Зарубежный опыт защиты информации в процессе организации работы с кадрами (на примере США)
Столяров Николай Владимирович
nstolyarov@yandex.ru
Люди, человеческие ресурсы, способность организации осознать их значение и содействовать решению проблем управления человеческими ресурсами; как вести бизнес, связанный с людьми - вот эти слова и мысли широко распространены в современном обществе.
Управление персоналом - жизненно обусловленная стратегическая функция, в течение XX века сформировавшаяся в самостоятельную структуру в ходе эволюции многообразных форм управления. И это не удивительно - в рыночной экономике выживание является очень важной задачей любой фирмы. Деятельность по управлению персоналом является важной гарантией того, что фирма будет жить и процветать. Ведь именно люди ограничивают или увеличивают силу и слабость фирмы. Человек с его потребностями, мотивациями и конкретными интересами является сейчас мерой прогресса и когда фирма действительно заботится о людях, это обязательно отражается на ее деятельности.
Необходимость управления персоналом самым тесным образом связана с защитой коммерческой тайны фирмы, т.к. персонал является одним из основных носителей информации, и как считают западные специалисты, вероятность утечки сведений через подкуп, переманивание сотрудников составляет 43%, а через выведывание - 24%.
По тем же оценкам сохранность коммерческой тайны фирмы на 80% зависит от правильного подбора, расстановки, грамотно поставленной работы с кадрами, стабильности кадрового состава. Под коммерческой тайной будем понимать любую информацию, полезную в бизнесе, дающую преимущество над конкурентами ею не обладающими.
В условиях перехода российских предпринимателей к рыночной экономике одной из первоочередных задач является правильная постановка работы с персоналом, т.к. в настоящее время, в условиях тайны получило распространение тайное и явное безвозмездное заимствование интеллектуальной собственности. Поэтому сейчас, до принятия соответствующих законодательных актов в большинстве случаев приходится рассчитывать на надежность персонала фирмы. Реализация новых подходов к проблеме коммерческой тайны в процессе управления персоналом потребует изучения, анализа и творческого осмысления зарубежного опыта в этом вопросе.
В реферате предлагается для рассмотрения опыт США по нескольким причинам.
Во-первых, именно американцы являются родоначальниками концепций управления вообще и управлением сотрудниками в частности. Во-вторых, в США традиционно уделяется огромное внимание вопросам управления человеческими ресурсами. В-третьих, американские фирмы в процессе своей работы применяли собственные методы работы с кадрами, а также изучали и использовали опыт Западной Европы и Японии в этом плане.
В этой связи изучение опыта США позволит российским предпринимателям пересмотреть подходы к управлению сотрудниками и значительно расширить свой кругозор в этом вопросе.
Набор и отбор сотрудников фирмы
Набор и отбор кадров - одно из самых важных направлений деятельности отдела управления персоналом, т.к. от квалификации, заинтересованности и надежности работников напрямую зависит будущее компании. Набором служащих для производства и кадров для службы безопасности (СБ) занимается отдел управления персоналом, а руководство СБ осуществляет тщательный контроль за этим процессом. Но перед тем, как проводить непосредственный набор надо оценить имеющиеся ресурсы и сделать прогноз численности персонала, необходимого для реализации краткосрочных и перспективных целей, а затем, определив будущие потребности, руководство должно разработать программу их удовлетворения.
Для того, чтобы выбрать наиболее подходящего работника для данной должности, необходимо провести анализ рабочего места. Цель: выявить каким психологическим требованиям должен соответствовать кандидат и составить портрет идеального сотрудника, характеристики которого полностью соответствуют требованиям рабочего места и отобрать такого претендента, который будет трудиться с максимальной отдачей и чувствовать себя комфортно на данной работе.
