Особенности обеспечения безопасности в отделе кадровой работы

ВВЕДЕНИЕ

Данными, которые обрабатываются в отделе кадровой работы, являются персональные данные работников. Конфиденциальной информацией в отделе кадров являются паспортные данные, данные о месте работы и заработке работника, телефон, адрес места жительства и так далее. В связи с этим возникает необходимость обеспечения защиты конфиденциальной информации.

Кадровая безопасность – процесс минимизации или окончательного сведения к нулю всяких неблагоприятных воздействий (как внешних, так и внутренних) на экономическую безопасность предприятия за счет ликвидации или снижения рисков возникновения угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Основной целью кадровой безопасности является минимизация до приемлемого уровня угроз, направленных на конфиденциальные данные. Особенностью работы отдела кадров является большой объём персональных данных на бумажных и электронных носителях, а осведомлённость сотрудников о безопасности данных оставляет желать лучшего. Поэтому возникает необходимость не только создания правил осуществления защиты конфиденциальных данных, но и обучения персонала основам информационной безопасности.

1. Субъекты кадровой безопасности

Во многих организациях существует неоправданное мнение, что проблемами безопасности должна заниматься только служба безопасности. Это совершенно не так. Основным субъектом кадровой безопасности является управление кадровой работы. Это связано с тем, что, во-первых, сотрудники кадровой службы занимаются подбором, оценкой, развитием сотрудников, в том числе и сотрудников службы безопасности. Во-вторых, обязанность специалистов кадровой службы является способствовать достижению целей фирмы с помощью персонала, что подразумевают минимизацию негативных влияний со стороны персонала. В-третьих, большое количество методов и возможностей по обеспечению кадровой безопасности находится в руках именно у сотрудников кадровой службы.

В качестве объекта кадровой безопасности выступают негативные внутренние риски компании и угрозы, связанные с деятельностью персонала.

Воздействие субъекта на объект возможно в тех случаях, когда между ними циркулирует информация. Такими воздействиями могут выступать получение, обработка, использование, передача, хранение конфиденциальной информации.

2. Угрозы кадровой безопасности

На рисунке 1 представлены виды угроз кадровой безопасности.

Рисунок 1. Угрозы кадровой безопасности

Внешние угрозы не зависят от воли и действий сотрудников организации, но, в любом случае, наносят ущерб деятельности. К данному виду гроз можно отнести конкурентов, хакеров и так далее [5].

К внутренним угрозам относятся инсайдеры, то есть сотрудники данной организации, которые преднамеренно испортили и украли конфиденциальные данные организации.

К непреднамеренным угрозам можно отнести разглашение, нарушение достоверности или полную потерю данных из-за некомпетентности или невнимательности сотрудников организации. Примерами таких угроз могут выступать опечатки, удаление отдельных данных или всей базы из-за невнимательности, потерю флэш-накопителя с конфиденциальной информацией и так далее.

К естественным угрозам относятся пожары, землетрясения, наводнения и другие стихийные бедствия. Данный тип угроз невозможно предсказать и очень тяжело защититься от них полностью.

Все вышеописанные типы угроз наносят ущерб организации, при этом не только финансовый, но и имиджевый.

3. Уровень защищенности персональных данных

Перед тем, как определять требования к средствам защиты конфиденциальной информации в отделе кадровой работы, необходимо определить уровень защищенности. Согласно Постановлению Правительства №1119 существует 4 уровня защищенности персональных данных.

В таблице 1 представлено отношение категории обрабатываемых данных, количество субъектов и типа угроз к уровню защищенности. Таблица составлена на основании ФЗ-152 и постановления РФ №1119.

Таблица 1.

Категории обрабатываемых данных

Угрозы первого типа – угрозы, связанные с наличием недокументированных возможностей в системном программном обеспечении, используемом в информационной системе [6].

Угрозы второго типа – угрозы, связанные с наличием недокументированных возможностей в прикладном программном обеспечении, используемом в информационной системе [6].

Угрозы третьего типа – угрозы, не связанные с наличием недокументированных возможностей в системном и прикладном программном обеспечении, используемом в информационной системе [6].

Следовательно, согласно таблице 2, для ИСПДн отдела кадровой работы требуется обеспечить первый уровень защищенности.

4. Физическая защита

Первым этапом организации защиты персональных данных является построение защиты от физического проникновения посторонних лиц в помещение, где хранятся носители персональных данных. В отделе кадровой работы носителем персональных данных являются не только компьютеры и флэш-накопители, но и различные карточки работников, заявления, ксерокопии документов об образовании и паспортных данных, трудовые договора и так далее.

