Научная статья на тему 'Организационные аспекты и проблемы кадрового обеспечения хозяйствующих субъектов специалистами сферы информационной безопасности в современных условиях рыночной экономики России'

Организационные аспекты и проблемы кадрового обеспечения хозяйствующих субъектов специалистами сферы информационной безопасности в современных условиях рыночной экономики России Текст научной статьи по специальности «Экономика и бизнес»

CC BY
346
96
Поделиться
Ключевые слова
БЕЗОПАСНОСТЬ / БЕЗОПАСНОСТЬ БИЗНЕСА / ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ / КОМПЬЮТЕРНАЯ БЕЗОПАСНОСТЬ / ИНФОРМАЦИОННОЕ ОБЕСПЕЧЕНИЕ / ИНФОРМАЦИЯ / ДАННЫЕ / ОБРАБОТКА ДАННЫХ / БАЗЫ ДАННЫХ / ПРИНЯТИЕ РЕШЕНИЯ / ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ / ПОДГОТОВКА СПЕЦИАЛИСТОВ / ОБУЧЕНИЕ

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Власенко М.Н.

В условиях рыночной экономики остро стоит проблема обеспечения информационной безопасности хозяйствующих субъектов. В тоже время анализ показывает, что мнения экспертов о высокой потребности предприятий и организаций в специалистах сферы информационной безопасности не соответствуют действительности. Кто в настоящее время руководит организацией информационной безопасности на предприятии? На кого возлагается выполнение технологических операций по защите информации? Каковы перспективы развития отрасли информационной безопасности в Российской Федерации?

Похожие темы научных работ по экономике и бизнесу , автор научной работы — Власенко М.Н.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Текст научной работы на тему «Организационные аспекты и проблемы кадрового обеспечения хозяйствующих субъектов специалистами сферы информационной безопасности в современных условиях рыночной экономики России»

УДК 65.012

ОРГАНИЗАЦИОННЫЕ АСПЕКТЫ И ПРОБЛЕМЫ КАДРОВОГО ОБЕСПЕЧЕНИЯ ХОЗЯЙСТВУЮЩИХ СУБЪЕКТОВ СПЕЦИАЛИСТАМИ СФЕРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СОВРЕМЕННЫХ УСЛОВИЯХ РЫНОЧНОЙ ЭКОНОМИКИ РОССИИ

М. Н.ВЛАСЕНКО,

кандидат экономических наук,

доцент кафедры экономики и управления

E-mail: 57643@rambler. ru

Всероссийская государственная налоговая академия Министерства финансов РФ

твенной деятельности и личности. Сложность данной проблемы заключается в том, что в переходный период развитие национальной экономики страны проходит в условиях постоянного дефицита и противоречивости правовой базы, отсутствия научно обоснованной концепции реформ, политической нестабильности и инерционности мышления, желания многих быстро и любой ценой обогатиться, роста активности преступности и коррупции, появления новых методов противоправных посягательств, инициированных активным развитием научно-технического прогресса.

Сложившаяся в настоящее время в обществе и в его экономической системе ситуация породила многие непредвиденные ранее опасности и угрозы для развития экономики страны. При этом продолжают действовать и традиционные деструктивные факторы — хищения, мошенничество, промышленный шпионаж, криминализация бизнеса, коррупция и др. В этих условиях возникает непредсказуемость результатов экономической деятельности хозяйствующих субъектов, которая в свою очередь приводит к нежелательным для них последствиям или даже к полному банкротству.

В условиях рыночной экономики остро стоит проблема обеспечения информационной безопасности хозяйствующих субъектов. В то же время анализ показывает, что мнения экспертов о высокой потребности предприятий и организаций в специалистах сферы информационной безопасности не соответствуют действительности. Кто в настоящее время руководит организацией информационной безопасности на предприятии? На кого возлагается выполнение технологических операций по защите информации? Каковы перспективы развития отрасли информационной безопасности в Российской Федерации?

Ключевые слова: безопасность, безопасность бизнеса, информационная безопасность, компьютерная безопасность, информационное обеспечение, информация, данные, обработка данных, базы данных, принятие решения, информационные технологии, подготовка специалистов, обучение.

