Козьминых С.И. Организация защиты информации в ОВД. Ч. 1
.pdf
91
понимали разумность и необходимость всех действующих элементов режима сохранения секретов.
Необходимо использовать любую возможность для пропаганды обеспечения информационной безопасности объекта, не забывать периодически поощрять сотрудников за успехи в этой работе, постоянно стимулировать заинтересованность и участие сотрудников в выполнении программы по обеспечению информационной безопасности.
2.Особенности отбора кадров на должности, связанные
сдопуском к информации ограниченного доступа
Внастоящее время стало очевидным, что без активного вовлечения в процесс обеспечения информационной безопасности объекта всех сотрудников, имеющих доступ к конфиденциальной информации, результат не может быть полным. Как указывалось, определяющей фигурой в обеспечении сохранности ценных сведений является сам сотрудник. Представляется целесообразным с целью обеспечения информационной безопасностиобъекта уделять большее внимание подбору и изучению кадровпроверке, любой информации, указывающей на их сомнительное поведение и компрометирующие связи. При проф-
отборе сотрудников для работы на объектах информатизации ОВД рекомендуется придерживаться следующих этапов процедуры отбора (рис. 15)1.
Рис. 15. Порядок профотбора сотрудников на объекте информатизации ОВД
1 Для кандидатов на службу в органы внутренних дел Российской Федерации и на учебу в образовательные учреждения МВД России профессиональный психологический отбор осуществляется в соответствии с ведомственными Методическими рекомендациями (утверждены в 2009 г.).
92
Первый этап. Предварительное собеседование.
На этом этапе осуществляется предварительная беседа, которая реализуется в нескольких вариантах и может носить как поверхностный, так и углубленный характер. При поверхностном собеседовании в основном ограничиваются уточ-
нением отдельных, наиболее значимых сведений и постановкой нескольких, совершенно конкретных вопросов.
Первую ознакомительную беседу следует проводить по стандартной формализованной форме, что позволяет в дальнейшем осуществлять компьютерную обработку ответов кандидата и достаточно быстро получать обобщенные результаты собеседования. Основной целью предварительного собеседования является выяснение мотивации кандидата на службу в органы внутренних дел, а также, в какой мере эта мотивация соответствует требованиям, предъявляемым к сотруднику полиции.
Второй этап. Сбор и оценка информации о кандидате.
На этом этапе осуществляется углубленная оценка личных и деловыхка честв кандидата на службу. При этом наиболее важными являются получение и анализ сведений биографического характера не только на проверяемое лицо, но и его родственников, а также выявление дружеских, служебных и родственных связей. В ходе этого этапа на основе анализа документов, представленных самим кандидатом, а также других данных, выявляются кандидаты, с которыми целесообразно вести дальнейшую работу, а также те лица, которые явно не соответствуют требованиям, предъявляемым к будущим сотрудникам полиции.
Третий этап. Тестирование и другие научные методы проверки кандидатов.
Этот этап характеризуется тем, что кандидат подвергается комплексным психологическим тестированиям. В настоящее время используются многочисленные методы и процедуры персонального очного тестирования, поскольку они характеризуются быстротой реализации и достаточно высокой эффективностью. Следует иметь в виду, что каждый из этих методов имеет определенные ограничения, нарушения которых способны серьезно исказить полученные результаты.
Обычно тестовые методики подразделяются на четыре большие группы. Личностные опросные листы. Тесты данного класса представляют собой
перечни вопросов, которые требуют от испытуемых лиц однозначно выразить согласие или несогласие с их содержанием.
После тестирования ответы анализируются по специальному алгоритму оператором-психоаналитиком. На основе полученных данных формируются психологические характеристики испытуемых претендентов. Существуют сле-
дующие типы тестов: СМИЛ, Кеттела, Азенка, РСК, КУСОРТ, Томаса и УСК.
Бланковые методики. Эти процедуры представляют собой наборы заданий различной степени сложности, которые предъявляются испытуемому лицу на карточках либо бланках. Кандидат должен найти правильный ответ, выбрав его из предлагаемых ему вариантов, или предложить свой индивидуальный вариант решения задачи. Подобные тесты используются для оценки так называемого «индекса интеллекта» либо степени сформированности отдельных психофизио-
93
логических функций. К подобным методикам относятся в первую очередь тес-
ты Равена, Векслера, методика компасов, таблица Шульца и др.
Проективные методики. Процедуры представляют собой еще более усложненный тип тестов. Полученные с их помощью результаты могут быть достоверно интерпретированы только специалистами, имеющими большой опыт работы с подобными методиками. К этой группе тестов относятся цветовой тест Люшера, пятна Рорхана, тест Розенцвейга.
