Методы получения конфиденциальной информации
Методы получения информации частного и коммерческого характера можно классифицировать по возможным каналам утечки:
- Акустический контроль помещения, автомобиля, непосредственно человека.
- Контроль и прослушивание телефонных каналов связи, перехват факсовой и модемной связи.
- Перехват компьютерной информации, в том числе радиоизлучений компьютера, несанкционированное внедрение в базы данных.
- Скрытая фото- и видеосъемка, специальная оптика.
- Визуальное наблюдение за объектом.
- Несанкционированное получение информации о личности путем подкупа или шантажа должностных лиц соответствующих служб.
- Путем подкупа или шантажа сотрудников, знакомых, обслуживающего персонала или родственников, знающих о роде деятельности.
Наиболее информативными методами получения конфиденциальных сведений из вышеперечисленных являются акустический контроль и перехват переговоров в линиях связи, причем оба метода предусматривают использование специальных технических средств несанкционированного съема информации.
Акустический контроль
Для перехвата и регистрации акустической информации существует огромный штат средств разведки: микрофоны, электронные стетоскопы, акустические закладки, направленные и лазерные микрофоны, аппаратура магнитной записи. Набор средств акустической разведки, используемых для решения конкретной задачи, сильно зависит от возможности доступа агента в контролируемое помещение или к интересующим лицам.
В том случае, если имеется постоянный доступ к объекту контроля, могут быть использованы простейшие миниатюрные микрофоны, соединительные линии которых выводят в соседние помещения для регистрации и дальнейшего прослушивания акустической информации. Такие микрофоны диаметром 2.5 мм могут улавливать нормальный человеческий голос с расстояния до 20 м.
Если агенты не имеют постоянного доступа к объекту, но имеется возможность его кратковременного посещения под различными предлогами, то для акустической разведки используются миниатюрные диктофоны и магнитофоны закамуфлированные под предметы повседневного обихода: книгу письменные приборы, пачку сигарет. Кроме этого, диктофон может находиться у одного из лиц, присутствующих на закрытом совещании. В этом случае часто используют выносной микрофон, спрятанный под одеждой или закамуфлированный под часы, авторучку, пуговицу.
Современные диктофоны обеспечивают непрерывную запись речевой информации от 30 минут до 7-8 часов, они оснащены системами акустопуска (VOX, VAS), автореверса, индикации даты и времени записи, дистанционного управления. Примером такого диктофона может выступать модель OLYMPUS L-400, который оборудован всеми вышеперечисленными системами. В качестве носителя информации кроме магнитной ленты используются цифровые микрочипы и минидиски.
В случае если агентам не удается проникнуть на объект даже на короткое время, но есть доступ в соседние помещения, то для ведения разведки используются электронные стетоскопы, чувствительным элементом которых является пьезоэлемент. Электронные стетоскопы усиливают акустический сигнал, распространяющийся сквозь стены, пол, потолок в 20-30 тысяч раз и способны улавливать шорохи и тиканье часов через бетонные стены толщиной до 1 м.
Наряду с диктофонами для перехвата акустической информации используются акустические закладки, несанкционированно и скрытно устанавливаемые в помещениях, автомашинах. В качестве канала передачи перехваченной информации используются радио и оптический каналы, силовые, слаботочные и обесточенные коммуникации.
Наибольшее распространение получили радиозакладки, которые можно классифицировать по нескольким критериям:
- По используемому диапазону частот.
- По мощности излучения: маломощные — до 10 мВт, средней мощности — от 10 мВт до 100мВт, большой мощности — свыше 100 мВт.
- По виду используемых сигналов: простой сигнал (с AM, FM и WFM), сложный сигнал (ППРЧ, шумоподобные сигналы).
- По способу модуляции: с модуляцией несущей, с модуляцией промежуточной частоты.
- По способу стабилизации частоты: нестабилизированные, со схемотехнической стабилизацией (мягкий канал), с кварцевой стабилизацией (кварцованные).
- По исполнению: в виде отдельного модуля, закамуфлированные под различные предметы (авторучка, калькулятор, электротройник, деревянный брусок).
Срок службы радиозакладки сильно зависит от типа питания. При использовании аккумуляторных батарей время непрерывной работы — от нескольких часов (авторучка — 2 часа) до нескольких суток (калькулятор — 15 суток). Если используется внешнее питание от телефонной линии, электросети, цепей питания бытовой аппаратуры, то срок службы радиозакладок практически не ограничен. Радиозакладки обеспечивают дальность передачи от десятков метров (авторучка — 50 метров) до 1 километра. При использовании ретрансляторов дальность передачи перехваченной информации увеличивается до десятков километров. С целью повышения скрытности работы радиозакладки оборудуются системами аку стопуска, дистанционного управления, пакетной передачи, используются шумоподобные, скремблированные, шифрованные сигналы.
Прием информации от радиозакладок обычно осуществляется на широкополосный приемник — «радиосканер», например AR-8000 фирмы AOR, Ltd или IC-R10 фирмы
Сетевые закладки, использующие в качестве канала передачи информации электросеть, устанавливаются в электророзетки, удлинители, пилоты, бытовую аппаратуру или непосредственно в силовую сеть. Их недостатком является малая дальность передачи (в пределах одного здания до трансформаторной подстанции). Преимущество сетевой закладки — сложность обнаружения. Приемная часть выполнена в виде спецприемника.
