до витоку конфіденційних даних у найрізноманітніших формах.
Західні фахівці вважають, що для забезпечення інформаційної безпеки і збереження конфіденційної інформації, необхідний правильний підбір, розстановка і виховання персоналу.
Принципи та правила управління персоналом з урахуванням вимог інформаційної безпеки визначено у міжнародному стандарті ISO/IEC 17799: 2000 і зводяться до необхідності виконання опред?? ленних вимог безпеки, підвищення поінформованості співробітників і застосування запобіжних заходів до порушників.
Для запобігання загрози витоку конфіденційної інформації, рекомендується при прийомі на роботу проводити анкетування, за допомогою якого можна зробити висновки про рівень інтелекту, отримати загальне уявлення про кандидата як різнобічної особистості, визначити морально-психологічний рівень, виявити можливі злочинні схильності і т.д.
У разі успішного проходження кандидатом перевірки і визнання його відповідним посади здійснюється висновок (підписання) двох документів:
а) трудового договору (контракту). Контракт обов'язково повинен містити пункт про обов'язок працівника не розголошувати конфіденційну інформацію і дотримуватися заходів безпеки;
б) договору (зобов'язання) про нерозголошення конфіденційної інформації, що представляє собою правовий документ, в якому кандидат на вакантну посаду дає обіцянку не розголошувати ті відомості, які йому будуть відомі в період його роботи на підприємстві, а також про відповідальність за їх розголошення або недотримання правил безпеки (розірвання контракту та судовий розгляд).
Безпосередня діяльність новоприйнятого працівника з метою перевірки його відповідності займаній посаді та дотримання правил роботи з конфіденційною інформацією повинна починатися з випробувального терміну, в кінці якого приймається остаточне рішення про прийом кандидата на постійну роботу.
Оформлення допуску для роботи з конфіденційною інформацією, яке також складає основу планування управління персоналом, проводиться на підставі розмежування доступу до конфіденційних документів.
Розмежування доступу грунтується на однозначному розчленуванні інформації за тематичними групами і користувачам, яким ця інформація необхідна для роботи.
Дозвільна система допуску до конфіденційних документів вирішує наступні завдання:
обмеження і регламентація складу співробітників, функціональні обов'язки яких вимагають знання таємниці компанії (фірми/організації), та роботи з цінними документами;
суворе виборче і обгрунтоване розподіл документів та інформації між співробітниками;
забезпечення співробітника всім необхідним для виконання своїх службових функцій;
виключення можливості для сторонніх осіб несанкціонованого ознайомлення з конфіденційною інформацією в процесі роботи співробітника з документами, справами і базами даних;
раціональне розміщення робочих місць і колективний контроль над роботою співробітників.
Виникаюча практична реалізація кожним співробітником наданого йому допуском права на ознайомлення і роботу з певним складом документів та відомостей називається доступом.
Дозвіл на допуск і доступ до конфіденційної інформації завжди дається повноважним керівником тільки в письмовому вигляді. Таким чином, керівники несуть персональну відповідальність за правильність виданих ними дозволів на допуск, а також доступ до конфіденційних відомостей.
Вплив з боку всіх інших джерел загроз завжди носить випадковий характер.
Засоби обробки, передачі та зберігання інформації можуть представляти для неї загрозу у випадку виходу їх з ладу або появи збоїв в роботі. Крім того, при обробці інформації за допомогою ЕОМ необхідно організувати захист від виникаючих в процесі Роботи побічних електромагнітних випромінювань і наведень.
Технічні засоби і системи, безпосередньо не пов'язані з обробкою інформації, що захищається (електропостачання, водопостачання, опалення та ін.) також можуть чинити негативний вплив на інформацію, впливаючи на засоби її обробки. Так, при відключенні електроенергії тимчасово відключаються і системи обробки інформації, що може призвести, наприклад, до втрати не збережених даних в пам'яті комп'ютера.
Стихійні лиха та природні явища можуть створювати аварійні ситуації, при яких кошти обчислювальної техніки виходять з ладу або тимчасово знаходяться в неробочому стані.
Інформація, що обробляється за допомогою засобів обчислювальної техніки, може піддаватися наступним видам загроз:
знищення інформ...
