Размещено на http://www.allbest.ru/

Содержание

Введение

Глава 1. Нелояльные и безответственные сотрудники как субъекты угроз информационной безопасности работодателя

1.1 Понятие конфиденциальной информации и потенциальные угрозы конкурентным позициям организации в случае ее разглашения

1.2 Основные угрозы информационной безопасности организации, исходящие от ее безответственных и нелояльных сотрудников

1.3 Основные методы защиты конфиденциальной информации от угроз со стороны собственного персонала организации

Краткие выводы по главе

Глава 2. Практика противодействия угрозам информационной безопасности ОАО «Сбербанк России» со стороны собственного персонала (на примере Московского банка ОАО «Сбербанк России)

2.1 Краткая характеристика Московского банка ОАО «Сбербанк России» и анализ динамики его кадрового потенциала за период 2011-2013гг.

2.2 Анализ практики обеспечения защиты конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников и выявленные в ней недостатки

Краткие выводы по главе

Глава 3. Рекомендации по повышению степени защищенности Московского банка ОАО «Сбербанк России» от рассматриваемых угроз

3.1 Совершенствование практики защиты конфиденциальной информации в электронной форме

3.2 Совершенствование практики защиты конфиденциальной информации на печатных носителях

3.3 Совершенствование практики защиты конфиденциальной информации в устной форме

Краткие выводы по главе

Заключение

Литература



Введение

Актуальность темы. Успешное функционирование организации в условиях рыночной экономики предполагает обеспечение эффективной системы мер безопасности, в том числе информационной. Экономика становится более информационно насыщенной, вопрос качественного доступа к информационным ресурсам выходит на одно из первых мест в конкурентной борьбе. Соответственно, обеспечение информационной безопасности становится ключевым фактором достижения конкурентоспособности организации.

Персонал организации влияет на все аспекты ее жизнедеятельности, а также неразрывно связан с ее информационной и экономической безопасностью. Возрастание роли угроз информационной безопасности со стороны собственного персонала в современных условиях обусловлено, с одной стороны, такими социальными тенденциями, как либерализация экономики и рынка труда; изменение сущности контроля за персоналом; повышение роли менеджмента персонала в управлении организацией; с другой стороны, в это время наблюдаются процессы усложнения труда, роли творчества и инноваций, предоставление работникам свободы и автономии в принятии решений, что приводит к ослаблению возможности жесткого контроля за персоналом. Все вышеописанное подтверждает значительную актуальность темы бакалаврской работы.

Цель бакалаврской работы заключается в изучении практики обеспечения информационной безопасности от угроз со стороны собственного персонала в исследуемом банке и разработка практических рекомендаций по ее совершенствованию.

В процессе выполнения-исследования бакалаврской работы поставлены следующие задачи:

- исследовать понятие конфиденциальной информации и потенциальные угрозы конкурентным позициям организации в случае ее разглашения;

- определить основные угрозы информационной безопасности организации, исходящие от ее безответственных и нелояльных сотрудников;

- систематизировать основные методы защиты конфиденциальной информации от угроз со стороны собственного персонала организации;

- дать краткую характеристику ОАО «Сбербанк России» и провести анализ динамики его кадрового потенциала за период 2011-2013гг. (на примере одного из подразделений)

- проанализировать практику обеспечения защиты конфиденциальной информации банка от угроз со стороны безответственных и нелояльных сотрудников и выявленные в ней недостатки;

- разработать рекомендации по совершенствованию практики защиты конфиденциальной информации в электронной форме;

- разработать рекомендации по совершенствованию практики защиты конфиденциальной информации на печатных носителях;

- разработать рекомендации по совершенствованию практики защиты конфиденциальной информации в устной форме.

Объектом исследования является ОАО «Сбербанк России».

Предметом исследования является практика защиты от угроз информационной безопасности ОАО «Сбербанк России» со стороны собственного персонала.

Информационная база исследования: эмпирическую и информационную базу исследования составили внутренние документы ОАО «Сбербанк России» (годовая и квартальная отчетность, первичная документация блока кадров и управления информационной безопасности, Устав, Этический кодекс), а также научные труды российских и зарубежных авторов; статистические и аналитические материалы; результаты научных исследований, выпущенные в качестве монографий, статистических сборников, статей периодической печати. Также использовались материалы научных конференций и семинаров, действующие законодательные акты и иные нормативные документы.

В процессе выполнения бакалаврской работы применены такие методы и приемы анализа как: методы классификации, методы сравнений и аналогий, метод обобщений, динамический и структурный метод анализа исследуемых процессов и явлений.

Теоретическая и практическая значимость данной бакалаврской работы состоит в том, что затронутые и решенные в ней проблемы дадут возможность всесторонне исследовать теоретические и практические аспекты противодействию угрозам информационной безопасности организации со стороны собственного персонала посредством совершенствования практики защиты конфиденциальной информации.

Структура бакалаврской работы включает в себя введение, три главы основного текста и заключение.