После анализа рабочего места и набора претендентов осуществляется ОТБОР будущих работников. Отбор - это процесс, с помощью которого предприятие или организация выбирает из ряда заявителей одного или нескольких, наилучшим образом подходящих под критерии отбора на вакантное место. Каковы критерии отбора? Их обычно устанавливает менеджер соответствующего профиля. Например, в качестве общих критериев, предъявляемых к сотрудникам СБ, можно выделить следующие:
- Образование (не ниже среднего);
- Специальная подготовка;
- Коммуникативность, активность, умение строить отношения с людьми;
- Психологическая уравновешенность;
- Умение принимать решения в экстремальных ситуациях;
- Знание необходимых нормативных документов, регламентирующих деятельность СБ;
- Знание основ уголовного права, правового-процессуального кодекса.
Для работников производства критерии отбора определяет начальник соответствующего профиля. Наиболее общими являются следующие:
- Формальное образование (при равных показателях работодатели предпочитают большее образование меньшему и большее его соответствие конкретной работе);
- Опыт (работодатели часто отождествляют опыт с возможностями работника; одним из способов измерения опыта работы является установление рейтинга трудового стажа);
- Физические, медицинские характеристики (для работ, требующих физической выносливости и силы);
- Персональная характеристика, социальный статус (некоторые работодатели предпочитают "степенных", женатых работников);
- Тип личности (работодатели могут предпочитать определенные типы личности для выполнения различных работ).
В прошлом отбор персонала на предприятиях США во многом считался довольно простым решением. Начальник лично беседовал с желающими и сам их распределял, руководствуясь исключительно своей интуицией.
Решения принимались на основе приязней и неприязней начальника.
Сегодня отбор рассматривается как нечто большее, чем вера в интуицию.
Решение при отборе обычно состоит из нескольких ступеней, которые следует пройти заявителям. На каждой ступени часть заявителей отсеивается, или же они сами отказываются, принимая другие предложения.
В США принята следующая схема решений по отбору с прохождением следующих ступеней (естественно число ступеней зависит от возможностей, профиля фирмы и каждой конкретной должности - мы указываем один из максимальных вариантов);
СТУПЕНЬ 1. Предварительная беседа по отбору
СТУПЕНЬ 2 . Заполнение бланка заявления
СТУПЕНЬ 3 . Беседа по найму
СТУПЕНЬ 4. Тесты по найму
СТУПЕНЬ 5. Проверка рекомендаций и обязательств перед другими фирмами
СТУПЕНЬ 6 . Медицинский осмотр
СТУПЕНЬ 7. Принятие решения.
Конечно, не все организации реализуют все ступени, поскольку это требует много времени и больших затрат. Однако, слабая процедура отбора приведет к тому, что организация потом потратит большие средства на обучение и переобучение персонала, а также к другим негативным последствиям (в частности связанных с коммерческой тайной фирмы). В целом, чем важнее пост, тем вероятнее использование приемов каждой ступени. Например, для работников СБ необходимо пройти больше ступеней, чем для работников производства.
Трудно определить риск найма работника, пока не будет получена полная информация о характере тех данных, которые он использовал на предыдущей работе. Надо постараться побудить кандидата быть искренним. Если чувствуется, что он что-то недоговаривает, попробовать проверить это путем запроса рекомендаций с прежнего места работы или воспользоваться услугами частных агентств. Эти мероприятия позволят избежать судебного разбирательства из-за разглашения чужой коммерческой тайны.
В США есть специальные организации, которые добывают рекомендации с прежнего места работы и составляют общие сведения о претенденте. Закон только требует, чтобы добываемая информация не нарушала права человека и предоставлялась только тем лицам, которые принимают решение об отборе кандидатов. Однако, правила этих компаний требуют, чтобы претендент на работу был оповещен заранее о проводимом исследовании. Претендент должен быть также оповещен о причине отказа ему в должности. За ним остается право пересмотра информации, из-за которой ему отказали в назначении. Кроме того, работодатель обязан сообщить кандидату название агентства, которое добыло данную информацию.
В 1977 году департамент США разрешил 50 штатам рассматривать возможность предоставления доступа к информации, касающейся кандидатов на работу, если это необходимо (информация о судах, арестах и прочих темных фактах биографии). Доступ к информации такого рода или выяснение ее наличия может проводиться и по просьбе кандидата, которому отказали в должности. Следует помнить, что отсутствие сведений о нарушениях кандидатом законов или этических норм не обязательно свидетельствует о его честности и надежности.