В современных условиях развития рыночных отношений в России, появления свободной конкуренции возникла необходимость разработки методологических подходов в обеспечении безопасности государства, региональных образований, а также безопасности отдельных субъектов хозяйс-

Данные факторы представляют существенную угрозу как для отдельных предприятий и организаций, так и для безопасности государства в целом [2].

Учитывая сложившуюся ситуацию, были пересмотрены существующие подходы и сформулированы основные принципы обеспечения безопасности на всех уровнях, а также полномочия и функции федеральных и региональных органов государственной власти, органов местного самоуправления, а также статус Совета Безопасности РФ, нашедшие свое отражение в Федеральном законе от 28.12.2010 № 390-Ф3 «О безопасности».

Так, п. 3 ст. 2 Федерального закона № 390-Ф3 провозглашает «системность и комплексность применения федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, другими государственными органами, органами местного самоуправления политических, организационных, социально-экономических, информационных, правовых и иных мер обеспечения безопасности».

А в п. 1 ст. 4 названного закона указано, что «государственная политика в области обеспечения безопасности является частью внутренней и внешней политики Российской Федерации и представляет собой совокупность скоординированных и объединенных единым замыслом политических, организационных, социально-экономических, военных, правовых, информационных, специальных и иных мер» 1

Как видно из сказанного, одним из основополагающих подходов к обеспечению безопасности является обеспечение информационной безопасности, и это направление возведено в ранг государственной политики.

Таким образом, не подлежит сомнению тот факт, что качественное решение вопросов обеспечения информационной безопасности возможно только силами специалистов в данной сфере деятельности.

На макроуровне (на уровне государства или отдельного региона) данная проблема пока не стоит достаточно остро. Профильных управленцев, способных качественно решать поставленные задачи, достаточно. Иная ситуация сложилась в отношении кадрового обеспечения отдельных хозяйствующих субъектов специалистами в сфере информационной безопасности. Рассмотрим данную проблему более подробно.

Под информационной безопасностью хозяйствующего субъекта принято понимать наличие специальных условий его функционирования, при которых обеспечивается защита его информационных ресурсов и поддерживающей их инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб обладателям информации, операторам информационной системы, а также «третьим» лицам [2].

Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» регулирует отношения, возникающие при: осуществлении права на поиск, получение, передачу, производство и распространение информации; применении информационных технологий; обеспечении защиты информации. Положения настоящего Федерального закона не распространяются на отношения, возникающие при правовой охране результатов интеллектуальной деятельности и приравненных к ним средств индивидуализации.

Вопросы обеспечения защиты авторских прав нашли свое отражение в части четвертой ГК РФ в разд. 7 «Права на результаты интеллектуальной деятельности и средства индивидуализации» 2.

Защита информации, касающейся обеспечения защиты персональных данных работников, определена в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» 3.

Другие аспекты обеспечения информационной безопасности рассматриваются в ряде ведомственных, отраслевых нормативных актов, а также локальных нормативных актах предприятий и организаций.

Решение проблемы информационной безопасности возлагается на должностных лиц предприятий и организаций, каждое из которых по-своему оценивает сложившуюся ситуацию и предлагает с его точки зрения оптимальный план действия. Профессиональный уровень таких специалистов различный и, соответственно, действия в той или иной ситуации бывают не всегда адекватны.

Как показывает практика, у всех субъектов хозяйственной деятельности вне зависимости от формы их собственности практически не существует более важной проблемы в области информационной безопасности, чем ее кадровое обеспечение.

1 Федеральный закон от 28.12.2010 № 390-Ф3 «О безопас-

ности».

2 Гражданский кодекс РФ с изменениями и дополнениями. URL: http://www. gk-rf. ru/glava70.

3 URL: http://www. rg. ru/2006/07/29/personaljnye-dannye-dok. html.

- 65

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

В качестве доказательства наличия такой проблемы в рассматриваемой сфере деятельности достаточно ответить на следующие вопросы:

1) чьими знаниями, энергией и интеллектом осуществляется в настоящее время деятельность по обеспечению информационной безопасности предприятий и организаций в Российской Федерации?

