• Главная
  • Направления деятельности
    • Аудит (экспертиза) ИБ
    • Персональные данные
    • Кибергигиена
    • Подготовка специалистов ИБ
    • Кибербезопасность
    • Разработка политики ИБ
    • IT безопасность
  • Новости
  • Партнеры
    • Symantec
    • Digital Security
    • Qualys
    • Blue Coat
    • Check Point
    • Kerio
    • Forcepoint
    • Cisco
    • Entensys
  • Персонал
    • Компетенции
  • О компании
  • Проекты
  • Контакты

Работа с кадрами и ИБ

Created: 22 September 2020

Статья Антона Ракитского вышла в журнале «Справочник по кадровым вопросам», в №9 (165) за сентябрь 2020 г.
Полную версию статьи можно прочитать на сайте издания, в электронной версии журнала. Она доступна на русском и узбекском языках. Ниже приводится авторская редакция статьи.

Как обеспечить информационную безопасность при работе с кадрами

Найти грамотного специалиста и сформировать кадровый резерв - сложная задача, но только самое начало работы сотрудника кадровой службы. Для того чтобы занять привлекательные позиции, соискатели могут вводить в заблуждение кадровиков. Кто-то без явного обмана, просто умолчит о части своей биографии. Самые отчаянные могут представить поддельные документы, отзывы, характеристики. Как сделать так, чтобы новый сотрудник компании стал действительно ценностью, а не «миной замедленного действия» и рассказывает статья. Акцент делается на работе с документами и информацией, полученной от сотрудника. Также рассматриваются задачи кадровой службы по обеспечению информационной безопасности на всех этапах работы с сотрудниками.

Зачем вообще нужны какие-то проверки будущих сотрудников? Стандарт по информационной безопасности O‘z DSt ISO/IEC 27002:2016 говорит, что это нужно чтобы «обеспечить уверенность в том, что персонал и работающие по договору понимают свою ответственность и соответствуют тем должностям, на которые они рассматриваются». Т.е. при трудоустройстве работодатель хочет быть уверенным, что нанимает того, кого нужно, и он оправдает ожидания. Сами проверочные мероприятия достаточно трудозатратны и предприятие должно решить для себя насколько сильно и глубоко проверять каждую категорию специалистов. При наборе линейного персонала - операторы, курьеры, продавцы такие проверки могут носить минимально-достаточный характер - получение по списку документов, необходимых для учёта сотрудника. А вот для специалистов, от которых зависит сам факт существования компании - проверки могут простираться очень далеко. Примером таких ключевых должностей является и всё высшее руководство, финансовый сектор, а в последнее время для высококонкурентных рынков всё большую ролю играет, например, фигура PR-менеджера. Одна какая-нибудь сомнительная акция в соцсетях или грубый ответ на запрос клиента и компанию обсуждают и осуждают все, а клиенты уходят к конкурентам.
Примечание: да, на многих крупных предприятиях (особенно государственных) уже есть свои системы проверок, чаще по линии режимно-секретного отдела, иногда какие-то проверки проводит служба безопасности. Для качественного управления персоналом кадровой службе нужно выяснить, кто и как проводит такие проверки и учитывать их результаты в своей работе.
Работа с сотрудниками в кадровой службе длится на протяжении всего «жизненного цикла» - до трудоустройства, во время работы, после увольнения.

1. До трудоустройства
Кроме минимально набора документов, которые необходимы для трудоустройства по трудовому законодательству, существует ещё несколько дополнительных способов проверки, в том числе нужно иметь в виду:
- Наличие положительных рекомендаций. Если соискатель приносит рекомендательные письма нужно проверить их подлинность. Скорее всего, не составит труда связаться с поручителем, давшим рекомендацию. К сожалению, встречаются и явные мошенники, которые сами пишут рекомендательные письма, характеристики, подписывают их именами, вызывающее доверие, указывают контактные данные (номер телефона), на котором сидит «свой человек», который подтвердит подлинность отзыва. Поэтому здесь и далее при телефонных звонках лучше использовать те номера телефонов, которые вы найдете сами в справочнике. Тогда у вас будет уверенность, что вы звоните именно в необходимую организацию.
- Резюме претендента. Если в нём содержаться сведения, которые сильно влияют на принятие решение о трудоустройстве, то их необходимо проверить. Большим подспорьем для этого являются социальные сети. А вот если у современного специалиста нет профиля это очень подозрительно. Существует даже профильная сеть LinkedIn, ориентированная на поиск специалистов, публикацию отзывов и характеристик.
- дипломы и сертификаты. Дипломы о высшем образовании можно проверить по сайтам ВУЗов, сейчас многие из них публикуют списки выпускников по годам. В других случаях можно сделать официальный запрос в ВУЗ, выдавался ли в такой диплом. С учебными центрами сложнее - многие из них «живут» совсем недолго, т.е. проверить сертификат об обучении, выданный несколько лет назад может быть затруднительно.
- Паспорт. Маловероятно, что сотрудник будет предоставлять поддельный паспорт. Современные документы хорошо защищены и подделки легко обнаружить. Но лучше всё-таки проверить документы, особенно, если приходится работать с копиями документов. Проще всего это сделать через сервис ГНК по проверке ИНН. Сервис сразу подтвердит и существование паспорта с конкретным номером, и дату рождения человека, и правильность представленного ИНН. Адрес сервиса - https://my.soliq.uz/searchtin/index?user_type=1
- В некоторых случаях, когда требуется совсем уж тщательная проверка сотрудника, может быть запрошена его кредитная история. Но, согласно действующему законодательству Узбекистана, запрос такой информации из кредитных бюро осуществляется только с согласия субъекта (ст.19 закона РУЗ «Об обмене кредитной информацией»). Т.е. законно сделать запрос такой информации невозможно сделать без уведомления самого потенциального сотрудника невозможно. Да и для запроса такой информации необходим договор с кредитным бюро. Основными пользователями услуг кредитных бюро являются банки, ломбарды - они и отправляют и получают информацию о своих клиентах.
Вообще, при всех проверках, когда о сотруднике запрашиваются данные, напрямую не связанные с выполняемой работой, следует иметь в виду этическую сторону вопроса. Так, наличие у соискателя непогашенных кредитов, фактов долгого пребывания за границей, наличия обязательств по алиментам, погашенные судимости, напрямую не говорят о профессиональных качествах ничего однозначно. Однако, отказ в работе именно со ссылкой на какую-то подобную деталь в биографии может быть причиной обвинения в дискриминации. Идеальных людей не бывает, и, задавшись целью, можно найти сомнительные детали в биографии у любого, поэтому лучше сразу определиться, что кадровой службе делать с полученными данными. Компромиссом является ранжирование «глубины» проверки биографии сотрудников в зависимости от занимаемой должности, её критичности. Кстати, обратите внимание, что почти всегда проверка биографии сотрудников производится только разово при приёме на работу, а потом годами судьба человек никак не отслеживается. Поэтому рациональной считается практика перепроверки при любом изменении должности или на периодической основе, если никаких перемещений нет.
Говоря о проверке компетентности сотрудников проще, когда существуют формальные процедуры подтверждения, например допуск на работу с электроустановками, к высотным работам, управление транспортным средством определённой категории. Такие знания подтверждаются строго определённым документом. Однако, особенно в ИТ, невозможно проверить уровень знаний сотрудников, особенно если предполагается, что сотрудник будет проходить обучение или стажировку уже после трудоустройства. В этих случаях важнее выявить наличие навыков обучения, понять, подойдёт ли сотруднику эта работа. Ещё важнее - стоит ли в него вкладывать средства и силы? Определить это в одиночку вряд ли под силу кадровику, даже очень опытному. Поэтому в тех случаях, когда решение принимается нелинейно, эффективным может быть проведение собеседование, в этом случае суждение о соискателе принимает некоторая группа, проводившая собеседование. Чтобы члены этой группы ответственно относились к процедуре собеседования может применяться практика, когда результат собеседование фиксируется, например в виде краткого резюме от каждого участника и этот документ приобщается к кадровому делу. В любом случае, такое собеседование даст более объективный результат, чем отзывы и характеристики, которые принесёт сам соискатель, ведь они всегда и у всех исключительно положительные. В этом случае окончательное решение о трудоустройстве принимается по совокупности факторов - проверка документов и резюме по итогам собеседования.
Мы уже не раз писали о практике передачи части функций на аутсорсинг, всё чаще это ИТ, бухгалтерия, юридические консультации, языковые переводы. Такие работы оформляются на договорной основе, кадровая служба никак не включена в этот процесс. А ведь сотрудники на аутсорсинге часто имеют доступ к очень важным, критичным данным. Поэтому целесообразно и их включить в процедуры проверок благонадёжности. Т.к. взаимоотношения с исполнителями в этом случае регулируются договором, то нужно внести в него пункты о том, что исполнитель заранее согласовывает с заказчиком кандидатуры исполнителей и согласен предоставить необходимые документы для проведения проверок. Для уже действующих договоров это можно оформить дополнительным соглашением. Иначе ситуация напоминает установку металлической двери в шалаш - штатные сотрудники проходят драконовские проверки, а на аутсорсинге работают «случайные» люди.
Необходимо обратить внимание, на принятый недавно в Узбекистане закон «О персональных данных» , он вводит дополнительное регулирование в области кадрового учёта. Хотя в нём и предусмотрены некоторые упрощения - нет необходимости регистрировать базы данных, которые ведутся в соответствии с законодательством о труде, тем не менее, от получения согласия на обработку персональных данных работодатель не освобождается. Получение согласия в явном виде особенно актуально при проведении проверок сторонних специалистов, работающих на аутсорсинге, по договору подряда и т.д. Образец документированного согласия на обработку персональных данных доступен в тексте статьи в самом журнале и на сайте издания.
Во время трудоустройства, в ходе подписания трудового договора и сопроводительных документов закладывается фундамент правовых взаимоотношений с сотрудником. Сейчас практически любой сотрудник получает доступ к каким-то данным в информационных системах - данные клиентов, адреса, перечни заказов, цены. Значительная доля этих данных - исключительно для внутреннего использования, содержат коммерческую тайну или персональные данные клиентов. Что остановит сотрудника от разглашения конфиденциальных данных? Как минимум это информирование его о правилах работы с информацией и разъяснение его обязанностей и ответственности. Сотрудник может действительно не знать особенностей работы, что можно и что нельзя. Поэтому сотрудника нужно сначала проинформировать о его обязанностях. На всех крупных предприятиях есть политика информационной безопасности, необходимо как минимум ознакомиться с ней. Ещё лучше, если будет проведен вводный инструктаж. По его итогам   провести тест, чтобы убедится, что будущий сотрудник понял основные требования по безопасности. А документально подтвердить обязанности сотрудника призвано обязательство о неразглашении, в котором описываются требования и во время трудовых отношений и на некоторое время после их окончания - как правило, от года до пяти лет. К экспертизе текста обязательства лучше привлечь и юриста, и кадровика, и представителя профсоюзного комитета - тогда документ получится гармоничным и более «устойчивым» в случае каких-то разбирательств в суде. Подписывая обязательство о неразглашении, человек соглашается с тем, что он понял требования к нему и несёт ответственность за их выполнение. Да, человека осознанного идущего на преступление эти документы не остановят, но мировая практика показывает, что большинство утечек происходят по неосторожности или отсутствию опыта, неосведомлённости. Все эти мероприятия по обучению и проверке нужно выполнить до начала работы сотрудника с реальными данными, чтобы он сразу не наломал дров.

2. Во время работы
Обеспечение информационной безопасности во время операционной деятельности, каждодневной работы - сложнейшая тема, предмет изучения ряда дисциплин. Однако применительно к кадровой службе, необходимо обратить внимание на следующий вопросы:
1. После вводного инструктажа, сотрудник должен и дальше иметь возможность проконсультироваться по вопросам работы с данными. Он должен знать, к кому обратиться.
2. Быть мотивированным и в соблюдении действующих правил, и в продолжении обучения, освоения новых технологий. Тут на помощь могут прийти и традиционные премии, но и какие-то нематериальные поощрения - благодарность от руководства, звание самого бдительного, полезного сотрудника и т.д. - всё это отдаётся на откуп кадровой службе.
3. Ещё лучше, если на предприятии будет создан или «телефон доверия» или какой-то ящик для обращений по вопросам конфиденциальности и безопасности данных. Ведь многие сотрудники не рискнут обращаться напрямую лично в технические службы, т.к. опасаются, что их обвинят в непрофессионализме, некомпетентности, мол ответы на все вопросы можно найти в документах, сотрудник должен об этом знать из инструктажа. Без действенного механизма обратной связи многие просто промолчат о явных нарушениях, а предприятию, в конечном счёте, это будет стоить очень дорого.
4. Вовлеченность руководства во все вопросы безопасности и защиты данных. Если руководство не обращает внимание на вопросы конфиденциальности и информационной безопасности, то и у сотрудников возникает ощущение, что это совсем неважный аспект работы. Этот эффект хорошо известен в педагогике - дети берут пример с родителей.
Сейчас любой специалист сталкивается с изменениями - бухгалтера с постоянным уже в течение многих лет изменением налоговой политики, сотрудники банка - с постоянным внедрением новых систем - и внутрибанковских, и для клиентов. Есть и примеры более масштабных изменений сразу для всех сфер производства - принятие закона «О персональных данных». Самым разумным шагом является регулярное проведение тренингов для сотрудников. Руководство в первую очередь должно быть заинтересовано, чтобы они не превращались в формальность. Раз уж предприятие тратится на обучение сотрудников, процесс нужно контролировать и убеждаться, что знания «доходят» до персонала. Для всех сотрудников полезным будет прохождение инструктажа по всем видам безопасности на предприятии - производственной, пищевой, экологической, информационной. И отдельно - по специфическим направлениям. Как и при вводном инструктаже - проверять усвоение материала. Все свидетельства об обучении, результаты тестирования сохраняются в личном деле сотрудника.
Если обучение не организуется на предприятии, бо́льшая часть сотрудников заниматься самообразованием не будет никогда.
Важно заранее предупредить специалистов о существующих на предприятии мерах дисциплинарного взыскания. Это не инструмент устрашения, а механизм сдерживания, стимулирующий сотрудника придерживаться правил. Специалист должен понимать, какую ответственность он несёт в зависимости от тяжести нарушения, понимать процедуру применения взыскания. Без такой процедуры у работодателя очень мало мер воздействия, причём диапазон их применения явно неадекватен, их всего три - абстрактный выговор, увольнение, и в самых тяжелых случаях   уголовное преследование. Т.е. между выговором и увольнением инструментов нет. Первое - никого не напугает, второе - может быть бо́льшим ударом для самого предприятия, чем для сотрудника.

3. При увольнении.
Увольнение процесс обычно малоприятный, лояльность увольняющегося сотрудника к предприятию низкая. Поэтому задача по защите интересов предприятия после увольнения должна решаться заранее. Маловероятно, что уходящий сотрудник согласится подписывать дополнительные обязательства. Лучше взяв их заранее (при трудоустройстве) при увольнении деликатно напомнить ему о них, например, выдав копию.
Другая важная задача кадровой службы - проинформировать все заинтересованные службы об увольнении сотрудника, а ещё лучше при любом его долгом отсутствии. Уведомление об увольнении должны тут же получить ИТ-служба (блокируется доступ к системам), служба безопасности (отзываются доступы на объекты), склад/гараж и прочие службы. В некоторых случаях, когда сотрудник взаимодействует с внешними органами и поставщиками, проинформировать ещё и их об увольнении, представить нового сотрудника, чтобы у ушедшего не было соблазна воспользоваться тем, что его ассоциируют с прошлым местом работы. Многие предприятия имеют практику подписания обходных листов, но она не гарантирует обеспечения желаемого уровня безопасности. Часто обходные листы подписываются спустя недели и месяцы после фактического прекращения работы. Всё это время человек продолжается «числиться» в списках сотрудников. Известны случаи, когда у уволившегося сотрудников сохраняется доступ к информационным системам самого предприятия и к аккаунтам предприятия в социальных сетях, связанных с предприятием. Поэтому все ключевые подразделения должны быть оповещены о прекращении трудовых отношений сразу же. А сама процедура увольнения должны по возможности быть простой, не приносящей дополнительных трудностей бывшему сотруднику - так больше шансов сохранить его лояльность к предприятию.

Copyright © 2011 © IT-TEAM SERVICE 2024 All rights reserved. Custom Design by Youjoomla.com
Новости