Организация социальной адаптации сотрудников в коллективе
Большинство новых работников представляют свою работу слишком поверхностно и формально.
Ориентация - это деятельность, посвященная введению новых работников в курс их новых задач на новом месте работы, по ознакомлению их с руководителями и рабочими группами.
Попадая на новое место работы, человек часто чувствует себя одиноко и дискомфортно и, пройдет немало времени, прежде чем новичок научится ориентироваться на новом месте, а хорошая программа ориентации, составленная работниками отдела управления персоналом, может помочь сэкономить время. Кроме того, она позволяет сократить стартовые издержки, сэкономить время непосредственного руководителя и сотрудников, уберечь коммерческую тайну предприятия от случайной огласки, сократить текучесть кадров, т.к. текучесть высока в период ломок, изменений, поэтому эффективное ориентирование призвано свести на нет эту дорогостоящую реакцию.
Основная идея - с самого начала вырабатывать у работника чувство "фирменного патриотизма", гордости за фирму, осознание исключительной важности ее коммерческой тайны.
Обычно на фирмах США для новичков, пришедших на работу в компанию, существует специальная литература информационного характера, предназначенная для того, чтобы помочь правильно воспринять цели и структуру компании. Этой цели служит описание истории компании, основные направления ее деятельности, структуры управления и функций менеджмента. Обычно такого рода информация оформляется в виде буклета, который вручается каждому новичку.
Однако, прежде чем проводить программу ориентации с будущим работником подписывается контракт о найме и соглашение о частной информации и изобретениях.
Тренинги по работе с конфиденциальной информацие
В США будущие сотрудники службы безопасности и персонал, имеющий отношение к конфиденциальной информации, обычно получают 8-часовой тренинг до преступления к своим обязанностям и 40-часовой тренинг в течение 9 первых дней работы.
Тип тренинга зависит от профиля работы и склада характера работника. Подробно о том, как проводятся тренинги и кто ими руководит, будет рассмотрено ниже.
Организация обучения сотрудников по вопросам защиты коммерческой тайны
Обучение (или тренинг - от английского слова training - практическая подготовка, тренировка или учеба) по вопросам защиты коммерческой тайны и обеспечения безопасности фирмы позволяет достичь следующую цель - работники фирмы становятся более грамотными и умелыми в этом вопросе, что помогает:
1. Предотвратить утечку информации из-за простой небрежности.
2. Быстро и легко выполнять текущие задачи.
3. Решать новые и более сложные.
4. Противостоять промышленному шпионажу и криминальным элементам.
В США сложные программы тренингов по безопасности первоначально создавались для работников ядерной промышленности, а сейчас получают все более широкое распространение в частных фирмах и в корпорациях для работников СБ и сотрудников, имеющих дело с коммерческой тайной и в процессе работы. Обычно тренинги планируют и организуют директор службы безопасности и начальник отдела управления сотрудниками фирмы, они должны суметь извлечь из тренинга максимальную выгоду (ведь практически всегда он происходит в рабочее время).
Чтобы программа тренинга была успешной она должна быть полезной, уместной, интересной, она должна отвечать и нуждам фирмы, и нуждам конкретного отдела и нуждам каждого работника в отдельности.
Сотрудникам выдается инструкция в отношении коммерческой тайны фирмы. Каждый новый работник должен быть ознакомлен с программой защиты коммерческой тайны фирмы сотрудниками СБ.
Ориентационные семинары также имеют своей целью обучение методам сохранности ценной информации. Сотрудники должны четко знать категории охраняемых сведений, возможные способы и методы проникновения к ним со стороны нарушителя, процедуры защиты коммерческой тайны и правила работы с конфиденциальными документами и изделиями. Кроме этого в фирмах США в программе ориентации принято затрагивать следующие вопросы:
- идентификационные карточки и значки, как часто их следует носить;
- правила проноса и выноса багажа и ручной клади;
- разрешенные выходы для персонала и посетителей;
- маршруты эвакуации и что требуется от работников в экстремальных ситуациях. Запасные выходы;
- проверка личного транспорта въезжающего и выезжающего с территории фирмы, инспекция грузов и личных вещей. Когда и почему она проводится.
Специальные семинары для работников соответствующих специальностей могут быть проведены по темам: обеспечение защиты информации в ЭВМ, технические средства охраны и т.д.
Описанная система ориентации необходима, она формирует у работников отношение к секретам фирмы, осознание их важности.
Тем не менее дальнейшая программа обучения не менее важна. Прежде всего надо держать сотрудников в курсе изменений в системе защиты коммерческой тайны - новых правил, положений, требований - издавать соответствующие информационные листки и бюллетени. Можно сделать информационный стенд, на котором все сведения будут ежемесячно обновляться. Подобные мероприятия не только помогут предотвратить утечку информации, но и дадут служащим повод думать, что руководство думает о них, оно заинтересовано в повышении их осведомленности и уровня знаний, что оно осознает их роль в защите секретов фирмы. Кроме того, большинству сотрудников мало объяснить требования системы защиты коммерческой тайны, а надо постоянно напоминать о них. В этой связи тренинги должны носить достаточно регулярный характер.
Особого упоминания заслуживают занятия для сотрудников СБ. В США в 80-е - начало 90-х годов бывшими сотрудниками ЦРУ был основан ряд учебных заведений, в которых ведется систематическая подготовка специалистов для специальных органов страны, а также для частных служб безопасности фирм и банков США.
Как показывает анализ программ учебных планов и курсов подобных заведений, слушателей в обязательном порядке знакомят с особенностями деятельности разведывательных служб, обучают приемам выявления работников и агентов органов разведки, разнообразным приемам обеспечения безопасности фирм и т.д.
Кроме того, на курсах изучаются следующие основные направления:
- физическая охрана объектов;
- электронные системы охраны;
- методы проверки кадрового состава;
- методы противодействия промышленному шпионажу.
Особое внимание следует обратить на обучение сотрудников, занимающихся сбытом продукции и услуг компании. Эти люди часто находятся в ситуациях, благоприятных для утечки информации. Они должны быть четко проинструктированы, что можно говорить, что нельзя. Нередки анонимные запросы от "потенциальных клиентов" с просьбой сообщить информацию об изделии для понимания того, как его применить наилучшим образом. Конкурент может выяснить существенные вещи, проанализировав эту незначительную на первый взгляд информацию. Лучше всего, чтобы люди, занимающиеся сбытом, не обладали информацией о новых разработках, еще не поступивших в производство.
Надо быть предельно осторожным при проведении различных ярмарок, выставок, торговых показов. Весь персонал, работающий на них, должен быть самым тщательным образом проинструктирован.
Альтернативный путь организации - формирование совета по безопасности. Для совета выбирается один представитель от каждого отдела. Это позволит СБ иметь как бы своего делегата в каждом отделе, который будет пояснять программу безопасности и сам иногда проводить тренинги. Созданный таким образом совет обучает работников и выявляет возникающие проблемы по защите коммерческой тайны. Такая система имеет следующие преимущества:
- укрепляются связи между сотрудниками СБ и сотрудниками производства;
- растет понимание требований защиты информации сотрудниками;
- развиваются и совершенствуются стратегии обеспечения защиты информации в каждом отделе, получается поддержка правил и норм, установленных администрацией;
- рассмотрение существующих проблем безопасности с позиций отделов;
- сокращение штата СБ;
- экономия средств на тренинги.
Обучение можно считать успешным, если у работников сформировалось убеждение в важности и необходимости мер защиты на предприятии. Американские специалисты в области противодействия промышленному шпионажу рекомендуют использовать любую возможность для пропаганды программ обеспечения экономической безопасности фирмы, не забывать вознаграждать работников фирмы за успех в этой работе, стимулировать заинтересованность и участие сотрудников в выполнение программы защиты коммерческой тайны.
Регламентация и контроль доступа персонала к защищаемой информации
Доступ - это получение разрешения руководителя на выдачу тому или иному сотруднику конкретных сведений с учетом его служебных обязанностей.
Регламентация доступа - установление правил, определяющих порядок доступа.
