Обеспечение допуска должностных лиц к конфиденциальным сведениям

В соответствии с ФЗ «Об информации, информатизации и защите информации» конфиденциальная информация (далее КИ) - это документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу.
К КИ относится (в соответствии с Указом Президента № 188 от 6 марта 1997 года):
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные).
2. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
3. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (профессиональная тайна).
4. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
5. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Ущерб от раскрытия КИ может выражаться в потере конкурентных преимуществ, упущенной коммерческой выгоде, санкциях со стороны регулирующих органов, административной и уголовной ответственности за раскрытие персональных данных, ухудшении морального климата в коллективе вследствие раскрытия информации о заработной плате работников, планируемых кадровых перестановках и т. п.
Под разглашением КИ подразумевается умышленные или неосторожные действия должностных или иных физических лиц, приведшие к не вызванному служебной необходимостью или преждевременному открытому опубликованию сведений, подпадающих под категорию сведений конфиденциального характера, а также передача подобных сведений по открытым...

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен «свести на нет» любые самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связано с деятельностью сотрудников организации. Неудивительно, что работа с персоналом — главный механизм защиты.
Ключевые принципы и правила управления персоналом с учетом требований информационной безопасности сводятся к необходимости выполнения определенных требований безопасности, повышения осведомленности сотрудников и применения мер пресечения к нарушителям.

1. Основные требования
При работе с персоналом необходимо соблюдать следующие требования безопасности:
1. Ответственность за информационную безопасность должна быть включена в должностные обязанности сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и мероприятия по обеспечению безопасности.
2. Должны проводиться соответствующие проверки сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность. Для критичных должностей должна проверяться также кредитная история кандидата.
3. Подписание соглашения о неразглашении КИ кандидатом должно быть обязательным условием приема на работу.
4. Требования информационной безопасности, предъявляемые к сотруднику, должны быть отражены в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение безопасности

2. Повышение осведомленности
Важную роль для обеспечения информационной безопасности играет осведомленность пользователей в вопросах безопасности и правилах безопасного поведения. Согласно ст. 139 Гражданского кодекса РФ, собственник КИ имеет право на правовую защиту от незаконного ее использования только при условии, что он принимает надлежащие меры к соблюдению ее...