Приборные методики – это комплексные процедуры с использованием сложных технических устройств, которые предназначены для всесторонней оценки психофизиологических характеристик испытуемых лиц. В российской практике профессионального отбора кандидатов на службу в полицию подобные методики используются пока еще редко, поскольку для их реализации требуются специальные помещения, оборудование и специалисты психофизиологи.
Четвертый этап. Исследование результатов тестирований.
На этом этапе выполняется аналитическая обработка и комплексный анализ результатов тестирований. Данный этап при профотборе является наиболее ответственным, поскольку именно от него во многом зависит успех всей предшествующей работы.
В настоящее время обработка материалов тестирования осуществляется с использованием персональных компьютеров, что значительно ускоряет процесс и позволяет избегать ошибок, снижает вероятность субъективных оценок.
Объективно и всесторонне оценивая существующие тестовые методики, необходимо подчеркнуть следующее: их специфика сегодня такова, что получить однозначный ответ о надежности будущего сотрудника пока все еще не предоставляется возможным. С помощью тестирований достигается лишь возможность сформулировать весьма полный набор характеристик изучаемого кандидата. Их глубина и точность в значительной мере зависят от использования пакета методик, а также тщательности соблюдения операторами инструкций по тестированию и, конечно, их квалификации, опыта, знания характерных особенностей тестируемого контингента сотрудников.
При сравнительном анализе нескольких кандидатур рекомендуется -при держиваться следующей методике:
–определение среди кандидатов лиц, которые по своим психологическим параметрам явно не подходят для службы в полиции;
–выявление среди тестируемого контингента лиц, в отношении которых можно высказать весьма обоснованные подозрения о наличии у них каких-либо психических нарушений;
–фиксирование кандидатов, которые не обладают качествами, противопоказанными для службы в полиции, хотя при этом профессионально значимые черты пока не сформированы либо сформированы, но в недостаточной степени;
–выделение из группы кандидатов лиц, которые по своим психологическим характеристикам соответствуют требованиям профессиограммы полностью или частично.
Таким образом, всех кандидатов по ряду формальных признаков можно разделить на четыре основные группы. С тестируемыми лицами, попавшими в
94
первую и вторую группы, дальнейшая работа нецелесообразна. Из состава третьей группы в дальнейшем на собеседования можно приглашать ,техчьи психологические характеристики позволяют предполагать быстрое развитие у этих лиц профессионально значимых качеств. Членов четвертой группы рекомендуется практически без исключения допускать ко второму собеседованию.
Пятый этап. Заключительное собеседование.
Итоговое собеседование является основным этапом приема кандидата на службу в полицию. Опыт показывает, что именно на данном этапе сотрудники кадровых аппаратов и руководители органов внутренних дел допускаютнаи большее количество ошибок. Их главная причина кроется в том, что к самому факту собеседования относятся, как правило, формально: решение либо уже в целом принято, либо сформировано на 90–95 %. Заключительная беседа с кандидатом сводится зачастую к уточнению лишь некоторых второстепенных вопросов и к окончательному согласованию отдельных условий службы в полиции.
Перед началом заключительного собеседования рекомендуется составить примерный план беседы, обычно включающий в себя следующие основные пункты:
–выделение основных вопросов, требующих уточнения и разъяснения, итоги которых способны повлиять на окончательное решение о приеме кандидата на службу в полицию(например, выявление истинного стремления поступить на службу в полицию; осведомленность о характере будущей деятельности; выяснение причин увольнения с прежнего места работы);
–прогнозирование вероятного поведения представителей кадровой службы
ируководства, если в ходе собеседования вскроются новые и неожиданные обстоятельства, ставящие под сомнение возможность зачисления кандидата на службу в полицию;
–выбор оптимального времени, продолжительности, места проведения собеседования, которые должны быть удобными и приемлемыми для обеих сторон.
Выделяют три этапа заключительной беседы.
Начальный этап собеседования. В беседе большое значение приобретает начальная фаза общения представителя органа внутренних дел с кандидатом. Заключительное собеседование рекомендуется начинать с обсуждения нейтральных тем и вести его, проявляя дружелюбие и максимальное внимание к собеседнику, рассматривая его в качестве вероятного кандидата на службу в полицию. На этой же стадии желательно ознакомить кандидата с некоторыми действующими документами, которые бы позволили ему сформировать собственное представление о полиции. На этом вступительная часть беседы обычно завершается.