Глава 1. Нелояльные и безответственные сотрудники как субъекты угроз информационной безопасности работодателя

1.1 Понятие конфиденциальной информации и потенциальные угрозы конкурентным позициям организации в случае ее разглашения

Развитие процесса информатизации общества, которое наблюдается в последние десятилетия, спровоцировало новую глобальную проблему - информационную безопасность. Множество важнейших интересов физических и юридических лиц в настоящее время в значительной степени определяется состоянием окружающей информационной среды. Целенаправленные или непреднамеренные воздействия на информационную сферу со стороны внешних или внутренних источников могут наносить серьезный ущерб этим интересам и представляют угрозы и риски для безопасности. Поэтому информационная безопасность в современных условиях является одним из необходимых условий нормального функционирования организации. Все более очевидной становится зависимость общего уровня экономической безопасности предприятия от информационной составляющей. Практика показывает, что любая недружественная акция, направленная против интересов хозяйственного субъекта, начинается с сбора информации.

Информация обладает следующими свойствами:

- аутентичность - свойство информации, позволяющей идентифицировать источник ее происхождения (устанавливать авторство)

- конфиденциальность - свойство информации быть защищенной от несанкционированного ознакомления;

- целостность - свойство информации быть защищенной от несанкционированного искажения, разрушения или уничтожения;

- доступность - свойство информации быть защищенной от несанкционированной блокировки.

Общепризнано, что информация с ограниченным доступом имеет как моральную, так и материальную ценность для лиц, которые им владеют. По своему содержанию информация с ограниченным доступом охватывает всю совокупность сведений, составляющих секретную и конфиденциальную информацию. Правовой режим информации с ограниченным доступом имеет целью охрану сведений, свободное обращение которых может нарушить права и законные интересы физических и юридических лиц.

Информация с ограниченным доступом - это прежде всего сведения, данные и знания, известные определенному кругу лиц, имеющие для них особую ценность. Относительно доступа к этим сведениям применяются организационно-технические и правовые меры и мероприятия, направленные на ограничение доступа посторонних лиц. Незаконное получение, распространение или использование данных сведений может причинить владельцу моральный или материальный ущерб, за что виновный подлежит привлечению к ответственности в соответствии с нормами действующего законодательства.

Относительно определения понятия «конфиденциальная информация», следует отметить, что лексическим значением слова «конфиденциальный» является такое понятие: «не подлежащий разглашению, доверительный, тайный». На мой взгляд, конфиденциальной информацией может быть любая информация с ограниченным доступом, не отнесенная действующим законодательством к государственной тайне.

Конфиденциальность понимается как предотвращение возможности использования информации лицами, которые к ней не причастныКрылов В. В. Расследование преступлений в сфере информации. - М.: Городец, 1998. - С. 63.. По мнению профессора В.А. ДозорцеваИнтеллектуальные права:Понятие; Система; Задачикодификации: Сборник статей /В. А. Дозорцев;Исследовательский центр частного права. -М. :Статут,2005. -С.24., информация признается конфиденциальной именно потому, что она является объектом исключительного владения, пользования и распоряжения конкретного лица или лиц. Конфиденциальность информации означает доступность информации только адресату.

К конфиденциальной информации относится информация, доступ к которой ограничивается с целью защиты коммерческой или клиентской тайны, а также иные данные, разглашение которых по тем или иным причинам нежелательно для конкретной организацииАлавердов А. Управлениекадровойбезопасностьюорганизации: Учебник / Академическаясерия - М.: Изд. МАРКЕТ-ДС, 2008 - Тема 1.. Иначе говоря, это любая информация, разглашение которой потенциально может нанести ущерб ее владельцу, пользователю или связанным с ними лицамАлавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях: Учебное пособие. Московский государственный университет экономики, статистики и информатики. - М., 2004. - С.24..

С этих позиций близкими к данному понятию категориями являются:

- клиентская тайна - разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести имущественный или неимущественный ущерб ее клиентам или партнерам по хозяйственной деятельности;

- банковская тайна - конфиденциальные сведения о финансовой и коммерческой деятельности клиентов финансово-кредитной организации, которыми банк располагает как их доверенное лицо;

- коммерческая тайна - разновидность конфиденциальной информации, находящейся в распоряжении организации, разглашение которой способно нанести ей имущественный или неимущественный ущерб как хозяйствующему субъекту.

Достаточно часто как в научной литературе, так и в законодательстве указанные термины применяются как синонимы. Поэтому важно не то, какое название имеет информация, охраняемая законом от несанкционированного доступа третьих лиц, а то, каким требованиям она должна отвечать. В связи с этим при передаче по договору технологических знаний и опыта работы необходимо включать условие о «конфиденциальности»Сергеев А.П. Правоинтеллектуальнойсобственности в РоссийскойФедерации: учеб. 2-е изд., перераб. и доп.- М.: ТК Велби, Изд-во Проспект, 2004. - С.620..

Любая конфиденциальная информация является таковой в силу ее значимости для отдельных физических или юридических лиц, групп или государства в целом. Одновременно значимость подобного рода сведений обосновывается тем фактом, что они (сведения) не известны широкому кругу лиц и именно с этих позиций имеют определенную ценность. Формы и виды конфиденциальной информации можно классифицировать по различным позициям (см. рис. 1).



Рисунок 1. Классификация конфиденциальной информации организации

В целом, конфиденциальную информацию в сфере хозяйственной деятельности можно определять условно разделить на три сектора:

- деловая информация предприятия или организации;

- информация, касающаяся непосредственно фактических данных о субъекте хозяйствования (информация персонального характера);

- ноу-хау - так называемые секреты производства.

