CC BY
33УДК 004.9
ОСОБЕННОСТИ ФОРМИРОВАНИЯ СЛУЖБЫ ЗАЩИТЫ ИНФОРМАЦИИ С УЧЕТОМ ЧЕЛОВЕЧЕСКОГО ФАКТОРА
В.В. Арутюнов
FEATURES OF FORMATION OF INFORMATION PROTECTION SERVICE IN VIEW OF THE HUMAN FACTOR
У.У. Arutyunov
Аннотация. Рассматриваются основные этапы формирования мер по противодействию угрозам информационной безопасности организации со стороны ее персонала, требования (квалификационные и персональные), предъявляемые к сотрудникам службы защиты информации предприятия.
Ключевые слова: защита информации, человеческий фактор, информационная безопасность, служба защиты информации.
Abstract. The main stages of the formation of measures to address threats to information security on the part of its personnel requirements (qualifications and personal), applicable to the employees of the enterprise information protection service are considered.
Keywords: information protection, human factor, information security, information protection service.
Рассматривая становление понятия «информационная безопасность», эксперты отмечают, что оно сформировалось относительно недавно - в 90-х гг. прошлого века. До этого в 60-х и 70-х гг. XX в. основное внимание было сосредоточено на разработке методов защиты данных, обрабатываемых на компьютере, и применении отказоустойчивых решений в области обработки информации. В 1980-х гг. с появлением персональных компьютеров возникла необходимость в разработке средств защиты от копирования и несанкционированного использования программ, и тогда появился термин «компьютерная безопасность». Только в конце ХХ в. наступило осознание того, что информационные ресурсы организации или государства являются весьма значимым объектом экономической инфраструктуры, и для обеспечения комплексной информационной безопасности объектов защиты необходимы разработка и внедрение полномасштабной системы защиты информации, которую необходимо рассматривать как
сложную социотехническую систему и одним из важнейших компонентов которой является человек, управление которым в системе защиты информации, в свою очередь, является важной функцией этой системы.
Управление персоналом - жизненно важная стратегическая функция, которая в ходе эволюции различных форм управления к концу XX в. сформировалась в самостоятельную структуру. Активная целенаправленная деятельность по управлению персоналом является весомой гарантией того, что фирма будет успешно функционировать, так как именно действия тех или иных сотрудников могут в той или иной степени усиливать слабость фирмы, приводя, в том числе, к понижению ее имиджа.
Таким образом, человек с его потребностями, мотивациями и конкретными интересами в XXI в. является уже мерой прогресса, и когда фирма не декларативно, а на деле заботится о своих сотрудниках, то это обязательно самым положительным образом отражается как на результатах деятельности фирмы, так и на ее имидже.
В настоящее время особую значимость для достижения успеха в создании и обеспечении эффективного функционирования системы защиты информации приобретает способность организации осознать в полной мере важность привлечения человеческих ресурсов к активному внедрению системы защиты информации и содействовать успешному решению возникающих проблем управления персоналом из-за реализации мер по защите информации, в том числе при необходимости оптимизации бизнеса, в котором зачастую задействованы сотни и тысячи человек.
В наше время необходимость управления персоналом самым тесным образом связана с защитой коммерческой тайны фирмы, так как персонал, и в первую очередь, руководитель фирмы, является одним из основных носителей конфиденциальной информации. По оценкам специалистов, от 70 % до 80 % всех нарушений информационной безопасности на предприятии совершается именно сотрудниками организации [3; 5].
Организация на предприятии работы по противодействию угрозам информационной безопасности фирмы со стороны ее персонала требует проведения специальной работы [1; 10] и осуществляется при реализации следующих четырех этапов.
На начальном этапе формируется ранжированный перечень всех конфиденциальных сведений организации с присвоением им соответствующего грифа.
На втором этапе осуществляется оценка различных возможных каналов утечки (перехвата) конфиденциальной информации организации.
Главной целью работы на данном этапе является выявление наиболее вероятных угроз конфиденциальной информации на данном предприятии и обеспечение возможности выбора наиболее оптимальных методов и форм защиты.
На третьем этапе определяется перечень различных прикладных методов защиты информации. Они подразделяются на следующие три группы:
1. Программные методы и средства, включающие:
- комплекс программ, которые ограничивают доступ в информационно-телекоммуникационные сети, информационные системы и в отдельные особо защищаемые компьютеры организации или узлы сети;
- программы, защищающие информацию от воздействия компьютерных вирусов, умышленно или случайно занесенных в информационно-телекоммуникационные сети или системы;
- программы, которые автоматически шифруют информацию;
- программы, не позволяющие осуществить перезапись информации, находящейся в памяти компьютера, на внешние носители;
- программы, автоматически уничтожающие определенные данные с ограниченным для конкретного пользователя временем доступа, или обнуляющие всю свободную область оперативной памяти компьютера, или свободную память на внешних запоминающих устройствах.
2. Методы технического характера, включающие:
- использование для проведения конфиденциальных переговоров только специальных защищенных экранированных помещений;
- использование специализированных сейфов и хранилищ для хранения информации на бумажных носителях, зачастую вне основного здания фирмы (с необходимыми устройствами для
ее автоматического уничтожения при попытке несанкционированного доступа к ней);
- применение специальной аппаратуры для выявления устройств перехвата или утечки информации;
- эксплуатацию защищенных каналов телефонной связи;
- применение средств подавления работы устройств перехвата информации.
3. Методы организационного характера включают:
- мероприятия по ограничению свободного доступа пользователей к конфиденциальной информации;
- мероприятия по уменьшению вероятности случайного или умышленного разглашения информации или использованию других форм ее утечки (разработка правил работы с конфиденциальными документами и закрытыми базами компьютерных данных, проведения переговоров, а также правил соответствующего поведения сотрудников организации на работе и вне ее);
- мероприятия по декомпозиции конфиденциальной информации, не позволяющие сосредоточить в одном источнике (в документе, файле у сотрудника и т.п.) все сведения по вопросу, интересующего потенциального злоумышленника;
- специальные мероприятия по выявлению фактов утечки той или иной конфиденциальной информации;
- мероприятия по контролю над соблюдением установленных правил информационной безопасности, отраженных в базовой политике безопасности или в специализированных политиках безопасности предприятия.
На заключительном этапе реализуется формирование и внедрение системы обеспечения информационной безопасности организации, включающее в том числе реализацию следующих мероприятий:
- расчет и выделение необходимых финансовых ресурсов для создания, внедрения и обеспечения функционирования системы;
- разработку общей концепции и базовой политики информационной безопасности как основного элемента общей стратегии безопасности организации, а также специализированных политик безопасности предприятия;
- разработку внутренней нормативно-правовой базы для обеспечения информационной безопасности предприятия;
- обучение персонала организации правилам обеспечения информационной безопасности;
- формирование и развитие различных формализованных процедур контроля над соблюдением установленных правил, а также санкций за их нарушение.
В условиях рыночной экономики одной из первоочередных задач руководства фирмы является грамотная постановка работы с персоналом, учитывающая все современные экономические реалии, так как в настоящее время в условиях необходимости соблюдения коммерческой тайны приходится учитывать и лояльность персонала фирмы [2; 4-8; 11]. При этом необходимо осознавать и особенности работы с персоналом при внедрении систем защиты информации [2; 6-7]. Так, например, следует учитывать, что сопротивление преобразованиям со стороны пользователей (осознанное или подсознательное) при внедрении системы защиты, как и при внедрении других нововведений, в силу человеческой природы практически неизбежно, поэтому к нему необходимо заранее тщательно подготовиться.
Реализация новых подходов к проблеме обеспечения коммерческой тайны в процессе управления персоналом требует изучения, анализа и творческого осмысления также и зарубежного опыта в этом вопросе. Учет психологического аспекта при работе с кадрами имеет немаловажное значение. В США, например, при приеме сотрудника на работу в службу защиты информации изучается его характер, прошлое, семья, окружение, и др. Кроме обычного анкетирования кандидат на работу в эту службу проходит ряд тестов на профессиональную пригодность, выявляются его положительные и отрицательные черты характера, проводится в отдельных случаях графологическая экспертиза. Таким образом сводится к минимуму вероятность попадания в службу защиты информации лиц, не соответствующих требованиям, предъявляемым к работникам данной профессии.
В США будущие сотрудники службы защиты информации и персонал, который работает с конфиденциальной информацией, в обычном порядке проходят восьмичасовой тренинг до того, как приступят к своим обязанностям, и в течение девяти первых дней работы - сорокачасовой тренинг. Тип тренинга зависит от профиля работы и характера работника. Цель тренингов: предотвратить утечку информации из-за простой небрежности, получить навыки
оперативного решения текущих задач, научиться решать новые более сложные задачи, уметь противостоять промышленному шпионажу и противоправным действиям криминальных элементов.
Управление персоналом организации в целях обеспечения ее информационной безопасности включает обучение сотрудников организации правилам обеспечения информационной безопасности. При этом следует учитывать, что для сотрудников в силу целого ряда психологических факторов и в отличие от профессионального обучения и повышения квалификации оно зачастую носит вторичный по значимости характер.
Мотивация сотрудников организации в целях обеспечения ее информационной безопасности реализуется по двум направлениям: специальные поощрения за активную работу по обеспечению информационной безопасности и введение специальных санкций к конкретным сотрудникам или трудовым коллективам за нарушения, допущенные ими в сфере соблюдения действующих правил обеспечения информационной безопасности. Последние включают меры административного, психологического и экономического характера. При этом меры административного характера могут включать:
1. Смещение с должности руководителя структурного подразделения:
- при его неоднократном уличении в сокрытии фактов нарушения соответствующих правил по соблюдению информационной безопасности, допущенных его подчиненными;
- допустившего утечку абсолютно конфиденциальной информации, которая причинила существенный ущерб организации или ее контрагентам;
- оказавшегося не в состоянии, несмотря на ранее принятые к нему меры воздействия, обеспечить в своем коллективе требуемое серьезное отношение к обеспечению информационной безопасности (то есть, отмечалось наличие регулярных замечаний со стороны службы защиты информации).
2. Увольнение сотрудника за невыполнение принятых на себя трудовых обязательств в форме однократного грубого или неоднократных мелких нарушений правил обеспечения информационной безопасности.
3. Отказ в пролонгации трудового договора сотруднику службы защиты информации.
4. Досрочное прекращение действия трудового договора в связи с неудовлетворительными результатами прохождения испытательного срока.
5. Перевод сотрудника на другое рабочее место (в том числе -в другом подразделении), не предполагающее доступа к конфиденциальной информации.
6. Исключение сотрудника из резерва на выдвижение.
7. Другие меры административного характера (объявление взыскания, выговора и пр.).
Меры экономического характера могут включать:
- лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда;
- сокращение или лишение премии по итогам квартала для конкретного сотрудника или всего коллектива подразделения;
- отмена персональных или групповых социально-экономических льгот.
В числе мер психологического характера входят:
- индивидуальная беседа с руководителем или сотрудником службы защиты информации организации;
- обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения.
Зарубежный и отечественный опыт создания систем защиты информации свидетельствует, что высокий уровень обеспечения информационной безопасности на предприятия обеспечивается в первую очередь за счет создания в организации собственной службы защиты информации.
В России при подборе сотрудника в службу защиты информации рекомендуется использовать следующие методы изучения личности [5]:
- изучение мнения коллектива, где работал кандидат;
- изучения ближайшего окружения личности;
- изучение жизненного пути кандидата;
- создания в службе защиты информации при приеме кандидата на работу ситуации, наиболее подходящей для проявления профессионально важных качеств личности.
При формировании состава службы защиты информации необходимо учитывать в первую очередь квалификационные данные потенциальных кандидатов, а, во вторую - личные (персональные) их характеристики.
Так, например, если кандидат на работу в службе защиты информации носит имя своего отца, то по результатам исследования Б. Хигира [13] этот факт, во-первых, способствует развитию у него негативных качеств, и, во-вторых, достаточно резко повышает его неустойчивость, эмоциональность и раздражительность.
Важное значение, по мнению автора, имеет и время года, в которое родился кандидат.
Зима щедро наделяет талантами рожденных в эту пору. Это, зачастую, личности, с одной стороны, нестандартно мыслящие и вместе с тем самолюбивые, противоречивые и упрямые. Они работают, как правило, неистово и часто поэтому достигают высоких результатов. Достаточно часто они становятся хорошими руководителями, зачастую реализуют свои возможности в области точных наук; работают там, где необходимо проявить силу воли и где требуется целеустремленность и выносливость.
Родившиеся весной легкоранимы, эгоистичны, нерешительны и обидчивы. Они физически очень сильные, смелые с раннего детства. Чаще всего это люди одаренные, и лишь неуверенность мешает им стать лидерами. «Весенние» натуры проявляют гибкость в различных ситуациях, обладают незаурядной выдержкой, но мало кто из них имеет бойцовские качества. Среди них немало талантливых и успешных людей в области науки и коммерции. При этом, как выявили британские исследователи, родившихся в марте часто поражают сердечно-сосудистые заболевания, но зато те, кто появился на свет в мае, оказались самыми здоровыми среди всех родившихся в различные месяцы года.
Лето оказывает благотворное влияние на родившихся в это время. Эти натуры чужды карьеризму, не мелочные, готовые рисковать. Значительное трудолюбие позволяет им часто добиваться успеха в своих делах. Обычно это очень импульсивные, впечатлительные и эмоциональные люди. Их вспыльчивость не перерастает в злопамятность. Те, кто родились летом, добродушны, горды, бескорыстны и отважны; они не бросят в беде, надежны в дружбе, никогда не подводят.
Осень одарила людей, родившихся в это время, следующими чертами. Они расчетливы, быстро и верно решают трудные вопросы, не спешат с выводами, умело просчитывают каждый свой шаг. Среди них много педантов. Это люди принципиальные, но дипломатичные; часто они весьма старательны и усердны, в делах настойчивы, придерживаются четкой линии поведения. Они обязательно все проверяют сами, мало кому веря на слово. Слабо поддаются влиянию, старательно стремятся к совершенству, всегда имеют свое собственное мнение.
Б. Хигир также отмечает, что необходимо быть осторожными при приеме на работу представительниц прекрасного пола, обладающих именами мужского происхождения (например, Александра, Евгения и т.д.). У них отмечается неустойчивая нервная система, сложный, противоречивый характер.
В своих книгах [12; 13] автором приводится также таблица сочетаний мужских имен с отчествами, которые способствуют успешному развитию личности. Так, например, по мнению автора, наиболее успешны Ивановичи, имеющие одно из следующих имен: Алексей, Анатолий, Борис, Григорий, Мирон, Николай, Тарас; среди Павловичей таковых всего четыре: Алексей, Борис, Валерий и Роман.
Немаловажную роль играет и почерк сотрудника. Почерк
- один из способов самовыражения, он индивидуален и связан с характером человека. С этой точки зрения им занимаются не только криминалисты-графологи.
Диагностика по почерку позволяет выявлять характерные черты личности, и она хороша тем, что:
- системна и позволяет выявить специфическую, конкретную информацию об индивидууме;
- не зависит и от каких-либо помех, которые могут исказить картину ответов или реакций: от мотивации человека, его самочувствия, настроения, усталости;
- не требует присутствия испытуемого.
Специфика почерка имеет также и большое медицинское значение. Знание ее можно использовать в том числе для диагностики заболеваний сотрудника и для его лечения [9].
Связь между гормонами и психикой изучает психоэндокринология. Главную роль в этой связи играют так называемые нейрогор-моны, или нейропептиды. Эти молекулы, состоящие из нескольких аминокислот, регулируют в организме массу процессов - от работы внутренних органов до активности наших мышц. Когда нейропептиды меняются, изменяется и почерк. И наоборот, сознательное изменение почерка вызывает сдвиги в нейропептидах, и в результате изменяются эмоции и психика человека. Так, например, больные депрессией пишут буквы зачастую не слитно, а раздельно друг от друга. Чем тяжелее их состояние, тем больше расстояние между буквами. Если начать их учить писать правильно, как по прописям, то их состояние будет улучшаться. Для этого пациенту подбирают пропись, наиболее подходящую ему, и он, как первоклассник, начинает заниматься сам. Кстати, это может быть использовано не только как лечение, но и как психотерапия.
На эмоции и характер тоже можно влиять почерком. Если человек переоценивает себя, ему подойдет пропись, где требуется писать строго по строчкам, не заносясь вверх, как это обычно бывает у таких людей. Другим нужно строго соблюдать определенный наклон букв. Например, у людей, находящихся в дисгармонии с окружающими, буквы часто бывают вертикальными или даже с наклоном влево. Им необходимо стараться писать с наклоном вправо под углом в 45о.
Почерки мужчин и женщин при этом действительно значительно разнятся, как и голоса; кроме того, опытные почерковеды могут определить примерный возраст писавшего и его образование; имеются методики для определения по почерку пола и возраста человека.
В табл. 1 приводится связь между характером человека и особенностями почерка и написания букв.
Тщательный анализ почерка кандидата на ту или иную должность в службе защиты информации с учетом вышеуказанных персональных особенностей индивидуума позволяет во многих случаях определить особенности и характер человека и выбрать сотрудника (с учетом квалификации и персональных качеств кандидата на соответствующую должность в организации), необходимого для работы в соответствующей сфере деятельности службы защиты информации предприятия, в том числе, например, в качестве руководителя среднего звена в этой службе.
МОСКОВСКИЙ ФИНАНСОВО-ЮРИДИЧЕСКИЙ УНИВЕРСИТЕТ МФЮА
Таблица 1
Взаимосвязь характера человека с видами почерка и особенностями написания букв
Вид почерка Черты характера
Мелкий, бисерный почерк Рационализм, расчетливость, самообладание и наблюдательность
Крупный почерк Доверчивость, непрактичность, мягкость чувственность, желание быть в центре внимания
Убористый, сжатый почерк Расчетливость и консервативность
Размашистый почерк Наделен способностью стратега, склонностью к глобальному, системному мышлению и предприимчивости
Наклон почерка Черты характера
Наклон вправо Эмоциональный, открытый социальный человек
Наклон налево Скрывает эмоции, любит одиночество
Вертикальные буквы Логичный человек, скрывающий эмоции
Связанные буквы Логичный человек, полагается на опыт и факты
Раздельные буквы Импульсивный человек, действует интуитивно
Написание заглавных букв Черты характера
- они намного больше строчных Человек очень требователен к окружающим
- почти не отличаются от прописных Скромный человек, без особых претензий к жизни
- буквы выписаны каллиграфически Подвержен чужому мнению и не имеет своей точки зрения в суждениях
- буквы украшены различными изысками такими, как завитушки, ленточки Артистичность, имеет пристрастие к красивым вещам и повышенное внимание к внешней стороне жизни
Особенности букв Черты характера
Круглые Человек отличается любезностью, не склонен к конфликтам
Острые и узкие Отмечается интеллект, любовь к изучению нового, честолюбие
Й (с галочкой) Е (с точками) Внимателен к деталям, любит порядок
Размеры полей на листе Черты характера
Широкие поля справа и слева Щедрость и хвастливость
Широкие поля только справа Деликатность и нерешительность
Поля разной ширины Беспечность
Поля практически отсутствуют Человек целиком поглощен собой, в его жизни нет места для кого-то еще
Библиографический список
1. Алавердов А.Р. Управление кадровой безопасностью организации. М., 2010.
2. Арутюнов В.В. О некоторых организационно-психологических аспектах внедрения информационных технологий // НТИ. Сер. 1. 2000. № 1.
3. Арутюнов В.В. Об интерпретации закона Парето в сфере информационной безопасности // Вестник МФЮА. 2015. № 4.
4. Волобуев С.В. Философия безопасности социотехнических систем. М., 2007.
5. Гришина Н.В. Информационная безопасность предприятия. М., 2015.
6. Гришина Н.В., МецатунянМ.В., Русецкая И.А. Влияние социально-психологических аспектов на обеспечение информационной безопасности субъектов информационных отношений // Безопасность информационных технологий. 2012. № 1.
7. Гришина Н.В., Морозова Е.В. Вопросы социально-психологического обеспечения деятельности комплексных систем защиты информации // Безопасность информационных технологий. 1997. № 1.
8. Корнеев И.К., Степанов Е.А. Защита информации в офисе. М., 2008.
9. Мельников А. Почерк здоровья // Аргументы и факты. 2015. № 15.
10. Милославская Н.Г., Сенаторов М.Ю., Толстой А.И. Технические, организационные и кадровые аспекты управления информационной безопасностью: учебное пособие. М., 2014.
11. Филяк П.Ю., Комиссарова Г.Н. Создание комплексной системы защиты информации с учетом роли кадров // Современные проблемы и задачи обеспечения информационной безопасности. М., 2015.
12. Хигир Б. Тайна женского отчества. СПб., 2015.
13. Хигир Б. Тайна мужского имени. СПб., 2015.
В.В. Арутюнов
доктор технических наук, профессор
профессор кафедры информационных технологий и ресурсов
Российского государственного гуманитарного университета,
г. Москва
E-mail: warut698@yandex.ru