Содержание центральной части собеседования. Это наиболее ответствен-
ная часть беседы. Ее следует строить таким образом, чтобы кандидат отвечал на поставленные вопросы развернутыми предложениями, отражая в них те аспекты своей биографии, которые представляются важными для службы в полиции. К числу наиболее значимых вопросов собеседования традиционно относят следующие:
–основные побудительные мотивы, по которым кандидат решил идти на службу в полицию;
95
–перспективные планы кандидата;
–отрицательные моменты, которые возникали по месту предыдущей работы кандидата;
–личные и деловые связи, характер отношений с руководителями и сотрудниками на предыдущем месте работы.
При оценке ответов кандидата на вопросы представляется возможным достаточно глубоко оценить продуманность, устойчивость и окончательный характер решения кандидата.
Завершение итоговой беседы. Если в ходе собеседования не удалось выявить каких-либо фактов, которые бы делали сомнительным вопрос о приеме кандидата на службу в полицию, рекомендуется переходить к заключительному этапу – подписанию контракта.
Эту часть беседы целесообразно проводить в официальной обстановке. Кандидату на работу следует предоставить возможность тщательно ознакомиться с текстом контракта, особенно в части, касающейся его персональных обязательств перед органами внутренних дел.
3.Проверка соискателей на должности, связанные с допуском
кинформации ограниченного доступа
Вцелях обеспечения безопасности конфиденциальной информации на объекте ОВД являются обязательными следующие функции по проверке соискателей на благонадежность:
–определение степени вероятности формирования у кандидата преступных наклонностей в случаях возникновения в его окружении определенных благоприятных обстоятельств, таких, как персональное распоряжение финансовыми ресурсами, доступ к материально-техническим ценностям, работа с конфиденциальной информацией и т.д.;
–выявление у кандидата ранее преступных наклонностей, связей с криминальной средой.
Для добывания подобной информации используются возможности подразделений ОВД, в первую очередь службы собственной безопасности, отдела кадров, а также некоторых сторонних организаций, таких, как бюро по занятости населения, диспансеров и пр.
Для сбора сведений такого характера применяются следующие методы: опрос, анкетирование, целевые беседы с лицами по месту жительства кандидатов
ина предыдущих местах их учебы или работы, наведение справок через медицинские учреждения.
Кроме того, сотрудники кадровой службы должны быть абсолютно уверены в том, что проводят тесты, собеседования и встречи именно с теми лицами, которые выступают в качестве кандидатов на службу в полицию. Это достигается тщательной проверкой паспортных данных, а также получения фотографий кандидатов без очков, контактных линз, парика, макияжа.
Рекомендуется настаивать на получении набора цветных фотографий кандидата, которые могут быть использованы в случае необходимости для предъ-
96
явления жильцам по месту его проживания или бывшим коллегам. Использование в кадровой работе цветных фотографий, соответствующих паспортным данным, также предпочтительнее, поскольку они четко и без искажений передают цвет волос, кожи, возраст и характерные приметы.
Впоследнее время широко практикуется почерковедческая экспертиза,позволяющая определить многие черты характера кандидата: темперамент, выдержку, волевые качества, собранность, аккуратность, грамотность, общеобразовательный уровень и пр., а также предрасположенность к совершению неблаговидных и нечестных поступков.
Для обеспечения информационной безопасности цели проверки могут -счи таться достигнутыми, если получены достаточно достоверные ответы на вопросы:
–о вероятности непредумышленного разглашения объектом изучения(соискателем) доверенной ему информации ограниченного доступа;
–вероятности преднамеренного разглашения объектом изучения упомянутой информации;
–степени пригодности объекта изучения к сотрудничеству с подразделениями (службами), обеспечивающими информационную и иные виды безопасности.
Втом случае, если результаты работы проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые бы препятствовали приему на службу в полиции данного кандидата, с ним заключается контракт, в большинстве случаев предусматривающий определенный испытательный срок.
Контроль благонадежности принятых на службу соискателей осуществляется и в дальнейшем– в рамках текущей работы с сотрудниками. Изучение личностных свойств сотрудников и их психологической пригодности к работе с информацией ограниченного доступа производится при этом в углубленной форме.
Процесс проверки руководящих кадров имеет свои особенности. Необходимо подчеркнуть, что лица, принимаемые на ответственные должности в полиции, должны подвергаться стандартной проверке, включающей в себя:
–достаточно продолжительные процедуры сбора и верификации устано- вочно-биографических сведений с их последующей аналитической обработкой;
–предоставление рекомендаций от действующих сотрудников полиции с их последующей проверкой;
–проверку по учетам правоохранительных органов;
–установки по месту жительства и предыдущим местам работы;
–серии собеседований и тестов с последующей психоаналитической обработкой результатов.