Первая часть информации касается непосредственно информации о деятельности предприятия или организации в определенной сфере, а именно: различные базы данных (клиентов, адресов, контрагентов), результаты исследований статистического, маркетингового характера, конъюнктуры потребительского рынка и т.д.

Второй блок информации касается информации, характеризующей предприятие и неразрывно связанной с ним, такой как: сведения о банковских счетах, масштабах производства и разнообразных договорах, заключаемых данным предприятием и т.д.

Третий блок информации можно условно обозначить как «ноу-хау» или совокупность технических, технологических, коммерческих и других знаний, оформленных в виде технической документации, навыков и производственного опыта, необходимых для организации того или иного вида производства, но не запатентованных.

На современном этапе развития экономики и общества в целом информация, как объект интеллектуальной собственности компании, становится все более значимым инструментом на пути к коммерческому успеху. Научно технические разработки, экономические и организационные решения, которые неизвестны третьим лицам, могут оказывать компании конкурентные преимущества и служить основным или дополнительным источником дохода. В последнее время все больше владельцев такой информации начали осознавать необходимость ее защиты. В системе обеспечения безопасности предпринимательской деятельности все большее значение приобретает информационная безопасность. Это связано с растущим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создает качественно новые угрозы конфиденциальной информации и конкурентным позициям организации в случае ее разглашения.

Именно вследствие утечки коммерческой информации компании очень часто страдают от снижения возможности продажи лицензий на собственные научные разработки, от потери приоритета в освоенных областях научно технического прогресса, от роста затрат на переориентацию деятельности исследовательских подразделений, от роста расходов предприятия на создание новой рыночной стратегии и многих других.

Наряду с необходимостью защиты коммерческой тайны (т.е. информации, разглашение которой наносит ущерб самой организации), обеспечение информационной безопасности имеет еще один аспект. Он связан с сохранением той части конфиденциальной информации, разглашение которой наносит ущерб интересам ее клиентов. К ней относятся любые сведения о размерах и движении денежных средств на счетах клиентов (для финансово-кредитной организации), о финансовом состоянии партнеров и заемщиков, о переданном организации в доверительное управление имуществе или сохраняемых ценностях. Разглашение данной информации имеет своим основным негативным последствием потерю организацией деловой репутации и имиджа доверенного лица в глазах не только имеющихся, но и потенциальных партнеров и клиентов. Допустившая подобную «утечку информации» организация незамедлительно теряет наиболее перспективных партнеров из числа корпоративных структур и крупных индивидуальных клиентовАлавердов А.Р. Организация и управление безопасностью в кредитно-финансовых организациях: Учебное пособие. Московский государственный университет экономики, статистики и информатики. - М., 2004. - С.7..

Создание эффективной системы управления информационной безопасностью невозможно без четкого определения угроз охраняемой информации. Под угрозами информации принято понимать потенциальные или реально возможные действия в отношении информационных ресурсов, приводящие к неправомерному владению информацией.

Угрозы организации, связанные с доступом к конфиденциальной информации, можно классифицировать по следующим критериям (рис.2):



Рисунок 2. Классификация угроз, связанных с доступом к конфиденциальной информацииСоставлено автором по: Дорофеев А.В., Марков А.С. Менеджмент информационной безопасности: основные концепции // Вопросы кибербезопасности. - 2014. - №1(2). - С. 67-73.

- по критериям информационной безопасности (угрозы конфиденциальности данных и программ; угрозы целостности данных, программ, аппаратуры; угрозы доступности данных; угрозы отказа от выполнения операций);

- по компонентам информационных систем, на которые нацелены угрозы (информационные ресурсы и услуги, персональные данные, ноу-хау, программные средства, аппаратные средства, программно-аппаратные средства);

- по способу осуществления (случайные, умышленные, действия природного и техногенного характера);

- по расположению источника угроз (внутренние и внешние).

Соответственно, можно выделить актуальные угрозы информационной безопасности, которые направлены на снижение конкурентных позиций организации в случае ее разглашения:

- противоправный сбор и использование информации;

- нарушение технологии обработки и хранения информации;

- внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

- разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;

- вывод из строя, повреждение или разрушение средств и систем обработки информации, телекоммуникации и связи;

- влияние на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;

- утечка информации по техническим каналам;

- утечка информации по личным каналам;

- внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций всех форм собственности;

- уничтожение, повреждение, разрушение или хищение печатных, аудио-, видео-, электронных и других носителей информации;

- перехват информации в сетях передачи данных и линиях связи, дешифрование этой информации;

- навязывание недостоверной и ложной информации;

- распространение информации, способной нанести ущерб репутации организации;

- использование не сертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации;

- несанкционированный доступ к информации, находящейся в банках и базах данных;

- нарушение законных ограничений на конфиденциальность и распространение информации.

