Увольнение сотрудника: как защититься от утечки информации
advertisement
Увольнение сотрудника: как обеспечить защиту информации? Журин Сергей, к.т.н., эксперт по благонадежности персонала e-mail: sizh@mail.ru Почти любой сотрудник организации является носителем конфиденциальной или секретной информации. Правила работы с секретными документами, слабые места системы охраны, служебные проступки сотрудников или организации в целом, контакты с клиентами и т.д. вся эта информация является конфиденциальной и ее знают многие сотрудники. Защититься от утечки такой информации невозможно: каждый сотрудник является носителем каких-то секретов, какой-то служебной информации. Эта информация уйдет с сотрудником. Вопрос только в том будет ли он ее применять, и нанесет ли это организации ущерб. С другой стороны сотрудник при увольнении (или если он собирается увольняться) может сознательно организовать канал утечки информации, предполагая, что часть информации, которую он может унести с собой с объекта пригодится ему по месту будущей работы или еще для каких-либо целей. И третий сценарий развития ситуации при увольнении: сотрудник создает канал утечки информации для нанесения ущерба настоящему работодателю как по собственной инициативе, так и по пожеланию третьей стороны. Лояльность сотрудника в отношении организации является в настоящее время достаточно динамичной величиной: если предложение другой организации будет значительно превышать зарплату и пакет социальных услуг данной организации, то сотрудник в течении небольшого срока может уволиться. К тому же сейчас больше ценятся специалисты, которые проработали в нескольких организациях, чем те, которые десять-двадцать лет проработали в одной. Работу в настоящее время найти достаточно просто: кадровые агентства ежедневно просматривают сайты, связанные с наймом (например, job.ru) и высылают желающим их вакансии. Современные психологи рекомендуют менять направление работы один раз в три года: за это время человек приобретает все основные знания по специальности и ему начинает надоедать выполнять одни и те же функции. При отсутствии возможности смены направления рекомендуется раз в пять лет менять саму работу: при постоянном выполнении одних и тех же обязанностей (если работа не является разнообразной), может возникать обида на отсутствие повышения, халатное выполнение одного и того же, апатия, чувство неполноценности. Однако это больше относится к возрасту 25-40 лет и зависит от личных психологических характеристик. Люди более старшего возраста (поскольку новую работу в возрасте 40-60 лет найти сложнее) или склонные к однообразной работе предпочитают одну и ту же работу. Поэтому возможность увольнения любого сотрудника (в т.ч. ведущих сотрудников и заместителей начальника организации) необходимо учитывать при организации защиты информации. Общие способы защиты информации Процесс защиты информации при увольнении необходимо начинать с выбора информации, которую необходимо защищать и способах ее разграничения между должностными полномочиями сотрудников. Общими способами защиты информации в случае увольнения являются: разграничение информации между сотрудниками, предоставление информации соответствующего грифа секретности или уровня конфиденциальности лицу, для которого определены и проверены требования по его лояльности и благонадежности, создание условий, в которых овладеть информацией недоступной по данным должностным полномочиям, создание условий, при которых за пределы объекта невозможно (или достаточно трудно) вынести объекты содержащие информацию, невозможность копирования конфиденциальной информации, определение сотрудников, которые могут или собираются увольняться, создание условий, при которых сотрудник собирающийся уволиться не захочет и не сможет нанести ущерб основной информации организации. Также к мерам защиты информации в таком случае можно отнести и такие меры: распространение информации только через контролируемые каналы, назначение лиц, ответственных за контроль документации, обязательное уничтожение неиспользованных копий документов и записей, четкое определение коммерческой тайны для персонала, составление, регулярная оценка и обновление информации, представляющей коммерческую тайну, перечня включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции, патентование или получение авторского права на разработанные технологии, устройства, программные комплексы. При этом необходимо учитывать, что каждый сотрудник не будет знать только то, что предписано должностной инструкцией. Между