Для перехвата акустической информации с передачей по телефонной линии используется «телефонное ухо». После дозвона на абонентский номер по определенной схеме агенту предоставляется возможность прослушивать помещение даже из другого города.
Контроль и прослушивание телефонных переговоров>
Прослушивание телефонных каналов связи объекта в настоящее время является одним из основных способов получения конфиденциальной информации. Съем информации с телефонной линии связи может осуществляться либо непосредственным подключением к линии (в разрыв или параллельно), либо бесконтактно при помощи индуктивного датчика. Факт контактного подключения к линии легко обнаружить, использование же индуктивного подключения не нарушает целостности кабеля и не вносит изменения в параметры телефонной линии.
Сигналы с телефонной линии могут записываться на магнитофон (используется специальный адаптер) или передаваться по радиоканалу.
Выполняются телефонные закладки в виде отдельных модулей (брусок) или камуфлируются под элементы телефонного оборудования: адаптеры, розетки, телефонные и микрофонные капсюли, конденсаторы. Телефонные закладки устанавливаются непосредственно в телефонный аппарат, телефонную трубку, розетку, а также непосредственно на телефонную линию. Передача информации от телефонной закладки начинается в момент поднятия трубки абонентом.
Наряду с телефонными и радиозакладками используются комбинированные закладки, которые при ведении телефонных переговоров осуществляют их перехват, а по окончании — автоматически переключаются на перехват акустической информации.
none Опубликована: 1999 г. 0 0
Вознаградить Я собрал 0 0
Методы несанкционированного доступа к информации (возможные методы получения конфиденциальной информации)
Несанкционированный доступ — получение конфиденциальной информации, не имея разрешенного доступа к ней. Как правило, несанкционированный доступ бывает преднамеренным и имеет целью оказать сознательное дестабилизирующее воздействие на конфиденциальную информацию.
К каналам несанкционированного доступа к конфиденциальной информации относятся:
1. Установление контакта с лицами, имеющими или имевшими доступ к конфиденциальной информации. Является самым распространенным, многообразным по методам несанкционированного доступа, а потому и самым опасным каналом.
Сюда входят лица, работающие на данном предприятии, а также не работающие на нем, но имеющие доступ к конфиденциальной информации предприятия в силу служебного положения. А также уволенных или отстраненных от данной конфиденциальной информации лиц.
Контакт с этими людьми может быть установлен различными путями, например на семинарах, выставках, конференциях и других публичных мероприятиях. Также возможен опосредственный контакт.
Возможные методы получения конфиденциальной информации
1. Выведывание информации под благовидным предлогом
- Переманивание сотрудников конкурирующих предприятий с тем, чтобы помимо использования их знаний и умений, получить интересующую конфиденциальную информацию, относящуюся к прежнему месту их работы.
- Покупка конфиденциальной информации. Активно ищут недовольных заработком и руководством, продвижением по службе.
- Принуждение к выдаче конфиденциальной информации шантажом, угрозами, применением физического насилия как к лицу, владеющему информацией, так и к его родственникам и близким.
- Можно использовать склонение к выдаче конфиденциальной информации убеждением, лестью, обманом, в том числе с использованием национальных, политических, религиозных факторов.
2. Вербовка и внедрение агентов
С помощью агентов разведывательные службы обычно стремятся получить доступ к такой информации, которую нельзя добыть через другой, менее опасный канал. Агенты могут получать не только конфиденциальную информацию, относящуюся к их служебной деятельности, но и иную, используя различные методы несанкционированного доступа к ней, а также оказывать другое дестабилизирующее воздействие на информацию.
3. Организация физического проникновения к носителям конфиденциальной информации сотрудников разведывательных служб
Используется сравнительно редко, поскольку он связан с большим риском и требует знаний о месте хранения носителей и системе защиты информации.
Физическое проникновение лиц, не работающих на объекте, включает два этапа: проникновение на территорию охраняемого объекта и проникновение к носителям конфиденциальной информации.
При проникновении на территорию объекта возможно применение следующих методов:
- Использование подложного, украденного или купленного пропуска;
- Маскировка под другое лицо
- Проход под видом внешнего обслуживающего персонала;
- Отвлечение внимания охраны для прохода незамеченным
- Изоляция или уничтожение охраны (в редких, чрезвычайных обстоятельствах) и др.
Проникновение к носителям конфиденциальной информации может осуществляться путем взлома дверей хранилищ и сейфов или их замков, с отключением сигнализации, телевизионных средств наблюдения, или, путем прохода в комнаты исполнителей, работающих с конфиденциальными документами, в производственные и складские помещения для осмотра технологических процессов и продукции, а также в помещения, в которых производится обработка информации.
Проникновение к носителям конфиденциальной информации осуществляется и во время их транспортировок с использованием, в зависимости от вида, условий и маршрута транспортировки, соответствующих методов.
4. Подключение к средствам отображения, хранения, обработки, воспроизведения и передачи информации, средства связи
Может осуществляться лицами, находящимися на территории объекта и вне ее. Несанкционированное подключение, а следовательно, и несанкционированный доступ к конфиденциальной информации может производиться:
- С персонального компьютера с использованием телефонного набора или с несанкционированного терминала со взломом парольно-ключевых систем защиты или без взлома с помощью маскировки под зарегистрированного пользователя;
- С помощью программных и радиоэлектронных западных устройств;
- С помощью прямого присоединения к кабельным линиям связи, в том числе с использованием параллельных телефонных аппаратов;
- За счет электромагнитных наводок на параллельно проложенные провода или методов высокочастотного навязывания.