Современный анализ ситуаций, связанных с доступом к конфиденциальной информации, свидетельствует о том, что финансовые компании и госструктуры постоянно сталкиваются с внутренними угрозами в этой сфере. Целесообразно привести несколько примеров инцидентов, произошедших за последнее времяОбзор новостей компании InfoWatch[Электронный ресурс] - режим доступа: ttp://www.infowatch.ru:

- Управление Роскомнадзора по Санкт-Петербургу и Ленинградской области пришло к выводу, что ООО «ВКонтакте» нарушило законодательство о персональных данных. К ООО «ВКонтакте» применены административные и штрафные санкции (новость от 15.06.2012);

- Великобритания. Городские власти Глазго принесли извинения перед гражданами и юридическими лицами, чьи данные хранились на похищенных ноутбуках. Всего подверглись угрозе 37 тыс. персональных данных (от 14.06.2012);

- США. Федеральный кредитный союз Bethpage (BFCU) сообщил 86 тыс. своих клиентов о компрометации информации по их кредитным карточкам (от 13.06.2012);

- В Рунете появилась новость о краже паролей пользователей LinkedIn (от 07.06.2012);

- Сотрудник компании JPMorganChase&Co в Японии был признан виновным в разглашени инсайдерской информации, связанной с продажей акций компании NipponSheetGlassCo в 2012 г. (от 31.05.2012).

Отметим, что кчислу наиболее существенных внутренних угроз относятся действия или бездействие (умышленные или непреднамеренные) сотрудников, противодействующих интересам деятельности предприятия, следствием которых может быть нанесение экономического ущерба компании, потеря информационных ресурсов, подрыв делового имиджа компании, возникновение проблем в отношениях с реальными или потенциальными партнерами и т.д. Скиба В., Курбатов В. Руководство по защите от внутренних угроз информационной безопасности. - М.,Спб.: Издательство Питер, 2008. - С.37.

Специалисты по обеспечению экономической безопасности полагают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и мотивации персоналаИщейнов В.Я., Мецатунян М.В. Защитаконфиденциальнойинформации: Учеб. пособие. - М.: ФОРУМ, 2009. - С. 32.. Учитывая, что значительная часть внутренних угроз реализуется при участии или содействии персонала, можно считать, что основным источником таких угроз являются работники данной организации. Соответственно, объектом дальнейшего рассмотрения являются негативные риски и угрозы, связанные с деятельностью персонала организации и, в первую очередь, исходящие от ее безответственных и нелояльных сотрудников.

1.2 Основные угрозы информационной безопасности организации, исходящие от ее безответственных и нелояльных сотрудников

конфиденциальный угроза защита информация

Человек всегда был уязвимым объектом для угроз утечки и потери информации. Почти 10 лет назад, в 2005 году организация CERT провела исследования E-CrimeWatchSurvey, в ходе которого было опрошено более 800 компаний, и каждая вторая компания хотя бы раз в течение года пострадала от утечки данных. Аналитики подсчитали, что 33,0 и 20,0% всех инцидентов утечки данных были вызваны действующими или бывшими сотрудниками соответственно. Это свидетельствует о то, что проблема существования нелояльных и безответственных сотрудников является достаточно болезненной для организации.

Для лучшего понимания возможностей утечки информации и определения способов ее предупреждения целесообразно рассмотреть существующие классификации самих нарушителей и классификацию угроз, связанных с персоналом. Так, существует несколько различных классификаций внутренних нарушителей - инсайдеров организации.

Одной из первых шаг в направлении классификации сделала международная научно исследовательская компания IDC, представившая свой взгляд на проблему в 2006 году. По версии IDC, система инсайдеров имеет четыре уровня: «граждане», «нарушители», «отступники», «предатели».

Верхний уровень составляют «граждане» - лояльные служащие, которые очень редко (если вообще когда-либо) нарушают корпоративную политику и этику и, в основном, не являются угрозой безопасности. На втором уровне находятся «нарушители», составляющие большую часть всех сотрудников предприятия. Эти сотрудники позволяют себе небольшие фамильярности, работают с персональной веб-почтой, играют на рабочем месте в компьютерные игры и осуществляют онлайн-покупки. Представители данного уровня нарушителей создают угрозу информационной безопасности, но эти инциденты являются случайными и непреднамеренными.

На следующем уровне находятся «отступники» - работники, которые большую часть рабочего времени делают то, что они делать не должны. Эти служащие злоупотребляют своими привилегиями по доступу к Интернету. Более того, такие сотрудники могут посылать конфиденциальную информацию компании внешним адресатам, заинтересованным в ней. Таким образом, «отступники» представляют серьезную угрозу безопасности.

На самом нижнем уровне находятся «предатели». Это служащие, которые умышленно и регулярно подвергают конфиденциальную информацию компании опасности (обычно за финансовое вознаграждение от заинтересованной стороны). Такие сотрудники представляют реальную угрозу, но их сложнее обнаружить.

Более широкая классификация представлена российской компанией InfoWatch (см. табл. 1). Специалисты компании фокусируют внимание исключительно на защите данных от утечки, искажения и уничтожения информации, и поэтому их взгляды отличаются большей глубиной анализа.

Таблица 1.

Экосистема внутренних нарушителей, разработанная компанией InfoWatch Скиба В., Курбатов В. Руководство по защите от внутренних угроз информационной безопасности. - М.,Спб.: Издательство Питер, 2008. - 320 с.

Тип	Умысел	Корысть	Постановка задачи	Действия при невозможности
Халатный	-	-	-	Сообщение
Манипулируемый	-	-	-	Сообщение
Обиженный	+	-	Сам	Отказ
Нелояльный	+	-	Сам	Имитация
Подрабатывающий	+	+	Сам/Извне	Отказ/Имитация/Взлом
Внедренный	+	+	Извне	Взлом

Халатные нарушители (также известные как «неосторожные») являются наиболее распространенным типом внутренних нарушителей. Их нарушения в отношении конфиденциальной информации носят немотивированный характер, не имеют конкретных целей, намерения, пользы.