Меры по защите технических средств должны исключать несанкционированный доступ к стационарным техническим средствам, обрабатывающим персональные данные, средствам, обеспечивающим функционирование информационной системы (далее - средства обеспечения функционирования), и в помещения, в которых они постоянно расположены, защиту технических средств от внешних воздействий, а также защиту персональных данных, представленных в виде информативных электрических сигналов и физических полей [пункт 8.12 приказа ФСТЭК №21].

При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором [пункт 15 Постановления Правительства №687].

Для выполнения требований физической защиты необходимо наличие организованной контрольно-пропускной системы на территорию организации, системы тревожной сигнализации и видеонаблюдения, сейфов и/или шкафов, закрывающихся на ключ, для хранения бумажных носителей, содержащих персональные данные, парольной защиты на автоматизированном рабочем месте работника.

5. Информационная защита

Для выполнения требований к защите персональных данных, обрабатываемых с помощью средств автоматизации необходимо выполнение следующих требований:

´      Управление доступом к системе (п.8.1 приказа ФСТЭК №21);

´      Разграничение прав доступа (п.8.2 приказа ФСТЭК №21);

´      Ограничение программной среды (п.8.3 приказа ФСТЭК №21);

´      Защита машинных носителей (п.8.4 приказа ФСТЭК №21);

´      Антивирусная защита (п.8.6 приказа ФСТЭК №21);

´      Обнаружение вторжение и регистрация событий безопасности (п.8.5 и п.8.14 приказа ФСТЭК №21).

Управление доступом к системе осуществляется путем парольной защиты информационной системы обработки персональных данных. При этом, при создании учетной записи пользователя, администратор ИСПДн должен установить права пользователя в соответствии с занимаемой им должности. Данным образом будет предотвращена возможность просмотра, обработки и редактирования данных лицами, не имеющими на это права.

Под ограничением программной среды понимается организация методов, запрещающих работникам установку нерегламентированного ПО. Это связано с тем, что ПО, скачанное с непроверенных сайтов, могут содержать вирусы и нанести вред системе.

Однако, вирусы могут проникать в систему не только через скачивание ПО, но и путем передачи их через флэш-накопители или по электронной почте. Поэтому на АРМ должна быть организована антивирусная защита. Антивирусная система должна быть не только установлена на АРМ, но и своевременно обновляться.

Также в системе должны присутствовать методы обнаружения вторжений, для возможности анализа источника угроз и предотвращения последующих инцидентов ИБ.

6. Обработка персональных данных без использования средств автоматизации

Часто, информация, хранящаяся в ИСПДн дублируется на бумажном носителе. Поэтому необходимо соблюдать правила обработки персональных данных без использования средств автоматизации. Основные требования по обработке персональных данных устанавливает Постановление Правительства №687.

Требования Постановления Правительства №687:

· обособление персональных данных от иной информации (п.4);

· возможность раздельной обработки различных типов персональных данных (п.5, п.9, п.14);

· уничтожение или обезличивание персональных данных должно исключать дальнейшую обработку этих персональных данных (п.10);

· уточнение персональных данных должно производится путем обновления данных, фиксации на материальном носителе сведений об изменении данных или путем изготовления нового материального носителя (п.12);

· четкое определение места хранения и лиц, допущенных к обработке каждой категории персональных данных (п.13).

В первую очередь, в отделе кадровой работы должна быть организована структура хранения персональных данных, таким образом, чтобы по категории персональных данных можно было однозначно определить место ее хранения и ряд сотрудников, допущенных к обработке данной категории персональных данных.

Также должна присутствовать возможность раздельной обработки разных категорий персональных данных. Если возникла ситуация, что разные категории персональных данных зафиксированы на одном носителе, то для обработки одной категории персональных данных отдельно от других, необходимо осуществить копирование, исключающее копирование остальных категорий персональных данных.

Основным нарушением обычно является неправильное уничтожение материального носителя персональных данных. Часто сотрудники используют бумажные носители, содержащие персональные данные в качестве черновиков, что является прямым нарушением пункта 10 постановления правительства №687. Уничтожение носителя персональных данных должно происходить таким образом, чтобы предотвратить дальнейшую их обработку.

7. Человеческий фактор

Никакая, даже самая совершенная физическая и информационная защита, не смогут защитить персональные данные полностью, если сотрудник не знает основ информационной безопасности.

Для большинства работников допускаемые время от времени ошибки – вполне естественная и безопасная составляющая деятельности. Но если деятельность касается обработки персональных данных, даже маленькая ошибка может привести к серьезным последствиям.