2) кому и для чего в Российской Федерации нужен специалист с высшим профессиональным образованием и квалификацией «Специалист по защите информации»?

Всем, кто каким-либо образом связан с обеспечением информационной безопасности в широком смысле этого понятия, известны федеральные органы исполнительной власти РФ, являющиеся регуляторами в этой области. К таковым относятся: ФСТЭК России, ФСБ России, Минобороны России и ФСО России. Очевидно, что три ведомства из них являются силовыми, а ФСТЭК России имеет тесные и непосредственные связи с ними. Параллельно с этим ряд некоторых частных задач в сфере информационной безопасности решается и другими государственными структурами [1].

Общение с представителями ранее упомянутых государственных органов и бизнес-структур дает право судить о том, что большинство из профильных специалистов являются бывшими госслужащими, а точнее — офицерами указанных силовых ведомств. Таким образом, можно утверждать, что руководство обеспечением информационной безопасности в хозяйствующих субъектах различной отраслевой принадлежности находится в руках так называемых «выходцев» указанных госструктур. Необходимо сразу же отметить, что в данном факте нет ничего предосудительного.

Современные методы подбора данного рода специалистов основываются в основном на личном знакомстве руководителей «защищаемой» структуры с кандидатами на профильную должность, рекомендациях уже работающих сотрудников и других подобных факторах. Следовательно, вполне обоснованным является процесс дальнейшего привлечения представителей силовых ведомств в отрасли, связанные с обеспечением безопасности бизнеса вообще и информационной безопасности в частности.

Данная тенденция обусловлена в том числе такими факторами, как широкомасштабным сокращением штатной численности военнослужащих, проводимым Минобороны и МВД России, более привлекательными условиями труда «на гражданке» за более высокое вознаграждение, более уважительным отношением к высококлас-

66 -

сным профильным специалистам, работающим после увольнения со службы, чем в период ее прохождения, и др.

В чем ценность таких специалистов для обеспечения информационной безопасности? В основном она заключается в личностных качествах или, как сейчас принято говорить, компетенциях таких специалистов. К таковым отнесем: высокий уровень профильных знаний, навыков и умений, полученных в период обучения в высшем учебном заведении (иногда нескольких) и прохождения службы (часто подкреплен боевым опытом), дисциплинированность, подтянутость, личная организованность, твердые навыки организаторской работы, высокая работоспособность и многие др.

С профессионально ориентированными компетенциями дело обстоит значительно сложнее. Востребованными в данной области являются бывшие сотрудники ФСБ и МВД России, а также так называемые «режимщики» Минобороны России вследствие сложившихся стереотипов о «всесиль-ности» этих ведомств, а следовательно, и всех, кто проходил в них службу.

Это же подтверждается и их готовностью в процессе работы при необходимости задействовать оставшиеся связи, «пробить по базе человека (автомобиль), адрес, владение имуществом, связь с криминалом», решать другие подобные задачи. Такие качества работника часто являются определяющими для принятия решения руководителем о сотрудничестве с ним.

Здесь необходимо сказать еще об одной ценности таких специалистов. Так называемые «государственные регуляторы» в области информационной безопасности тоже из этой «обоймы», следовательно, все задачи, связанные с получением разрешений, сертификатов, лицензий, будут решены более оперативно, так как ключевые посты в данных организациях занимают бывшие коллеги или их знакомые. Другими словами, выходец из соответствующего подразделения быстрее найдет контакт с госчиновниками и, разговаривая с ними на «одном языке», сможет решить перечисленные выше задачи быстрее и качественнее [3].

Если говорить о специалистах низового звена управления (исполнителях, технологах), то здесь находят свое место 1Т-специалисты или просто «айтишники», подготовка которых в гражданских вузах отлажена в течение десятилетий.

Военные специалисты, получившие образование в области защиты информации (криптография), военной связи («асушники»), специалисты

«информационная безопасность» и «компьютерная безопасность», что представляется неверным. В этой связи для замещения подобных должностей рассматриваются выпускники вузов, специализирующиеся на 1Т-технологиях.

Как показывает практика, «айтишники», обладающие знаниями, навыками и умениями в области использования программно-аппаратных средств защиты информации, не видят для себя каких-либо проблем за пределами последних. Таким образом, обеспечение информационной безопасности носит однобокий, урезанный характер, отметая ряд других, не менее важных мер.

В этом плане хотелось бы еще раз напомнить о характере современных угроз информационной безопасности. В общем анализе проблем, связанных с утечками конфиденциальной информации, показанном в исследованиях авторитетного консалтингового агентства «InfoWateh», можно видеть следующие положения: «Эксперты InfoWatch рекомендуют российским предприятиям в ближайшее время обратить особое внимание на защиту конфиденциальной информации на бумажных носителях и на за контроль печатными устройствами. Увеличение роли компьютерной техники привело к тому, что упущен из виду этот весьма опасный канал утечек. Число инцидентов с бумажными документами сильно выросло» [5].

Вот к чему приводит чрезмерное увлечение решением задач компьютерной безопасности. Дальнейшее совершенствование деятельности в области администрирования систем и сетей, использования межсетевых экранов, антивирусных, антишпионских, антиспамовых, криптографических средств, сканеров безопасности и многих других привело к перекосу и оголило совершенно другое направление обеспечения информационной безопасности.

Необходимо помнить, что наряду с угрозами информационной безопасности, инициированными недостатками технических систем, существуют и другие деструктивные информационные воздействия, остающиеся в качестве самых актуальных на протяжении последних лет:

• деятельность инсайдера;

• кража портативных устройств хранения информации;

• несанкционированные действия собственных сотрудников;

• использование персоналом запрещенных технических устройств и программ, ослабляющих уровень безопасности информационной системы, и ряд др.

68 -

Следует обратить внимание на то, что все они непосредственно связаны с «человеческим фактором». Следовательно, практическая работа по обеспечению информационной безопасности на предприятии представляется в совершенно другом аспекте — в работе с персоналом [1].

Попробуем ответить на вопрос: на кого планируют современные управленцы возложить обязанности по обеспечению информационной безопасности?

Опираясь на результаты представленного ранее экспресс-анализа, управление решением задач обеспечения информационной безопасности предприятия будет возложено на руководителя или сотрудника службы (отдела, отделения, департамента и др.) безопасности, экономической безопасности, значительно реже — информационной безопасности.

Думается, что нет необходимости повторять, что все они, как правило, являются выходцами из многоуважаемых силовых структур и в практической деятельности тяготеют к однобокому решению задач информационной безопасности, часто используя только методы физической и отчасти инженерно-технической защиты. Данные решения тесно связаны с особенностями их базового образования, спецификой деятельности подразделения, в котором ранее проходили службу, а также стереотипами, сложившимися при общении с вышестоящими руководителями, системой оценки последними деятельности подразделения (специалиста) информационной безопасности, критериями и показателями эффективности его работы.

На протяжении ряда лет для руководителей одним из факторов привлекательности принятия решения в пользу таких сотрудников была возможность привлечения их ресурсов и возможностей сбора сведений о персонах, организациях, использования их навыков применения так называемого «шпионского» оборудования, позволяющего подслушивать и подглядывать за сотрудниками и конкурентами.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Кстати, на смену методам управления персоналом, основанным на создании в коллективе атмосферы подозрительности, широко применяемым в 1990-х гг., в настоящее время приходят методы так называемого «тим-билдинга» или командо-образования, которые предполагают выполнение комплекса мероприятий по выстраиванию в коллективе эффективных внутренних коммуникаций, доверительных взаимоотношений, основанных на коллективной ответственности за результаты работы, общности интересов, взаимопонимании и взаимопомощи.

Следовательно, учитывая рассмотренные ранее тенденции, обоснованно можно предположить, что будущее обеспечения информационной безопасности бизнеса не за выходцами из силовых структур.