Нарушители, которыми манипулируют - это те сотрудники, которых обманным путем толкают на нарушение установленных норм. Такие сотрудники часто и не подозревают о том, что их действия приводят к потере конфиденциальных данных.

Обиженные нарушители (иначе говоря, саботажники) - это сотрудники, которые стремятся нанести ущерб компании по личным причинам. Чаще всего причиной такого поведения может быть обида, возникшая из-за недостаточной оценки их роли в компании, недостаточный размер материальной компенсации, ненадлежащее место в корпоративной иерархии, отсутствие элементов моральной мотивации или отказ в выделении корпоративных статусных атрибутов (ноутбука, автомобиля, секретаря).

Следующий тип внутренних нарушителей - нелояльные нарушители. Прежде всего, это сотрудники, которые решили сменить место работы, или акционеры, которые решили открыть собственный бизнес.

Сотрудники, которые «подрабатывают» продажей конфиденциальной информации и внедренные внутренние нарушители - это сотрудники, цель которых определяет заказчик похищения информации. В обоих случаях инсайдеры стремятся как можно надежнее замаскировать свои действия.

Рассмотрим более подробно внешние и внутренние угрозы информационной безопасности организации, связанные с персоналом. Внешней считается такая угроза, источник которой находится за пределами предприятия, но именно из-за существования которой необходимо защищать информацию и по которой существуют угрозы внутренние. Ведь, если бы ни было заинтересованных лиц в получении информации предприятия, ее не нужно было бы защищать. К внешним угрозам можно отнести противоправную деятельность криминальных структур, конкурентов, фирм и частных лиц, занимающихся промышленным шпионажем и социальной инженерией.

Внутренние угрозы включают в себя неосторожные действия либо умышленные действия персонала по разглашению информации, а также аферы со стороны ведущих специалистов: «откаты», фальсификации документации предприятия при помощи электронной техники и Интернета, внесение «нужных» изменений в отчетные документы и т.д.

Рассмотрим эти угрозы более подробно:

1) Внешние:

а) Промышленный шпионаж. Впервые термин «промышленный шпионаж» был сформулирован в начале 60-х годов прошлого века во время семинара по методам сбора информации для менеджеров высшего звена, который проводился американской консалтинговой компанией ManagementInvestigationServices. Западные теоретики понимают под «промышленным шпионажем» добычу законным и незаконным путем у конкурирующих фирм (монополий, политических партий, физических и юридических лиц, правоохранительных органов) сведений или информации в сфере научных исследований, производства продукции по наиболее перспективным технологиям и т.д., а также персональных данных с целью их использования в конкурентной борьбе или в корыстных целях.

Целью промышленного шпионажа чаще всего бывают: либо проверка делового партнера на благонадежность, либо уничтожение конкурента или нанесения ему серьезных убытков. И, если при первом варианте нет прямой угрозы организации, то в втором, если конфиденциальная информация попадет в руки таких агентов, это может привести к очень серьезным последствиям для компании, заканчивая ее банкротством и ликвидацией.

По оценкам специалистов, на долю человеческого фактора, то есть на «болтливость» сотрудников, приходится до 60% всего утечки информации. другие 40% - это то, что удается перехватить техническими средствами.

При этом, используя технические средства, промышленные шпионы очень часто обращаются за помощью к сотрудникам компании, о которой стремятся заполучить информацию. Даже сотрудникам низшего звена под силу установить соответствующую аппаратуру для снятия информации. Поэтому промышленный шпионаж является важной внешней угрозой, от которой нужно защищаться. Однако, промышленные шпионы не достигали бы поставленной цели, если бы не угрозы внутренние: неосторожные или умышленные действия сотрудников.

б) Социальная инженерия - это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабости человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора персональных данных о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.

Методы социальной инженерии включают в себя:

- Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате человек должен выдать определенную информацию, или совершить определенное действие. Этот вид атак применяется обычно по телефону. Чаще данная техника включает больше, чем просто ложь, и требует каких-либо предыдущих исследований (например, персонализации: дата рождения, сумма последнего счета и др.), с тем, чтобы обеспечить доверие человека.

- Фишинг - техника, направленная на мошенническое получение конфиденциальной информации. Обычно злоумышленник посылает объекту e-mail, фальсифицированный под официальное письмо от банка или платежной системы, в котором требует "проверки" определенной информации или осуществления определенных действий.

- «Троянский конь» - эта техника эксплуатирует интерес, или жадность человека. Злоумышленник отправляет e-mail, который содержит достаточно интересную для человека информацию, например, свежий компромат на сотрудника; вложение обычно содержит «вирус», считывающий информацию с компьютера адресата. Такая техника остается эффективной, пока пользователи по невнимательности открывают любые приложения.

- «Дорожное яблоко» - этот метод атаки является адаптацией «троянского коня», и заключается в использовании физических носителей. Злоумышленник может подбросить инфицированный CD или флэш-носитель, в месте, где он может быть легко найден. Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать интерес.

- Qui pro quo - злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, который опрашивает, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" сотрудник вводит команды, которые позволяют злоумышленнику запустить вредное программное обеспечение.

