Памятка по подбору персонала

• Определите перечень навыков, которыми должны обладать кандидаты на вакантную должность. Учитывайте как профессиональный опыт, так и личные качества претендентов.

• Проведите идентификацию личности.

• Проверьте документы, подтверждающие наличие образования и ученых степеней.

• При согласии кандидата проведите его проверку на детекторе лжи.

• Используйте резюме, чтобы составить первоначальное представление о кандидате. Но окончательное решение принимайте после личной беседы.

• Не принимайте требования кандидата с первого же раза. Сначала убедитесь, справится ли он с должностными обязанностями.

• Предложите кандидату несколько тестов, чтобы проверить его компетентность.

• Предлагайте одинаковые вопросы и тесты всем претендентам без исключения. Так вы избежите упреков в дискриминации.

• Попросите кандидата представить рекомендации с предыдущей работы.

• Установите четкие критерии, по которым вы будете оценивать результаты прохождения кандидатом испытательного срока.

1. Требования к специалистам по защите информации.

Сегодня специалисты по информационной безопасности должны обладать познаниями в следующих областях:

· Информационно-аналитическая работа.

· Методы разведки и контрразведки.

· Оперативная работа.

· Социальная психология и психология личности.

· Основы банковского дела и бухгалтерский учет.

· Основы менеджмента и маркетинга.

· Гражданское и уголовное право.

Грамотный специалист обязан:

1.  Разработать комплексные меры по обеспечению безопасности коммерческой фирмы и личной безопасности ее руководства.

2. Осуществить защиту конфиденциальной информации, в том числе хранящейся в компьютерной памяти, а также в локальных и распределенных сетях.

3. Уметь применять технические средства скрытого наблюдения и прослушивания.

4. Противодействовать проведению аналогичных мероприятий конкурентами.

5. Разбираться в финансовой отчетности.

6. Проводить внутреннее расследование случаев воровства, мошенничества, саботажа и финансовых преступлений.

7. Организовать проверки (в том числе негласные) благонадежности сотрудников фирмы.

8. Предупреждать (выявлять) случаи сотрудничества работников фирмы с конкурентами или криминальными структурами.

9. Взаимодействовать со следственными органами и милицией при расследовании преступлений иных происшествий.

10. Готовить документы, содержащие анализ финансово-экономического положения партнеров, оценку конкурентов и потенциальных клиентов.

11. Разрешать конфликты между сотрудниками фирмы.

12. Кратко и точно излагать свои мысли.

Анализ опыта и знаний в перечисленных областях у ведущих сотрудников многих служб безопасности отечественных коммерческих фирм, как показывают различные опросы, не соответствуют требованиям. Поэтому вопрос об их подготовке и переподготовке более чем актуален.

1. Организация обучения специалистов по защите информации.

Обучение по вопросам защиты коммерческой тайны и обеспечения безопасности фирмы позволяет достичь следующую цель: работники фирмы становятся более грамотными и умелыми в этом вопросе, что помогает:

• Предотвратить утечку информации из-за простой небрежности.
• Быстро и легко выполнять текущие задачи.
• Решать новые и более сложные задачи.
• Противостоять промышленному шпионажу и криминальным элементам.

Сотрудникам выдается инструкция в отношении коммерческой тайны фирмы. Каждый новый работник должен быть ознакомлен с программой защиты коммерческой тайны фирмы сотрудниками СБ.

Ориентационные семинары также имеют своей целью обучение методам сохранности ценной информации. Сотрудники должны четко знать категории охраняемых сведений, возможные способы и методы проникновения к ним со стороны нарушителя, процедуры защиты коммерческой тайны и правила работы с конфиденциальными документами и изделиями.

Специальные семинары для работников соответствующих специальностей могут быть проведены по темам: обеспечение защиты информации в ЭВМ, технические средства охраны и т.д.

Описанная система ориентации необходима, она формирует у работников отношение к секретам фирмы, осознание их важности.

Однако дальнейшая программа обучения не менее важна. Прежде всего надо держать сотрудников в курсе изменений в системе защиты коммерческой тайны - новых правил, положений, требований - издавать соответствующие информационные листки и бюллетени. Можно сделать информационный стенд, на котором все сведения будут ежемесячно обновляться. Подобные мероприятия не только помогут предотвратить утечку информации, но и дадут служащим повод думать, что руководство думает о них, око заинтересовано в повышении их осведомленности и уровня знаний, что оно осознает их роль в защите секретов фирмы. Кроме того, большинству сотрудников мало объяснить требования системы защиты коммерческой тайны, а надо постоянно напоминать о них. В этой связи тренинги должны носить достаточно регулярный характер.