5. Прослушивание речевой конфиденциальной информации
Широко используется, чаще всего осуществляется по двум направлениям:
- Подслушивание непосредственных разговоров лиц, допущенных к данной информации;
- Прослушивание речевой информации, зафиксированной на носителе, с помощью подключения к средствам ее звуковоспроизведения.
6. Визуальный съем конфиденциальной информации.
Может осуществляться следующими методами:
- Чтением документов на рабочих местах пользователей
- Просмотром информации, воспроизводимой средствами видеовоспроизводящей техники и телевидения;
- Наблюдением за технологическими процессами изготовления, обработки продукции;
- Считыванием информации в массивах других пользователей, в том числе чтением остаточной информации и др.
7. Перехват электромагнитных излучений
Методами перехвата являются поиск сигналов, выделение из них сигналов, несущих конфиденциальную информацию, съем с них информации, ее обработка и анализ.
Этот канал имеет, по сравнению с другими каналами преимущества: большой объем и высокая достоверность получаемой информации, оперативность ее получения, возможность съема в любое время, скрытность получения, возможность обнародования без угрозы перекрытия канала.
8. Исследование выпускаемой продукции, производственных отходов и отходов процессов обработки информации
Методы получения конфиденциальной информации:
- Приобретение и разработка выпускаемых изделий, обратный инжиниринг
- Сбор и изучение поломанных изделий, макетов изделий, бракованных узлов, блоков, устройств, деталей, созданных на стадии опытно-конструкторских разработок, а также руды и шлаков, позволяющих определить состав материалов, а нередко и технологию изготовления продукции;
- Сбор и прочтение черновиков и проектов конфиденциальных документов, копировальной бумаги, красящей ленты печатающих устройств, испорченных магнитных дискет.
9. Изучение доступных источников информации, из которых можно получить конфиденциальные сведения
- Изучения научных публикаций, содержащихся в специализированных журналах;
- Просмотра или прослушивания средств массовой информации
- Изучения каталогов выставок;
- Прослушивания публичных выступлений на семинарax, конференциях и других публичных мероприятиях;
- Изучения формируемых специализированными коммерческими структурами банков данных о предприятиях.
Целью изучения является не только получение прямой конфиденциальной информации, но и накопление, обобщение, сопоставление открытой информации, собранной из различных источников и за определенный промежуток времени, что позволяет «вывести» конфиденциальную информацию. Несмотря на кажущийся парадокс, такой анализ даст возможность получить значительное количество конфиденциальной информации.
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ
1. http://studopedia.ru/ Дата обращения 10.09.2019
2. https://ru.wikipedia.org/ Дата обращения 10.09.2019
При копировании любых материалов с сайта evkova.org обязательна активная ссылка на сайт www.evkova.org
Сайт создан коллективом преподавателей на некоммерческой основе для дополнительного образования молодежи
Сайт пишется, поддерживается и управляется коллективом преподавателей
Telegram и логотип telegram являются товарными знаками корпорации Telegram FZ-LLC.
Cайт носит информационный характер и ни при каких условиях не является публичной офертой, которая определяется положениями статьи 437 Гражданского кодекса РФ. Анна Евкова не оказывает никаких услуг.
Возможные пути получения конфиденциальной информации
Анализ рассмотренных видов угроз позволяет сгруппировать их по двум основным областям:
1) угрозы нарушения физической и логической целостности, а также содержания информации (несанкционированная модификация). Их можно объединить в причины нарушения целостности информации (ПНЦИ);
2) угрозы, следствием которых может быть получение защищаемой информации (хищение или копирование) лицами, не имеющими на это полномочий, — в каналы несанкционированного получения информации (КНПИ).
Рассмотрим относительно полное множество КНПИ, сформированное на основе такого показателя, как степень взаимодействия злоумышленника с элементами объекта обработки и самой информацией. В соответствии с этим показтелем КНПИ делятся на следующие классы (рис. 4):
1) от источника информации при несанкционированном доступе (НСД ) к нему;
2) со средств обработки информации при НСД к ним;
3) от источника информации без НСД к нему;
4) со средств обработки информации без НСД к ним.
Рис. 4. Классификация КНПИ
К первому классу КНПИ относятся:
1) хищение носителей информации;
2) копирование информации с носителей (материально — вещественных, магнитных и т. д.);
3) подслушивание разговоров (в том числе аудиозапись);
4) установка закладных устройств в помещение и съем информации с их помощью;
5) выведывание информации обслуживающего персонала на объекте;
6) фотографирование или видеосъемка носителей информации внутри помещения.
Ко второму классу КНПИ относятся:
1) снятие информации с устройств электронной памяти;
2) установка закладны х устройств в СОИ;
3) ввод программных продуктов, позволяющих злоумышленнику получать информацию; 4) копирование информации с технических устройств отображения (фотографирование с мониторов и др.).
Третий класс КНПИ составляют:
1) получение информации по акустическим каналам (в системах вентиляции, теплоснабжения, а также с помощью направленных микрофонов);
2) получение информации по виброакустическим каналам (с использованием акустических датчиков, лазерных устройств);
3) использование технических средств оптической разведки (биноклей, подзорных труб и т. д.);
4) использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т. д.);
5) осмотр отходов и мусора;
6) выведывание информации у обслуживающего персонала за пределами объекта;
7) изучение выходящей за пределы объекта открытой информации (публикаций, рекламных проспектов и т. д.).