2) Внутренние:

а) Неосторожность персонала. Очень часто сотрудники, хотя и не имеют целью разгласить конфиденциальные сведения, делают это, иногда даже не сознавая этого. Поэтому неосторожность можно разделить на две категории: действия или бездействие сотрудников, вызванные неосведомленностью в сфере защиты информации; действия или бездействие сотрудников в случае, в которых сотрудники знали или не знали, но должны были знать о возможных негативных последствиях.

В первом случае можно говорить о вине сотрудника, однако скорее это просчеты высшего руководства, которое не сумело донести персоналу о важности информации и о ее защите. Под преступной самоуверенностью понимают действия или бездействие сотрудника, когда он знал о возможных негативных последствиях, предусматривал их наступление, но вызывающе рассчитывал на их предотвращение. Преступной небрежностью (халатностью) являются действия или бездействие сотрудника, когда он не знала, но должен был знать о возможных негативных последствиях своего поступка. Во всех указанных случаях целью сотрудника не было разглашение конфиденциальных сведений, однако именно к этому привели его действия.

б) Умышленные действия работников по разглашению информации. В отличие от неосторожности, умысел предполагает, что целью действий сотрудников было именно разглашение информации, являющейся конфиденциальной. Причем сотрудников могли завербовать агенты промышленного шпионажа или же они сами инициативно решили предать организацию, на которую работали (в этих случаях они уже сами могут искать контакты с представителями конкурирующих фирм или другими лицами, заинтересованными в получении определенной информации). Для того чтобы выявить или предупредить такие действия, необходимо определиться, по каким именно мотивам работники пошли на них.

Классификация мотивации безответственных и нелояльных сотрудников к разглашению конфиденциальной информации организации приведена в табл. 2.

Таблица 2.

Классификация мотивации внутренних нарушителейСоставлено автором по материалам: Скляренко А. Угрозы конфиденциальности информации, связанные с персоналом // Бизнес и безопасность. - 2010. - №1. - С.92;. Доминяк В. Организационная лояльность: основные подходы//Менеджер по персоналу. - 2006.- №4.- С. 34 - 40.

Класс мотивов	Содержание и характеристика
1	2
Личные мотивы сотрудника	личные финансовые трудности, невозможность удовлетворения жизненных потребностей своих и семьи; психологическая готовность (предрасположенность) работника к злоупотреблению служебным положением; порочные связи, поступки, увлечения; несоответствие квалификации сотрудника занимаемой должности
Внутренние мотивы организации	наличие слабых мест в системе управления деятельностью фирмы (в частности, в системе управленческого учета); низкая квалификация руководства организации; нездоровый деловой климат в коллективе организации; слабый кадровый менеджмент, который позволяет занимать ответственные должности сотрудникам-аферистам, неэффективная персональная работа с кадрами; отсутствие или слабость корпоративной политики и этики; слабая организация системы обучения персонала; неэффективная система мотивации (нет анализа потребностей каждой личности и персональной мотивации); некачественная проверка кандидатов при приеме на работу
Внешние мотивы	условия материальной и/или моральной мотивации у конкурентов лучше; установка конкурентов на переманивание; внешнее давление на сотрудников; втягивание их в разные виды зависимости; инфляционные процессы (их следует учитывать при расчете заработной платы)

Анализируя угрозы конфиденциальности данных, которые связаны с персоналом, можно увидеть, что игнорирование этих угроз приводит к появлению серьезных убытков и ущерба деятельности организации. Речь идет не только о финансовых потерях компании, но и о резком падении ее имиджа в связи с тем, что она не может защитить собственную конфиденциальную информацию.

Поэтому руководству организации следует крайне серьезно и ответственно подходить к проблеме защиты конфиденциальной информации от вышеописанных угроз со стороны собственных безответственных и нелояльных сотрудников и собственного персонала организации в целом.

1.3 Основные методы защиты конфиденциальной информации от угроз со стороны собственного персонала организации

конфиденциальный угроза защита информация

Целью информационной безопасности является обеспечение сохранности системы, защита и гарантия точности и полноты информации, минимизация возможных потерь в случае, если информация будет модифицирована или повреждена.

Для нейтрализации и минимизации внутренних угроз конфиденциальной информации со стороны собственного персонала организации необходимо принять следующие меры:

- Организационные мероприятия по защите информации (комплекс административных и ограничительных мер);

- Контрольно-правовые меры (контроль за выполнением персоналом требований соответствующих инструкций, распоряжений, приказов, нормативных документов);

- Профилактические мероприятия (направленные на формирование у персонала мотивов поведения, которые побуждают их к безусловному выполнению в полном объеме требований режима, правил проведения работ и др., а также на формирование соответствующего морально-нравственного состояния в коллективе);

- Инженерно-технические мероприятия (кодирование информации, ограничение прав доступа к электронным носителям и т.п.);

- Работа с кадрами (подбор персонала, инструктажи, обучение персонала по вопросам обеспечения защиты информации, воспитание бдительности сотрудников, повышение их квалификации);

- Психологические мероприятия (установка видеонаблюдения, обнародование инцидентов с попыткой вынесения служебной информации за пределы организации).

Для того, чтобы предотвратить возможность несанкционированного доступа к конфиденциальной информации, необходимо ввести надежную систему защиты документооборота. При этом следует принимать во внимание тот факт, что внедрение системы защиты всегда приводит к осложнениям в работе, следовательно, внедрение системы защиты должно быть экономически обоснованным и целесообразным.

