Консультации экспертов по вопросам защиты бизнеса

Наши сайты Линия консультаций +7 (495) 748-02-22
7000@7000.ru

Взаимодействие с персоналом

Взаимодействие с персоналом

Защита информации при приеме на работу и увольнении сотрудников

 

Основной угрозой конфиденциальности информации организации являются сотрудники. Чаще всего именно при их участии происходят утечки и повреждения информации. По данным аналитиков, более 40% утечек осуществляется злонамеренно, при этом более 70% из них осуществляется непосредственно перед увольнением, а 35% - повторно одним человеком в разных компаниях. Аналогичная ситуация и с намеренным повреждением информации. Таким образом, вопросам безопасности на этапах приема сотрудника на работу и его увольнения следует уделять повышенное внимание.

 

Прием на работу

В средних и крупных компаниях обычно функционирует собственная служба безопасности, которая проверяет кандидата перед устройством на работу. При этом большое внимание уделяется получению информации об административных и уголовных преступлениях, кредитной истории, наличия в различных «черных списках», но забывается не менее важный аспект – проверка на связи с утечками и уничтожениями информации.

Сотрудникам службы безопасности или специалистам по персоналу следует:

1.       Связаться с предыдущими работодателями и уточнить, не сталкивались ли они с утечками или повреждениями информации во время работы или увольнения проверяемого сотрудника. Если такие случаи были зафиксированы, не подозревает ли компания проверяемого человека в причастности к этим преступлениям.

2.       Провести поиск в сети Интернет по реальным и виртуальным данным соискателя – фамилии, имени, отчеству, сетевым псевдонимам («никнейму»), номеру телефона, учетным записям в социальных сетях и службах обмена сообщений и так далее. Основная цель поиска – установление интересов и видов внеслужебной деятельности кандидата.

Реальный случай из практики одной страховой компании – при поиске информации о соискателе на должность вакансии менеджера по работе с клиентами, по его номеру ICQ (сервис мгновенного обмена сообщениями) были найдены сообщения, размещенный на одном из «подпольных» форумов, с предложением продажи базы данных по застрахованным лицам.

3.       Включить в собеседование с кандидатом вопросы, касающиеся базовых навыков по защите информации, о его намерении совершить утечку или повреждение информации и подобные. Желательно задавать данные вопросы при тестировании соискателя на детекторе лжи (полиграфе), если такая практика заведена в компании.

Кроме этого, не стоит забывать о разграничении прав доступа к информации. При назначении полномочий в информационных системах, нужно соблюдать основной принцип – предоставлять только необходимые для выполнения служебных обязанностей возможности.

Особую осторожность необходимо проявить в течение испытательного срока, не следует сразу же давать доступ к материальным ресурсам и всем информационным системам предприятия. Во время перевода сотрудника на постоянную работу или при смене должности следует обновить права доступа, исключив из них возможность работы с не нужными на этой позиции ресурсами.

 

Увольнение

Во многих аналитических исследованиях отмечается, что основная часть утечек и повреждений информации приходится на две недели после подачи заявления на увольнение. В это время многократно повышается риск передачи базы клиентов конкурентам, хищения интеллектуальной собственности и другой важной информации.

Если инициатором увольнения является работодатель или сотрудник психологически подавлен или обижен на работодателя, возрастает риск намеренного уничтожения критической информации или заложения «логической бомбы» - технического решения по уничтожению информации позднее, уже после увольнения сотрудника, для сокрытия его причастности.

 

Для предотвращения угроз, связанных с увольнением сотрудника, необходимо предпринять определенные меры:

1.       При получении заявления на увольнение от сотрудника, провести  с ним психологическую работу и напомнить о недопустимости нарушения конфиденциальности и целостности информации.

2.       Назначить ответственного специалиста из отдела защиты информации или службы безопасности, в обязанности которого будет входить усиленный контроль конфиденциальности и целостности информации, доступ к которой имеет увольняющийся сотрудник.

3.       Ограничить доступ сотрудника к информационным ресурсам, вплоть до полного закрытия. При этом следует не забывать о том, что сотрудник обязан передать дела другому специалисту и продолжать работу вплоть до даты увольнения.

4.       Должностные обязанности на период до увольнения рекомендуется сократить, что исключит необходимость доступа к важной информации. Иногда даже имеет смысл уволить сотрудника, не дожидаясь истечения двух недель, предварительно попросив его переписать заявление на увольнение.

5.       Для передачи дел возможно временное повышение полномочий доступа для принимающего дела, чтобы он имел возможность выполнить все необходимые действия.

Кроме указанных мер, следует также проверить, не происходило ли утечек информации за 1-2 месяца до даты подачи заявления, возможно, сотрудник уже осуществил злоумышленные действия, что и является причиной увольнения. Поиск утечек производится с помощью методов, характерных для каждой сферы деятельности, универсальных нет.

Проведя дополнительные проверки при приеме сотрудника на работу, и выполнив базовые меры при его увольнении, вы можете существенно повысить безопасность информационных активов предприятия.




Комментарии


Комментарии отсутсвуют

Оставить комментарий

Комментарий будет опубликован после модерации.




CAPTCHA

Нажимая кнопку, я принимаю условия Оферты по использованию сайта и согласен с Политикой конфиденциальности