Олег Степанов, Чекист.Ру
Понятие "информационно-электронная безопасность" становится идеологией современного бизнеса, являясь вместе с тем многоплановой проблемой. С необходимостью ее решения сталкивается все больше руководителей, но на вопрос "Что делать?" каждый из них отвечает по-своему, поскольку компьютер – это не просто настольный аксессуар директора, это инструмент, от которого зачастую зависит его судьба.
Это важно знать
Возрастание мощности компьютеров, упрощение их эксплуатационных характеристик, подключение к Интернету расширяют возможности как законных пользователей, так и злоумышленников, которые могут находиться не только на другом континенте, но и в соседней комнате.
В последние годы в средствах массовой информации неоднократно появлялись сведения о хищениях информации из государственных и коммерческих организаций.
Согласно статистическим данным, около 85% опрошенных руководителей и менеджеров считают, что за последние пять лет степень риска потери компьютерных данных заметно возросла. В качестве основных признаков возможного хищения называются:
* совершение необоснованных манипуляций с важными сведениями;
* нарушение нормального режима функционирования компьютерных систем;
* нарушение ведения электронного журнала учета рабочего времени компьютерной системы (исправления, отсутствие или фальсификация записей);
* необоснованные манипуляции с данными (перезапись, изменение, стирание);
* необоснованная заинтересованность сотрудников в сверхурочной работе или интерес к сведениям, не относящихся к непосредственной деятельности;
* выражение сотрудниками недовольства по поводу контроля за их деятельностью.
Статистика взломов компьютерной защиты (взломы посторонними лицами - 10%; взломы действующими сотрудниками - 40%; взломы бывшими сотрудниками - 50%) подтверждает актуальность внимания к указанным признакам.
Что делать?
Среди основных задач, которые должен решать руководитель в области информационно-электронной безопасности, следует назвать:
• разработку правил работы персонала с информационными ресурсами предприятия;
• ознакомление сотрудников с политикой информационной безопасности фирмы;
• установление ответственности сотрудников за нарушение правил информационно-электронной безопасности.
На что нацеливать юриста и специалиста по кадровой работе
Успешное решение указанных задач непосредственно связано с установлением соответствующего правового режима защиты электронной информации, который воплощается в должностных инструкциях, правилах обеспечения безопасности информационных ресурсов, в трудовых контрактах, в договорах.
Важно, чтобы юрист и кадровый работник фирмы контролировали закрепление в инструкциях и правилах полномочий конкретных сотрудников на доступ к компьютеру (компьютерной сети), определяли порядок прекращения такого доступа для сотрудников, подлежащих принудительному увольнению.
В трудовых контрактах должна предусматриваться обязанность сотрудника не разглашать сведения об информационно-электронной защите фирмы. Целесообразно включение пункта о согласии сотрудника на проведение его тестирования с помощью полиграфа (детектора лжи). Как показывает практика, испытательный срок далеко не всегда позволяет выявить негативные качества нового работника или тщательно скрываемые им намерения. Вместе с тем использование полиграфа не менее чем на 25% повышает вероятность того, что нанимаемый человек окажется честным. Согласно статистическим данным, точность результатов, получаемых при обследованиях на полиграфе, составляет 95-97%. По мнению американского специалиста Н. Дэвиса, природа человека запрограммирована на правду, а лицо, говорящее неправду, нарушает нормальный ход процессов в организме, вступает в конфликт с природой. Возможно, именно потому, что правда полезна для здоровья, полиграф превосходит все остальные методы выявления истины. В этой связи периодическая проверка сотрудников фирмы на полиграфе является идеальным средством профилактики злоупотреблений в информационно-электронной сфере, повышающим деловую активность коллектива, уровень доверия сотрудников друг к другу. И вполне объяснимым является тот факт, что значительная часть испытаний на полиграфе проводится по инициативе тех, кто хочет подтвердить свою честность или восстановить свою репутацию в связи с неоправданными подозрениями. Согласно статистике, в США полиграф применяется в 70% случаев для тестирования лиц, которые принимаются на работу, в 20% случаев - при систематическом тестировании сотрудников на лояльность фирме и в 10% - при проведении служебных расследований по фактам нанесения фирме ущерба. В ходе таких расследований, как правило, ставятся следующие вопросы:
* У Вас есть скрытые причины, по которым Вы хотите работать на фирме?
* Вам поручал кто-либо собирать информацию о системе безопасности фирмы?
* Искажали ли Вы какие-нибудь факты своей биографии?
* Употребление алкоголя или наркотиков мешает Вашей работе на фирме?
* Совершали ли Вы ранее преступления?
* Передавали ли Вы конфиденциальную информацию конкурентам предприятия?
* Получали ли Вы деньги от конкурентов фирмы?
* Имеются ли у Вас контракты с другими фирмами?
* Получали ли от Вас конфиденциальную информацию криминальные структуры?
В этой связи включение руководством фирмы в коллективный договор (соглашение) требования об обеспечении информационно-электронной безопасности фирмы каждым работником представляется важным.
Существенное практическое значение имеет внесение в договоры о сотрудничестве с другими предприятиями условий неразглашения данных об информационно-электронной защите фирмы, которые могут стать известными в результате совместной деятельности. Договаривающиеся стороны должны обязываться к принятию необходимых для предотвращения нарушений правил информационно-электронной безопасности мер, устанавливаемых в соответствующих статьях договора. Нарушение указанных требований должно допускать возможность аннулирования договора и привлечение к ответственности согласно действующему законодательству.
И еще
Важно разобраться с положениями законодательства, касающегося "электронной цифровой подписи", использование которой позволяет строить защищенные корпоративные сети передачи данных, обеспечивать безопасность электронного документооборота в организации, а также строить стратегию безопасной электронной торговли в Интернете.
Практическая реализация предложенных выше мер не замедлит сказаться на успешной работе фирмы. |