Человеческий фактор может стать причинами угроз как внутренних (например, ошибки сотрудников отдела кадровой работы), так и внешних (например, ошибки в разработанной информационной системе сотрудниками сторонних организаций).

Причины ошибок, связанных с человеческим фактором, могут быть разнообразными, например:

·  Личностные качества (добросовестность, халатность …);

· Психофизиология (память, внимание);

· Знания и умения;

· Мотивация;

· Психологическое состояние (усталость, стресс);

· Физическое состояние (алкогольное, наркотическое опьянение, болезнь).

8.    Политика безопасности

В настоящее время сотруднику отдела кадровой работы недостаточно знать только свои трудовые обязанности, от него требуется также знание основ информационной безопасности. К сожалению, далеко не каждый сотрудник знаком с защитой информации, вследствие чего происходит большое количество инцидентов ИБ, связанные с утечками конфиденциальных данных, заражением системы вирусами или уничтожением данных.

Поэтому для отдела кадровой работы необходимо наличие политики безопасности, в которой должны быть описаны все ситуации, исключающие причинение вреда организации, связанного с инцидентами ИБ.

Политика безопасности (ПБ) – совокупность документированных руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

После утверждения политики безопасности необходимо:

·              ознакомить с ПБ всех уже работающих сотрудников;

·              ознакамливать с ПБ всех новых сотрудников;

·              разрабатывать положения, процедуры, инструкции и другие документы для дополнения политики безопасности;

·              не реже чем раз в квартал пересматривать ПБ и прочие документы с целью их актуализации.

При разработке политики безопасности следует помнить, что конечным пользователем будет сотрудник, которые не понимает сложных технических выражений. Поэтому ее следует разрабатывать простым и доступным языком.

Также не нужно пытаться включить в этот документ все, что только можно. В данном документе должны быть только цели информационной безопасности, методы их достижения и ответственность за несоблюдение требований. Все технические подробности, которые требуют специфических знаний, лучше выделить в инструкции и регламенты для подразделений, в которых работают сотрудники с необходимой квалификацией.

9. Мотивация и лояльность

Практика показывает, что сотрудникам все равно на риски информационной безопасности. Они не хотят переучиваться, читать разработанные для них инструкции и так далее.

Работодатели редко связывают мотивацию и информационную безопасность. Удобно считать сотрудника частью рабочего механизма. Многие руководители убеждают себя, что незаменимых людей нет. Эти руководители ведут себя так, словно существует волшебный магазин человеческих запчастей, куда можно позвонить с примерно такой просьбой: «Пришлите мне нового Сергея Сергеевича, только пусть он будет не такой дерзкий».

Однако такой подход очень пагубно влияет не только на работу, но и на безопасность персональных данных. Сотрудник может недобросовестно заполнять карточки работников, оставлять документы с персональными данными на видном месте, не закрывать на ключ сейф и так далее.

Руководитель должен мотивировать работников не только прочитать политику безопасности, но и соблюдать ее требования.

Отсутствие лояльности приводит не только к плохой работе, но и риску утечки данных.

Причины низкой лояльности:

· бюрократия;

· отсутствие четкого и конкретного понимания карьерных перспектив;

· недостаточное качество обратной связи в части оценки эффективности работы;

· превалирование прихотей руководства над стратегическими задачами компании;

· недостаточная степень доверия;

· чрезмерные поблажки неэффективным работникам;

· недовольство личностью руководителя.

Если работник не видит перспективы развития в данной организации, он с большей вероятностью примет решение уйти. В феврале 2009 года Понемон провел опрос среди сотрудников различных организаций. В ходе данного исследования 79% опрошенных признались, что планируют забрать конфиденциальные данные такие как, списки адресов электронной почты, списки контактов клиентов и записи о сотрудниках, а 68% планируют использовать эти данные при устройстве на другую работу, так как это увеличат их значимость для нового работодателя.

Даже если работник не собирается в данный момент покидать свое рабочее место, он может нанести вред организации, путем порчи персональных данных. В последних исследованиях было выявлено, что в случаях инцидентов, которые ведут к безвозвратной потере данных 36.3% были вызваны целенаправленным вредительством.

ЗАКЛЮЧЕНИЕ

Обеспечение информационной безопасности организации является одним из приоритетных направлений деятельности в настоящее время. Очевидно, что надежность защиты информации напрямую зависит от ее ценности. За последние годы значительно возросло количество работ по информационной безопасности. Однако, увеличились и количество нарушений в данной области. Сотрудники отдела кадров имеют доступ практически ко всей информации о деятельности компании. Только строгое выполнение всех мероприятий могут предоставить положительный эффект по обеспечению кадровой безопасности.