подразделениями организации, также как и между сотрудниками подразделения происходят различные производственные и личные взаимоотношения, в результате которых часть информации распределяется между сотрудниками. Это в большинстве случаев является нормальным, поскольку позволяет боле эффективно организовывать работу. Сотрудники, которые могут уволиться При приеме на работу необходимо выявлять сотрудников, которые могут в ближайшее время покинуть организацию. Если прием на работу таких сотрудников действительно необходим, то по возможности они не должны иметь доступ к конфиденциальной информации: это должно быть объяснено ему и сотрудникам которые с ним работают. При необходимости работы с конфиденциальной информацией должны быть предусмотрены все меры по ее защите в случае ее использования новым сотрудникам после увольнения. Наиболее типичными случаями утечки информации при приеме на работу нелояльных сотрудников для работы с конфиденциальной информацией и последующего увольнения являются: приглашение на работу хорошего специалиста для организации производства нового изделия, которое не запатентовано, приход на работу хорошего специалиста, который соглашается на ведущую должность по новому проекту при невысокой зарплате для специалиста такого уровня. В данном случае средствами защиты являются: заключение контракта о времени и условиях работы, с указанием сохранения конфиденциальности информации, ее неразглашения и неприменения после увольнения, предоставление информации недостаточной для дальнейшего использования самостоятельно, патентование и получение авторских прав на предоставляемые ему технологии, программные комплексы, отнесение к коммерческой тайне предоставляемую информацию. Наиболее перспективным является отнесение информации, которую необходимо сохранить к государственной тайне, тогда в этом случае уволенному сотруднику будет значительно сложнее ее использовать, однако это возможно, в основном для государственных предприятий, да и какой начальник первого отдела захочет оформить допуск к государственной тайне сотруднику который может скоро уволиться. В процессе работы необходимо собирать информацию, по которой можно косвенно определить возможность увольнения сотрудников. К признакам возможного ухода можно отнести: снижение качества работы, разговоры о новой работе, частые отгулы, которые можно связать с возможным трудоустройством, составление резюме, рассылка резюме, частое посещение сайтов о трудоустройстве, вынос своих вещей с территории организации (подготовка к увольнению), копирование и попытки копирования (или доступа) к конфиденциальной информации. Эти признаки не обязательно являются признаками ухода, например просмотр сайтов о трудоустройстве может быть по просьбе знакомых, но при необходимости можно принять предварительные действия, которые помогут в случае неожиданного ухода сотрудника: сделать резервные копии файлов, над которыми работал сотрудник, сделать резервную копию всей информации, к которой он имеет доступ (при опасности несанкционированных действий со стороны сотрудника), повысить бдительность в отношении материально-технических средств, которые он может вынести без последствий для него, повысить бдительность в отношении выноса информации данным сотрудником на дискетах, компакт-дисках, бумажных носителях, а также попытках копирования (в электронном виде) и ксерокопирования служебной информации. Также при отсутствии пишущих устройств большой емкости на компьютерах, но наличие большого объема необходимой информации, сотрудник может принести винчестер и подключив его к компьютеру скачать всю необходимую информацию. Увольнение сотрудника по собственному желанию Если сотрудник в письменной и устной форме сообщает о своем уходе, то необходимо выполнить следующий ряд действий: организовать защиту информации до увольнения сотрудника, определить причины увольнения, побеседовать с сотрудником, в т.ч. обсудить вопрос сохранения коммерческой тайны, организовать передачу имущества, организовать защиту информации после увольнения сотрудника. Защита информации до увольнения сотрудника При увольнении сотрудника необходимо провести следующие мероприятия: проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему информацию, имеющую отношение к работе, если того не требует служебная необходимость, сделать резервную копию файлов увольняемого, постепенно организовать передачу дел, по мере передачи дел, сокращать права доступа к информации, по необходимости организовать сопровождение увольнения специалистом по информационной безопасности, Запретить вынос и внос бумажных и электронных носителей. Внос запрещается по причине возможной замены объекта выноса: стопки дискет или компакт-дисков, книг на полках. Особую трудность составляет контроль в зимнее время: в подкладку куртки увольняемый может спрятать выносимый или вносимый предмет. Поэтому необходимо внимательное наблюдение за его действиями: обыск при входе обычно нецелесообразно делать из этических и моральных соображений. Меры по контролю утечки информации не должны быть слишком настойчивы: может пострадать социально-психологический климат. К тому же от увольняемого сотрудника может понадобиться помощь или консультация после увольнения, поэтому процесс увольнения не должен оказывать сильное негативное воздействие. Если сотрудник уходит с чувством обиды, раздражения, мести, то он может проинформировать: правоохранительные органы или налоговую инспекцию о совершенных преступлениях, конкурентов о неблаговидных поступках организации или просто продать им конфиденциальную информацию, криминальные структуры о недостатках системы защиты, паролях,… [1] Также сотрудник может специально уничтожить необходимые файлы на компьютере (например по истечении некоторого времени после увольнения сработает программа уничтожения нужных файлов), унести неучтенное оборудование. Определение причин увольнения Сотрудник может не сообщить истинную причину увольнения: не всегда удобно говорить, что ему очень тяжело работать с этим начальником или коллективом, но необходимо определить истинную причину: если сотрудник переходит к конкурентам, например при окончании разработки новой технологии, то необходимо искусственно задержать данного сотрудника, если не устраивает зарплата, то при необходимости данного работника можно ему зарплату повысить, при наличие психологических причин (конфликты с коллегами, с начальником, плохая организация труда, неудовлетворенность профессией, отсутствие продвижения по службе, несоответствие оплаты труда по сравнению с другими), по возможности попытаться их устранить или просто откровенно поговорить: у сотрудника может просто накопиться обида, недовольство, непонимание, и простая беседа поможет ему сбросить тяжесть накопившейся обиды. Иногда после разговора выясняется, что причина кроется в субъективном (неправильном) понимании сотрудником какой-либо ситуации. И поскольку желание ухода в таких случаях является часто субъективным фактором, то устранив их, можно оставить человека на прежнем рабочем месте. При определении причин необходимо проанализировать: характер его взаимоотношений с коллегами в коллективе, отношение к работе, уровень профессиональной подготовки, наличие конфликтов личного или служебного характера, доступ к информации [1]. При работе на больших предприятиях, где идет большая текучесть кадров желательно вести статистику причин ухода. Беседа с увольняемым Перед началом беседы необходимо выяснить: необходимость наличия данного сотрудника или возможность его замены, последствия увольнения (например, при переходе к конкурентам). Во время беседы необходимо: дать собеседнику высказаться в развернутой форме и объяснить мотивы своего решения, необходимо быть предельно корректным, тактичным и доброжелательным, даже несмотря на любые критические и несправедливые замечания, которые могут быть высказаны сотрудником [1], при необходимости попытаться найти формы дальнейшего сотрудничества: повышение зарплаты, разрешение конфликтов с коллегами,… Перед увольнением нецелесообразно оформить официальную подписки о неразглашении данных, составляющих коммерческую тайну. Также возможна устная договоренность о сохранении коммерческой тайны. Первый вариант является предпочтительным для лиц эмоционально неуравновешенных, причем беседу с ними необходимо завершить официально и несколько категорично. При переходе такого сотрудника к конкуренту иногда бывает полезным накачать его дезинформацией, например о технологии производства. Для лиц благородных, уравновешенных часто бывает достаточен разговор в дружеской обстановке в котором необходимо обсудить какую информацию сотрудник может использовать на новой работе, а какую нет. Не стоит просить сотрудника не использовать ничего с данной работы, например контакты с клиентами, а просто попробовать в данном случае достигнуть приемлемое для всех решение, в т.