КОМПЕТЕНТНОСТНЫЙ ПОДХОД К МОНИТОРИНГУ ЭФФЕКТИВНОСТИ КАДРОВОЙ РАБОТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ГОСОРГАНАХ Текст научной статьи по специальности «Экономика и бизнес»

■

ОРИГИНАЛЬНАЯ СТАТЬЯ

DOI: 10.34022/2658-3712-2021-45-4-121-129 УДК 331.104.2 JEL E24, J21

КОМПЕТЕНТНОСТНЫЙ ПОДХОД К МОНИТОРИНГУ ЭФФЕКТИВНОСТИ КАДРОВОЙ РАБОТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В ГОСОРГАНАХ

О.А. Воскресенская а, Н.М. Сладкова b

Всероссийский научно-исследовательский институт труда, Москва, Россия а https://orcid.org/0000-0002-8656-4207; b https://orcid.org/0000-0002-2260-1646

АННОТАЦИЯ

Среди факторов, влияющих на уровень цифровизации и обеспечения информационной безопасности органов государственной власти в Российской Федерации, особое место занимает степень подготовки персонала государственной службы в данной области. Объектом приведенного в статье исследования является деятельность органов власти по оценке и развитию компетенций по информационной безопасности государственных гражданских служащих. Работа базируется на ком-петентностном подходе к определению эффективности работы по обеспечению информационной безопасности в органах власти и фокусируется на вопросах мониторинга состояния работы по оценке и развитию компетенций по информационной безопасности государственных гражданских служащих. Цель исследования - разработка инструментов и методов мониторинга эффективности кадровой работы по обеспечению информационной безопасности в органах публичной власти. Методическую основу исследования составили: анализ нормативно-правовой базы, научной литературы в области лучших отечественных и зарубежных практик, данных, полученных на основании опросов представителей органов власти. В статье изложены основные результаты работы: предложены показатели и методика оценки зрелости работы органов власти по оценке и развитию компетенций по информационной безопасности государственных гражданских служащих; представлены итоги исследования состояния работы по информационной безопасности в ряде органов власти, приведены наиболее часто встречающиеся инциденты, связанные с обеспечением информационной безопасности государственными служащими, показана взаимосвязь зрелости процессов по информационной безопасности с уровнем компетенций государственных служащих в данной области. Полученные результаты могут быть использованы в деятельности кадровых и IT-служб, подразделений по информационной безопасности публичных органов власти, а также федеральными и региональными органами власти, осуществляющими функции по выработке и реализации государственной политики при нормативно-правовом регулировании в сфере информационной безопасности на государственной гражданской (муниципальной) службе. С учетом того, что обеспечение информационной безопасности относится к базовым квалификационным требованиям, перспектива решения задач в данной области видится в автоматизации процессов мониторинга на базе федеральной единой информационной системы управления кадровым составом государственной гражданской службы РФ.

Ключевые слова: Информационная безопасность; государственная служба; оценка по информационной безопасности государственных служащих; инциденты и риски по информационной безопасности; мониторинг информационной безопасности; компетентностный подход.

Для цитирования: Воскресенская О.А., Сладкова Н.М. Компетентностый подход к мониторингу эффективности кадровой работы по обеспечению информационной безопасности в госорганах. Социально-трудовые исследования. 2021;45(4):121-129. DOI: 10.34022/2658-3712-2021-45-4-121-129.

ОRIGINAL PAPER

COMPETENCY-BASED APPROACH TO MONITORING THE EFFECTIVENESS OF PUBLIC SERVICES PERSONNEL ON INFORMATION SECURITY

O.A. Voskresenskaya a, N.M. Sladkova b

All-Russian Research Institute of Labor, Moscow, Russia a https://orcid.org/0000-0002-8656-4207; b https://orcid.org/0000-0002-2260-1646

ABSTRACT

Among the factors affecting the level of digitalization and information security of public services in the Russian Federation, the training level of civil servants in this area has a special place. The object of this paper is the activities of government agencies on the assessment and development of information security competencies of civil servants. The authors apply a competency-based approach to determine the effectiveness of information security in government agencies and focus on monitoring the state of work on assessing and developing competencies in the field of information security of civil servants. The purpose of the study is to develop tools and methods for monitoring the effectiveness of personnel to ensure information security in public services. The methodological base of the study includes the analysis of the regulatory framework, scientific literature in the field of the best domestic and foreign practices, data obtained on the basis of surveys of government representatives. The research

© Воскресенская О.А., Сладкова Н.М., 2021

results: indicators and methods for assessing the maturity of the work of state bodies on the assessment and development of competencies in the field of information security of civil servants are proposed; the findings of the study on information security level in a number of instances are presented, the most frequent incidents related to ensuring information security by civil servants are given, the relationship between the maturity of information security processes and the level of competence of civil servants in this area is shown. The results of the study may be used in the activities of HR and IT-services, information security divisions of public services, as well as by federal and regional authorities responsible for the development and implementation of state policy in legal regulation on information security in the public civil service. Provided the information security is one of the basic qualification requirements, the prospect of solving problems in this area is seen in the automation of monitoring processes based on the federal unified information system for personnel management of the civil service of Russia. Keywords: information security; civil service; information security assessment of civil servants; information security incidents and risks; information security monitoring; competency-based approach.