Контроль доступа - процесс обеспечения достижения оптимального уровня обеспечения доступа.
Если ценная информация фирмы похищена или стала известной, ей будет трудно удержать свои позиции на рынке. Однако само по себе обладание ценной информацией не принесет никакой выгоды, если работникам не разрешается ее использовать.
При распределении информации, с одной стороны, необходимо обеспечить предоставление каждому конкретному сотруднику полного объема данных для качественного выполнения порученных ему функций, а с другой стороны - исключить ознакомление с излишними ненужными ему для работы сведениями.
В целях обеспечения правомерного доступа сотрудников фирмы к конфиденциальным сведениям, содержащимся в грифованных документах, необходимо внедрить соответствующую систему доступа. Для этого вначале составляется перечень сведений, содержащих коммерческую тайну, определяется ценность того или иного документа и присваивается соответствующий гриф. Для коммерческой тайны в США используются самые разнообразные грифы: "Секрет фирмы", "конфиденциально", "строго конфиденциально", "секрет производства" и т.д. Затем составляется список сотрудников, допущенных к тем или иным документам. Он утверждается вице-президентом фирмы и является правовой основой для практической реализации доступа.
Система доступа должна отвечать следующим требованиям:
- распространяться на все виды классифицированных документов;
- определять порядок доступа всех категорий сотрудников, получивших право на ознакомление и использование документов, содержащих конфиденциальную информацию;
- определять порядок доступа к коммерческой информации представителей различных государственных служб;
- устанавливать надлежащий порядок оформления разрешений на доступ к конфиденциальным документам;
- регламентировать права определенных должностных лиц на оформление доступа сотрудников;
- исключать возможность бесконтрольной и несанкционированной выдачи грифованных документов.
Правовой основой для возникновения ответственности за предание огласке, утере, утечке сведений, составляющих коммерческую тайну, является их занесение в перечень сведений, составляющих коммерческую тайну. Туда же должны быть занесены сроки пересмотра грифов. Перечень доводится до сведения всех сотрудников под расписку об ознакомлении.
На многих американских фирмах конфиденциальная информация разбивается на блоки, каждому блоку присваивается свой код, а для каждого сотрудника разрабатывается и выдается ему на руки карта-предписание с перечнем тех кодов, по которым он может получить информацию, необходимую и достаточную для нормального выполнения его должностных обязанностей.
Со всеми сотрудниками, получившими доступ, на фирмах США проводятся соответствующие занятия, преследующие конкретные цели:
- четкое знание сотрудником объемов охраняемой информации, за безопасность которой они несут личную ответственность;
- понимание работником характера и ценности данных, с которыми он работает, возможных способов и методов проникновения к этим данным, которыми может воспользоваться потенциальный нарушитель;
- обучение установленным правилам и процедурам хранения и защиты коммерческих сведений.
Подробнее этот вопрос рассмотрен в разделе "Организация обучения сотрудников по вопросам защиты коммерческой тайны".
Не менее актуальная проблема - разграничение доступа к данным, находящимся в памяти ЭВМ.
Особое внимание хотелось бы уделить интеллектуальным картам как надежному средству контроля доступа. По мнению экспертов, технология изготовления интеллектуальных карточек по-прежнему будет влиять на мировой рынок, по мере того, как он будет пытаться удовлетворить запросы потребителя в системах информационного менеджмента.
Ведущая технология отрасли на сегодняшний день - Expocard, производимая фирмой CHESEPEAKE (США), представляет собой маленький пластиковый (размером с кредитную карточку) прибор, содержащий встроенный компьютерный чип.
Информационная емкость этой карточки примерно в 500 раз превышает соответствующий параметр карточек с магнитными метками, что существенно ускоряет пропуск посетителей при использовании их в системах санкционированного доступа.
Пластиковая карточка имеет встроенную полупроводниковую память, которая хранит информацию о пользователе. Для использования таких карточек применяются считывающие/записывающие устройства, позволяющие не только расшифровывать и прочитывать информацию, занесенную в карточку, но и внести в нее по мере необходимости дополнительную информацию.