ч. и для конкурента. Но, расписку о неразглашении и неприменении полученной информации тоже надо взять. В такой расписке желательно перечислить все виды информации, которые не подлежат разглашению. Целесообразно получить информацию от сотрудника о возможных происходящих инцидентах, которые не доходили до руководства конфликтах в коллективе: при увольнении сотруднику терять уже больше нечего. Организация передачи имущества При передаче имущества необходимо передать все числящиеся документы, базы данных, носители информации, изделия, материалы, проверить их комплектность. Необходимо сдать пропуск (идентификатор) для входа на объект, все ключи и печати. В базе данных системы контроля доступа необходимо заблокировать все идентификаторы пользователя на тот случай, если он сделал себе копию, например магнитной карты. Организация защиты информации после увольнения сотрудника После увольнения может быть целесообразным еще раз поменять пароли, к которым уволенный мог иметь доступ, проводить оперативную проверку его деятельности в случае работы с конкурентами на предмет использования знаний и технологий, программных комплексов в новой организации. Увольнение сотрудника по инициативе организации Увольнение сотрудника по инициативе организации может происходить при плановом сокращении персонала, при общем негативном фоне в отношении данного сотрудника, при его проступках. Однако даже при серьезных проступках рекомендуется не сразу увольнять сотрудника имеющего доступ к сведениям составляющих коммерческую тайну. Особенно если эта тайна не защищена или ущерб от использовании этой информации может принести значительный экономический ущерб в ближайшие полгода. Необходимо перевести сотрудника на другую должность желательно с сохранением зарплаты на это время. После обеспечения условий по защите информации или достаточного снижения ее значимости можно произвести увольнение сотрудника, однако причины увольнения должны быть объективными и проверяемыми, и не должны касаться личных и деловых качеств сотрудника. Увольнение сотрудника при несанкционированных действиях Если сотрудник уличен в шпионаже (копирование секретных документов, установка средств несанкционированного съема информации), в совершении противоправных действий предусмотренных уголовным кодексом, договором в отношении охраняемой информации (за которые положено увольнение) необходимо: немедленно лишить его всех прав доступа к конфиденциальной информации, входу в важные зоны доступа; минимизировать права доступа к общим ресурсам (принтерам, факсам, ксероксам) и обеспечить контроль его действий другими сотрудниками, перекрыть входы во внешние сети; сменить пароли всем сотрудникам, шифры замков, при необходимости заменить ключи и личинки замков (к важным помещениям) к которым сотрудник мог иметь доступ, сделать резервные копии информации компьютеров, к которым мог иметь доступ данный сотрудник необходимо консолидировать остальных сотрудников для защиты информации при возможности контакта с ними увольняемого, Организовать защиту конфиденциальных или секретных сведений, которые мог унести или которыми владеет увольняемый. Организовать защиту информации после увольнения сотрудника. Современная практика увольнения в коммерческих фирмах, часто не предусматривает информирование правоохранительных органов о совершенном преступном деянии: могут раскрыться финансовые махинации организации: за это осужденному сотруднику могут уменьшить срок или даже назначить срок условно за помощь в раскрытии других преступлений. Но даже если фирма не осуществляла незаконных операций, то просто заведение уголовного дела на сотрудника может негативно сказаться на репутации организации. Эффективным средством при увольнении сотрудников является использование полиграфа при выяснении причин ухода. Также он весьма полезен при анализе причин поступления на работу. Объем работы для полиграфолога при таких проверках очень небольшой и стоимость проверки такого типа, при постоянном сотрудничестве не будет превышать 60-70$, а время проверки будет составлять полтора-два часа. Гораздо проще заплатить эту сумму специалисту и получить объективную информацию о новом или увольняемом сотруднике, чем создавать сложную систему защиты. Хотя, конечно, меры по защите информации нужны, поскольку они являются сдерживающим фактором, но слишком сложная система защиты может уменьшать эффективность работы персонала. Поэтому оптимальным решением является применение полиграфа для периодической проверки мотивов персонала, особенно при увольнении и приеме на работу, а также сбалансированной и не очень незаметной системы защиты информации. 1. А.В. Крысин. Безопасность предпринимательской деятельности. М.: «Финансы и статистика». 1996. 384с.
