(Мельникова Е. И.) («Юридический мир», 2009, N 12)
ФОРМЫ УТЕЧКИ ИНФОРМАЦИИ, СОСТАВЛЯЮЩЕЙ КОММЕРЧЕСКУЮ ТАЙНУ, И УПРАВЛЕНИЕ ПЕРСОНАЛОМ ПРЕДПРИЯТИЯ В ЦЕЛЯХ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ <*>
Е. И. МЕЛЬНИКОВА
——————————— <*> Mel’nikova E. I. Forms of leak of information being a commercial secret and management of personnel of an enterprise for the purposes of ensuring in formation security.
Мельникова Е. И., аспирантка юридического факультета Института права и государственной службы Ульяновского государственного университета, кафедра государственного и административного права.
При отсутствии на предприятии эффективной системы защиты конфиденциальной информации, а также системы мониторинга соблюдения персоналом соответствующих правил и санкций за их нарушение угрозы неумышленной утечки информации быстро приобретают массовый характер. Процесс защиты информации, составляющей коммерческую тайну, предполагает проведение превентивных и текущих мер, направленных на работу с персоналом. Реализация мер предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности. Статья посвящена решению вопросов, возникающих в данной сфере. Ключевые слова: информация, коммерческая тайна, безопасность, угроза, защита информации.
In absence of effective system of protection of confidential information at the enterprise and also a system of monitoring of following by personnel the relevant rules and sanctions for violations thereof, the danger of unintentional leak of information acquires mass character. The process of protection of information being a commercial secret provides for conduct of preventive and regular measures aimed at work with personnel. Realization of the measures presupposes planning, organization, motivation and control of personnel for the purposes of creation of the system of ensuring information security. The article is devoted to solution of issues emerging in the said sphere. Key words: information, commercial secret, security, danger, protection of information.
Персонал предприятия часто является основным субъектом реализации угроз информационной безопасности. В статье делается акцент на управлении персоналом предприятия в целях обеспечения информационной безопасности. Рассмотрены основные формы реализации таких угроз, а процесс управления персоналом представлен в виде реализации четырех функций управления: планирования, организации, мотивации и контроля над персоналом. Выводы основаны на результатах исследования на тему «Методы и средства защиты коммерческой тайны на предприятии» <1>, в котором приняли участие 40 предприятий г. Ульяновска из числа крупного, среднего и малого бизнеса. ——————————— <1> Исследование проведено усилиями автора при поддержке Агентства маркетинговых решений «Результат» (г. Ульяновск).
Предполагается, что на любом предприятии возможно внедрить эффективную систему управления персоналом в целях обеспечения информационной безопасности. К конфиденциальной информации относятся любые сведения, разглашение которых способно нанести ущерб их владельцу, пользователю или связанным с ними лицам. Часть этой информации определяется в качестве коммерческой тайны. К информации, составляющей коммерческую тайну, согласно ст. 3 Закона о коммерческой тайне <2> относится научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства — ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой ее обладателем введен режим коммерческой тайны. ——————————— <2> См.: ФЗ от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (в ред. от 24 июля 2007 г. N 214-ФЗ).
В деле защиты конфиденциальной информации предприятия от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Представляется целесообразным рассмотреть персонал предприятия как источник угроз информационной безопасности и предложить возможную к внедрению систему управления персоналом предприятия в целях обеспечения информационной безопасности. Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом сотрудники предприятия могут действовать как по собственной инициативе, так и под влиянием сторонних для предприятия третьих лиц. Рассмотрим основные формы реализации угроз информационной безопасности: 1) перехват конфиденциальной информации, в результате которого у субъекта угрозы оказывается ее дубликат. Перехват информации может осуществляться с использованием разнообразных методов — путем простого подслушивания разговоров коллег по работе, использования технических средств (подслушивающих устройств), копирования конфиденциальных документов или электронных баз данных; 2) хищение конфиденциальной информации, в результате которого субъект угрозы одновременно решает две задачи — приобретает соответствующие сведения и лишает их предприятие. Специфика рассматриваемой угрозы заключается в том, что объектом хищения может стать не только конфиденциальная, но и вполне открытая информация, необходимая ее собственнику для нормального функционирования; 3) повреждение или уничтожение информации, в результате которого субъектом угрозы достигается лишь задача нанесения ущерба предприятию. Причиной сознательного уничтожения информации, как правило, являются соображения личной мести работодателю; 4) искажение нелояльным сотрудником конфиденциальной информации, в результате которого специалисты предприятия — объекта угрозы могут принять изначально ошибочное управленческое решение. Итак, наиболее распространенной причиной реализации угроз информационной безопасности российских работодателей является безответственность их персонала. Она проявляется в нарушении сотрудниками действующих на предприятии требований по обеспечению информационной безопасности, что приводит к утечке конфиденциальных сведений в самых различных формах. По результатам специального исследования на тему «Методы и средства защиты коммерческой тайны на предприятии» <3>, в котором приняли участие 40 предприятий г. Ульяновска из числа крупного, среднего и малого бизнеса, можно заключить, что эффективная система управления персоналом в целях обеспечения информационной безопасности предприятия отсутствует. ——————————— <3> Исследование проведено усилиями автора при поддержке Агентства маркетинговых решений «Результат» (г. Ульяновск).