К четвертому классу относятся следующие КНПИ:
1) электромагнитные излучения СОИ (ПЭМИ, паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочастотным сигналом, содержащим конфиденциальную информацию);
2) электромагнитные излучения линий связи;
3) подключения к линиям связи;
4) снятие наводок электрических сигналов с линий связи;
5) снятие наводок с системы питания;
6) снятие наводок с системы заземления;
7) снятие наводок с системы теплоснабжения;
8) использование высокочастотного навязывания;
9) снятие с линий, выходящих за пределы объекта, сигналов, образованных на технических средствах за счет акусто-электрических преобразований;
10) снятие излучений оптоволоконных линий связи;
11) подключение к базам данных и ПЭВМ по компьютерным сетям.
Под действием рассмотренных выше угроз может произойти утечка защищаемой информации, то есть несанкционированное, неправомерное завладение соперником данной информацией и возможность использования ее в своих, в ущерб интересам собственника (владельца) информации, целях. При этом образуется канал утечки информации, под которым понимается физический путь от источника конфиденциальной информации к злоумышленнику. Для его возникновения необходимы определенные пространственные, энергетические и временные условия, а также соответствующие средства восприятия и фиксации информации на стороне злоумышленника .
С учетом все х возможных путей утечки информации рассмотрим модель канала ее утечки (рис. 5), которую формально можно представить следующим выражением:
где I — множество источников конфиденциальной и нформации;
С — множество объектов сис темы обработки информации (СОИ);
Рис. 5 Модель канала утечки информации
Z =
N = — множество шумовых сигналов естественного и искусственного происхождения;
R — оптимальный приемник перехвата.
В э той модели информация как некоторый знаковый алфавит преобразуется объектами системы обработки (СОИ) различной природы (человеческого, человекомашинного и технического типа) в сигналы и сообщения <С., С , С>. При распространении эти сигналы подвергаются ослаблению и блокированию системой защиты, а также воздействию шумов искусственного и естественного происхождения. Сведения, полученные при обработке информации объектами типа «человек» и «чело век—техника», представляю т собой знания, образы, действия, поведение и т. д. Несанкционированное и х распространение ограничивается выполнением организационно -технических мероприятий по обеспечению безопасности информации. В зависимости от используемы х соперником сил и средств для получения несанкционированного доступа к носителям защищаемой информации различают каналы агентурные, технические, легальные.
Агентурные каналы у течки информации — это использование противником тайных агентов для получения несанкционированного доступа к носителям защищаемой информации. В случае использования агентами технических средств разведки (направленны х микрофонов, закладных устройств, миниатюрных видеокамер и др.) говорят о ведении агентурно-технической разведки.
Технические каналы утечки информации — совокупность технических средств разведки, демаскирующих признаков объекта защиты и сигналов, несущих информацию об этих признаках. Эти каналы образуются без участи я человека в процессе обработки информации техническими средствами, а поэтому являются одними из наиболее опасны х и требуют отдельного рассмотрения.
Легальные каналы утечки информации — это использование соперником открытых источников информации (литературы, периодических изданий и т. п), обратный инжиниринг, выведывание под благовидным предлогом информации у лиц, располагающих интересующей соперника информацией, и других возможностей. В основу классификации ПНЦИ положен показатель, характеризующий степень участия в этом процессе человека. В соответствии с таким подходом ПНЦИ делятся на два вида (объективные и субъективные) и на следующие классы (рис. 6).
Рис 6. Классификация ПНЦИ
1.1. Субъективные преднамеренные.
1.1.1. Диверсия (организация пожаров, взрывов, повреждение электропитания и др.).
1.1.2. Непосредственные действия над носителем (хищение, подмена носителей, уничтожение информации).
1.1.3. Информационное воздействие (электромагнитное облучение, ввод в компьютерные системы разрушающих программных средств, воздействие на психику личности психотропным оружием).
1.2. Субъективные непреднамеренные.
1.2.1. Отказы обслуживающего персонала (гибель, длительный выход из строя).
1.2.2. Сбои людей (временный выход из строя).
1.2.3. Ошибки людей.
2.1. Объективные непреднамеренные.
2.1.1. Отказы (полный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения.
2.1.2. Сбои (кратковременный выход из строя) аппаратуры, программ, систем питания и жизнеобеспечения.
2.1.3. Стихийные бедствия (наводнения, землетрясения, ураганы).
2.1.4. Несчастные случаи (пожары, взрывы, аварии).
2.1.5. Электромагнитная несовместимость.
Для предотвращения возможной утечки конфиденциальной информации и нарушения ее целостности на объектах ее обработки разрабатывается и внедряется система защиты информации. Система защиты информации — совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений, отображенных физическими полями, электромагнитными, световыми и звуковыми волнами или вещественно-материальными носителями в виде сигналов, образов, символов, технических решений и процессов.
Тема 8.2. Методы получения конфиденциальной информации у персонала. Особенности приема сотрудников на работу связанную с владением конфиденциальной информацией
Процессу приема сотрудника на работу предшествует ряд подготовительных этапов, которые позволяют составить точное представление о том, какой специалист и какой квалификации действительно нужен для данной должности, какими деловыми, моральными и личными качествами он должен обладать.
Особенно это касается должностей, связанных с владением конфиденциальной информацией. Можно выделить следующие этапы:
• предварительно сформулировать, какие функции должен выполнять сотрудник, каков круг его ответственности какие качества, знания и уровень квалификации необходимо иметь претенденту;
• составить перечень ценных и конфиденциальных сведений, с которыми будет работать специалист;
• составить перечень форм поощрения и стимулирования, которые может получать сотрудник;
• составить другие перечни вопросов, которые необходимо будет решать специалисту, перечни его личных качеств, возрастных, профессиональных и иных характеристик;
• составить описание должности — документ аналогичный по структуре должностной инструкции, который определяет требования к кандидату на должность (но это документ — вспомогательный).
Выполнение указанных этапов облегчит процедуру подбора кандидатов и сделает отбор их более обоснованным и объективным. Кандидаты предварительно знакомятся с указанными выше документами, что делает собеседование с ними более целенаправленным и конкретным. Кроме того, ознакомившись с документами, кандидат может отказаться от предлагаемой работы.
Описание вакантной должности имеет для работодателя примерно такое же значение, как и резюме для кандидата. Поиск кандидата на вновь создаваемую или вакантную должность в фирме не должен носить бессистемный характер. Случайный человек, пришедший с улицы, в определенной степени таит опасность для фирмы, как с точки зрения его профессиональной пригодности, так и личных, моральных качеств.
Особую опасность подобный метод подбора представляет для должностей, связанных с владением конфиденциальной информацией или материальными ценностями. Случайные претенденты на должность обычно рассылают или разносят по предприятиям, учреждениям и фирмам свое резюме.
Им не важно, где работать, их просто интересует работа поданной специальности. С другой стороны, случайный человек не всегда плох и поэтому данный метод при подборе персонала является, наиболее распространенным и объективно завоевал право на существование. Но дело в том, что он не должен быть единственным.
Помимо пассивного ожидания прихода нужного человека, существует ряд эффективных направлений активного поиска кандидатов на вакантную должность или рабочее место. К числу основных направлений можно отнести следующие:
1. Поиск кандидатов внутри фирмы, особенно если речь идет о руководителе или специалисте высокого уровня. Этот метод дает возможность продвигать перспективных работников по служебной лестнице и заинтересовывать их работой, воспитывать преданность делам фирмы. Можно приглашать на должность лицо, ранее работавшее в фирме и хорошо себя зарекомендовавшее.
Перераспределение персонала в соответствии с его склонностями и способностями всегда дает большой положительный эффект в улучшении работы фирмы и обеспечении ее информационной безопасности. Но надо учитывать, что поддерживается коллективом только такое продвижение по службе, которое определяется высокими деловыми качествами работника. Не может получить одобрения персонала выдвижение плохого работника, в частности по принципу личных связей или знакомства. Большим преимуществом этого метода является то, что о кандидате достаточно много известно всему коллективу и судить о профессиональных, моральных и личных качествах, соответствии предлагаемой должности.можно на основании достаточно обширного опыта. Метод имеет недостаток, который состоит в том, что без притока новых людей коллектив теряет свои новаторские качества.
Новые люди — это новые идеи, предложения и перспективы развития. Тем не менее, этот метод является наилучшим и наиболее надежным при подборе кандидата на должность, связанную с владением ценной и конфиденциальной информацией.
2. Поиск кандидатов среди студентов и выпускников учебных заведений, установление связей с подразделениями вузов, занятыми трудоустройством выпускников. Можно иметь достаточно полную информацию о профессиональных и личных качествах студентов. Очень эффективно вести поиск (даже на средних курсах) наиболее способных студентов, привлекать их в процессе учебы к работе в организации, отплачивать их труд и, может быть, финансировать обучение в вузе, платить стипендию. Коллектив фирмы должен регулярно омолаживаться. Это лекарство от застоя идей, путь к успеху.
3. Обращение в государственные и частные бюро, агентства по найму рабочей силы, биржи труда, организации по трудоустройству лиц, уволенных по сокращению штатов, трудоустройству молодежи, бывших военнослужащих и т.п. Подобные агентства предлагают требуемый контингент работников на имеющиеся рабочие места, ведут целенаправленный поиск необходимого специалиста высокой квалификации, организуют переподготовку специалистов по индивидуальным заказам. При обращении в агентство необходимо составить перечень служебных обязанностей и требований к нужному работнику, без указания конфиденциальных сведений, с которыми будет связана работа.
4. Рекомендации работающих в фирме сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, так как с рекомендуемыми людьми сотрудникам придется работать вместе. Указанные направления поиска кандидатов на должности, связанные с владением конфиденциальной информацией, как правило, позволяют выбрать необходимых работников из ряда лиц, изъявивших желание занять вакантную должность. Технологическая цепочка приема сотрудников, работа которых связана с владением ценной и (или) конфиденциальной информацией, включает следующие процедуры:
• подбор предполагаемого кандидата (кандидатов) для приема на работу или перевода, получение резюме;
• изучение резюме (и личного дела, если кандидат работает на фирме) руководством фирмы, структурного подразделения и службой персонала, вызов для беседы подходящих кандидатов;
• информирование кандидатов, работающих в фирме, об их будущих должностных обязанностях, связанных с владением тайной фирмы;
• знакомство (предварительное собеседование) руководства фирмы, структурного подразделения и службы персонала с кандидатами, не работающими в фирме; беседа с ними, уточнение отдельных положений резюме; ответы на вопросы о будущей работе; изучение полученных от кандидата рекомендательных писем;
• заполнение кандидатами, не работающими в фирме, и представление в отдел кадров заявления о приеме, автобиографии, личного листка по учету кадров (с цветной фотокарточкой), копий документов об образовании, наличии ученых степей, ученых и почетных званий, передача в отдел кадров рекомендательных писем и при наличии характеристик;
• обновление материалов личного дела работающего в фирме сотрудника; получение представления о переводе на новую должность от руководителя структурного подразделения;
• собеседование кандидатов с работником отдела кадров по представленным документам, при необходимости подтверждение тех или иных сведений представлением дополнительных документов;
• опрос сотрудником отдела кадров авторитетных для фирмы лиц, лично знающих кандидата па должность, протоколирование опроса;
• собеседование экспертов с кандидатами с целью определения их личных и моральных качеств, а для неработающих в фирме сотрудников дополнительно — профессиональных способностей; рассмотрение медицинской справки;
• при необходимости — тестирование и анкетирование кандидатов;
• по совокупности собранных материалов и их анализа принятие решения руководством фирмы об отборе единственного претендента и возможности предложить ему работу, связанную с владением тайной фирмы;
• заключительное собеседование с претендентом на должность, получение от него принципиального согласил на работу с конфиденциальной информацией;
• в случае согласия — подписание претендентом обязательства о неразглашении тайны фирмы, в частности, сообщаемых ему конфиденциальных сведений; информирование претендента о характере конфиденциальной информации, с которой он будет работать, наличии системы защиты этой информации и тех ограничениях, которые придется учитывать работнику в служебной и неслужебной обстановке;
• беседа-инструктаж руководители структурного подразделения, руководителя службы безопасности и сотрудника службы персонала с претендентом на должность; ознакомление претендента с должностной инструкцией, рабочими технологическими инструкциями, инструкцией по обеспечению информационной безопасности фирмы и другими аналогичными материалами;
• составление проекта контракта, содержащего пункт об обязанности работника не разглашать конфиденциальные сведения фирмы;
• подписание контракта о временной работе без права доступа к конфиденциальной информации;
• составление и подписание приказа о приеме на работу с испытательным сроком (или на временную работу);
• заведение личного дела на вновь принятого сотрудника;
• заполнение на сотрудника необходимых учетных форм, в том числе личной карточки формы Т-2;
• внесение фамилии сотрудника в первичные учетные бухгалтерские документы;
• внесение соответствующей записи в трудовую книжку сотрудника;
• изучение личных, моральных и профессиональных качеств сотрудника в течение испытательного срока;
• обучение сотрудника правилам работы с конфиденциальной информацией и документами, инструктажи, проверка знании;
• анализ результатов работы сотрудника в течение испытательного срока, составление нового контракта о длительной работе и издание соответствующего приказа или отказ сотрудника в работе;
• оформление допуска сотрудника к конфиденциальной информации и документам.
Предоставленный комплект документов, из которых в дальнейшем будет сформировано личное дело сотрудника, является предметом тщательного изучения руководителями фирмы, структурного подразделения, коллегиального органа управления и службы персонала при решении вопроса, о назначении данного лица на должность.
Изучение документов не должно носить формально-бюрократический характер и быть единственным критерием в решении вопроса о назначении данного лица на должность- Изучение документов следует сочетать с объективным анализом нескольких личностей, претендующих на должность, сопоставлением результатов собеседований, тестирования, опросов и т.п. Все это в совокупности позволит на конкурсной или неконкурсной основе правильно провести отбор именно того претендента на должность, который более всего отвечает составленным ранее требованиям.
Предоставленные кандидатом персональные документы тщательно проверяются на достоверность: соответствие фамилий, имен и отчеств, других персональных данных, наличие необходимых отметок и записей, идентичность фотокарточки и личности гражданина (на фотографии очки, парик — только при постоянной носке), соответствие формы бланка годам их использования, отсутствие незаверенных подчисток, исправлений, попыток замены листов, фотографий, соответствие и качество печатей и т.п. При каких-то сомнениях кандидата просят представить дубликаты испорченных документов, заверить исправления.
Сведения, включенные в характеристики, рекомендательные письма, списки научных трудов и изобретений, выданные и заверенные другими учреждениями, могут быть проверены путем обращения в эти учреждения. Документы, явно недостоверные, могут быть возвращены гражданину, и одновременно ему отказывается в рассмотрении вопроса о приеме на работу без объяснения причины отказа.
Сведения, указываемые в резюме, не проверяются. Заявление о назначении (переводе) на должность, личный листок по учету кадров, автобиография пишутся или заполняются гражданином собственноручно, без использования пишущей машинки или принтера. Все записи, сделанные в личном листке по учету кадров, и текст автобиографии сравниваются сотрудником отдела кадров с персональными документами. Неподтвержденные записи, на которых настаивает гражданин, дополняются записью сотрудника отдела кадров «со слов гражданина».
Исправления в указанных документах не допускаются. Копии с аттестатов, дипломов, свидетельств, грамот и т.п., которые приобщаются к документам для решения вопроса о приеме на работу, снимаются с помощью копировальной техники в отделе’ кадров и заверяются сотрудником отдела. Копии, принесенные гражданином, внимательно сличаются с подлинником и также заверяются этим сотрудником. Нотариального заверения копий не требуется. Запрещается заверение копий с копии.