Особого упоминания заслуживают занятия для сотрудников СБ.

Как показывает анализ программ учебных планов и курсов подобных заведений, слушателей в обязательном порядке знакомят с особенностями деятельности разведывательных служб, обучают приемам выявления работников и агентов органов разведки, разнообразным приемам обеспечения безопасности фирм и т.д.

Кроме того, на курсах изучаются следующие основные направления:

• физическая охрана объектов;
• электронные системы охраны;
• методы проверки кадрового состава;
• методы противодействия промышленному шпионажу.

Особое внимание следует обратить на обучение сотрудников, занимающихся сбытом продукции и услуг компании. Эти люди часто находятся в ситуациях, благоприятных для утечки информации. Они должны быть четко проинструктированы, что можно говорить, что нельзя. Нередки анонимные запросы от «потенциальных клиентов» с просьбой сообщить информацию об изделии для понимания того, как его применить наилучшим образом. Конкурент может выяснить существенные вещи, проанализировав эту незначительную на первый взгляд информацию и использовать ее во вред предприятию.

1. Требования к начальнику службы безопасности предприятия.

Начальник службы безопасности является прямым начальником для всего личного состава службы.

Он непосредственно подчинен директору фирмы либо одному из его заместителей, определенному штатным расписанием или приказом по предприятию. Начальник СБП осуществляет руководство всей текущей деятельностью, решает все организационные вопросы деятельности СБ, кроме тех, которые отнесены к исключительной компетенции дирекции фирмы. При передаче дирекцией фирмы части принадлежащих ему прав в компетенцию начальника СБП он осуществляет указанные в решении дирекции фирмы функции.

Начальник СБП подотчетен директору предприятия и несет перед ним ответственность за осуществление деятельности СБ и выполнение возложенных на нее задач и функций.

Начальник СБП без достоверности действует от имени СБ во всей его деятельности, имеет право подписи всех правовых и бухгалтерских документов, определяет должностные оклады сотрудников СБП, решает вопросы о поощрениях и взысканиях, заключает трудовые договоры с сотрудниками СБП, привлекает для работы работников на основе гражданско-правовых договоров, самостоятельно определяя условия их оплаты, представляет на согласование дирекции фирмы кандидатуры на должность заместителя начальника СБП, руководителей отделов и групп.

На время своего отсутствия начальник СБП передает свои права заместителю.

Начальник службы безопасности отвечает:

• За оказание охранных и сыскных услуг в интересах безопасности своей фирмы-учредителя при строгом и точном соблюдении действующего законодательства Российской Федерации.
• Обеспечение сохранности специальных средств, оружия и боеприпасов, приобретенных фирмой.
• Качество профессиональной подготовки лиц из состава службы безопасности.

Начальнику службы безопасности не разрешается совмещать охранную деятельность с государственной службой либо с выборной оплачиваемой должностью в общественных объединениях, а также оказывать услуги лично или через своих подчиненных, связанных с обеспечением безопасности сторонних предприятий.

1. Подходы к кадровому обеспечения службы информационной безопасности предприятия.

По мере развития любой отечественной компании и роста стоимости ее информационных активов совершенствуется и служба информационной безопасности.

Успех политики информационной безопасности компании зависит не только от организационных и технических решений в области защиты информации, но и от эффективности кадровых решений.

Особенно это актуально для фирм в области информационно-коммуникационных технологий. Применительно к этой сфере в последние годы сформировался новый подход к подготовке и использованию специалистов высшего уровня в области защиты информации. Для этой группы специалистов выделяются две ключевых позиции:

• CISO (ChiefInformationSecurity Officer) - директор службы информационной безопасности, который отвечает главным образом за разработку и реализацию политики безопасности компании, адекватной бизнес-процессам компании.

• BISO (BusinessInformationSecurityOfficer) - менеджер службы информационной безопасности, который занимается практической реализацией политики ИБ на уровне подразделения, например планово-экономического отдела, службы маркетинга или автоматизации.

