CC BY
75
удк 005:004 Сергей Александрович Овчинников,
доктор исторических наук,
Ovchinnicov@ssea.runnet.ru профессор кафедры философии и политологии,
советник правительства Саратовской области, академик РАЕН, проректор, директор НОЦ «Инфо-ЭПР»,
СГСЭУ
ОРГАНИЗАЦИОННО-КАДРОВЫЙ АСПЕКТ БЕЗОПАСНОСТИ: ПРОБЛЕМА ИНСАЙДЕРСКОЙ УГРОЗЫ ЭЛЕКТРОННОМУ ПРАВИТЕЛЬСТВУ
В статье рассматривается вопрос о необходимости более пристального внимания к вопросам обеспечения организационно-кадровой безопасности, поскольку эта проблема недостаточно широко освещается, несмотря на ее актуальность. Спектр возможных угроз в сфере организационно-кадровой безопасности весьма широкий и разноплановый. Их выявление, предупреждение и пресечение требуют реализации на высшем уровне руководства комплексной программы информационной безопасности (политики информационной безопасности). Именно здесь имеется множество проблем, поскольку зачастую не ведется должным образом работа с персоналом (подбор, изучение, расстановка кадров, их обучение, тренировка, внедрение механизмов дисциплинарно-административной практики, а также мониторинг неформальных процессов в коллективах и т.п.). Так, при осуществлении мер борьбы с утечкой информации иногда не учитывается то, что находящийся в организации инсайдер, нередко являющийся 1Т-специалистом или даже специалистом по информационной безопасности, зачастую в курсе всех предпринимаемых мер контроля, применяемых программно-технических средств и их параметров. Такие лица для реализации своего замысла могут попытаться обойти защитные меры: например, воспользоваться для отправки копии документа фотоаппаратом сотового телефона.
Считаем, что организационно-кадровый аспект проблемы обеспечения информационной безопасности с учетом ее актуальности заслуживает более пристального рассмотрения, не исключено, что с позиций комплексного изучения рядом наук.
Ключевые слова: обеспечение организационно-кадровой безопасности, спектр возможных угроз, комплексная программа информационной безопасности, работа с персоналом, механизмы дисциплинарно-административной практики, мониторинг, неформальные процессы.
♦
----------------♦
S.A. Ovchinnikov
ORGANIZATIONAL AND PERSONNEL ASPECTS OF SECURITY: PROBLEMS OF INSIDER THREATS TO E-GOVERNMENT
The paper discusses the need for greater attention to ensuring organizational and personnel security as this problem is not widely publicized despite its relevance. The range of possible threats in the field of organizational and personnel security is very broad and diverse. Their detection, prevention and suppression require the implementation of high-level management of comprehensive information security program (policies). There are many problems here as often there is not proper work with human resources (recruitment, examination, placement, training, implementing disciplinary and administrative practices, monitoring of informal processes in groups, etc.). Thus, the implementation of measures to combat information leaks sometimes ignores the fact that an insider in the organization, often IT-specialist or specialist in information security, often is aware of the measures taken for security, applied software and hardware tools and their parameters. Such persons for implementation of their plans may try to circumvent protective measures, for example, send copies of documents with the help of cell phonecamera.
The authors believe that organizational and human aspect of information security in view of its relevance deserves closer examinationfrom the standpoint of a comprehensive study of a number of sciences.
Keywords: organizational and personnel security, range of possible threats, complex program of information security, human resources, mechanisms of disciplinary administrative practices, monitoring, informal processes.
«Широкое внедрение информационных технологий сделает более простым и прозрачным общение граждан с властью, на порядок уменьшит головную боль от необходимости посещать разного рода конторы... это реальная и очень эффективная антикоррупционная мера. Необходимо с максимальной отдачей использовать возможности современных информационных технологий для повышения эффективности системы гос-управления, для формирования комфортной, в полном смысле этого слова дружественной среды взаимодействия государства и граждан», - заявил Президент России В.В. Путин на совещании о повышении эффективности госуправления с помощью информационных технологий в Новосибирске 17 мая 2012 г. (см.: Интернет-сайт Президента РФ).
В условиях интенсивного внедрения информационно-компьютерных технологий для создания электронного правительства и перевода оказания государственных услуг гражданам в электронный вид происходит постоянное наращивание мощности государственных центров обработки данных, наметились тенденции внедрения систем, действующих на принципе облачных технологий, концентрации в них значительной по объему критически важной информации как для государств, так и для граждан. В этих условиях с целью защиты информационных ресурсов и предотвращения нанесения ущерба интересам граждан и государства необходимо использовать комплекс мер по обеспечению информационной безопасности.
Ранее в публикациях мы неоднократно отмечали необходимость уделять более пристальное внимание наряду с программно-техническими аспектами этой проблемы вопросам обеспечения организационно-кадровой безопасности [3; 4; 5]. Однако следует констатировать, что проблема организационно-кадровой безопасности необоснованно отодвигается в сторону. На наш взгляд, причин тому несколько.
Во-первых, даже самые мощные спецслужбы мира не в состоянии полностью защитить государственные
структуры от утечек информации. Достаточно вспомнить события 2011 г., когда на сайте «Викиликс» появилась секретная информация из правительственных учреждений США; утечка конфиденциальной информации из правительственных структур имела место и в России.
Во-вторых, проблема так называемых инсайдерских угроз, несмотря на свою актуальность, полностью не может быть устранена по причине пресловутого «человеческого фактора».
В-третьих, судя по изучению информации и обзоров программно-технических средств защиты от утечки информации, в этой области также имеются определенные проблемы и нерешенные вопросы, не позволяющие гарантировать полную защиту от угроз хищения и утечки информации.
В-четвертых, спектр возможных угроз в сфере организационно-кадровой безопасности весьма широкий и разноплановый. Их выявление, предупреждение и пресечение требуют реализации на высшем уровне руководства организации комплексной программы (политики) информационной безопасности. Именно здесь имеется множество проблем, поскольку зачастую этим вопросам не уделяется необходимого внимания, не ведется должным образом работа с персоналом (подбор, изучение, расстановка кадров, их обучение, тренировка, внедрение механизмов дисциплинарно-административной практики, а также мониторинг неформальных процессов в коллективах и т.п.).
Считаем, что, несмотря на возможные возражения, организационно-кадровый аспект проблемы обеспечения информационной безопасности с учетом ее повышенной актуальности заслуживает более пристального рассмотрения, не исключено, что с позиций комплексного изучения рядом наук.
Озабоченность указанной проблемой базируется на данных мировой статистики. Так, в отчете ФБР США «Computer Crime and Security Survey» отмечено, что максимальный ущерб организации несут в контексте
♦
♦
внутренней угрозы. Однако при анализе публикаций и выступлений по проблематике информационной безопасности нельзя не заметить, что при этом речь идет, главным образом, о так называемых инсайдерах. Но, термин «инсайдер» зачастую дается без определения, как нечто само собой разумеющееся; более того, понятия «инсайдер», «злоумышленник» и «разгильдяй» - нарушитель установленных правил, находящийся внутри сети, - практически становятся идентичными. В результате затушевывается сущность опасного феномена инсайдерства. Разобраться в этом явлении, понять и оценить риски, которые представляют инсайдеры в каждом конкретном случае, выбрать наиболее адекватные меры защиты невозможно без определения термина «инсайдер».
«Википедия» термину «инсайдер» дает такое определение: «это член какой-либо группы людей, имеющей доступ к информации (курсив наш. - С.О.), недоступной широкой публике. Термин используется в контексте, связанном с секретной, скрытой или какой-либо другой закрытой информацией или знаниями: инсайдер - это член группы, обладающий информацией, имеющейся только у этой группы». В «Толковом словаре современной информационно-правовой лексики» А.П. Леонова (2002) понятие «инсайдер» обозначено так: «(англ. insider, от inside - буквально «внутри») - лицо, имеющее в силу своего служебного или семейного положения доступ к конфиденциальной информации (курсив наш. - С.О.) о делах организации. Речь идет о должностных лицах, их ближайших родственниках». Ключевой фразой в этих определениях являются слова «имеющие доступ к информации». Уже эти толкования позволяют переформулировать проблему, поскольку понятие внутреннего злоумышленника включает инсайдеров, имеющих законный доступ к информации, и сотрудников организации, пытающихся такой доступ получить.
Для того чтобы перейти к рассмотрению вопросов защиты, необходимо определиться с понятием «информация». В различных источниках термину « информация» дается примерно следующее определение: сообщение, осведомление о положении дел, сведения о чем-либо, передаваемые людьми; уменьшаемая, снимаемая неопределенность в результате получения сообщений; сообщение, неразрывно связанное с управлением, сигналы в единстве синтаксических, семантических и других характеристик; передача, отражение разнообразия в любых объектах и процессах (неживой и живой природы); сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы предоставления.
Информация документированная - информация, зафиксированная на материальном носителе с реквизитами, позволяющими ее идентифицировать. Информация конфиденциальная - сведения ограниченного доступа, отнесенные к охраняемой тайне. К конфиденциальной информации, в частности, относятся сведения, составляющие государственную, служебную и коммерческую тайны, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, личную и семейную тайну, а также сведения, раскрывающие частную жизнь граждан. Информация
критически важная - определенные факты относительно намерений, способностей и действий, жизненно необходимых для эффективного управления и деятельности структур, критически важных, эффективного выполнения стоящих стратегических задач. Информация ограниченного доступа - вид сведений, доступ к которым ограничен в соответствии с законодательством и разглашение которых может нанести ущерб интересам других лиц, общества и государства. Информация служебная - сведения, появляющиеся в связи с реализацией функций государственной службы. Круг сведений, составляющих служебную информацию, весьма широк и охватывает все сферы деятельности органов государственной власти. Информация социально значимая - сведения об интересующих значительное количество людей событиях общественной жизни внутри страны и за рубежом, деятельности политических партий и движений, лидеров общества и государства, рынке труда и капитала и т.д., кроме некоторых, наиболее общих сведений о состоянии экономической сферы. Информация частная - сведения, раскрывающие реализацию гражданином своих личных конституционных прав на свободу мысли,совести, собраний, информационной деятельности, о его мировоззрении, нравственных ценностях, отношении к религии и т.д. Как правило, затрагивает ограниченный круг лиц, касается частной жизни [6].
Сегодня сформировался образ инсайдера, ассоциирующийся с действиями сотрудника организации, который похищает документы, базы данных и любую другую информацию, причем цель таких действий может быть различной. Несомненно, такие действия могут нанести значительный ущерб организации. Однако крайне мало говорится о реальной угрозе уничтожения или намеренного искажения данных сотрудником организации. На эти вещи зачастую не обращают внимания, может быть, потому, что нет эффективных средств защиты.
Рассмотрим задачи, которые должны быть решены в борьбе с инсайдерами. Прежде всего, состояние этой работы должно соответствовать требованиям действующих законов, нормативных актов и стандартов. На их основе должен быть принят комплекс мер по обеспечению сохранности информации и данных, выявлению каналов утечки (реализована политика информационной безопасности) и т.п. Однако при этом возникают вопросы: все ли задачи могут быть реализованы и какие при этом программно-технические средства могут быть наиболее эффективными.
Если считать, что состояние защиты информации в организации соответствует установленным государством требованиям, то задача сводится в большей степени к качественной экспертной оценке и документированию процессов обеспечения информационной безопасности, чем к внедрению программно-технических средств защиты, поскольку необходимо знать, что от кого каким образом можно эффективно защищать.
Если же говорить о борьбе с утечкой информации, то пресечение этого возможно такими организационными мерами, как контроль за действиями потенциальных инсайдеров, назначение на руководящие должности ответственных, проверенных, морально устойчивых
♦
♦
людей; акцентирование их внимания на том, что не вся информация, циркулирующая в информационной системе организации предназначается для свободного доступа к ней посторонних лиц. К сожалению, эта проблема целиком находится в области человеческого фактора и здесь имеется целый комплекс вопросов. Проблему утечки данных (файлов, баз данных, печатных копий документов и т.п.) можно решить лишь частично. Как бы ни был ограничен доступ сотрудника к информации, он может записать данные с экрана монитора, зачитать их по телефону, сфотографировать и передать по сотовому телефону и т.п. Ноутбук с данными может быть утерян или украден.
Путем отслеживания каналов утечки данная проблема может быть частично решена, однако программнотехнические средства помогут накопить статистику обращений к ресурсу, сопоставить различные факторы: например, факт обращения к файлу с отправкой этого же файла по почте и т.п. Тем не менее большое количество информации проверять и анализировать придется людям.
Доказательство непричастности организации к утечке из нее информации с применением технических средств весьма сомнительно. Важными при этом являются политико-имиджевые последствия. К примеру, в СМИ появилась статья об утечке из госструктуры базы данных. Пресса активно муссирует эту тему, приводятся опросы экспертов по безопасности (не всегда компетентных, не располагающих достоверной информацией о ситуации и причинах), вспоминают различные истории предыдущих утечек, тем самым создается ажиотажный интерес к этому вопросу. В таких условиях даже официальные заявления о том, что организация к этому непричастна, а информация утекла не по ее вине, мало кого интересуют, поскольку сработал феномен формирования общественного мнения и нанесен ущерб имиджу организации.
Практика показывает, что любые средства защиты создают определенные неудобства для пользователей; кроме того, внедряемые средства защиты надо обслуживать, следить за тем, какие результаты они выдают. И решение все запретить не всегда самое правильное. Не всегда выполняется правило, требующее, чтобы средства защиты внедрялись в соответствии с политикой безопасности. Важно, чтобы люди, работающие в организации и отвечающие за информационную безопасность, четко определили, что проще и эффективнее в деле защиты: хранить все данные в одном месте и пытаться выйти на того, кто передал файл за пределы организации, или на основе анализа информационных потоков осуществить разграничение доступа к данным так, чтобы с каждым участком мог работать только тот сотрудник, кому это разрешено. Однако при этом имеет место психологический фактор, поскольку в первом случае эффект от работы, пусть и не очень эффективной, налицо - он демонстративно-зрелищный. Все видят, что специалисты отдела безопасности блокируют
иЭВ-подключения, не работают какие-либо приложения из-за внедрения новой системы контроля и т.п. Во втором случае необходима квалифицированная и кропотливая работа по анализу процессов для настройки механизмов разграничения доступа и т.п.
Таким образом, в понятие «инсайдерская угроза» и ее решение программно-аппаратными средствами контроля за информацией не попадают факты потери ноутбуков, флэш-карт и т.п. - это халатность. Кражи ноутбуков, компьютеров, винчестеров с резервными копиями - уголовное преступление.
Проблем, связанных с инсайдерами, довольно много. Однако зачастую специалисты 1Т-безопасности в силу своего профессионализма проявляют некоторую «зашоренность». При осуществлении мер по борьбе с утечкой информации иногда не учитывается то, что находящийся в организации инсайдер, нередко являющийся 1Т-специалистом или даже специалистом по информационной безопасности, зачастую в курсе всех предпринимаемых мер контроля, применяемых программнотехнических средств и их параметров. Такие лица для реализации своего замысла могут попытаться обойти защитные меры, например воспользоваться для отправки копии документа фотоаппаратом сотового телефона [1; 2]. Именно поэтому следует тщательно проанализировать ситуацию, взвесить и оценить решаемую проблему, сравнить ее с аналогичными случаями, имевшимися ранее, а затем сделать обоснованный выбор, предпринять «прицельные» меры. А главное - не забывать о ведении профилактическо-предупредитель-ной работы .
1. Менеджмент организационно - кадровой безопасности I сост. д-р ист. наук, проф. С.А. Овчинников, д-р экон. наук, проф. Н.С. Яшин. Саратов, 2008. Раздел 4, б.
2. Менеджмент физической безопасности I сост. д-р ист. наук, проф. С.А. Овчинников, д-р экон. наук, проф. Н.С. Яшин. Саратов, 2008. Раздел 1.
3. Овчинников С.А. Проблемы обеспечения информационной безопасности «электронного правительства» II Электронное государственное управление: проблемы и перспективы: сб. мат. междунар. науч.-практ. конф. (28 мая 2009 г., г. Саратов). Саратов, 2010.
4. Овчинников С.А., Гришин С.Е. Комплексный подход к рассмотрению теории управления рисками при внедрении информационных технологий II Вестник СГСЭУ. 2011. № б (39).
б. Овчинников С.А., Гришин С.Е. Угрозы личности, обществу и государству при внедрении информационных технологий II Информационная безопасность регионов. 2011. № 2 (9).
б. Русско-анлийский глоссарий по информационному обществу: проект Британского Совета в России, Института развития информационного общества и проекта «Российский портал развития» I авт. кол. О.Н. Вершинская, Ю.Д. Волынский, Т.В. Ершова, Н.В. Кривошеин, А.С. Мендович, М.В. Моисеева, С.А. Нехаев, Г.Л. Смолян, Ю.Е. Хохлов, Д.С. Черешкин, С.Б. Шапошник. URL: http:IImorepc.ruI informatisation I leonov.html (дата обращения: 14.Q5.12 г.).