Для цитирования: Voskresenskaya O.A., Sladkova N.M. Competency-based approach to monitoring the effectiveness of public services personnel on information security. Social and labor research. 2021;45(4):121-129. DOI: 10.34022/2658-3712-2021-45-4-121-129.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: РИСКИ, СВЯЗАННЫЕ С ЧЕЛОВЕЧЕСКИМ ФАКТОРОМ

Вместе с ростом в последние годы масштабов цифровизации увеличиваются риски реализации угроз, связанных с информационной безопасностью (ИБ), для частных, корпоративных и государственных интересов. Ежегодно в глобальной сети обнаруживаются миллиарды вредоносных объектов, количество которых год от года увеличивается примерно на 40 % [1, 2]. Итоги 2020 г. на фоне развития дистанционных технологий свидетельствуют о росте инцидентов, связанных с уязвимостью корпоративных сервисов (доля таких атак выросла на 30 % к концу года), кражей регистрационных данных для подключения к системам аудио- и видеосвязи, в том числе Skype, Webex и Zoom, атаками криптолокеров (так называемых «шифровальщиков»), блокирующих доступ пользователей к файлам на компьютере и других1.

Растущие риски для владельцев данных [3], особенно в сфере государственных интересов, требуют постоянного внимания к уровню обеспечения информационной безопасности, которая в Доктрине информационной безопасности Российской Федерации, утвержденной Приказом Президента РФ от 5 декабря 2016 г. № 646, определяется как «состояние защищенности личности, общества и государства от внутренних и внешних информационных угроз, при котором обеспечиваются реализация конституционных прав и свобод человека и гражданина, достойные качество и уровень жизни граждан, суверенитет, территориальная целостность и устойчивое социально-экономическое развитие Российской Федерации, оборона и безопасность государств». В том же документе среди мер по обеспечению

1 URL: https://ib-bank.ru//bisjournal/news/15015

ИБ «по прогнозированию, обнаружению, сдерживанию, предотвращению, отражению информационных угроз и ликвидации последствий их проявления» отдельно выделены кадровые меры, а в качестве «силы» обеспечения информационной безопасности определены «государственные органы, а также подразделения и должностные лица государственных органов, органов местного самоуправления и организаций, уполномоченные на решение в соответствии с законодательством Российской Федерации задач по обеспечению информационной безопасности». С 2018 г. в Российской Федерации реализуется федеральный проект «Информационная безопасность»2 как часть национальной программы «Цифровая экономика»3. Однако, несмотря на растущие темпы преобразований в области ИБ, есть еще немало нерешенных проблем. Так, по мнению ряда специалистов [4], одним из факторов, сдерживающих инновационное развитие государственной сферы и обеспечение требуемого уровня безопасности, является недостаточный уровень компетенций у персонала соответствующих подразделений.

Наиболее распространенные угрозы в области работы с информацией, связанные с человеческим фактором, можно сгруппировать следующим образом [5]:

• Угрозы, связанные с утечками конфиденциальной информации с компьютеров сотрудников, переносных носителей информации.

• Угрозы, связанные с действиями внешних и

2 См. Паспорт федерального проекта «Информационная безопасность»: URL: https://files.data-economy.ru/Docs/Pass_ Cybersecurity.pdf

3 См.: Паспорт национальной программы «Цифровая экономика Российской Федерации» (2020). URL: https://digital.gov.ru/ uploaded/files/natsionalnaya-programma-tsifrovaya-ekonomika-rossijskoj-federatsii_NcN2nOO.pdf (дата обращения: 4.06.2020).

внутренних злоумышленников, в том числе за счет предоставления удаленного доступа к данным злоумышленнику, заражение компьютеров и серверов различным вредоносным кодом через подключаемые периферийные устройства и интернет (спам-письма, фишин-говые сайты, взломанное ПО и т.п.) и др. • Угрозы нарушения целостности или недоступности информации из-за ошибок пользователей, администраторов: несанкционированное изменение системной конфигурации, файлов, баз данных, некачественно написанное программное обеспечение, скрипты и т.п. «Уровень угроз в информационном пространстве повышается, число рисков увеличивается, а негативные последствия разного рода кибератак носят уже не локальный, а глобальный характер и масштаб», - было отмечено на «Инфофору-ме-2018».

Для того, чтобы достоверно определить степень влияния профессиональной подготовки профильных кадров той или иной организации или органа власти на уровень информационной безопасности и профилактики рисков по данному направлению, используем компетентностный подход к управлению рисками в области ИБ.

КОМПЕТЕНТНОСТНЫЙ ПОДХОД К УПРАВЛЕНИЮ РИСКАМИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Компетенции являются центром, вокруг которого строится система управления [6], а для того, чтобы компетентностный подход был более эффективен и достиг поставленной цели необходимо наличие модели компетенций, системы их оценки, развивающей обратной связи по итогам оценки, стандартов, обучения и других мер, направленных на развитие компетенций и уровня управления в целом. В масштабах государственного управления можно также говорить о мониторинге деятельности публичных органов по развитию компетенций.

Отправной точкой применения данного подхода можно считать построение модели компетенций с перечнем набора знаний, умений, навыков и описывающей индикаторы поведения сотрудника, необходимые для достижения требуемых результатов.

Такого рода задача стояла перед авторами в 2019 г., в начале работы по созданию методического аппарата степени оценки подготовленности государственных гражданских служащих в области обеспечения информационной без-

опасности [5, 7]. Для системного охвата требований, предъявляемых к служащим для достижения необходимого уровня обеспечения ИБ, было проанализировано более 30 нормативных актов, разработанных ФСТЭК России, ФСБ России и Национального координационного центра по компьютерным инцидентам (НКЦКИ), регламентирующих работу Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА), Центральным Банком России и Минтрудом России, положения разработанного Минтрудом России4 Справочника квалификационных требований к специальностям, направлениям подготовки, знаниям и умениям, которые необходимы для замещения должностей государственной гражданской службы с учетом области и вида профессиональной служебной деятельности государственных гражданских служащих.

Для систематизации собранных требований был применен матричный подход на базе модели цифровых компетенций, предложенной в рамках саммита «Группы двадцати» (G20) 2017 г.5 В результате была разработана модель компетенций, отражающая требования к обеспечению информационной безопасности для каждой из 4 групп гражданских служащих (специалистов по информационной безопасности, специалистов по информационным технологиям, руководителей и всех остальных служащих) по 5 видам грамотности: информационной, компьютерной, коммуникативной, медиа-грамотности и грамотности внедрения технологических инноваций.

Сформированная модель компетенций позволила разработать оценочные задания с учетом требований к каждой из целевых групп: 751 тестовый вопрос, кейсы и симуляционные задания, а также методические рекомендации по их применению в различных процедурах оценки и по разработке программ по развитию данных компетенций. Оценочный комплекс успешно прошел апробацию и экспертизу регуляторов,

4 О подготовке Справочника в соответствии с частью 8 статьи 12 Федерального закона от 27 июля 2004 г. № 79-ФЗ «О государственной гражданской службе Российской Федерации» было объявлено в письме Минтруда России от 26 апреля 2017 г. № 18-1/10/В-3260. Обновленная версия справочника подготовлена на основе предложений государственных органов, поступивших в Минтруд России в 2018 г. - I квартале 2019 г.

5 Bridging the Digital Divide: Measuring Digital Literacy, G20 Insights (2017). URL: https://www.g20-insights.org/policy_briefs/ bridging-digital-divide-measuring-digital-literacy/ (дата обращения: 16.04.2020).

однако для полноты реализации компетентност-ного подхода к управлению, в том числе рисками по информационной безопасности, необходимо было разработать типовые показатели и процедуру мониторинга на уровне всей государственной службы.

За базовый уровень состояния деятельности по оценке и развитию компетенций по информационной безопасности условно можно принять результаты опроса 2020 г. среди специалистов кадровых служб, по информационной безопасности и информационным технологиям 66 ФОИВ, территориальных органов ФОИВ и ОИВ 83 субъектов РФ (всего более 700 ОИВ федерального и регионального уровня), в котором приняло участие 3673 служащих [5]. Результаты опроса свидетельствуют, что работа по оценке и развитию компетенций в области информационной безопасности в органах публичной власти по состоянию на 2020 г. не в полном объеме готова обеспечить их необходимый уровень. Всего 31 % (1123) респондентов отметили периодичность оценки данных компетенций один раз в три года (в ходе аттестации), в рамках конкурсных процедур на замещение должностей государственной гражданской службы - менее 1 % (пять опрошенных).

Для подтверждения гипотезы о возможности применения компетентностного подхода для мониторинга обеспеченности информационной безопасности в органах власти и, в частности, наличия потенциальных рисков в данной области было проведено исследование типовых инцидентов и уровня зрелости по ИБ. С этой целью на этапе апробации методического аппарата проводился опрос профильных ИТ- и ИБ-специалистов, непосредственно отвечающих за обеспечение ИБ.

Респонденты отвечали на вопросы, сгруппи-рованые в три раздела и направленные:

• на уточнение степени зрелости процессов обеспечения ИБ в пилотном проекте для проведения корреляции полученных результатов выполнения оценочных заданий на этапе апробации со степенью зрелости процессов обеспечения ИБ;

• на выявление типовых инцидентов ИБ, происходящих по причине недостаточных знаний госслужащих в вопросах обеспечения ИБ, с целью формирования тем для кейсов и симуля-ционных заданий;

• на сбор пожеланий по направлениям совершенствования оценочных средств для госслужащих с целью определения перспективных направлений работ по данной тематике.

Таблица 1 / Table 1

Критерии оценки степени зрелости процессов обеспечения информационной безопасности / Criteria for assessing the degree of maturity of information security processes

№ п/п Наименование критерия / Criterion Диапазон значений критерия / Range of values of the criterion Вес критерия / Criterion weight

1. Уровень требований по ИБ 1-5 0,3

2. Нормативное обеспечение ИБ 1-5 0,2

3. Техническое обеспечение ИБ 1-5 0,3

4. Обеспечение подготовки персонала по вопросам ИБ 1-5 0,2

Источник/Source: составлено авторами / compiled by the authors.

После изучения заполненных анкет дополнительно проводилось углубленное интервьюирование посредством телефонной и видеоконференц-связи (в связи с ограничениями, вызванными эпидемиологической ситуацией), в ходе которого фиксировались дополнительные существенные детали.

Для оценки степени зрелости процессов обеспечения ИБ были сформированы критерии оценки, охватывающие ключевые направления обеспечения ИБ (табл. 1).

На основе результатов анкетирования и интервьюирования была проведена оценка степени зрелости процессов обеспечения ИБ в каждом пилотном проекте (табл. 2).

Полученные данные сопоставлялись также с численностью органов власти6, участвующих в апробации (пилотном проекте).

Поведенная оценка степени зрелости процессов обеспечения ИБ в пилотных ОГВ показала прямую зависимость между масштабами информационной системы ОГВ, определяемой численностью сотрудников, и степенью зрелости процессов обеспечения ИБ. Чем крупнее информационная система ОГВ, тем выше степень зрелости процессов обеспечения ИБ, так как к более крупным системам предъявляются более строгие требования по обеспечению ИБ и, соответственно, реализуются более развитые меры защиты (рис. 1).

На основе результатов анкетирования было выделено 3 группы типовых инцидентов по обеспечению ИБ государственными служащими:

6 Численность государственных органов Российской Федерации. URL: https://mintrud.gov.ru/opendata/7710914971-government_agencies.

Численность работников федеральных государственных органов. URL: https://minfin.gov.ru/OpenData/7710168360-FGO_ staff/

Таблица 2/ Table 2

Результаты оценки степени зрелости процессов обеспечения информационной безопасности в пилотных проектах / Results of the assessment of the degree of maturity of information security processes in pilot projects

№ п/п Наименование органа государственной власти (ОГВ) / Government agency Значение критерия / Criterion value Значение критерия с учетом веса / Criterion value considering weight Итоговое значение оценки степени зрелости / Final value of the assessment of the maturity degree

1 2 3 4 1 2 3 4

1. ОГВ 1 (высший орган исполнительной власти субъекта) 4 5 3,5 3 1,2 1 1,1 0,6 3,85

2. ОГВ 2 (высший орган исполнительной власти субъекта) 3,5 4,5 3,5 3,5 1,1 0,9 1.1 0,7 3,7

3. ОГВ 3 (федеральный орган власти) 4,5 5 5 4 1,4 1 1,5 0,8 4,65

4. ОГВ 4 (федеральный орган власти) 1 4 2,5 5 0,3 0,8 0,8 1 2,85

Источник/Source: составлено авторами / compiled by the authors.

Инциденты, имеющие высокую степень распространения (выявлены во всех пилотных проектах):

• Открытие фишинговых писем и переход на фишинговые сайты.

• Заражение служебного компьютера вредоносными программами при посещении сайтов в сети Интернет.

• Заражение служебного компьютера вредоносными программами при открытии вложений, пришедших по электронной почте.

• Инциденты, имеющие степень распространения выше средней (в трех пилотных ОГВ).

• Передача пароля и/или иных учетных данных другим служащим.

• Инциденты, имеющие среднюю степень распространения (в двух пилотных ОГВ).

• Использование служебного компьютера в личных целях.

• Установка на служебный компьютер программного обеспечения без согласования.

• Использование незарегистрированных съемных носителей (ШВ-диски, флеш-накопители и т.п.).

• Пересылка служебных документов по электронной почте на внешние адреса. Высокая и средняя степень распространения

инцидентов в органах государственной власти демонстрирует значительное количество (3-4 типа) инцидентов, напрямую связанных с низким уровнем компетенций и мотивационных установок (рис. 1).