Главная задача CISO - это оценка и управление технологическими, производственными и информационными рисками компании. Роль CISO по этим вопросам предполагает, что данный специалист должен быть способен идентифицировать и управлять рисками в соответствии с целями и задачами компании и уровнем ее развития. Идеально, если подобный специалист будет привлечен из числа своих же сотрудников, ибо в этом случае профессиональная компетенция усилена еще и знанием конкретного предприятия. CISO должен входить в верхний эшелон управления компанией и уметь сбалансировать потребности бизнеса и требования безопасности с учетом усложняющихся технологий возросшего числа действий злоумышленников и террористических актов, требований законодательства и ожиданий партнеров.

1. Организация допуска персонала к конфиденциальной информации.

Под допуском к конфиденциальной информации понимается выполнение обладателем информации или другими уполномоченными должностными лицами определенных процедур, связанных с оформлением права лица на доступ к конкретному виду конфиденциальной информации.

Разрешительная система допуска к конфиденциальным документам решает следующие задачи:

• ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют знания тайны фирмы и работы с ценными документами
• строгое избирательное и обоснованное распределение документов и информации между сотрудниками
• обеспечение сотрудника всем необходимым для выполнения своих служебных функций
• исключение возможности для посторонних лиц несанкционированного ознакомления с конфиденциальной информацией в процессе работы сотрудника с документами, делами и базами данных
• рациональное размещение рабочих мест и коллективный контроль над работой сотрудников.

Разрешительная система как бы подразделяется на две составные части:

• допуск сотрудника к конфиденциальной информации
• непосредственный доступ сотрудника к конкретным сведениям.

Оформление допуска – согласие лица на определенные ограничения в использовании информации - всегда носит добровольный характер. А само наличие допуска предоставляет сотруднику формальное право работать со строго определенным кругом конфиденциальных документов, баз данных и отдельных сведений.

Подготовка материалов на граждан, оформляемых на допуск к конфиденциальным документам, осуществляется отделами кадров или работниками, ведущими кадровую работу.

На каждого сотрудника отдел кадров представляет в подразделение по защите конфиденциальных сведений следующие документы:

· мотивированное письмо о необходимости оформления допуска, в котором указывается должность сотрудника, ее порядковый номер, количество лиц, допущенных по данной должности к конфиденциальным сведениям, дата окончания проверочных мероприятий, дается оценка о допуске;

· анкета;

· карточка, зарегистрированная в журнале учета карточек на допуск работников к конфиденциальным материалам.

На сотрудников, оформленных на допуск по третьей форме, кадровым отделом составляются общие списки лиц или списки по каждому лицу отдельно. Карточки этих сотрудников хранятся в подразделении по защите конфиденциальных сведений вместе с договором об оформлении допуска в специальной картотеке.

Конечной инстанцией, решающей вопрос о необходимости предоставления допуска данному лицу, является руководитель, который распоряжается этой информацией и осуществляет за ней контроль. Решение о допуске оформляется распоряжением руководителя организации с соответствующей отметкой в карточке (либо в списке лиц) и заверяется его подписью и печатью организации.

Разрешение на допуск и доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде: резолюцией на документе, приказом, утверждающим схему именного или должностного доступа к конкретным группам информации, утвержденным руководителем списком – разрешением на обложке дела, списком ознакомления с документами и т.п.

К конфиденциальной информации допускаются, как правило, лица, проработавшие в фирме определенное время и зарекомендовавшие себя с положительной стороны.

Если сотрудник допускается только к части документа, то в разрешении (резолюции) указываются конкретные пункты, разделы, страницы, приложения, с которыми он может ознакомиться.

Разрешение на допуск к конфиденциальным сведениям представителя другой организации оформляется резолюцией полномочного должностного лица на предписании, представленном заинтересованным лицом. В этой резолюции должны быть указаны конкретные документы или сведения, к которым разрешен доступ.

А также указывается фамилия сотрудника фирмы, который ознакомит представителя другой организации с этими сведениями и несет ответственность за его работу в помещении фирмы.

Допуск может носить временный характер на период выполнения определенной работы и пересматриваться при изменении профиля работы сотрудника.

Переоформление допуска, независимо от сроков действия, производится в случае:

• перевода сотрудника в подразделение по защите конфиденциальных сведений;
• вступления гражданина в брак - изменения фамилии (в этом случае делается соответствующая отметка в карточке);
• возвращения из длительных заграничных командировок;
• выезда близких родственников на ПМЖ за границу.

