МОДЕЛЬ ОПРЕДЕЛЕНИЯ УРОВНЯ ЗАЩИЩЕННОСТИ СИСТЕМЫ ОТБОРА ПЕРСОНАЛА ОРГАНИЗАЦИИ Текст научной статьи по специальности «Экономика и бизнес»

УДК 65.012.8

Ю. Д. Фот, кандидат технических наук, доцент, ФГБОУ ВО «Оренбургский государственный университет»

А. С. Боровский, доктор технических наук, доцент, ФГБОУ ВО «Оренбургский государственный университет»

МОДЕЛЬ ОПРЕДЕЛЕНИЯ УРОВНЯ ЗАЩИЩЕННОСТИ СИСТЕМЫ ОТБОРА

ПЕРСОНАЛА ОРГАНИЗАЦИИ

Статья посвящена одному из вариантов оценки рисков информационной безопасности в системе отбора персонала и определению уровня защищенности системы, где под уровнем защищенности системы понимается совокупность различных вариантов программно-аппаратных средств защиты информации. Для определения затрат на приобретение средств защиты информации предлагается проводить анализ рисков информационной безопасности системы отбора персонала, который позволит оценить существующий уровень защищенности. В статье также рассматриваются вероятные потери от реализации угрозы. Предложена условная схема принятия решения по обоснованию мер защиты информационных ресурсов системы отбора персонала. Разработана модель внедрения средств защиты информации в систему отбора персонала, достоинством которой является то, что описанный объем работ по проведению оценки рисков, показывает количественные потери от возможного ущерба системе отбора персонала, и возможные пути устранения данных потерь с помощью средств защиты информации.

Ключевые слова: риск информационной безопасности, вероятность реализации угроз, ущерб от реализации угроз, средства защиты информации, эффект внедрения средств защиты информации.

Введение

Отбор персонала и оценка профессиональной пригодности человека на вакантную должность играет важную роль в управлении предприятием. Неверное решение при подборе сотрудника либо приём неквалифицированного сотрудника может привести к значительным экономическим убыткам. Данные вопросы достаточно хорошо представлены в работах Н. Харландера и К. Хейдака (монография «Кадровая политика предприятия»), Ф. Шмидта и Д. Хантера [1]. Однако как показал анализ выделенных работ, что наряду с глубокой проработанностью проблемы, нет анализа вопросов касающихся автоматизации контроля в процессе отбора персонала и защиты их конфиденциальной информации, что часто приводит к ошибкам, а затем отражается в повышении текучести кадров, росте затрат. В работе [3] даны рекомендации по внедрению современных технологий в процесс отбора персонала и предложена методика эффективности их применения, однако автор не рассматривают задачу обеспечения информационной безопасности (ИБ) данных технологий, которая может значительно повлиять на эффективность их применения.

В работах [6, 7] рассмотрены вопросы достоверности данных в системе отбора персонала (СОП), но для устойчивого функционирования системы, предотвращения угроз безопасности, недопущения хищения данных, разглашения, утраты, утечки, искажения и уничтожения информации требуется внедрение средств защиты информации. Это особенно важно при отборе персонала на крупных производственных предприятиях и в кадровых агентствах, где хранится значительный объем данных

о кадрах (о кандидатах), методах отбора персонала, требованиях к вакансиям, сведениях о результатах отбора и заявках и другие сведения. Поэтому и вопросы сбалансированности затрат на средства защиты информации и их эффективности остаются на сегодняшний день актуальны.

Постановка задачи

1. Определить уровень защищенности системы отбора персонала, с учетом стоимости информационных ресурсов и средств защиты информации.

2. Определить влияние выбора средств защиты информации на эффективность отбора персонала.

Основная часть

В процессе исследования была разработана общая модель отбора персонала с использованием средств автоматизации, представленная на рисунке 1.

Входящими данными в СОП являются заявки на подбор персонала от работодателя, на основе которых производится формирование требований к соискателям, и анкетные данные кандидата, анализ которых проводится на основе психологического тестирования и данных от третьих лиц (бывших работодателей). При их автоматизированной обработке, путем анализа соответствия данных кандидата требованиям вакансии, формируется результат отбора, который предоставляется работодателю и соискателю.

Для дальнейших рассуждений введем критерий: показатель эффективности отбора персонала Е, за него примем вероятность качественной работы системы отбора персонала.

Рисунок 1. Модель системы отбора персонала

Критерий оценки эффективности отбора персонала выражается в минимизации вероятности ошибки распознавания кандидатуры а, зависящей от сохранности информационных ресурсов в БД, в максимизации достоверности поступивших сведений кандидата е1 и эффекта внедрения средств защиты информации в систему отбора персонала К

Поэтому, сформулируем задачу синтеза средств защиты информации следующим образом: необходимо выбрать такой вариант средств защиты информации, который соответствовал бы качественной работе системы отбора персонала, выраженной через его эффект внедрения средств защиты информации зависящий от ущерба от реализации угрозы S(У), оценки риска информационной безопасности системы отбора персонала RУ при допустимых затратах на средства защиты информации 22.

За счет введения в систему отбора персонала средств защиты информации, обеспечивается возможность уменьшения времени, затрачиваемое на восстановление системы t10, возникающее в ходе реализации какого-либо вида угроз или их совокупностью (двумя и более). Таким образом, фактическое время работы системы отбора персонала 1ф уменьшается. Однако, время работы автоматизированной системы t11 при внедрении средств защиты информации увеличивается, поэтому необходимо установить ограничение по времени, при котором фактическое время работы системы отбора персона-

ла tф не должно превышать требуемого времени tm.

Тогда, эффективность отбора персонала при построении системы отбора персонала имеет следующий вид:

е1 • (1-аг.)

Е=-

1=1

-» тах;^ < г

(1)

где:

Е - эффективность отбора персонала; ^ - эффект внедрения средств защиты информации в систему отбора персонала; 2 - затраты системы отбора персонала, представленные как совокупность затрат на оплату труда сотрудников, закупку средств защиты информации, закупку программных средств и т.д., руб.; X - интенсивность поступления заявок на проведение отбора в систему, кол./час; е I - достоверность поступивших сведений кандидата на 1-ю вакансию (/=1,№); а - вероятность ошибки при отборе на / -ю вакансию;

N - число заявок кандидатов за время, кол/час; tф и фактическое и требуемое время на процедуру отбора, час.

При этом требуемое и фактическое время отбора персонала представляется совокупностью времени

затраченным на работу каждого блока, представленного на рисунке 1.

tф=tl+t2+t3 + t4 + t5 + t6 + t7 + t8 + t9 + ta, (2) + Ь + Ь + ^ + Ь + Ь + + + Ъ (3)

где:

t1 - время анализа заявки работодателя;

t2 - время интервью с заказчиками и будущими

руководителями; t3 - время на выбор метода поиска;

- время поиска кандидатов; ^ - время первоначального отбора анкет; 4 - время на проверку достоверности данных кандидата путем телефонных переговоров и запросов данных; t7 - время на диагностику и анализ психологического портрета путем тестирования; t8 - время на формирование полноценного портрета кандидата (анализ данных полученных от автоматизированной системы отбора персонала); t9 - время на утверждение кандидатуры; (10 - время, затрачиваемое на восстановление системы;

t11 - время работы автоматизированной системы.

Затраты системы отбора персонала 2 представлены следующим образом:

2=21+ 23+2+24, (4)

где:

21 - затраты на закупку системы отбора персо-

нала, руб.;

22 - затраты на приобретение средств защиты

информации, руб.;

23 - затраты на работу специалиста(ов), руб.;

24 - затраты на восстановление работы системы

отбора персонала, руб.

Под уровнем защищенности системы отбора персонала понимается совокупность различных вариантов программно-аппаратных средств защиты информации (СЗИ). Для определения затрат на приобретение СЗИ в первую очередь необходимо проводить анализ рисков информационной безопасности СОП, который позволит оценить существующий уровень защищенности.

В ходе исследования, была разработана условная схема принятия решения по обоснованию мер защиты информационных ресурсов СОП представленная на рисунке 2.

Оценка ущерба от реализации угроз

Оценка рисков от реализации угроз

Идентификация планируемых мер защиты информационных ресурсов системы отбора персонала

Идентификация ограничений на создание системы защиты

Выбор мер защиты информационных ресурсов системы отбора персонала

Оценка приемлемости риска

Нет

Построение политики безопасности

Рисунок 2. Условная схема принятия решения по обоснованию мер защиты информационных ресурсов

системы отбора персонала

Опираясь на данную схему, была разработана математическая модель оценки рисков информационной безопасности СОП.

К исходным данным относятся:

• множество конкретных нарушителей D с учетом их характеристик V={vhv2,...,vn} (основную группу потенциальных нарушителей СОП составляют конкуренты; предприятия, с которыми сотрудничает кадровое агентство, структуры вспомогательных подразделений и служб; хакеры, имеющие достаточные знания, чтобы нанести вред системе отбора персонала, с целью получения наживы либо из любопытства, и многие другие нарушители);

• множество информативных ресурсов г={г1,г2,...,гт}, используемых в системе отбора персонала (объем данных о кадрах/кандидатах, методах отбора персонала, требованиях к вакансиям, сведениях о результатах отбора и заявках, и другие сведения, используемые при отборе и являющиеся объектом пристального внимания нарушителя);

• множество стоимостей информационного ресурса S={shs2,...,sm} (при оценке СОП используется несколько видов стоимости: рыночная, расчетная, инвестиционная, балансовая);

• множество определенных действий Уд{У ,...,Утах} (к деструктивным действиям нарушителей относится копирование, уничтожение, любая модификация информационных ресурсов СОП);

• множество способов использования информации Уи{Уиь...,Уитах}, к которым можно отнести распространение, искажение, использование информационных ресурсов в своих целях.

Расчет вероятности реализации угрозы РУ производился на основании статистики инцидентов угроз, и рассчитывался как вероятность выполнения двух совместных событий: средние статистические данные вероятности предотвращенных и успешных атак РС и усредненные данные экспертных оценок вероятности осуществления деструктивных действий РЭ.

Ру=(Рс+Рэ)/2,

(5)

Анализ статистических данных об инцидентах угроз, производился на основе количества успешных атак СУд, анализа количества предотвращенных атак СУи. Тогда средние статистические данные вероятности предотвращенных и успешных атак РС рассчитывался следующим способом.

Рг = 1--

-Уд

-Уд '

-Уи

(6)

При оценке вероятности осуществления деструктивных действий РЭ экспертам предлагается опираться на следующую шкалу, представленную в таблице 1.

Таблица 1 - Рекомендуемая шкала оценки вероятности угроз ИБ

Величина угроз ИБ (качественная оценка) Величина угроз ИБ в процентном соотношении

Нереализуемая 0%

Очень минимальная 1%-10%

Минимальная 11%-20%

Средняя 21%-50%

Высокая 51%-70%

Очень высокая 71%-90%

Критическая 91%-100%

Расчет оценки ущерба от реализации угроз для владельца информационного ресурса S(У) представляет собой сумму ущерба владельца от получения доступа к информационным ресурсам S(Уд) и ущерба владельца от использования информационного ресурса S(Уи). Ущерб владельца от получения доступа рассчитывается на основании статистики инцидентов угроз (усредненные по статистике успешных инцидентов финансовые потери от получения доступа и на основании суммарных потерь от действий d на информационные ресурсы СОП г, через которые осуществляется доступ):

Б(У)=^Б(Уд^+ЪБ(УИ), (7)

Таким образом, оценка риска информационной безопасности системы отбора персонала, может быть представлена количественно, то есть риск оце-

нивается через числовое значение, в данном случае, через размер ожидаемых потерь за определенный период времени. Значение риска вычисляется отдельно для каждой угрозы, и в общем случае представляется как произведение вероятности угрозы на величину возможного ущерба от реализации угрозы.

Ry=S(У)■Py, (8)

Затраты на приобретение средств защиты информации 22, должны быть значительно ниже оценки риска информационной безопасности системы отбора персонала RУ.

Представленная совокупность показателей оказывает влияние на эффект внедрения средств защиты информации в систему отбора персонала:

F=f{Py(Рc, Рэ); Бу; 12; Ry}, (9)

Эффект внедрения средств защиты информации в систему отбора персонала ^ определяется как соотношение ущерба от реализации угрозы S(У) к разнице между оценкой риска информационной безопасности системы отбора персонала R у и затратами на средства защиты информации 12.

F =

SQQ

Ry ~

max,

(10)

Если Е < 0, то затраты на систему защиты превышают выгоду от ее функционирования, из этого следует, что необходимо уменьшение текущих затрат на поддержание безопасности системы отбора персонала. Выбирается другая совокупность вариантов программно-аппаратных средств защиты информации с минимальным риском Ry до получения положительного эффекта. Если Е > 0, то выбирается совокупность вариантов программно-аппаратных средств защиты информации, соответствующая максимальному значению.

При экспериментальной оценке предложенной выше модели, использовались: автоматизированная программа «Реализация ассоциативно-мажоритарной модели отбора персонала с оптимизацией на основе сигнатурного метода идентификации образов» [4], которая ранее внедрена в деятельность Центра занятости населения Оренбургской области; статистические данные предотвращенных атак и успешных атак ведущих российских и зарубежных компаний по разработке программно-аппа-

ратных СЗИ; разработанная модель угроз [4]; экспертные оценки ущерба от реализации угроз для владельца информационных ресурсов.

Оценка рисков для различных вариантов структуры системы защиты информационных ресурсов СОП проводилась по одним и тем же накопленным статистическим данным, где количество предотвращенных атак с использованием способа доступа к информационным ресурсам - 55 инцидентов за сутки, количество успешных атак - 6 инцидентов за сутки, хотя это несколько уменьшает вероятность точности подсчета.

Ущерб от реализации угрозы «Спам» основан на следующих данных: средняя зарплата сотрудника центра занятости населения составляет 14000 руб/месяц = 636,4 руб/день; среднее время, затрачиваемое на открытие и удаление письма спама: = 30 сек =0,000347 дня; количество сотрудников 260 человек. Тогда, ущерб от реализации угрозы для владельца информационных ресурсов S(У) = 344,50 руб/день.

Используя предложенную математическую модель, при рассмотрении угрозы спама СПО, определено влияние различных вариантов программно-аппаратных СЗИ на эффект внедрения средств защиты информации в систему отбора персонала, на основе оценки рисков спама, ущерба от реализации угроз для владельца информационного ресурса и других показателей, представленных в таблице 2.

Таблица 2 - Оценка эффекта внедрения средств защиты информации в систему отбора персонала с различными вариантами программно-аппаратных СЗИ

^^ Варианты СЗИ Показатели Эффекта внедрения СЗИ в СОП Spam Assassin, Касперский, Symantec Spam Assassin, Касперский Spam Assassin, Symantec Spam Assassin Касперский Symantec

Рс 9,84% 9,84% 9,84% 9,84% 9,84% 9,84%

Рэ 2,00% 3,00% 4,00% 23,00% 15,00% 14,00%

Ру 5,92% 6,42% 6,92% 16,42% 12,42% 11,92%

S(У), руб/день 344,5р. 344,5р. 344,5р. 344,5р. 344,5р. 344,5р.

г2, руб/день 60,55р. 48,2р. 15,55р. 3,2р. 45р. 12,35р.

Яу , руб/день 20,39р. 22,11р. 23,83р. 56,56р. 42,78р. 41,06р.

Показатель эффекта внедрения СЗИ, F -8,58 -13,20 41,59 6,46 -155,15 12,00

Значение оценки риска RУ, имеющее в данном случае денежное выражение, показывает вероятные потери от реализации угрозы РУ. Наибольшее значение риска от угрозы спама возникает при использовании варианта СЗИ «ЗратАззаББ^) 56,56 рублей, при вероятности реализации угрозы в 16,42%, но при этом затраты на использование и приобретение данного СЗИ составляют всего 3,20 рубля в день. Наименьшее значение риска от угрозы спама

в 20,39 рублей, возникает при использовании варианта СЗИ «SpamAssassin, Касперский, Symantec», но к сожалению, затраты на использование и приобретение данного СЗИ значительно выше других вариантов, и составляют 60,55 рублей в день. Использование третьего варианта СЗИ «SpamAssassin, Symantec», с учетом стоимости информационных ресурсов, средств защиты информации, интегрированный показатель рентабельности защиты ин-

формации количественно составляет 41,59 единиц, и является лучшим. Анализ показателя эффекта внедрения СЗИ указывает, что для системы отбора персонала нецелесообразно рассматривать следующие совокупности вариантов СЗИ: «Spam Assassin, Касперский, Symantec», «SpamAssassin, Каспер-ский», «Касперский».

Опираясь на формулу (1), при экспериментальной оценке эффективности системы отбора персонала, использовались следующие дополнительные данные, представленные в таблице 3.

На рисунке 3 показана эффективность системы отбора персонала, с учетом показателей, представленных в выражении 1 и таблице 3.

Таблица 3 - Эффективность системы отбора персонала

Показатели SpamAssassin, Symantec SpamAssassin Symantec

Zi, руб./день; 62,35р. 62,35р. 62,35р.

Z2, руб./день; 15,55р. 3,20р. 12,35р.

Z3, руб./день; 165 454,55р. 165 454,55р. 165 454,55р.

Z4, руб./день; 344,50р. 344,50р. 344,50р.

F 41,59 6,46 12,00

et 100,00% 100,00% 100,00%

X - кол./день 100 100 100

at 1,00E-10 1,00E-10 1,00E-10

Эффективность отбора персонала, Е 0,0251 0,0039 0,0072

Эффективность отбора персонала

а

о >о н о

л

g

о

as Й

0,0300 0,0250 | 0,0200 g 0,0150

I 0,0100

g в 0,0050

■£ 0,0000 ■в«

¡т>

SpamAssassin, Symantec SpamAssassin

Варианты средств защиты информации

Symantec

Рисунок 3. Эффективность системы отбора персонала в зависимости от уровня защищенности

Выводы

Как видно из диаграммы наиболее высокая эффективность при отборе персонала достигается с использованием варианта СЗИ «SpamAssassin, Symantec».

При экспериментальной оценке фактического и требуемого времени на процедуру отбора персонала, использовались данные, представленные в таблице 4. Согласно заданному ограничению в (1), фактическое время (/ф) должно быть меньше либо равно требуемому времени (tm) на процедуру отбора.

Таким образом, средства защиты информации незначительно увеличивают время работы автоматизированной системы, но значительно сокращают время, затрачиваемое на восстановление системы. На обработку 100 заявок за один день фактическое время работы с использованием СЗИ Spam Assassin и Symantec составляет 36,9 часа работы, что почти на полчаса меньше требуемого времени на процедуру отбора без использования СЗИ в СОП.

1. По результатам моделирования исследовано влияние различных вариантов средств защиты информации на эффективность отбора персонала.

2. Рассмотрено влияние оценки риска информационной безопасности на отбор персонала, с учетом определения уровня защищенности СОП, с учетом стоимости информационных ресурсов и средств защиты информации.

3. Проведена экспериментальная оценка предложенной модели, что повышает достоверность исходных данных и, следовательно, результатов анализа.

Достоинством данной модели является то, что описанный объем работ по проведению оценки рисков, показывает количественные потери от возможного ущерба системе отбора персонала, и возможные пути устранения данных потерь с помощью средств защиты информации.

Таблица 4 - Временные показатели системы отбора персонала

Временные показатели системы отбора персонала* Работа системы с использованием стандартной программы отбора персонала Резюмакс, мин. Работа системы с использованием стандартной программы отбора персонала Резюмакс и СЗИ Spam Assassin и Symantec, мин

Время анализа заявки работодателя (^), мин. (по 5 мин. на 1 заявку) 66,67 66,67

Время интервью с заказчиками и будущими руководителями ^2), мин. (по 15 мин. на 1 интервью) 200,00 200,00

Время на выбор метода поиска (^), мин. (по 10 мин. на выбор для 1 заявки) 133,33 133,33

Время поиска кандидатов ^4), мин. (по 15 мин. на 1 заявку) 200,00 200,00

Время первоначального отбора анкет (^), мин. (по 30 мин. на обзор архива анкет для 1 заявки) 400,00 400,00

Время на проверку достоверности данных кандидата путем телефонных переговоров и запросов данных (^), мин. (по 40 минут на 1 кандидата для проверки достоверности основных важных данных) 533,33 533,33

Время на диагностику и анализ психологического портрета путем тестирования (^), мин. (по 30 минут на 1 кандидата для проверки достоверности оставшихся данных) 400,00 400,00

Время на формирование полноценного портрета отобранного кандидата (анализ данных полученных от автоматизированной системы отбора персонала) (^), мин. (по 15 мин. на 1 заявку) 200,00 200,00

Время на утверждение кандидатуры (^), мин. (по 5 мин. на 1 заявку) 66,67 66,67

Время работы автоматизированной системы (^), мин. (по 1 мин. на 1 заявку) 13,33 13,35

Время, затрачиваемое на восстановление системы: мин. (по 0,5 мин на один инцидент) 30,50 3,00

Время работы системы отбора (1), мин. 2243,83 2216,35

* использованы данные из источника [5]

Литература

1. Frank L. Schmidt, University of Iowa, John E. Hunter, Michigan State University «The Validity and Utility of Selection Methods in Personnel Psychology: Practical and Theoretical Implications of 85 Years of Research Findings». PsychologicalBulletin, 1998, Vol. 124, No. 2, pp. 262-274.

2. Боровский, А. С. Принятие проектных решений для определения текущего и требуемого уровней защищенности объекта на основе моделей экспертных знаний / А. С. Боровский // Известия высших учебных заведений. Поволжский регион. Технические науки. Спецвыпуск. №2. - 2013. - С. 54 - 61.

3. Бунатян, А. Оптимальная схема отбора персонала при приеме на работу в организацию //Вестник Университета Российской академии образования. - 2010. - №5.

4. Свидетельство о государственной регистрации программы для ЭВМ № 2013610229. Зарегистрировано в Реестре программ для ЭВМ 9 января 2013 г.

5. Фот, Ю.Д. Модели и алгоритмы системы отбора персонала на основе повышения достоверности данных при принятии решений

[Текст]: дис.....канд. тех. наук: 05.13.10/ Фот Юлия Дмитриевна. - Пенза, 2013. - 130 с.

6. Фот, Ю.Д. Модель мониторинга достоверности исходных данных в системе отбора персонала на примере контроля состояния вегетативной нервной системы человека / Ю. Д. Фот, С. В. Скворцов // Академический журнал : Интеллект. Инновации. Инвестиции. - Оренбург : 2012. - №4. - Оренбург - 262 с.

7. Фот, Ю.Д. Сигнатурный метод оптимизации модели распознавания образов в системе отбора персонала. Том 10./ Ю. Д. Фот, В. Н. Тарасов // Периодический научно-технический и информационно-аналитический журнал : Инфокоммуникационные технологии. Самара : №4 - 2012