Также при обработке результатов анкетирования было выявлено, что ни в одном из пилотных проектов не был отмечен риск «Разглашение информации в результате использования злоумышленником социальной инженерии», что предположительно является следствием относительной закрытости информационных систем ОГВ и низкой привлекательности госслужащих как объекта для целенаправленного интереса со стороны злоумышленников - социальных инженеров.

I I I

I Доля госслужащих, успешно прошедших оценку Степень зрелости процессов обеспечения ИБ

5

4,5

4

2

1,5 1

0,5 0

Рис. 1 / Fig. 1. Корреляция уровня развития компетенций госслужащих по информационной безопасности со степенью зрелости процессов обеспечения информационной безопасности в органе государственной власти / Correlation of the level of development of civil servants ' competencies in information security with the degree of maturity of information security processes in a government agency

Источник/ Source: составлено авторами / compiled by the authors.

Выявленная закономерность между уровнем цифровизации органов власти, состоянием информационной безопасности, наличием негативных инцидентов, с одной стороны, и уровнем развития компетенций государственных служащих в области информационной безопасности, с другой, позволила приступить к разработке системы мониторинга, одной из задач которого стало прогнозирование потенциальных рисков по информационной безопасности на базе компетентност-ного подхода.

МОНИТОРИНГ УРОВНЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ: ЦЕЛИ И МЕТОДЫ

Мониторинг представляет собой систему мероприятий по сбору, анализу и оценке информации

об использовании методического аппарата, включающего оценочные средства, методику оценки

степени подготовленности кандидатов и государственных служащих в сфере обеспечения информационной безопасности в органах власти, а также результаты оценки и реализации мер по развитию компетенций профильных госслужащих.

90%

3

70%

5 50%

ОГВ 1

ОГВ 2

ОГВ 3

ОГВ 4

Таблица 3/ Table 3

Методы и инструменты, используемые в ходе мониторинга / Monitoring methods and tools

Задачи мониторинга использования методического аппарата (далее в таблице МА) / Objectives of monitoring the use of the methodological apparatus (hereinafter MA) Методы / Methods Инструменты / Tools

Организация информационного взаимодействия субъектов мониторинга Совещания рабочих групп (РГ) в формате онлайн и очном режиме Письма- запрос. Протоколы РГ Zoom и другие ИТ-платформы дистанционного взаимодействия

Сбор и системный анализ объективной информации, характеризующей степень использование методического аппарата и состояние работы (уровень зрелости) по оценке и развитию компетенций по информационной безопасности Анализ на основе критериев оценки уровня зрелости использования МА, показателей использования МА и уровня компетенций госслужащих ЕИСУКС1 (после создания такого процесса в модуле, связанном с «оценочными средствами») «360 градусов» Тесты на проверку компетенций по ИБ

Определение текущего состояния и выработка рекомендаций по работе органов публичной власти в области оценки и развития компетенций по информационной безопасности: Степень актуальности оценочных средств (проводится независимым экспертом) Объем и организационное обеспечение использования оценочных средств (данные ОГВ) Уровень компетенций госслужащих по информационной безопасности в динамике (данные ОГВ) Сопоставление значений показателей со значениями предыдущего периода, бенч-маркинг (сравнение с другими органами власти), моделирование Типовые рекомендации, соответствующие определенному уровню зрелости

Формирование сводного отчета с рекомендациями по планированию и проведению мероприятий по устранению факторов, способствующих появлению и реализации угроз информационной безопасности для органов публичной власти, связанных с человеческим фактором Синтез, описание Формат отчета на бумажном носителе (в ЕИСУКС формируется - автоматически)

Источник/Source: составлено авторами / compiled by the authors.

1 Единая информационная система управления кадровым соста URL: https://gossluzhba.gov.ru/

Предлагаемая система мониторинга способна выполнять три роли':

• информационную (своевременный сбор достоверной информации по наиболее важным показателям);

• диагностическую (выявление индикаторов и рисков безопасности, их оценка);

• аналитическую (оценка изменения индикаторов, уровня и характера их отклонения от пороговых значений; оценка состояния деятельности в сфере информационной безопасности и формирование предложений по ее совершенствованию).

Цель мониторинга - получение обоснованных данных об объеме и эффективности работы по оценке и развитию компетенций госслужащих в сфере обеспечения ИБ госорганов для принятия решений по совершенствованию методического аппарата и его использования, для планирования мероприятий по устранению факторов, способствующих появлению и реализации угроз ИБ для органов власти, связанных с человеческим фактором.

7 Каранина Е.В. Гусейнзаде Р.Н. Системы мониторинга экономической безопасности деятельности хозяйствующих субъектов. Актуальные вопросы современной науки и образования. Сборник научных статей по материалам XVIII международной научно-практической конференции, Киров, 19-22 мая 2020 года. Киров: Московский финансово-юридический университет МФЮА, Кировский филиал. 2020. С. 433-445.

м государственной гражданской службы РФ.

Для достижения цели с учетом вышеупомянутых ролей мониторинга необходимо решать комплекс задач по организации информационного взаимодействия его субъектов, сбору объективной информации по фактическому использованию методического аппарата и состоянию работы по оценке и развитию компетенций по ИБ, обеспечению системного анализа получаемой информации и подготовке сводного отчета по итогам мониторинга и рекомендаций по планированию и проведению мероприятий по устранению факторов, способствующих появлению и реализации угроз ИБ для органов публичной власти, связанных с человеческим фактором.

Качество результатов мониторинга. в первую очередь, определяется правильностью подбора методов и инструментов его проведения8 [6], которые должны соответствовать его задачам (табл. 3) Методологической основой для проведения анализа уровня зрелости работы органов власти по обеспечению информационной безопасности государственными служащими была выбрана концепция результат-ориентированной

8 Маркин В.В. Мониторинг в системе оказания государственных и муниципальных услуг как инструмент реализации стратегии повышения качества государственного и муниципального управления: опыт, проблемы, рекомендации // Учебное посо-

бие. Авторы: Неделько С.И., Осташков А.В., Матюкин С.В., Ре-тинская В.Н., Мурзина И.А., Кревский И.Г., Луканин А.В., Кошевой О.С. Москва, Изд-во Эксклибрис Пресс. 2008. 321 с.

системы труда, разработанная ФГБУ «ВНИИ труда» Минтруда России в 2017 г.9 [8].

Ключевым моментом в мониторинге является определение уровня зрелости работы органов власти по обеспечению информационной безопасности и соотношение с фактическими показателями эффективности данной работы.

Оценка зрелости формируется участниками мониторинга со стороны органов власти с использованием технологии «360 градусов» при участии не менее 4-х сотрудников от каждого органа власти: по одному сотруднику от кадровой службы, ИТ-, ИБ-, и любого другого подразделения). Участники заполняют чек-листы (или специальные онлайн-формы) по: документаци-онному и информационному обеспечению развития компетенций ИБ; использованию оценочных средств; наличию ресурсов для проведения оценки; использованию результатов оценки для развития компетенций в области ИБ госслужащих. Каждая из перечисленных областей анализа включает конкретные критерии.

Документационное и информационное обеспечение оценивается на основании наличия и использования стандарта (регламента) по информационной безопасности, включающего раздел (информацию) по оценке компетенций по ИБ и памятки для подготовки к оценке, размещенной в доступе для служащих и кандидатов.

Процессы в области развития компетенций по ИБ оцениваются через фактический объем использования оценочных средств по информационной безопасности в ЕИСУКС для оценки кандидатов при проведении конкурсных процедур, для ежегодной оценки и при проведении аттестационных процедур.

Привлечение кадровых ресурсов ИТ+ИБ-подразделений или специалистов оценивается специалистами по информационной безопасности органа власти при планировании и реализации мероприятий по оценке и развитию компетенций по ИБ.

Использование результатов оценки по ИБ оценивается на основании данных по предоставлению обратной связи по итогам оценки со стороны оцениваемых служащих (кандидатов), руководителей оцениваемых служащих: удовлетворенность специалистов кадровой службы удобством, полнотой, скоростью, отсутствием сбоев при ис-

9 Автоматизированный диагностический онлайн-комплекс РОСТ. Платыгин Д.Н., Омельченко И.Б., Сладкова Н.М., Кузнецова Е.А., Михина Т.В., Джума В.И. Свидетельство о регистрации программы для ЭВМ RU 2019617410, 06.06.2019. Заявка № 2019616391 от 03.06.2019

Динамика эффективности

высокая

средняя 4

яак <2> 3

¡j О < >

базовый развивающийся устоявшийся зрелый Уровни зрелости

Область рисков Область развития Область Область подтвержденной

Рис. 2/ Fig. 2. Матрица зрелости и эффективности / Maturity and effectiveness matrix

Источник/ Source: составлено авторами / compiled by the authors.

пользовании методического аппарата на базе ЕИСУКС (от 1 до 5 баллов, где 1 - совершенно неудовлетворительно, 2 - неудовлетворительно,3 -удовлетворительно, 4 - хорошо, требует минимум доработок, 5 - превосходно), с комментариями, обосновывающими оценку, и предложениями10.

Временные затраты на заполнение оценочной формы (чек-листа), предлагаемой государственным служащим, не превышают 10-15 минут. В дальнейшем автоматизация заполнения и обработки чек-листов позволит в максимально короткие сроки собирать и обрабатывать данные в модуле ЕСИУКС и автоматически формировать обобщенный результат (отчет) по чек-листам, определяющий уровень зрелости работы по компетенциям обеспечения ИБ.

Полученные данные позволяют определить уровень зрелости ОГВ в области работы по развитию компетенций госслужащих по информационной безопасности по 4 уровням: базовому, развивающемуся, устоявшемуся и зрелому.

Оценку эффективности рекомендуется проводить за отчетный (анализируемый) период по следующим 4 показателям:

1. Доля инцидентов по ИБ, не связанных с человеческим фактором, в общем количестве инцидентов по ИБ.

2. Доля кандидатов, прошедших оценку по ИБ с использованием оценочных средств в ЕИСУКС.

3. Доля кандидатов, успешно прошедших оценку по ИБ с использованием оценочных средств в ЕИСУКС.

10 Удовлетворенность измеряется по каждому критерию с использованием формы, которая может быть реализована в ЕИСУКС.

4. Доля служащих, прошедших обучение (инструктаж) по ИБ по итогам оценки от общей численности служащих, получивших неудовлетворительную оценку.

Уровень эффективности определяется на основе интеграции перечисленных 4 показателей по формуле:

Э = £Шхш=П1ха1+П2ха2+П3ха3+П4ха4,

где О - показатели эффективности, ai - коэффициент значимости (вес) каждого показателя в структуре интегральной эффективности, £ш=1. На начальном этапе мониторинга устанавливается равный вес каждого показателя -а1=а2=а3=а4=0,25. В последующие периоды, при накоплении информации о влиянии того или иного показателя на эффективность работы по развитию компетенций госслужащих в области ИБ, на основе статистических данных и экспертной оценки может быть проведена настройка системы и установление соответствующих значений коэффициентов значимости.

Кроме того, в перспективе возможно определение динамики эффективности одним из перечисленных способов:

ДЭjб = ^-Э0)/Э0 - прирост эффективности в j-м периоде относительно базового

ДЭj = ^^-1)^-1 - прирост эффективности в j-м периоде относительно предыдущего ^-1)

ДЭср = ДЭпб/(п-1) - средний абсолютный прирост эффективности за совокупность периодов п (обобщающий показатель динамики изменения эффективности).

Полученные данные по уровню зрелости и интегральному показателю эффективности позволяют сформировать матрицу зрелости и эффективности ОГВ по работе с кадрами по обеспечению информационной безопасности.

Для построения матрицы (рис. 2) используются показатели зрелости (ось Х) и эффективности (ось У).

Зафиксированная в матрице точка пересечения уровней зрелости и эффективности позволяет определить текущее положение дел по компетенциям и условиям их развития в органе власти и выработать обобщенные рекомендации для ОГВ. Подспорьем для выработки решений по определению необходимых образовательных и иных мероприятий по повышению эффективности работы могут послужить типовые рекомендации, разработанные в ходе данной работы.

В дальнейшем аналитические отчеты для органов власти по итогам мониторинга могут формироваться в ЕИСУКС с помощью специализированных подсистем [9], что дает не только возможность оптимизировать временные затраты на проведение мониторинга, но и с использованием обезличенных данных сравнивать его результаты в разных органах власти (проводить бенчмаркинг), что позволит повысить своевременность и обоснованность управленческих решений.

ВЫВОДЫ

Человеческий фактор играет ведущую роль среди факторов, влияющих на уровень цифрови-зации и обеспечения информационной безопасности государственных органов власти в Российской Федерации. Приведенным исследованием подтверждена прямая взаимосвязь наличия потенциальных рисков информационной безопасности, связанных с человеческим фактором (в том числе недостаточным уровнем компетенций) и уровнем зрелости процессов, по обеспечению необходимыми компетенциями, реализуемых органами власти в этой области.

Описанные в статье инструменты и методы мониторинга эффективности кадровой работы по обеспечению информационной безопасности в органах публичной власти, выбранные с учетом компетентностного подхода, позволяют не только определить уровень развития компетенций и необходимость совершенствования инструментария для их оценки, но и прогнозировать потенциальные риски по информационной безопасности в органах власти.

Результаты работы представляют интерес для кадровых и 1Т-служб, подразделений по информационной безопасности органов публичной власти, федеральных и региональных регуляторов в области информационной безопасности на государственной гражданской (муниципальной) службе.

Подверженная исследованиями востребованность методического аппарата может значительно повысить своевременность и качество принимаемых решений в исследуемой области. Автоматизация процессов оценки и мониторинга на базе единой федеральной системы управления кадровым составом государственной гражданской службы РФ в ближайшей перспективе имеет высокий потенциал снижения временных затрат кадровых служб.

СПИСОК ИСТОЧНИКОВ

1. Бураева Л.А. О некоторых вопросах обеспечения кибербезопасности в современных условиях. Теория и практика общественного развития. 2015;(13):96-99.

2. Бураева Л.А. Террористические объединения в глобальном информационном пространстве. Пробелы в российском законодательстве. 2014;(3): 274-276.

3. Двинских Д.Ю., Талапина Э.В. Риски развития оборота данных в государственном управлении. Вопросы государственного и муниципального управления. 20l9;(3):7-30.

4. Куракин А.В., Костенников М.В. Государственная служба и информационная безопасность. Вопросы безопасности. 2014;(6):18-67.

5. Сладкова Н.М., Ильченко О.А., Степаненко А.А., Шапошников В.А. Особенности оценки компетенций по информационной безопасности государственных и муниципальных служащих. Вопросы государственного и муниципального управления. 2021;(1):122-149.

6. Воронина А.В. Использование компетентностного подхода в управлении рисками организации / А.В. Воронина, О.В. Гуденица // Наука и образование: хозяйство и экономика; предпринимательство; право и управление. 2019;8(111):28-31.

7. Сладкова Н.М., Степаненко А.А., Ильченко О.А., Шапошников В.А. Квалификационные требования к государственным служащим в модели цифровых компетенций. Государственная служба. 2020;22(6(128)):46-56. DOI 10.22394/2070-83782020-22-6-46-56.

8. Сладкова Н.М., Ильченко О.А. РОСТ: эффективный инструментарий оценки барьеров и определения драйверов производительности труда. Социально-трудовые исследования. 2020; 1(38):126-138. DOI 10.34022/2658-3712-2020-38-1-126-138.

9. Мирзоян М.В., Солянов К.С. Разработка информационной системы мониторинга и анализа эффективности управления человеческим капиталом в системе государственной гражданской службы. Вестник Алтайской академии экономики и права. 2019;(1-2):108-119.

REFERENCES

1. Buraeva L.A. On Some Issues of Ensuring Cybersecurity in Modern Conditions. Theory and practice of social development. 2015;(13):96-99. (In Russ.).

2. Buraeva L.A. Terrorist Associations in the Global Information Space. Probely v rossiiskom zakonodatel'stve = Gaps in Russian legislation. 2014;(3):274-276. (In Russ.).

3. Dvinskikh D.Yu., Talapina E.V. Risks of Data Turnover Development in Public Administration. Public Administration Issues. 2019;(3):7-30.

4. Kurakin A.V., Kostennikov M.V. Public Service and Information Security. Voprosy Bezopasnosti = Security Questions. 2014;(6):18-67. (In Russ.).

5. Sladkova N.M., Ilchenko O.A., Stepanenko A.A., Shaposhnikov V.A. Features of assessment of competencies in information security of state and municipal employees. Public Administration Issues. 2021;(1):122-149.

6. Voronina A.V. The use of a competence-based approach in risk management of an organization / A.V. Voronina, O. V. Gudenitsa// Nauka i obrazovanie: khozyaistvo i ehkonomika; predprinimatel'stvo; pravo i upravlenie = Science and education: economy and economics; entrepreneurship; law and management. 2019;8(111):28-31. (In Russ.).

7. Sladkova N.M., Stepanenko A.A., Ilchenko O.A., Shaposhnikov V.A. Qualification requirements for civil servants in the model of digital competencies. Gosudarstvennaya sluzhba = Public service. 2020;22(6(128):46-56. DOI 10.22394/2070-8378-2020-22-646-56.

8. Sladkova N.M., Ilchenko O.A. GROWTH: Effective tools for assessing barriers and determining drivers of labor productivity. Social and labor research. 2020:38(1):126-138. DOI 10.34022/2658-3712-2020-38-1-126-138. (In Russ.).

9. Mirzoyan MV, Solyanov K.S. Development of an information system for monitoring and analyzing the effectiveness of human capital management in the system of state civil service. Bulletin of the Altai Academy of Economics and Law. 2019;(1-2):108-119. (In Russ.).

ИНФОРМАЦИЯ ОБ АВТОРАХ / ABOUT THE AUTHORS

Ольга Александровна Воскресенская - руководитель проектов, Всероссийский научно-исследовательский институт труда Министерства труда и социальной защиты Российской Федерации, Москва, Россия

Ol'ga A. Voskresenskaya - Project Manager, All-Russian Research Institute of Labor of the Ministry of Labor

and Social Protection of the Russian Federation, Moscow, Russia

O.Voskresenskaia@vcot.info

Надежда Михайловна Сладкова - кандидат педагогических наук, директор по развитию, Всероссийский научно-исследовательский институт труда Министерства труда и социальной защиты Российской Федерации, Москва, Россия

Nadezhda M. Sladkova - Cand. Sci. (Pedag.), Development Director, All-Russian Research Institute of Labor of the Ministry of Labor and Social Protection of the Russian Federation, Moscow, Russia n.sladkova@vcot.info

Статья поступила в редакцию 18.10.2021; после рецензирования 28.10.2021, принята к публикации 29.10.2021. Авторы прочитали и одобрили окончательный вариант рукописи.

The article was submitted on 18.10.2021; revised on 28.10.2021 and accepted for publication on 29.10.2021. The authors read and approved the final version of the manuscript.