Паспорт, военный билет, дипломы, аттестаты и другие подобные персональные документы после работы с ними сотрудника отдела кадров возвращаются гражданину (кроме трудовой книжки). При подборе персонала для работы с ценной или конфиденциальной информацией следует в первую очередь обращать внимание на личные и моральные качества кандидатов на должность, их порядочность и лишь затем — на их профессиональные знания, умения и навыки. Важно уже на первых этапах отбора исключить те кандидатуры, которые по формальным признакам явно не соответствуют требованиям, предъявляемым к будущему сотруднику.
Собеседования с кандидатами на должность преследуют следующие цели:
• выявить реальную причину желания работать в данной фирме;
• выявить возможных злоумышленников или попытаться увидеть слабости кандидата как человека, которые могут провоцировать преступные действия;
• убедиться, что кандидат не намерен использовать в работе секреты фирмы, в которой он раньше работал;
• убедиться в добровольном согласии кандидата соблюдать правила защиты информации и иметь определенные ограничения в профессиональной и личной жизни.
Вопросники для собеседования составляются таким образом, чтобы выяснить:
• причины увольнения кандидата с прежнего места работы;
• источник информации о вакансии в данной фирме — кто подсказал, кто рекомендовал и т.п.;
• работал ли кандидат ранее с конфиденциальной информацией, подписывал ли обязательство о ее неразглашении;
• возникшие сомнения, появившиеся в связи.с изучением документов кандидата;
• отношения в семье, уровень благосостояния кандидата, жилищные условия, культурный уровень и т.п.
Ответы кандидата фиксируются, и те из них, которые вызвали сомнения, уточняются путем опроса знающих кандидата лиц, путем тестирования и другими способами (если это необходимо). При приеме на работу, связанную с информацией особой предпринимательской важности, для сбора полных сведений о кандидате могут привлекаться работники частных детективных агентств.
Одной из главных задач собеседования и тестирования является выявление несоответствия мотиваций в различных логических группах вопросов. Например: несоответствие — хочет получать большую зарплату, но раньше он получал столько же, работал близко от дома, а хочет работать в фирме, находящейся на значительном расстоянии, и т.п.
С точки зрения безопасности психологический отбор преследует следующие цели:
• выявление имевших ранее место судимостей, преступных связей, криминальных наклонностей;
• определение возможных преступных склонностей, предрасположенности кандидата к совершению противоправных действий. дерзких и необдуманных поступков в случае формирования в его окружении определенных обстоятельств;
• установление факторов, свидетельствующих о морально-психологической ненадежности, неустойчивости, уязвимости кандидата и т.д.
По мнению многих специалистов-психологов, основные личные качества, которыми должен обладать потенциальный сотрудник, включают:
• порядочность, честность, принципиальность и добросовестность;
• эмоциональная устойчивость (самообладание);
• стремление к успеху и порядку в работе;
• самоконтроль в поступках и действиях;
• правильная самооценка собственных возможностей и способностей;
• умеренная склонность к риску;
• умение хранить секреты;
• хорошая память, способности к сравнительной оценке фактов и т.д.
Личные качества, не способствующие сохранению секретов:
• разочарование в себе и своих способностях;
• отчуждение от коллег по работе;
• недовольство своим служебным положением;
• крайне эгоистическое поведение;
• отсутствие достаточного благоразумия;
• нежелание и неспособность защищать информацию;
• отрицательное воздействие алкоголя, приводящее к болтливости, необдуманным поступкам и т.д.
Не следует думать, что психологический отбор полностью заменяет прежние, достаточно надежные кадровые процедуры (анализ документов, собеседование, опросы сослуживцев и лиц, знающих кандидата, оперативная проверка в правоохранительных органах и т.д.).
Только при умелом сочетании традиционных и психологических кадровых методов анализа можно с определенной степенью достоверности прогнозировать поведение сотрудников в различных, в том числе экстремальных, ситуациях. Обычно отобранным для работы считается кандидат, у которого результаты анализа документов, собеседований, проверок, тестов и психологического изучения не противоречат друг другу и не содержат данных, которые препятствовали бы приему на работу.
Материалы проверок и анализа кандидатов на должность (в том числе вопросники и протоколы собеседований, заполненные тесты, а также используемые виды тестов и «ключи» к тестам, тестовые нормы, инструкции по проведению и интерпретации и другие подобные материалы) являются строго конфиденциальной информацией, Обязательство о неразглашении конфиденциальной информации и сохранении тайны фирмы претендент подписывает до того, как ему будет сообщен состав ценных сведений, с которыми ему предстоит работать, и порядок защиты этих сведении-Обязательстве (подписка, соглашение) о неразглашении конфиденциальных сведении представляет собой правовой документ, которым претендент добровольно и письменно дает согласие на ограничение его прав в отношении использования конфиденциальной информации.
Одновременно в обязательстве претендент предупреждается об ответственности за разглашение этой информации.
Например: Договорное обязательство. Обязуюсь:
1. В период оформления на работу и работы в ______ не разглашать сведения, составляющие ее коммерческую тайну, которые мне будут доверены или станут известны при исполнении обязанностей, собеседованиях, инструктировании и обучении.
2. Беспрекословно и аккуратно выполнять относящиеся ко мне требования приказов, инструкций и положений по защите коммерческой тайны, с которой я ознакомлен.
3. Не сообщать устно, письменно или иным способом кому бы то ни было сведений, составляющих тайну ______.
4. В случае отказа от работы, окончания работы или увольнения не разглашать и не использовать для себя и других лиц сведений, составляющих тайну ______.
Я предупрежден, что в случае нарушения данного обязательства должен возместить причиненный ______ ущерб или буду привлечен к дисциплинарной (вплоть до увольнения) или другой ответственности в соответствии с действующим законодательством. Проинструктировал (подпись). Подпись лица, принимающего обязательство. Дата.
Текст обязательства может заканчиваться фразой об ознакомлении лица с его содержанием и добровольном согласии выполнять все пункты. Многие американские фирмы включают в соглашение (обязательство) следующие пункты:
• детальное изложение принципов определения конкретных сведений, составляющих тайну фирмы;
• краткое изложение порядка охраны конфиденциальных сведений;
• изложение мер, которые должен принимать сам работник для обеспечения сохранности этих сведений;
• перечень административных наказаний, которым может быть подвергнут работник, разгласивший сведения, составляющие тайну фирмы (увольнение, понижение в должности, перевод на другую работу и т.п.).
Хорошо, если обязательство содержит пункт о том что сотрудник не будет использовать в своей деятельности информацию, принадлежащую на правах собственности фирме, в которой он ранее работал. Подобные обязательства подписывают не только претенденты на работу в данной фирме, но и все лица, тем или иным образом участвующие в работе фирмы и потенциально имеющие возможность узнать элементы тайны фирмы, например акционеры, поставщики, сотрудники работающих с фирмой рекламных и торговых структур, эксперты и т.п.
Подписание обязательства о неразглашении тайны фирмы следует предусмотреть для служащих фирмы, которые не имеют непосредственного отношения к закрытым сведениям, однако имеют возможность ознакомиться с ними при исполнении служебных обязанностей (шоферы, дворники, уборщицы, сотрудники охраны и др.).
Считается, что обязательство о неразглашении тайны фирмы не дает полной гарантии сохранения этих сведений, однако, как показывает практика, существенно снижают риск разглашения персоналом или иными лицами этих сведений, риск незаконного их использования, а также число попыток конкурентов внедрить на фирму свою агентуру. После подписания обязательства и проведения беседы-инструктажа с претендентом заключается трудовой договор (контракт). В контракте должен быть пункт об обязанности работника не разглашать сведения, составляющие тайну фирмы, а также конфиденциальные сведения партнеров и клиентов, об обязательстве соблюдать правила защиты конфиденциальных сведений. Может быть пункт о собственности фирмы на результаты работы сотрудника, на сделанные им изобретения и открытия и согласие сотрудника на публикацию этих достижений только с разрешения руководства фирмы. Часто содержится пункт об обязанности сотрудника сообщать в службу безопасности о всех попытках посторонних лиц получить у него конфиденциальную информацию.
В обязательном порядке включается пункт об обязанности сотрудника немедленно сообщать непосредственному руководителю и службе безопасности об утере носителей конфиденциальной информации, документов, дел, конфиденциальных материалов, изделий и т.п. В заключительной части указывается степень ответственности за разглашение тайны фирмы или несоблюдение правил защиты информации. Обычно это расторжение трудового договора, при необходимости — последующее судебное разбирательство.
Отличительной особенностью индивидуальных трудовых соглашений от трудовых договоров (контрактов) в части сохранения коммерческой тайны является то, что в трудовых соглашениях должны быть указаны конкретные сведения, составляющие предпринимательскую тайну фирмы и доверенные сотруднику в связи с выполнением им работы, а также конкретные меры со стороны сотрудника по обеспечению сохранения этих сведений.
После подписания приказа о приеме на работу в отделе кадров формируется личное дело сотрудника, включающее стандартный набор документов. Материалы, связанные с профессиональным и психологическим анализом данного работника (протоколы собеседований, тесты, протоколы бесед и опросов и т.п.) подшиваются в дело кадровой службы «Материалы по приему сотрудников на работу», но не в личное дело сотрудника. Дело с материалами имеет гриф конфиденциальности «Строго конфиденциально». Вести какие-либо досье на сотрудников, содержащие сведения, полученные неофициальным путем, запрещается. После получения допуска к конфиденциальной информации сотрудник в индивидуальном порядке должен быть обучен правилам работы с документами, базами данных, которые будут ему предоставлены.
Результат обучения фиксируется в обязательстве или контракте. Отметка заверяется подписями руководителя службы безопасности и сотрудника. Следовательно, усложненные процедуры приема на работу, связанную с владением конфиденциальной информацией, и проверки достоверности сведений, указанных ц документах, дают возможность всесторонне оценить кандидата на должность, С другой стороны, они дают возможность руководству фирмы и самому кандидату оценить ситуацию и без спешки принять правильное решение.
Методы психологического анализа, проводимые одновременно с хорошо зарекомендовавшими себя приемами анализа документов претендента на должность, позволяют сделать достаточно обоснованные выводы о пригодности данного лица для замещения вакантной должности, связанной с владением конфиденциальной информацией. Следует учитывать, что использование только психологических методов анализа личности не дает достоверного результата и может иметь лишь рекомендательный характер.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями: