудник, независимо от служебного положения и родственных связей с руководителем предприятия, владел только необходимой для его работы информацией;
- организация режима подготовки, использования, хранения и уничтожения конфиденциальных документов;
- определение количества требуемых экземпляров конфиденциальных документов в строгом соответствии со служебной необходимостью;
- хранение конфиденциальных документов в отдельной папке;
- работа с конфиденциальными документами, исключающая возможность ознакомления с ними других лиц, не имеющих к документам прямого отношения;
- принятие мер к тому, чтобы при работе с клиентами исключалось присутствие посторонних лиц;
- представление по требованию службы безопасности устных или письменных объяснений о нарушениях установленных правил работы с конфиденциальными документами;
- ведение переговоров по конфиденциальным вопросам по защищенным линиям связи;
- запрещение упоминания конфиденциальных сведений в обычных документах;
- запрещение оставлять конфиденциальные документы без присмотра на рабочих местах, в столах, в незакрытых сейфах (металлических шкафах) и т. д.;
- запрещение сообщать устно или письменно кому бы то ни было, в т. ч. и родственникам, конфиденциальные сведения, если это не вызвано служебной необходимостью;
- обеспечение хранения в нерабочее время, а также при кратковременном отсутствии на рабочем месте папок с документами в закрытом сейфе (металлическом шкафу);
- контроль за деятельностью всех ведущих специалистов, ошибки или негативные действия которых могут нанести ущерб предприятию;
- обучение и воспитание у сотрудников чувства бдительности, установление личной ответственности за хранение носителей информации;
- исключение ситуаций, благоприятных для утери коммерческой тайны, выявление неблагоприятных ситуаций (конфликтные ситуации, недооценка специалистов, незаслуженные обиды), обеспечение достойной оплаты труда, нормального психологического климата, бережного отношения к ценным кадрам, правильной организации увольнения.
Лица, работающие с коммерческой тайной, должны иметь инструкцию по обеспечению сохранности коммерческой тайны, перечень сведений, составляющих коммерческую тайну (соответствующие выписки), при необходимости личные печати, сейфы, металлические шкафы, рабочие папки для хранения конфиденциальных документов. Сотрудник должен иметь доступ только к той информации, которая необходима ему в процессе выполнения прямых служебных обязанностей.
При воспитательной работе с кадрами специалисты в области противодействия промышленному шпионажу рекомендуют: использовать любую возможность для пропаганды программ обеспечения режима секретности, всемерно стимулировать заинтересованность сотрудников в выполнении режима секретности, периодически вознаграждать сотрудников за успехи в защите секретной информации. Сотрудника обучают: четкому знанию объема охраняемой информации, за безопасность которой он несет личную ответственность, пониманию секретных работ, характера и ценности данных, с которыми он работает, правилам хранения и защиты секретных данных.
Специалисты рекомендуют [8] проводить совместно с отделом кадров программу по отсеиванию непригодных кандидатов на вакантные места и информационно-образовательные программы для уже работающих сотрудников.
В числе задач программ – разъяснительная работа с сотрудниками с целью показать, какие убытки несет предприятие от преступлений собственных работников и как сами сотрудники смогут помочь уменьшить эти убытки. Программа должна показать, что руководство заинтересовано в помощи сотрудников и надеется на эту помощь. Ее главная цель – ограничить возможности преступной деятельности и увеличить риск разоблачения лиц, в нее вовлеченных.
Для организации защиты коммерческой тайны предприятий на основе рассмотрения законодательных положений, с учетом актуальных аспектов, связанных с защитой предприятий от экономических потерь, и обобщения литературных источников предлагается использовать рекомендации по организации защиты коммерческой тайны предприятий (предпринимателей), предложенные известными в области экономической безопасности специалистами [9, 38, 42, 47,50]:
- определение и распределение функций специалистов, обеспечивающих сохранность коммерческой тайны, порядок пользования, получения, обработки, хранения, передачи носителей информации;
- разработка механизма распределения коммерческой тайны по уровням исполнения и управления, предусматривающая схему доступа к коммерчески ценной информации только особо доверенных лиц;
- инструктаж и подготовка специалистов, как работающих с носителями коммерческой информации, так и обеспечивающих их охрану;
- подбор, обучение и консультирование лиц, допущенных к коммерческой тайне (составление программы обучения, проверка знания соответствующих требований);
- организация профилактической работы с сотрудниками, имеющими доступ к коммерческой тайне;
- формирование сознательного отношения к обеспечению защиты информации с учетом конкретной обстановки в процессе организационной и профилактической работы;
- подбор и расстановка сотрудников, допускаемых к коммерческой тайне, выработка мер по снижению текучести кадров;
- разработка положений, инструкций, правил обеспечения режима работы для исполнителей закрытых работ, специалистов службы безопасности (их несовершенство – одна из основных причин утечки);