По мнению экспертов, даже каждый, взятый в отдельности из упомянутых методов проверки может быть достаточно эффективен. В совокупности достигается весьма высокая степень достоверности информации о профессиональной пригодности и надежности кандидата, его способностях к сложной и ответственной работе в полиции.
97
4. Заключение контрактов и соглашений о секретности
Обязательство о неразглашении конфиденциальной информации и сохранении тайны претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведений.
Обязательство (подписка, соглашение) о неразглашении конфиденциальных сведений представляет собой правовой документ, которым претендент добровольно и письменно дает согласие на ограничение его прав в отношении использования конфиденциальной информации. Одновременно в обязательстве претендент предупреждается об ответственности за разглашение этой информации.
Пример обязательства
Договорное обязательство
Обязуюсь:____________________________________________________
1.В период оформления на работу и работы в __________________ не разглашать сведения, составляющие ее служебную (профессиональную) тайну, которые мне будут доверены или станут известны при исполнений обязанностей, собеседованиях, инструктировании и обучении.
2.Беспрекословно и аккуратно выполнять относящиеся ко мне требования приказов, инструкций и положений по защите служебной(профессиональной) тайны, с которой я ознакомлен.
3.Не сообщать устно, письменно или иным способом кому бы то ни было сведений, составляющих тайну _____________
4.В случае отказа от работы, окончания работы или увольнения не разглашать и не использовать для себя и других лиц сведений, составляющих тайну _____________
Япредупрежден, что в случае нарушения данного обязательства должен возместить причиненный ущерб или буду привлечен к дисциплинарной(вплоть до увольнения) или другой ответственности в соответствии с действующим законодательством.
Проинструктировал (подпись)____________________
Подпись лица, принимающего обязательство ________________
Дата______________
Обычно при составлении подобного соглашения включают следующие пункты:
–детальное изложение принципов определения конкретных сведений, составляющих тайну организации;
–краткое изложение порядка охраны конфиденциальных сведений;
–изложение мер, которые должен принимать сам сотрудник для обеспечения сохранности этих сведений;
–перечень административных наказаний, которым может быть подвергнут сотрудник, разгласивший сведения, составляющие тайну организации.
Подписание обязательства о неразглашении служебной (профессиональной) тайны следует проводить и с сотрудниками полиции, которые не имеют непосредственного отношения к закрытым сведениям, однако имеют возможность ознакомиться с ними при исполнении служебных обязанностей.
98
Считается, что обязательство о неразглашении служебной(профессиональной) тайны не дает полной гарантии сохранения этих сведений, однако, как показывает практика, существенно снижает риск разглашения сотрудниками или иными лицами этих сведений, а также риск незаконного их использования.
После подписания обязательства и проведения беседы-инструктажа с кандидатом заключается контракт. В контракте должен быть пункт об обязанности сотрудника не разглашать сведения, составляющие служебную (профессиональную) тайну, а также другие конфиденциальные сведения. В обязательном порядке включается пункт об обязанности сотрудника немедленно сообщать непосредственному руководителю об утере носителей конфиденциальной информации, документов, дел, конфиденциальных материалов и т.п. В заключительной части контракта указывается степень ответственности за разглашение служебной (профессиональной) тайны или несоблюдение правил защиты информации.
После подписания приказа о приеме на службу в отделе кадров формируется личное дело сотрудника, включающее стандартный набор документов.
Контрольные вопросы
1.Факторы и обстоятельства, приводящие к разглашению информации.
2.Основные принципы, лежащие в основе защиты информации от разглашения.
3.Главные направления защиты информации от разглашения.
4.Основные этапы профотбора сотрудников для службы в полиции.
5.Тестовые методики, применяемые при отборе кандидатов на службу в полицию.
6.Какова структура заключительного собеседования?
7.Какие функции должны осуществляться при проверке сотрудников на благонадежность?
8.Какие могут использоваться методы сбора информации о кандидате на службу в полицию?
9.В чем состоит особенность проверки благонадежности кандидатов на замещение руководящих должностей в полиции?
10.В какой момент времени кандидату на службу в полицию следует подписывать обязательства о неразглашении конфиденциальных сведений?
11.Какие пункты, оговаривающие процедуру защиты информации, необходимо включать в контракт?
99
Г л а в а 9. ТЕКУЩАЯ РАБОТА С СОТРУДНИКАМИ,
ДОПУЩЕННЫМИ К ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА
1. Задачи и структура текущей работы с сотрудниками, допущенными к информации ограниченного доступа
Не следует думать, что работа с сотрудником заканчивается допуском работника к конфиденциальным сведениям, необходимым ему для выполнения функциональных обязанностей и принятия решений. К сожалению, многие руководители организаций, приняв на работу нового сотрудника, забывают о нем, не организуют его обучение и не контролируют эффективность выполнения им своих обязанностей в части обеспечения информационной безопасности организации. Однако именно в процессе работы сотрудника складываются условия, формирующие неблагоприятные ситуации, при которых он может стать потенциально опасным для организации. Можно с полной уверенностью утверждать, что текущая работа с персоналом имеет не менее серьезное значение для безопасности организации, чем усложненные процедуры приема сотрудников на работу в организацию. Обязательными направлениями текущей работы с персоналом, которые составляют систему защиты информации организации, являются:
1.Организация обучения сотрудников правилам работы с конфиденциальной информацией.
2.Инструктирование сотрудников, допущенных к информации ограниченного доступа.
3.Воспитание сотрудников.
4.Организация контроля соблюдения сотрудниками правил защиты информации.
5.Проведение аналитической работы по изучению степени осведомленности сотрудников о секретах организации.
6.Создание в коллективе здорового психологического климата.
7.Создание корпоративной культуры в организации.
8.Мотивация сотрудников к выполнению требований по защите информации.
9.Организация грамотного процесса увольнения сотрудников, допущенных
кинформации ограниченного доступа.
10.Совершенствование методики текущей работы с сотрудниками.
По мнению большинства специалистов, безопасность любой информационной системы основывается на человеческом факторе – главное внимание должно быть обращено на персонал, работающий с конфиденциальными документами и базами данных. Текущая работа с сотрудниками предназначена для формирования стабильного коллектива, заинтересованного в сохранении ее секретов и умеющего обеспечивать безопасность ценной и конфиденциальной информации.
Основными задачами должны быть две: максимально затруднить работу злоумышленнику (агенту или криминальной структуры) по добыванию необходимой ему информации, противодействовать ему в пассивном или активном режиме и не допустить установления определенных взаимоотношений злоумышленника и сотрудника фирмы, владеющего конфиденциальной информацией.
100
После того, как все этапы предварительного отбора пройдены и бывший кандидат приступил к работе, он, как правило, проходит в организации испытательный срок. В этот период лучше избегать ситуаций, при которых новый сотрудник мог бы получить доступ к конфиденциальной информации. В случае успешного прохождения испытательного срока и признания его соответствующим занимаемой должности осуществляется подписание двух документов:
–трудового контракта;
–документа о неразглашении конфиденциальной информации, в котором сотрудник дает обещание не разглашать те сведения, которые ему станут известны в период его работы в данной организации, а также об ответственности за их разглашение.
Если специфика обязанностей сотрудника требует его знакомства с конфиденциальной информацией с первых дней работы, заключение обязательства о
еенеразглашении осуществляется сразу же после его приема. Непосредственная деятельность вновь принятого сотрудника и далее должна время от времени проверяться сотрудниками службы защиты информации, которые производят проверки соблюдения правил работы с конфиденциальной информацией.
Основным документом, определяющим правила защиты информации, слу-
жит должностная инструкция сотрудника организации. Это документ, кото-
рый определяет весь круг вопросов,связанных с его трудовой деятельностью в данной организации. Грамотно составленная инструкция позволяет определить обязанности, права и ответственность персонала и ограждает его от выполнения не свойственных ему функций, определяет систему взаимоотношений между руководителями и подчиненными.
Должностная инструкция, как правило, содержит:
–полное наименование должности;
–подчиненность данной должности;
–круг людей, находящихся в подчинении данной должности;
–требования, предъявляемые к сотруднику в данной должности(образование, специальность, опыт работы);
–цель, которую руководство организации ставит для достижения на данной должности;
–функции, которые сотрудник должен выполнять;
–ответственность, которую несет сотрудник;
–порядок оценки труда сотрудника.
В должностной инструкции должен быть определен также порядок доступа сотрудников к конфиденциальной информации. Для каждого из них определяется перечень сведений, с которыми они имеют право знакомиться в рамках их должностных обязанностей. Превышение сведений за определенный инструкцией их объем считается нарушением и представляет определенную угрозу безопасности организации. Перечень сведений, составляющих служебную тайну, определяется руководителем организации либо специально созданной для этой цели комиссией.
Во многих случаях имеет смысл ограничить физический доступ сотрудников в помещения и зоны, не связанные с их функциональными обязанностями.