Правовая основа защиты информации на предприятиях и в организациях базируется на следующих нормативных документах:

- Конституция Российской Федерации;

- Гражданский кодекс Российской Федерации;

- Трудовой кодекс Российской Федерации;

- Уголовный кодекс Российской Федерации;

- Доктрина информационной безопасности Российской Федерации;

- Закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. №149-Ф3;

- Закон РФ «О персональных данных» от 29.07.2006 г. №151-Ф3;

- Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

- Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

- Постановление Правительства РФ от 15 августа 2006 г. №504 «О лицензировании деятельности по технической защите конфиденциальной информации»;

- Постановление Правительства РФ от 31 августа 2006 г. №532 «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»;

- Государственные (национальные) стандарты Российской Федерации.

Организационно-правовые методы защиты информации заключаются в ограничении доступа, как посторонних лиц, так и работников организации к объектам, где содержится секретная или конфиденциальная информация. Главная задача этих методов защиты - препятствовать несанкционированному доступу (НСД). Атака этого вида может осуществляться как пассивным методом (считывание секретной информации), так и активным (повреждение информации)Жигулин Г.П. Организационное и правовоеобеспечениеинформационнойбезопасности, - СПб: СПбНИУИТМО, 2014. - С.40..

Для предупреждения НСД осуществляют следующее:

- при работе с внешними документами, содержащими секретную информацию, следует придерживаться определенных правил (передавать документы с курьером, обеспечить их хранение и охрану и т.п.);

- при безбумажной передаче документов следует обеспечить идентификацию, как автора документа, так и его содержания.

Наиболее распространенным алгоритмом идентификации является использование электронной цифровой подписи (ЭЦП). В схемах ЭЦП вместо документа рассматривается его хэш-функция h(x), основное свойство которой - практическая невозможность создания двух разных документов с одинаковым значением хэш-функции. Проверка правдивости документа заключается в контроле соотношения, которое связывает хеш-функцию документа, подпись под ним и открытый ключ автора документа.

Помимо использования правовых и организационно-правовых методов для препятствования НСД, следует установить физические препятствия на пути попадания злоумышленника к конфиденциальной информации, в том числе попыток с использованием технических средств съема информации и воздействия на нее.

Для предотвращения утечки речевой информации по акустическому и виброакустическому каналам осуществляются мероприятия по выявлению каналов утечки. В большинстве случаев для несанкционированного съема информации в помещении злоумышленник применяет соответствующие считывающие устройства.

Технические меры защиты можно разделить на:

- средства аппаратной защиты, включающие средства защиты кабельной системы, систем электропитания, и так далее;

- программные средства защиты, в том числе: криптография, антивирусные программы, системы разграничения полномочий, средства контроля доступа и так далееМетодыорганизациизащитыинформации : учебноепособиедля студентов 3-4 курсоввсех форм обучения направлений подготовки 230400.55, 230701.51, 090300.65, 220100.55 / Ю. Ю. Громов и др. - Тамбов : Изд-во ФГБОУ ВПО «ТГТУ», 2013. - С.5..

Внутренняя система информации и документооборота наиболее уязвима со стороны сотрудников предприятия. Доказано, что причиной 80% всех потерь или искажений информации являются злонамеренные поступки работников фирмы. Единственный способ предотвратить это - соответствующая кадровая политика организации, направленная на повышение заинтересованности сотрудников в успешной работе, воспитание чувства ответственности за свою работу. Рассмотрим порядок реализации каждой из функций управления персоналом в целях обеспечения информационной безопасностиМельникова, Е. И. Формыутечкиинформации, составляющейкоммерческую тайну, и управление персоналом предприятия в целяхобеспеченияинформационнойбезопасности [Текст] /Е. И. Мельникова. //Юридический мир. -2009. - № 12. - С. 40 - 43..

Планирование персонала. При приеме на работу рекомендуется проводить анкетирование, с помощью которого можно сделать выводы об уровне интеллекта, получить общее представление о кандидате как разносторонней личности, определить морально-психологический уровень, выявить возможные преступные наклонности и т.д. Непосредственная деятельность вновь принятого работника в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу. В случае успешного прохождения кандидатом проверки и признания, его соответствующим должности, осуществляется заключение (подписание) двух документов:

а) трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию и соблюдать меры безопасности;

б) договора (обязательства) о неразглашении конфиденциальной информации, представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

Организация персонала. Организация персонала предполагает обучение сотрудников правилам и приемам работы с конфиденциальной информацией. Обучение может быть дифференцировано в зависимости от срока работы сотрудников на предприятии - т.е. программа обучения для новых сотрудников и для сотрудников, которые имеют опыт работы в данной организации (более года - двух лет).

Внутреннее нормативно-методическое содержание программы обучения должно включать:

- общие правила обеспечения безопасности организации с ответственностью сотрудника за соблюдение установленных правил;

- перечень полномочий службы безопасности по контролю и прямому функциональному руководству соответствующим направлением деятельности персонала;

- рекомендации по предотвращению ситуаций, способных сделать работника объектом вербовки и шантажа;

- рекомендации поведения в случае попытки вербовки и шантажа.