Отдел кадров обязан своевременно информировать обо всех изменениях в анкетных данных сотрудников для решения вопроса о целесообразности переоформления им допуска.

В случае если лицо после оформления ему допуска не соприкасалось свыше года с конфиденциальными сведениями, действие допуска прекращается. (При этом договоры и карточки хранятся в течение установленного срока (1-я и 2-я форма – год, 3-я форма – не менее пяти лет).

1. Организация доступа персонала к конфиденциальной информации.

Доступ лица к конфиденциальной информации — санкционированное полномочным должностным лицом ознакомление персонала предприятия и иных лиц с конфиденциальной информацией и ее носителями.

В целях сохранения конфиденциальности информации ее обладатель в порядке, определенном указанным федеральным за­коном, устанавливает режим коммерческой тайны. Режим коммерческой тайны — правовые, организационные, технические и иные меры по охране конфиденциальности информации, состав­ляющей коммерческую тайну, принимаемые ее обладателем.

Разрешительная система доступа персонала предприятия предусматривает установление на предприятии единого порядка обра­щения с носителями сведений, составляющих коммерческую тай­ну, определение ограничений на доступ к ним различных катего­рий персонала (управленческого, административного и испол­нительского уровней) и степени ответственности за сохранность указанных носителей сведений.

Создание и функционирование разрешительной системы до­ступа персонала предприятия к информации направлены, в пер­вую очередь, на решение стоящих перед предприятием задач и достижение основных целей его деятельности.

Основополагающим принципом нормативно-правового регу­лирования процесса ознакомления конкретного работника пред­приятия со сведениями, составляющими коммерческую тайну, является правомерность доступа этого работника к конкретным сведениям или их носителям.

Основные условия правомерного доступа персонала к коммер­ческой информации включают:

• подписание работником обязательства о неразглашении сведений, составляющих коммерческую тайну, а также трудового договора, который в соответствии со ст. 57 Трудового кодекса РФ может содержать эти обязательства;
• наличие у работника оформленного в установленном порядке допуска к сведениям, составляющим коммерческую тайну;
• наличие утвержденных руководителем предприятия должностных (функциональных) обязанностей работника, определяющих круг его задач и объем необходимой для их решения информации;
• оформление разрешения руководителя предприятия на ознакомление работника с конкретной информацией, являющейся коммерческой тайной, и ее носителями.

Процесс регулирования доступа работников к коммерческой тайне направлен на исключение необоснованного расширения круга лиц, допускаемых на предприятии к информации различ­ной степени конфиденциальности, и утечки этой информации, а также доступа к ней граждан, не имеющих на то разрешения пол­номочных должностных лиц.

Основная цель разрешительной системы доступа персонала к коммерческой тайне — исключение нанесения ущерба предприя­тию посредством несанкционированного распространения сведе­ний, составляющих коммерческую тайну.

Права сотрудников на доступ к коммерческой тайне и работу с ее носителями регулируются разрешениями полномочных долж­ностных лиц, оформленными в письменном (документальном) виде. Оформление таких разрешений осуществляется руководителем предприятия, его заместителями и руководителями структур­ных подразделений в отношении непосредственно подчиненных им сотрудников. На практике наиболее распространены следую­щие способы документального оформления разрешений (формы раз­решительных документов):

- составление именных (должностных) списков сотрудников, допускаемых к той или иной информации, составляющей ком­мерческую тайну предприятия, в обязательном порядке содержа­щих должности и фамилии сотрудников и категории сведений (документов), к которым они допускаются;

- оформление разрешения непосредственно на документе (носителе информации) в виде резолюции (поручения), адресованного конкретному сотруднику;

- указание (перечисление) в организационно-плановых и иных документах предприятия сотрудников (их фамилий), которые при решении конкретных производственных и иных задач должны быть допущены к определенной информации, составляющей коммерческую тайну предприятия.

Основным внутренним организационно-распорядительным документом предприятия, регулирующим вопросы доступа всех категорий работников и иных лиц к коммерческой тайне, являет­ся положение о разрешительной системе доступа к информации, со­ставляющей коммерческую тайну.

Разработку данного положения осуществляет, как правило, специально создаваемая комиссия предприятия, которая состоит из представителей его структурных подразделений, осуществляю­щих производственную, хозяйственную и иные виды деятельно­сти.