Практическая реализация отдельных мероприятий и процедур информационной безопасности, как и сейчас, в будущем будет возложена на специалистов в области информационных технологий, т. е. «айтишников», а именно администраторов систем, баз данных, системных программистов и им подобных. Как уже упоминалось ранее, предметом приложения усилий последних будет реализация отдельных механизмов программно-аппаратной защиты информации.

Мероприятиями по обеспечению информационной безопасности, в основе которых лежат организационные методы, а также организация, планирование и управление всей системой информационной безопасности, будут заниматься специалисты, владеющие компетенциями гораздо более широкими, чем 1Т-сфера.

Вывод напрашивается следующий: современные руководители бизнеса в своей практической деятельности ориентируются на уровень обеспечения информационной безопасности своего бизнеса, сочетающий в себе отдельные мероприятия организационного плана, а также частично инженерно-технические и программно-аппаратные. Как показывает практика, подобный подход не отвечает требованиям системности в решении задач обеспечения информационной безопасности, так как в нем не реализуются некоторые, не менее важные направления, чем 1Т-безопасность.

В условиях современного развития рыночных отношений, обострения конкуренции и конкурентной борьбы (в том числе незаконными методами) ставится ряд важных задач обеспечения информационной безопасности предприятия (организации):

прогнозирование, выявление, анализ и оценка угроз информационной безопасности; формирование эффективного правого поля обеспечения информационной безопасности; организация режимов коммерческой или иной тайны;

аудит информационной безопасности; обоснование и оптимизация бюджета на информационную безопасность; решение задач с позиций минимальной достаточности;

моделирование систем защиты и их элементов;

• обоснование предпочтений использования организационных и технических методов, направленных на защиту информации;

• использование сочетания методов гласности и конфиденциальности;

• подготовка профильных специалистов с требуемыми компетенциями;

• разработка критериев оценки (системы показателей) эффективности системы обеспечения информационной безопасности;

• работа с персоналом по повышению осведомленности в области информационной безопасности;

• использование норм профессиональной этики в решении профильных задач.

Этот перечень можно продолжать и далее [2]. Напрашиваются вопросы: «На кого (какого специалиста) можно возложить решение этих задач сейчас?»; «Какими силами будет обеспечиваться информационная безопасность в бизнесе, государственных структурах и государстве в целом в дальнейшем?». В этой связи следует напомнить, что информационная безопасность должна обеспечиваться исключительно специалистами по информационной безопасности!

На фоне современных проблем для высшего образования вообще и вузов, готовящих специалистов в области защиты информации, в частности, все ранее изложенное приобретает совсем иное значение.

Высшее образование в РФ в настоящее время переживает не просто сложное, а по-своему трагическое время. Вузы, осуществляющие подготовку по специальностям, связанным с информационной безопасностью, тому не исключение.

Во-первых, это связано с объективными проблемами начала 1990-х гг., что выразилось в демографическом провале. Таким образом, в 2011 г. общая емкость высшей школы оказалась больше количества потенциальных абитуриентов.

Во-вторых, это связано с общими проблемами образования в России. Мы все в 2010 г. явились свидетелями весьма скандальной процедуры сдачи ЕГЭ выпускниками школ и их поступления в вузы.

В-третьих, нельзя снимать со счетов недоработку работников высшего образования, выразившуюся в силе инерции и неготовности оперативно и быстро реагировать на происходящие изменения.

Существуют и другие факторы, непосредственно относящиеся к трудностям подготовки специалистов в области информационной безопасности. К таковым можно отнести:

- 69

• низкую востребованность выпускников вузов по специальностям информационной безопасности, что подтверждено результатами исследования, представленными ранее;

• нежелание современного бизнеса в лице руководителей или заинтересованных лиц участвовать в работе учебно-методических объединений вузов по формированию системы требований к специалисту по защите информации;

• критику, хотя и не всегда необоснованную, в адрес вузов в связи с низким уровнем подготовки профильных специалистов;

• продолжающееся и нарастающее тяготение абитуриентов к обучению по специальностям, связанным с изучением преимущественно гуманитарных предметов, а отнюдь не физики, высшей математики, информатики и информационных технологий;

• невозможность (в связи с финансовыми проблемами) многих вузов, готовящих студентов по специальностям информационной безопасности, принимать участие в работе общероссийских и международных форумов по профильной тематике, что не ведет к консолидации общих усилий в области обучения как профильных специалистов, так и обеспечения информационной безопасности в государстве в целом [3].

С учетом изложенного следует отметить, что если бы все, о чем говорилось в данной статье, не соответствовало действительности, то мы не имели бы сейчас такого плачевного состояния в выполнении, например, требований Федерального закона № 152-ФЗ «О персональных данных», принятого более трех лет назад. В настоящее время дискуссия о необходимости выполнения требований федераль-

ного законодательства продолжается в следующем ключе: «Стоит ли выполнять эти требования? Как их выполнить? Что будет, если их не выполнять?». Зададим себе простой вопрос: почему же все-таки это происходит? Потому, очевидно, что выполнить комплекс необходимых мероприятий на предприятиях (в организациях) практически некому..

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Список литературы

1. Власенко М. Н. Кадровая составляющая системы экономической безопасности в предпринимательской деятельности // Бизнес-приложение «Финансовая газета — ЭКСПО». № 2 (108). М., 2007.

2. Власенко М. Н, Кунбутаев Л. М. Практика обеспечения информационной безопасности хозяйствующего субъекта. IT-аспект // Материалы межвузовской научно-практической конференции «Государственное регулирование рыночной экономики XXI века: проблемы и перспективы». М.: ВГНА, 2006.

3. Власенко М. Н. Проблема подготовки специалистов в сфере безопасности бизнеса // Материалы региональной научно-практической межвузовской конференции «Государственное регулирование экономики на региональном уровне». М.: ВГНА, 2004.

4. Власенко М. Н. Проблема подготовки специалистов в сфере информационно-аналитического обеспечения бизнеса // ВЛАСТЬ. 2004. № 9.

5. Официальный портал информационного агентства «InfoWatch». [Электронный ресурс]. URL: www. infowatch. га.

6. Российские электронные ресурсы для поиска работы и квалифицированного персонала. [Электронный ресурс]. URL: www. job. га; www. zarplata. ru; www. findjob. ru; www. toptalent. ru; www. 9955599.ru.

Московская Высшая Школа Экономики 20 лет Лицензиям000002, А 306208 ФИНАНСОВЫЙ ИНСТИТУТ Аккредитация 010300

ИНСТИТУТ ПРОФБУХГАЛТЕРОВ И АУДИТОРОВ ВЫСШЕЕ ОБРАЗОВАНИЕ ВТОРОЕ ОБРАЗОВАНИЕ за 8 месяцев (ГОСДИПЛОМ)

УМЦ № 420, УМЦ № 611 Организованная сдача экзаменов. Аттестат • Профессиональный бухгалтер • Профбухгалтер по МСФО • Профбухгалтер бюджетных учреждений • Финансовый директор • Внутренний аудитор • Налоговый эксперт-консультант • Общий аудит. Аттестат Минфина РФ Повышение квалификации профессиональных бухгалтеров и аудиторов - 20 программ 911-93-07 * БУХГАЛТЕРСКИЙ УЧЕТ, АНАЛИЗ И АУДИТ МЕНЕДЖМЕНТ ОРГАНИЗАЦИИ ФИНАНСЫ И КРЕДИТ Обучение: • дневное; • вечернее; • заочное; • группы выходного дня. 911-09-65 * Бухгалтерский учет и аудит * Управление финансами * МСФО (Диплом АССА, Великобритания) * Организация предпринимательской деятельности * Организация маркетинговой деятельности и управление продажами * Организация и управление кадровой службы * Менеджмент туризма и гостеприимства * Менеджмент рекламного дела * Менеджмент внешнеэкономической деятельности и таможенного дела * Менеджмент страхового дела * Психология и управление персоналом 912-44-92

Занятия рядом с м. Таганская, м. Автозаводская, м. Пролетарская (ул. Воронцоеская, 21) www.mos-econ.ru