Expocard представляет собой одну из многих типов карточек, разработанных фирмой CHESEPEAKE. Среди возможных ее применений можно отметить такие как контроль безопасности сетей компьютеров, зданий, охрана парковок, а также - учет банковских счетов, оплата телефонных разговоров и т.д.
До настоящего времени не сообщалось ни об одном случае подделки интеллектуальных карточек. Расходы на эксплуатацию, что немаловажно, тоже очень низкие.
Технология интеллектуальных карточек делится на 2 группы: карточки с памятью и микропроцессорные карточки. Карточки с памятью также делятся на карточки со свободным доступом и карточки с секретным доступом. Карточки со свободным доступом имеют переменную емкость памяти и могут быть использованы многократно. Служебная функция их такова, что на них заносятся часто изменяемые данные, такие как в портативные файлы данных. Карточки с ограниченным секретным доступом выполняют секретные функции "считывание/запись" в пределах объема своей памяти. Примеры их использования - идентификационные карточки, парковочные карточки и т.д.
Технология карточек с памятью на интегральных схемах открывает широкую дорогу к использованию персональных компьютеров.
Поскольку счистка и, вообще, обработка карточек с памятью не требует применения механических движущихся систем, портативные компьютеры, использующие эти карточки могут быть выполнены более компактно. Имплантированные микросхемные чипы потребляют мало энергии и могут питаться от батарей или аккумуляторов достаточно долгое время, что повышает портативность и автономность систем.
В данном параграфе рассмотрен один из важнейших вопросов защиты коммерческой тайны на сегодняшний день - разграничение доступа персонала фирмы к конфиденциальной информации. Затронуты вопросы формирования разрешительной системы доступа к документам, проблема аутентификации пользователя в ПС; особое внимание уделено новому направлению в контроле доступа - интеллектуальным карточкам Expocard, производимым в США.
Вывод
Проведение кадровой политики в области защиты коммерческой тайны имеет немаловажное, решающее значение при сохранении секретов. Умение правильно руководить сотрудниками, подбирать квалифицированно кадры, обеспечить защиту информации ценится очень высоко.
В области подготовленности кадров по вопросам зашиты информации Соединенные Штаты являются одной из передовых стран. Этот вопрос решается на государственном уровне и деятельность служб безопасности контролируются президентом. Поэтому тот положительный опыт, который по этим вопросам можно использовать у нас в стране, очень ценен.
Используя опыт США, в нашей стране создаются институты и центры подготовки кадров для служб безопасности, работающие по новым, разработанным на основе американских, методикам.
Задача, которая сейчас стоит перед этими учреждениями - подготовка кадров широкого профиля по комплексной защите информации с узкой специализацией по одному из направлений защиты информации.
Учитывая опыт США, мы должны научиться дорожить информацией. Каждый специалист в области защиты информации должен понимать всю важность решаемой им проблемы, осознавать свою ответственность перед обществом.
Целесообразно использовать опыт Соединенных Штатов в области документирования процесса работы с персоналом, допущенным к коммерческой тайне (письменные формы, заполняемые сотрудниками при приеме на работу, увольнении, посещении предприятия сторонними лицами и организациями и др.). Это может помочь при решении спорных вопросов в судебном порядке.
Немаловажное значение имеет психологический аспект. В Соединенных Штатах при приеме сотрудника в службу безопасности досконально изучается его характер, окружение, прошлое, семья и др. Помимо простого анкетирования, проводится ряд тестов на профессиональную пригодность, определяются положительные и отрицательные черты характера, иногда проводится даже графологическая экспертиза. Таким образом, возможность попадания в службу безопасности лиц, несоответствующих данной профессии исключается практически совсем.
Большое воздействие на сотрудника имеет материальное обеспечение. При хорошей зарплате сотрудников на предприятии существует меньшая вероятность хищения информации, представляющей ценность для конкурентов.
Немаловажным аспектом является моральное воздействие на сотрудников. В США существует "Кодекс поведения государственных служащих", где на первый план выступает гражданская позиция.
Руководствуясь положительным опытом Соединенных Штатов, в России можно создать четкую и отлаженную систему организации работы с кадрами, способную защитить секреты предприятия.
|