Так, на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео — и фотосъемочной аппаратуры. В 33,5% всех случаев на предприятиях помещения, где расположены компьютеры, не защищены от несанкционированного доступа. На 55% предприятий у сотрудников при увольнении не берется расписка о неразглашении конфиденциальной информации. На 55% всех предприятий на предприятии не назначено лицо, ответственное за учет работников, имеющих доступ к сведениям, содержащим информацию, составляющую коммерческую тайну, которое обеспечивает хранение документации, выдачу ее работникам под роспись и контроль над своевременным возвратом указанной документации на хранение. На 47,5% всех предприятий отсутствуют специально организованные места приема посетителей. На 3/4 предприятий были зафиксированы случаи разглашения информации, составляющей коммерческую тайну, при движении персонала (приеме, перемещении, увольнении). Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала <4>. ——————————— <4> См.: Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации: Учеб. пособие. М.: ФОРУМ, 2009. С. 32.
Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности определены в международном стандарте ISO/IEC 17 799:2000 и сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям. Согласно общей теории менеджмента процесс управления включает в себя четыре функции: планирование, организацию, мотивацию и контроль. Именно в рамках этих функций предлагается осуществлять управление персоналом предприятия в целях обеспечения информационной безопасности. Тогда планирование персонала — это подбор персонала и оформление допуска для работы с конфиденциальной информацией. Организация — обучение сотрудников правилам и приемам работы с конфиденциальной информацией. Мотивация сотрудников в целях обеспечения информационной безопасности может реализовываться в двух направлениях: путем поощрения и с помощью применения специальных санкций за соответствующие нарушения. Контроль над сотрудниками предприятия должен носить комплексный и непрерывный характер. Рассмотрим порядок реализации каждой из функций управления персоналом в целях обеспечения информационной безопасности. Планирование персонала. При приеме на работу рекомендуется проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т. д. В случае успешного прохождения кандидатом проверки и признания его соответствующим должности осуществляется заключение (подписание) двух документов: а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности; б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство). Непосредственная деятельность вновь принятого работника в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу. Оформление допуска для работы с конфиденциальной информацией, которое также составляет основу планирования управления персоналом, производится на основании разграничения доступа к конфиденциальным документам. Разграничение доступа основывается на однозначном расчленении информации по тематическим группам и пользователям, которым эта информация необходима для работы. Разрешительная система допуска к конфиденциальным документам решает следующие задачи: — ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами; — строгое избирательное и обоснованное распределение документов и информации между сотрудниками; — обеспечение сотрудника всем необходимым для выполнения своих служебных функций; — исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных; — рациональное размещение рабочих мест и коллективный контроль над работой сотрудников <5>. ——————————— <5> См.: Ищейнов В. Я., Мецатунян М. В. Указ. раб. С. 44.
Возникающая практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом документов и сведений называется доступом. Разрешение на допуск и доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. Таким образом, руководители несут персональную ответственность за правильность выдаваемых ими разрешений на допуск, а также доступ к конфиденциальным сведениям. Организация персонала. Организация персонала включает обучение сотрудников правилам и приемам работы с конфиденциальной информацией. Обучение может быть дифференцировано в зависимости от срока работы сотрудников на предприятии — т. е. программа обучения для новых сотрудников и для сотрудников, которые имеют опыт работы в данной организации (более года — двух лет). Внутреннее нормативно-методическое содержание программы обучения должно включать: — общие правила обеспечения безопасности организации с ответственностью сотрудника за соблюдение установленных правил; — перечень полномочий службы безопасности по контролю и прямому функциональному руководству соответствующим направлением деятельности персонала; — рекомендации по предотвращению ситуаций, способных сделать работника объектом вербовки и шантажа; — рекомендации поведения в случае попытки вербовки и шантажа. Обычно обучение новых сотрудников проводят руководители структурных подразделений, задачей обучения при этом является доведение до обучаемых правил обеспечения безопасности на конкретных рабочих местах в рамках исполняемых служебных обязанностей. Организация последующей подготовки сотрудников осуществляется службой безопасности в режиме повышения профессиональной квалификации персонала. Формы соответствующей подготовки могут дифференцироваться следующим образом: — для топ-менеджмента — это ознакомление со специальными информационно-аналитическими обзорами, ежеквартально направляемыми им за подписью руководителя службы безопасности; — для руководителей структурных подразделений — ежеквартальные встречи с руководителем службы безопасности; — для остального персонала — специальный инструктаж, который не реже одного раза в полгода проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях. Мотивация. Мотивация сотрудников предприятия в целях обеспечения его информационной безопасности может реализовываться по двум направлениям — путем применения поощрений и санкций. Специальные поощрения (премии) за активную работу по укреплению информационной безопасности предприятия могут использоваться в отношении: — сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций; — сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности; — руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности; — любых сотрудников организации, оказавших службе безопасности реальную помощь в выявлении источников угроз информационной безопасности. Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности применяются по представлению службы безопасности или руководителей этих коллективов. По характеру управляющего воздействия они делятся на три группы. Это могут быть: 1. Санкции административного характера, наиболее жесткие по силе воздействия (например, смещение с занимаемой должности; отказ в пролонгации трудового договора; перевод сотрудника на другое рабочее место, которое позволит перекрыть доступ к конфиденциальной информации; исключение сотрудника из резерва на выдвижение и т. д.). 2. Санкции экономического характера (среди которых: лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда; лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения; отмена персональных социально-экономических льгот и т. д.). 3. Санкции психологического характера (например, индивидуальная беседа с руководителем или представителем службы безопасности предприятия; обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения и т. п.). Контроль. Субъектами контроля выступают: руководители структурных подразделений; специалисты службы безопасности и ее внештатные сотрудники в структурных подразделениях; специалисты частных детективных агентств, приглашенные для проведения служебных расследований. Объектами контроля являются два аспекта деятельности сотрудников организации: — исполнение ими установленных правил обеспечения информационной безопасности работодателя; — общая лояльность работодателю. Профилактический контроль (оперативный мониторинг) соблюдения правил обеспечения безопасности работодателя может проводиться с использованием: — плановых и внезапных проверок, в процессе которых служба безопасности проверяет соблюдение в структурных подразделениях правил работы с конфиденциальной информацией, а также работоспособность технических средств защиты; — мониторинга ситуации силами внештатных информаторов службы безопасности из числа сотрудников соответствующих подразделений; — мониторинга ситуации с использованием специальных технических средств наблюдения (например, камер видеонаблюдения). Контроль лояльности персонала осуществляется службой безопасности в индивидуальном режиме в отношении двух категорий сотрудников. К первой из них относятся менеджеры, эксперты и рядовые исполнители, занимающие ключевые рабочие места, обеспечивающие доступ к особо конфиденциальной информации. Контроль их лояльности осуществляется в постоянном режиме. Для повышения общей эффективности контроля сотрудников предприятия, занимающих соответствующие рабочие места, необходимо ранжировать по группам риска. Например, А. Р. Алавердов в своей книге «Управление кадровой безопасностью организации» предлагает относить к группе наибольшего риска таких сотрудников, как системный контролер и администратор безопасности, а к группе незначительного риска — пользователей сети и инженера по периферийному оборудованию <6>. ——————————— <6> См.: Алавердов А. Р. Управление кадровой безопасностью организации. М.: Маркет ДС, 2008. С. 127.
Ко второй категории относятся сотрудники, привлекшие внимание непосредственно руководителей или службы безопасности своим поведением или иными фактами, ставящими под сомнение их лояльность работодателю. Основанием для проведения специальной проверки могут стать: не объяснимое объективными причинами внезапное резкое улучшение материального положения сотрудника или контактирующих с ним родственников; случайно выявленные контакты с представителями внешних для организации субъектов потенциальных угроз (например, с конкурентами, криминальными структурами и т. п.); изменение образа жизни сотрудника или появление привычек и личностных качеств, делающих его уязвимым для вербовки и шантажа, и т. д. В рамках такого контроля, по решению руководителя службы безопасности, может быть проведено специальное служебное расследование. Итак, при отсутствии на предприятии эффективной системы защиты конфиденциальной информации, а также системы мониторинга соблюдения персоналом соответствующих правил и санкций за их нарушение угрозы неумышленной утечки информации быстро приобретают массовый характер. Процесс защиты информации, составляющей коммерческую тайну, предполагает проведение превентивных и текущих мер, направленных на работу с персоналом. Реализация мер предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности.
Литература
1. Федеральный закон от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне» (в ред. от 24 июля 2007 г. N 214-ФЗ). 2. Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации». 3. Алавердов А. Р. Управление кадровой безопасностью организации. М.: Маркет ДС, 2008. 176 с. 4. Алешин А. П. Техническое обеспечение безопасности бизнеса. М.: Издательско-торговая корпорация «Дашков и К», 2008. 160 с. 5. Гончаренко Л. П., Куценко Е. С. Управление безопасностью: Учеб. пособие для вузов. М.: КноРус, 2005. 312 с. 6. Ищейнов В. Я., Мецатунян М. В. Защита конфиденциальной информации: Учеб. пособие. М.: ФОРУМ, 2009. 256 с. 7. Ярочкин В. И., Бузанова Я. В. Основы безопасности бизнеса и предпринимательства: Учеб. пособие. М.: Академический проект: Фонд «Мир», 2005. 241 с.