Обычно обучение новых сотрудников проводят руководители структурных подразделений, задачей обучения при этом является доведение до обучаемых правил обеспечения безопасности на конкретных рабочих местах в рамках исполняемых служебных обязанностей. Организация последующей подготовки сотрудников осуществляется службой безопасности в режиме повышения профессиональной квалификации персонала. Формы соответствующей подготовки могут дифференцироваться следующим образом:

- для топ-менеджмента - это ознакомление со специальными информационно-аналитическими обзорами, ежеквартально направляемыми им за подписью руководителя службы безопасности;

- для руководителей структурных подразделений - ежеквартальные встречи с руководителем службы безопасности;

- для остального персонала - специальный инструктаж, который не реже одного раза в полгода проводится одним из специалистов службы безопасности непосредственно в структурных подразделениях.

Мотивация. Мотивация сотрудников организации в целях обеспечения ее информационной безопасности может реализовываться по двум направлениям - путем применения поощрений и санкций. Специальные поощрения (премии) за активную работу по укреплению информационной безопасности предприятия могут использоваться в отношении:

- сотрудников службы информационных технологий и других подразделений, разработавших новые программные средства, повышающие степень защищенности компьютерных баз данных и коммуникаций;

- сотрудников службы безопасности, выявивших источники утечки конфиденциальной информации, разработавших новые технологии или методы защиты информации в устной форме и на бумажных носителях, успешно завершивших особо важные оперативные мероприятия по отражению реализуемых угроз информационной безопасности;

- руководителей структурных подразделений, к сотрудникам которых у службы безопасности в течение отчетного года не было ни одного замечания в части соблюдения правил обеспечения информационной безопасности;

- любых сотрудников организации, оказавших службе безопасности реальную помощь в выявлении источников угроз информационной безопасности.

Специальные санкции к конкретным сотрудникам и трудовым коллективам за допущенные ими нарушения в области соблюдения установленных правил обеспечения информационной безопасности применяются по представлению службы безопасности или руководителей этих коллективов. По характеру управляющего воздействия они делятся на три группы. Это могут быть:

1. Санкции административного характера, наиболее жесткие по силе воздействия (например, смещение с занимаемой должности; отказ в пролонгации трудового договора; перевод сотрудника на другое рабочее место, которое позволит перекрыть доступ к конфиденциальной информации; исключение сотрудника из резерва на выдвижение и т.д.).

2. Санкции экономического характера (среди которых: лишение или сокращение переменной части должностного оклада (доплаты, надбавки) при использовании подобных схем основной оплаты труда; лишение или сокращение премии по итогам квартала для конкретного сотрудника или всего коллектива структурного подразделения; отмена персональных социально-экономических льгот и т.д.).

3. Санкции психологического характера (например, индивидуальная беседа с руководителем или представителем службы безопасности предприятия; обсуждение допущенного сотрудником нарушения на собрании трудового коллектива подразделения и т.п.).

Контроль. Субъектами контроля выступают: руководители структурных подразделений; специалисты службы безопасности и ее внештатные сотрудники в структурных подразделениях; специалисты частных детективных агентств, приглашенные для проведения служебных расследований. Объектами контроля являются два аспекта деятельности сотрудников организации:

- исполнение ими установленных правил обеспечения информационной безопасности работодателя;

- общая лояльность работодателю.

Итак, для организаций, которые заботятся о долгосрочных перспективах развития, важным является формирование лояльности персонала. Лояльность персонала рассматривают как универсальную по направленности составляющую кадровой безопасности, потому что отношение работника к собственной организации является фактором, который либо укрепляет, либо разрушает систему информационной безопасности компании. Работники с лояльным отношением к компании намного более устойчивы к «соблазнам»: их сложно переманить в другую организацию, склонить к сотрудничеству с конкурентами, мошенничеству и злоупотреблению полномочиями. Лояльные сотрудники критически относятся к коллегам, нарушающим правила организации, тем самым предупреждая возникновение внутренних угроз информационной безопасности.

Краткие выводы по главе

Итак, исследование теоретических аспектов, связанных с нелояльными и безответственными сотрудниками организации как субъектами угроз информационной безопасности работодателя, проведенное в рамках первой главы данной бакалаврской работы, позволило сформулировать следующие выводы.

1. В условиях развития рыночной экономики информация становится ценным товаром, поэтому главной задачей для субъектов хозяйственной деятельности является защита конфиденциальной информации, позволяющей обеспечить организации экономическую безопасность, избежать банкротства, защитить себя от недобросовестной конкуренции и коммерческого шпионажа, предупредить рейдерские атаки.

2. Наиболее существенные внутренние угрозы информационной безопасности организации включают в себя действия или бездействие (умышленные или непреднамеренные) сотрудников, противодействующих интересам деятельности предприятия, результатом которых может быть нанесение экономического ущерба компании, потеря информационных ресурсов, подрыв делового имиджа компании, возникновение проблем в отношениях с реальными или потенциальными партнерами и т.д. Игнорирование угроз, связанных с конфиденциальностью информации, может привести к появлению серьезных убытков и потерь организации. Речь идет не только о финансовом, но и о репутационном ущербе.

3. В целях нейтрализации и минимизации внутренних угроз конфиденциальной информации со стороны собственного персонала организации целесообразно применять в комплексе: организационные мероприятия по защите информации, контрольно-правовые меры, профилактические мероприятия, инженерно-технические мероприятия, кадровые и психологические мероприятия.

4. Важнейшим элементом в этом комплексе является соответствующая кадровая политика организации, а именно: