CC BY
134
УДК 65.012
ОРГАНИЗАЦИОННЫЕ АСПЕКТЫ И ПРОБЛЕМЫ КАДРОВОГО ОБЕСПЕЧЕНИЯ ХОЗЯЙСТВУЮЩИХ СУБЪЕКТОВ СПЕЦИАЛИСТАМИ СФЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СОВРЕМЕННЫХ УСЛОВИЯХ РЫНОЧНОЙ ЭКОНОМИКИ РОССИИ
М. Н.ВЛАСЕНКО,
кандидат экономических наук,
доцент кафедры экономики и управления
E-mail: 57643@rambler. ru
Всероссийская государственная налоговая академия Министерства финансов РФ
твенной деятельности и личности. Сложность данной проблемы заключается в том, что в переходный период развитие национальной экономики страны проходит в условиях постоянного дефицита и противоречивости правовой базы, отсутствия научно обоснованной концепции реформ, политической нестабильности и инерционности мышления, желания многих быстро и любой ценой обогатиться, роста активности преступности и коррупции, появления новых методов противоправных посягательств, инициированных активным развитием научно-технического прогресса.
Сложившаяся в настоящее время в обществе и в его экономической системе ситуация породила многие непредвиденные ранее опасности и угрозы для развития экономики страны. При этом продолжают действовать и традиционные деструктивные факторы — хищения, мошенничество, промышленный шпионаж, криминализация бизнеса, коррупция и др. В этих условиях возникает непредсказуемость результатов экономической деятельности хозяйствующих субъектов, которая в свою очередь приводит к нежелательным для них последствиям или даже к полному банкротству.
В условиях рыночной экономики остро стоит проблема обеспечения информационной безопасности хозяйствующих субъектов. В то же время анализ показывает, что мнения экспертов о высокой потребности предприятий и организаций в специалистах сферы информационной безопасности не соответствуют действительности. Кто в настоящее время руководит организацией информационной безопасности на предприятии? На кого возлагается выполнение технологических операций по защите информации? Каковы перспективы развития отрасли информационной безопасности в Российской Федерации?
Ключевые слова: безопасность, безопасность бизнеса, информационная безопасность, компьютерная безопасность, информационное обеспечение, информация, данные, обработка данных, базы данных, принятие решения, информационные технологии, подготовка специалистов, обучение.
В современных условиях развития рыночных отношений в России, появления свободной конкуренции возникла необходимость разработки методологических подходов в обеспечении безопасности государства, региональных образований, а также безопасности отдельных субъектов хозяйс-
Данные факторы представляют существенную угрозу как для отдельных предприятий и организаций, так и для безопасности государства в целом [2].
Учитывая сложившуюся ситуацию, были пересмотрены существующие подходы и сформулированы основные принципы обеспечения безопасности на всех уровнях, а также полномочия и функции федеральных и региональных органов государственной власти, органов местного самоуправления, а также статус Совета Безопасности РФ, нашедшие свое отражение в Федеральном законе от 28.12.2010 № 390-Ф3 «О безопасности».
Так, п. 3 ст. 2 Федерального закона № 390-Ф3 провозглашает «системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления политических, организационных, социально-экономических, информационных, правовых и иных мер обеспечения безопасности».
А в п. 1 ст. 4 названного закона указано, что «государственная политика в области обеспечения безопасности является частью внутренней и внешней политики Российской Федерации и представляет собой совокупность скоординированных и объединенных единым замыслом политических, организационных, социально-экономических, военных, правовых, информационных, специальных и иных мер» 1
Как видно из сказанного, одним из основополагающих подходов к обеспечению безопасности является обеспечение информационной безопасности, и это направление возведено в ранг государственной политики.
Таким образом, не подлежит сомнению тот факт, что качественное решение вопросов обеспечения информационной безопасности возможно только силами специалистов в данной сфере деятельности.
На макроуровне (на уровне государства или отдельного региона) данная проблема пока не стоит достаточно остро. Профильных управленцев, способных качественно решать поставленные задачи, достаточно. Иная ситуация сложилась в отношении кадрового обеспечения отдельных хозяйствующих субъектов специалистами в сфере информационной безопасности. Рассмотрим данную проблему более подробно.
Под информационной безопасностью хозяйствующего субъекта принято понимать наличие специальных условий его функционирования, при которых обеспечивается защита его информационных ресурсов и поддерживающей их инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб обладателям информации, операторам информационной системы, а также «третьим» лицам [2].
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.
Вопросы обеспечения защиты авторских прав нашли свое отражение в части четвертой ГК РФ в разд. 7 «Права на результаты интеллектуальной деятельности и средства индивидуализации» 2.
Защита информации, касающейся обеспечения защиты персональных данных работников, определена в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» 3.
Другие аспекты обеспечения информационной безопасности рассматриваются в ряде ведомственных, отраслевых нормативных актов, а также локальных нормативных актах предприятий и организаций.
Решение проблемы информационной безопасности возлагается на должностных лиц предприятий и организаций, каждое из которых по-своему оценивает сложившуюся ситуацию и предлагает с его точки зрения оптимальный план действия. Профессиональный уровень таких специалистов различный и, соответственно, действия в той или иной ситуации бывают не всегда адекватны.
Как показывает практика, у всех субъектов хозяйственной деятельности вне зависимости от формы их собственности практически не существует более важной проблемы в области информационной безопасности, чем ее кадровое обеспечение.
1 Федеральный закон от 28.12.2010 № 390-Ф3 «О безопас-
ности».
2 Гражданский кодекс РФ с изменениями и дополнениями. URL: http://www. gk-rf. ru/glava70.
3 URL: http://www. rg. ru/2006/07/29/personaljnye-dannye-dok. html.
- 65
В качестве доказательства наличия такой проблемы в рассматриваемой сфере деятельности достаточно ответить на следующие вопросы:
1) чьими знаниями, энергией и интеллектом осуществляется в настоящее время деятельность по обеспечению информационной безопасности предприятий и организаций в Российской Федерации?
2) кому и для чего в Российской Федерации нужен специалист с высшим профессиональным образованием и квалификацией «Специалист по защите информации»?
Всем, кто каким-либо образом связан с обеспечением информационной безопасности в широком смысле этого понятия, известны федеральные органы исполнительной власти РФ, являющиеся регуляторами в этой области. К таковым относятся: ФСТЭК России, ФСБ России, Минобороны России и ФСО России. Очевидно, что три ведомства из них являются силовыми, а ФСТЭК России имеет тесные и непосредственные связи с ними. Параллельно с этим ряд некоторых частных задач в сфере информационной безопасности решается и другими государственными структурами [1].
Общение с представителями ранее упомянутых государственных органов и бизнес-структур дает право судить о том, что большинство из профильных специалистов являются бывшими госслужащими, а точнее — офицерами указанных силовых ведомств. Таким образом, можно утверждать, что руководство обеспечением информационной безопасности в хозяйствующих субъектах различной отраслевой принадлежности находится в руках так называемых «выходцев» указанных госструктур. Необходимо сразу же отметить, что в данном факте нет ничего предосудительного.
Современные методы подбора данного рода специалистов основываются в основном на личном знакомстве руководителей «защищаемой» структуры с кандидатами на профильную должность, рекомендациях уже работающих сотрудников и других подобных факторах. Следовательно, вполне обоснованным является процесс дальнейшего привлечения представителей силовых ведомств в отрасли, связанные с обеспечением безопасности бизнеса вообще и информационной безопасности в частности.
Данная тенденция обусловлена в том числе такими факторами, как широкомасштабным сокращением штатной численности военнослужащих, проводимым Минобороны и МВД России, более привлекательными условиями труда «на гражданке» за более высокое вознаграждение, более уважительным отношением к высококлас-
66 -
сным профильным специалистам, работающим после увольнения со службы, чем в период ее прохождения, и др.
В чем ценность таких специалистов для обеспечения информационной безопасности? В основном она заключается в личностных качествах или, как сейчас принято говорить, компетенциях таких специалистов. К таковым отнесем: высокий уровень профильных знаний, навыков и умений, полученных в период обучения в высшем учебном заведении (иногда нескольких) и прохождения службы (часто подкреплен боевым опытом), дисциплинированность, подтянутость, личная организованность, твердые навыки организаторской работы, высокая работоспособность и многие др.
С профессионально ориентированными компетенциями дело обстоит значительно сложнее. Востребованными в данной области являются бывшие сотрудники ФСБ и МВД России, а также так называемые «режимщики» Минобороны России вследствие сложившихся стереотипов о «всесиль-ности» этих ведомств, а следовательно, и всех, кто проходил в них службу.
Это же подтверждается и их готовностью в процессе работы при необходимости задействовать оставшиеся связи, «пробить по базе человека (автомобиль), адрес, владение имуществом, связь с криминалом», решать другие подобные задачи. Такие качества работника часто являются определяющими для принятия решения руководителем о сотрудничестве с ним.
Здесь необходимо сказать еще об одной ценности таких специалистов. Так называемые «государственные регуляторы» в области информационной безопасности тоже из этой «обоймы», следовательно, все задачи, связанные с получением разрешений, сертификатов, лицензий, будут решены более оперативно, так как ключевые посты в данных организациях занимают бывшие коллеги или их знакомые. Другими словами, выходец из соответствующего подразделения быстрее найдет контакт с госчиновниками и, разговаривая с ними на «одном языке», сможет решить перечисленные выше задачи быстрее и качественнее [3].
Если говорить о специалистах низового звена управления (исполнителях, технологах), то здесь находят свое место 1Т-специалисты или просто «айтишники», подготовка которых в гражданских вузах отлажена в течение десятилетий.
Военные специалисты, получившие образование в области защиты информации (криптография), военной связи («асушники»), специалисты
«информационная безопасность» и «компьютерная безопасность», что представляется неверным. В этой связи для замещения подобных должностей рассматриваются выпускники вузов, специализирующиеся на 1Т-технологиях.
Как показывает практика, «айтишники», обладающие знаниями, навыками и умениями в области использования программно-аппаратных средств защиты информации, не видят для себя каких-либо проблем за пределами последних. Таким образом, обеспечение информационной безопасности носит однобокий, урезанный характер, отметая ряд других, не менее важных мер.
В этом плане хотелось бы еще раз напомнить о характере современных угроз информационной безопасности. В общем анализе проблем, связанных с утечками конфиденциальной информации, показанном в исследованиях авторитетного консалтингового агентства «InfoWateh», можно видеть следующие положения: «Эксперты InfoWatch рекомендуют российским предприятиям в ближайшее время обратить особое внимание на защиту конфиденциальной информации на бумажных носителях и на за контроль печатными устройствами. Увеличение роли компьютерной техники привело к тому, что упущен из виду этот весьма опасный канал утечек. Число инцидентов с бумажными документами сильно выросло» [5].
Вот к чему приводит чрезмерное увлечение решением задач компьютерной безопасности. Дальнейшее совершенствование деятельности в области администрирования систем и сетей, использования межсетевых экранов, антивирусных, антишпионских, антиспамовых, криптографических средств, сканеров безопасности и многих других привело к перекосу и оголило совершенно другое направление обеспечения информационной безопасности.
Необходимо помнить, что наряду с угрозами информационной безопасности, инициированными недостатками технических систем, существуют и другие деструктивные информационные воздействия, остающиеся в качестве самых актуальных на протяжении последних лет:
• деятельность инсайдера;
• кража портативных устройств хранения информации;
• несанкционированные действия собственных сотрудников;
• использование персоналом запрещенных технических устройств и программ, ослабляющих уровень безопасности информационной системы, и ряд др.
68 -
Следует обратить внимание на то, что все они непосредственно связаны с «человеческим фактором». Следовательно, практическая работа по обеспечению информационной безопасности на предприятии представляется в совершенно другом аспекте — в работе с персоналом [1].
Попробуем ответить на вопрос: на кого планируют современные управленцы возложить обязанности по обеспечению информационной безопасности?
Опираясь на результаты представленного ранее экспресс-анализа, управление решением задач обеспечения информационной безопасности предприятия будет возложено на руководителя или сотрудника службы (отдела, отделения, департамента и др.) безопасности, экономической безопасности, значительно реже — информационной безопасности.
Думается, что нет необходимости повторять, что все они, как правило, являются выходцами из многоуважаемых силовых структур и в практической деятельности тяготеют к однобокому решению задач информационной безопасности, часто используя только методы физической и отчасти инженерно-технической защиты. Данные решения тесно связаны с особенностями их базового образования, спецификой деятельности подразделения, в котором ранее проходили службу, а также стереотипами, сложившимися при общении с вышестоящими руководителями, системой оценки последними деятельности подразделения (специалиста) информационной безопасности, критериями и показателями эффективности его работы.
На протяжении ряда лет для руководителей одним из факторов привлекательности принятия решения в пользу таких сотрудников была возможность привлечения их ресурсов и возможностей сбора сведений о персонах, организациях, использования их навыков применения так называемого «шпионского» оборудования, позволяющего подслушивать и подглядывать за сотрудниками и конкурентами.
Кстати, на смену методам управления персоналом, основанным на создании в коллективе атмосферы подозрительности, широко применяемым в 1990-х гг., в настоящее время приходят методы так называемого «тим-билдинга» или командо-образования, которые предполагают выполнение комплекса мероприятий по выстраиванию в коллективе эффективных внутренних коммуникаций, доверительных взаимоотношений, основанных на коллективной ответственности за результаты работы, общности интересов, взаимопонимании и взаимопомощи.
Следовательно, учитывая рассмотренные ранее тенденции, обоснованно можно предположить, что будущее обеспечения информационной безопасности бизнеса не за выходцами из силовых структур.
Практическая реализация отдельных мероприятий и процедур информационной безопасности, как и сейчас, в будущем будет возложена на специалистов в области информационных технологий, т. е. «айтишников», а именно администраторов систем, баз данных, системных программистов и им подобных. Как уже упоминалось ранее, предметом приложения усилий последних будет реализация отдельных механизмов программно-аппаратной защиты информации.
Мероприятиями по обеспечению информационной безопасности, в основе которых лежат организационные методы, а также организация, планирование и управление всей системой информационной безопасности, будут заниматься специалисты, владеющие компетенциями гораздо более широкими, чем 1Т-сфера.
Вывод напрашивается следующий: современные руководители бизнеса в своей практической деятельности ориентируются на уровень обеспечения информационной безопасности своего бизнеса, сочетающий в себе отдельные мероприятия организационного плана, а также частично инженерно-технические и программно-аппаратные. Как показывает практика, подобный подход не отвечает требованиям системности в решении задач обеспечения информационной безопасности, так как в нем не реализуются некоторые, не менее важные направления, чем 1Т-безопасность.
В условиях современного развития рыночных отношений, обострения конкуренции и конкурентной борьбы (в том числе незаконными методами) ставится ряд важных задач обеспечения информационной безопасности предприятия (организации):
прогнозирование, выявление, анализ и оценка угроз информационной безопасности; формирование эффективного правого поля обеспечения информационной безопасности; организация режимов коммерческой или иной тайны;
аудит информационной безопасности; обоснование и оптимизация бюджета на информационную безопасность; решение задач с позиций минимальной достаточности;
моделирование систем защиты и их элементов;
• обоснование предпочтений использования организационных и технических методов, направленных на защиту информации;
• использование сочетания методов гласности и конфиденциальности;
• подготовка профильных специалистов с требуемыми компетенциями;
• разработка критериев оценки (системы показателей) эффективности системы обеспечения информационной безопасности;
• работа с персоналом по повышению осведомленности в области информационной безопасности;
• использование норм профессиональной этики в решении профильных задач.
Этот перечень можно продолжать и далее [2]. Напрашиваются вопросы: «На кого (какого специалиста) можно возложить решение этих задач сейчас?»; «Какими силами будет обеспечиваться информационная безопасность в бизнесе, государственных структурах и государстве в целом в дальнейшем?». В этой связи следует напомнить, что информационная безопасность должна обеспечиваться исключительно специалистами по информационной безопасности!
На фоне современных проблем для высшего образования вообще и вузов, готовящих специалистов в области защиты информации, в частности, все ранее изложенное приобретает совсем иное значение.
Высшее образование в РФ в настоящее время переживает не просто сложное, а по-своему трагическое время. Вузы, осуществляющие подготовку по специальностям, связанным с информационной безопасностью, тому не исключение.
Во-первых, это связано с объективными проблемами начала 1990-х гг., что выразилось в демографическом провале. Таким образом, в 2011 г. общая емкость высшей школы оказалась больше количества потенциальных абитуриентов.
Во-вторых, это связано с общими проблемами образования в России. Мы все в 2010 г. явились свидетелями весьма скандальной процедуры сдачи ЕГЭ выпускниками школ и их поступления в вузы.
В-третьих, нельзя снимать со счетов недоработку работников высшего образования, выразившуюся в силе инерции и неготовности оперативно и быстро реагировать на происходящие изменения.
Существуют и другие факторы, непосредственно относящиеся к трудностям подготовки специалистов в области информационной безопасности. К таковым можно отнести:
- 69
• низкую востребованность выпускников вузов по специальностям информационной безопасности, что подтверждено результатами исследования, представленными ранее;
• нежелание современного бизнеса в лице руководителей или заинтересованных лиц участвовать в работе учебно-методических объединений вузов по формированию системы требований к специалисту по защите информации;
• критику, хотя и не всегда необоснованную, в адрес вузов в связи с низким уровнем подготовки профильных специалистов;
• продолжающееся и нарастающее тяготение абитуриентов к обучению по специальностям, связанным с изучением преимущественно гуманитарных предметов, а отнюдь не физики, высшей математики, информатики и информационных технологий;
• невозможность (в связи с финансовыми проблемами) многих вузов, готовящих студентов по специальностям информационной безопасности, принимать участие в работе общероссийских и международных форумов по профильной тематике, что не ведет к консолидации общих усилий в области обучения как профильных специалистов, так и обеспечения информационной безопасности в государстве в целом [3].
С учетом изложенного следует отметить, что если бы все, о чем говорилось в данной статье, не соответствовало действительности, то мы не имели бы сейчас такого плачевного состояния в выполнении, например, требований Федерального закона № 152-ФЗ «О персональных данных», принятого более трех лет назад. В настоящее время дискуссия о необходимости выполнения требований федераль-
ного законодательства продолжается в следующем ключе: «Стоит ли выполнять эти требования? Как их выполнить? Что будет, если их не выполнять?». Зададим себе простой вопрос: почему же все-таки это происходит? Потому, очевидно, что выполнить комплекс необходимых мероприятий на предприятиях (в организациях) практически некому..
Список литературы
1. Власенко М. Н. Кадровая составляющая системы экономической безопасности в предпринимательской деятельности // Бизнес-приложение «Финансовая газета — ЭКСПО». № 2 (108). М., 2007.
2. Власенко М. Н, Кунбутаев Л. М. Практика обеспечения информационной безопасности хозяйствующего субъекта. IT-аспект // Материалы межвузовской научно-практической конференции «Государственное регулирование рыночной экономики XXI века: проблемы и перспективы». М.: ВГНА, 2006.
3. Власенко М. Н. Проблема подготовки специалистов в сфере безопасности бизнеса // Материалы региональной научно-практической межвузовской конференции «Государственное регулирование экономики на региональном уровне». М.: ВГНА, 2004.
4. Власенко М. Н. Проблема подготовки специалистов в сфере информационно-аналитического обеспечения бизнеса // ВЛАСТЬ. 2004. № 9.
5. Официальный портал информационного агентства «InfoWatch». [Электронный ресурс]. URL: www. infowatch. га.
6. Российские электронные ресурсы для поиска работы и квалифицированного персонала. [Электронный ресурс]. URL: www. job. га; www. zarplata. ru; www. findjob. ru; www. toptalent. ru; www. 9955599.ru.
Московская Высшая Школа Экономики 20 лет Лицензиям000002, А 306208 ФИНАНСОВЫЙ ИНСТИТУТ Аккредитация 010300
ИНСТИТУТ ПРОФБУХГАЛТЕРОВ И АУДИТОРОВ ВЫСШЕЕ ОБРАЗОВАНИЕ ВТОРОЕ ОБРАЗОВАНИЕ за 8 месяцев (ГОСДИПЛОМ)
УМЦ № 420, УМЦ № 611 Организованная сдача экзаменов. Аттестат • Профессиональный бухгалтер • Профбухгалтер по МСФО • Профбухгалтер бюджетных учреждений • Финансовый директор • Внутренний аудитор • Налоговый эксперт-консультант • Общий аудит. Аттестат Минфина РФ Повышение квалификации профессиональных бухгалтеров и аудиторов - 20 программ 911-93-07 * БУХГАЛТЕРСКИЙ УЧЕТ, АНАЛИЗ И АУДИТ МЕНЕДЖМЕНТ ОРГАНИЗАЦИИ ФИНАНСЫ И КРЕДИТ Обучение: • дневное; • вечернее; • заочное; • группы выходного дня. 911-09-65 * Бухгалтерский учет и аудит * Управление финансами * МСФО (Диплом АССА, Великобритания) * Организация предпринимательской деятельности * Организация маркетинговой деятельности и управление продажами * Организация и управление кадровой службы * Менеджмент туризма и гостеприимства * Менеджмент рекламного дела * Менеджмент внешнеэкономической деятельности и таможенного дела * Менеджмент страхового дела * Психология и управление персоналом 912-44-92
Занятия рядом с м. Таганская, м. Автозаводская, м. Пролетарская (ул. Воронцоеская, 21) www.mos-econ.ru
