Каково влияние кадровой политики на обеспечение информационной безопасности компании

Кадровая политика с точки зрения информационной безопасности.

Практика последнего времени
свидетельствует о том, что различные
по масштабам, последствиям и значимости
виды преступлений и правонарушений так
или иначе связаны с конкретными действиями
сотрудников коммерческих структур. В
связи с этим представляется целесообразным
и необходимым в це­лях повышения
экономической безопасности этих объектов
уделять больше внимания подбору и
изуче­ния кадров, проверке любой
информации, указыва­ющей на их
сомнительное поведение и компромети­рующие
связи. При этом необходимо также в
обяза­тельном порядке проводить
значительную разъясни­тельно-воспитательную
работу, систематические инст­руктажи
и учения по правилам и мерам безопасности,
регулярные, но неожиданные тестирования
различных категорий сотрудников по
постоянно обновляемым программам.

В контрактах необходимо
четко очерчивать персональ­ные
функциональные обязанности всех
категорий со­трудников коммерческих
предприятий и на основе существующего
российского законодательства во
внутрен­них приказах и распоряжениях
определять их ответст­венность за
любые виды нарушений, связанных с
раз­глашением или утечкой информации,
составляющей коммерческую тайну.

Кроме того, в этой связи
целесообразно отметить, что ведущие
московские коммерческие банки все шире
вводят в своих служебных документах
гриф «конфиде­нциально» и распространяют
различного рода надбав­ки к окладам
для соответствующих категорий своего
персонала.

Как свидетельствуют
многочисленные опросы и проведённые
беседы, в настоящее время многие
ру­ководители ведущих московских
коммерческих струк­тур все более
глубоко осознают роль и место своих
сотрудников в создании и поддержании
общей систе­мы экономической
безопасности. Такое понимание этой
проблемы ведет к настойчивому внедрению
про­цедур тщательного подбора и
расстановки персонала.

Так, постепенно приобретают
все большую значи­мость рекомендательные
письма, научные методы проверки на
профпригодность и различного рода
те­стирования, осуществляемые кадровыми
подразделе­ниями, сотрудниками служб
безопасности и группами психологической
поддержки, которые созданы в ряде
коммерческих структур либо привлекаются
в качестве сторонних экспертов.

Несмотря, однако, на некоторые
положительные примеры, в целом приходится,
к сожалению, констати­ровать тот факт,
что руководители подавляющего бо­льшинства
коммерческих организаций все же еще не
в полной мере осознали необходимость
организации комплексной защиты своих
структур от уголовных и экономических
преступлений и в этой связи потреб­ность
постоянного совершенствования процесса
под­бора и расстановки кадров.

Как свидетельствует
современный опыт, безопа­сность
экономической деятельности любой
коммер­ческой структуры во многом
зависит от того, в какой степени
квалификация ее сотрудников, их
морально-нравственные качества
соответствуют решаемым задачам.

Если объективно оценивать
существующие сегодня процедуры отбора
кадров, то окажется, что во многих банках
и фирмах акцент, к сожалению, делается
пре­жде всего на выяснении лишь уровня
профессиональ­ной подготовки кандидатов
на работу, который опре­деляется
зачастую по традиционно-формальным
при­знакам: образование; разряд; стаж
работы по специальности.

При таком подходе очевидно,
что кадровые подра­зделения исходят
из все более устаревающей концеп­ции
ограниченной материально-финансовой
ответст­венности отдельных работников
за конечные резуль­таты своей
деятельности и сохранность конфиденци­альной
информации.

В современных же коммерческих
банках при весьма ограниченной численности
сотрудников, все более ча­стом
совмещении рядовыми исполнителями
различ­ных участков работы и стремительно
увеличивающих­ся потоках информации
и управленческих команд, каж­дый
сотрудник во все возрастающей степени
становит­ся носителем конфиденциальных
сведений, которые могут представлять
интерес как для конкурентов, так и
криминальных сообществ.

В таких условиях весьма
существенно повышаются и изменяются
требования к личным и деловым качест­вам
сотрудников и, следовательно, к кандидатам
на работу. Данное обстоятельство
побуждает руководи­телей коммерческих
структур все чаще обращаться к методам
и процедурам научной психологии, с
помо­щью которых можно достаточно
быстро, надежно и всесторонне оценивать
возможного кандидата и со­ставлять
его психологический портрет.

Конечно, было бы ошибкой
полагать, что психоло­гический отбор
полностью заменяет прежние, достато­чно
надежные кадровые процедуры. В этой
связи под­черкнем, что только при
умелом сочетании психологи­ческих и
традиционных кадровых подходов можно
с высокой степенью достоверности
прогнозировать по­ведение сотрудников
в различных, в том числе экст­ремальных,
ситуациях.

В настоящее время ведущие
банковские струк­туры имеют, как
правило, строго разработанные и
ут­вержденные руководством
организационные структу­ры и функции
управления для каждого подразделения.
Наибольшей популярностью пользуются
методики со­ставления оргсхем или
организационных чертежей, на которых
графически изображается каждое рабочее
ме­сто, прописываются должностные
обязанности и опре­деляются
информационные потоки для отдельного
ис­полнителя.

При такой схеме управления
и контроля предельно ясно, на каком
участке (отдел, служба, управление)
требуется специалист соответствующей
квалификации и какой информацией он
должен располагать для вы­полнения
функций на своем рабочем месте.
Внутрен­ними распоряжениями также
определяются требова­ния к деловым
и личным качествам сотрудников и
обусловливаются режимы сохранения или
коммерчес­кой тайны.

Кроме того, для большей
конкретизации этих про­цедур на каждое
рабочее место рекомендуется состав­лять
профессиограмму, т.е. перечень личностных
ка­честв, которыми в идеале должен
обладать потенциаль­ный сотрудник.
Содержательная сторона и глубина
проработки профессиограмм могут быть
различными. Это зависит в первую очередь
от того, на какое рабо­чее место они
составляются.

Однако обязательными
атрибутами подобных до­кументов
являются разделы, отражающие
профессио­нально значимые качества
(психологические характери­стики,
свойства личности, без которых невозможно
выполнение основных функциональных
обязанностей), а также противопоказания
(личностные качества, кото­рые делают
невозможным зачисление кандидата на
кон­кретную должность). В некоторых
случаях необходимо не только указывать
профессионально значимые каче­ства,
но и оценивать степень их выраженности,
т.е. сформированности.

После разработки схем
управления и составления профессиограмм
можно приступать к собеседованиям и
применять разнообразные процедуры
отбора кан­дидатов на работу. Как
правило, проблема отбора кадров встает
перед руководителями банков в двух
основных случаях: создание новых
подразделений, замещение вакантных
должностей. Для первого случая характерно,
как правило, изуче­ние значительного
числа кандидатур, для которых из набора
имеющихся вакансий подбирается
соответст­вующая должность. Во втором
случае из ограничен­ного числа
кандидатов отбирается тот, который по
своим личным и профессиональным качествам
в на­ибольшей степени соответствует
требованиям профессиограммы данного
рабочего места.

Проблема состоит в том, что
даже весьма опыт­ные работники кадровых
подразделений не всегда мо­гут
правильно, достоверно и быстро оценить
подлин­ное психическое состояние
лиц, пришедших на собеседо­вание.
Этому способствуют повышенное волнение,
склонность отдельных кандидатов к
предвзятым оцен­кам характера
деятельности некоторых коммерческих
структур, но особенно широкое и зачастую
бесконт­рольное самолечение различных
психосоматических расстройств с
использованием в ряде случаев весьма
сильных психотропных препаратов. В этой
связи веду­щие московские коммерческие
банки требуют от кан­дидатов
предоставления справок о состоянии
здоровья либо сами выдают направления
в определенные поликлиники с рекомендацией
прохождения полной диспан­серизации
(за счет кандидата).

С точки зрения обеспечения
страте­гических интересов коммерческой
структуры являются обязательными
следующие функции службы безопас­ности:

— определение степени
вероятности формирования у кандидата
преступных наклонностей в случаях
воз­никновения в его окружении
определенных благопри­ятных
обстоятельств (персональное распоряжение
кре­дитно-финансовыми ресурсами,
возможность контро­ля за движением
наличных средств и ценных бумаг, доступ
к материально-техническим ценностям,
работа с конфиденциальной информацией
и пр.);

— выявление имевших место
ранее преступных на­клонностей,
судимостей, связей с криминальной
сре­дой (преступное прошлое, наличие
конкретных суди­мостей, случаи афер,
махинаций, мошенничества, хи­щений
на предыдущем месте работы кандидата
и уста­новление либо обоснованное
суждение о его возмож­ной причастности
к этим преступным деяниям).

Для добывания подобной
информации использу­ются возможности
различных подразделений банковских
структур, в первую очередь службы
безопасности, отдела кадров, юридического
отдела, под­разделений медицинского
обеспечения, а также не­которых
сторонних организаций, например,
детек­тивных агентств, бюро по занятости
населения, диспансеров и пр.

Очевидно также, что
представители банковских структур
должны быть абсолютно уверены в том,
что проводят тесты, собеседования и
встречи именно с те­ми лицами, которые
выступают в качестве кандидатов на
работу. Это подразумевает тщательную
проверку паспортных данных, иных
документов, а также получе­ние
фотографий кандидатов без очков,
контактных линз, парика, макияжа.

Рекомендуется настаивать
на получении набора цветных фотографий
кандидата, которые могут быть использованы
в случае необходимости для предъявле­ния
жильцам по месту его проживания или
коллегам по работе. Использование в
кадровой работе цветных фотографий,
соответствующих паспортным данным,
предпочтительнее также в связи с тем,
что они четко и без искажений передают
цвет волос, глаз, кожи, возраст и
характерные приметы кандидата.

В практике уже известны
случаи, когда для допол­нительного
анализа анкеты кандидата и его фотогра­фий
руководители банковских структур
приглашали высокопрофессиональных
юристов, графологов, из­вестных
психоаналитиков с целью обеспечения
максимальной полноты формулировок
окончательного заключения и выявления
возможных скрытых противоречий в
характере проверяемого лица.

В том случае, если результаты
указанных проверок, тестов и психологического
изучения не противоречат друг другу и
не содержат данных, которые бы
препят­ствовали приему на работу
данного кандидата, с ним заключается
трудовое соглашение, в большинстве
слу­чаев предусматривающее определенный
испытатель­ный срок (1-3 месяца).

Необходимо также подчеркнуть
следующее важное обстоятельство — лица,
принима­емые на ответственные вакантные
должности в ком­мерческих структурах
(члены правлений, главные бух­галтеры,
консультанты, начальники служб
безопасно­сти и охраны, руководители
компьютерных центров и цехов, помощники
и секретари первых лиц) сегодня
подвергаются, как правило, следующей
стандартной проверке, включающей:

  • достаточно продолжительные
    процедуры сбора и верификации
    установочно-биографических сведений
    с их последующей аналитической
    обработкой;

  • предоставление рекомендательных
    писем от извест­ных предпринимательских
    структур с их последующей проверкой;

  • проверки по учетам
    правоохранительных органов; установки
    по месту жительства и по предыдущим
    местам работы;

  • серии собеседований и тестов
    с последующей пси­хоаналитической
    обработкой результатов.

По мнению экспертов, даже
каждый, взятый в от­дельности из
упомянутых методов проверки доста­точно
эффективен. В совокупности же достигается
весьма высокая степень достоверности
информации о профессиональной пригодности
и надежности ка­ндидата, его способностях
к творческой работе на конкретном
участке в соответствующем коммерческом
предприятии.

Серьезное влияние на вопросы
безопасности ком­мерческих предприятий
оказывают процедуры уволь­нения
сотрудников. К сожалению, отдельных
руково­дителей порой мало интересуют
чувства и пережива­ния персонала,
который по тем или иным причинам попадает
под сокращение или самостоятельно
изъяв­ляет желание покинуть банк или
акционерное обще­ство. Как показывает
опыт, такой подход приводит, как правило,
к серьезным негативным последствиям.

Современные психологические
подходы к процессу увольнения позволяют
выработать следующую при­нципиальную
рекомендацию: каковы бы ни были причи­ны
увольнения сотрудника, он должен покидать
коммер­ческую организацию без чувства
обиды, раздражения и мести.

Только в этом случае можно
надеяться на то, что увольняемый сотрудник
не предпримет необдуманных шагов и не
проинформирует правоохранительные
ор­ганы, налоговую инспекцию,
конкурентов, криминаль­ные структуры
об известных ему аспектах работы банка.
Кроме того, известны случаи мести бывших
сотрудников с использованием компьютерного
проникновения.

Таким образом, представители
кадровых подраз­делений и служб
безопасности должны быть четко
ориентированы на выяснение истинных
мотивов уво­льнения всех категорий
сотрудников. Зачастую причи­ны, на
которые ссылается сотрудник при
увольнении, и подлинные мотивы, побудившие
его к такому шагу, существенно отличаются
друг от друга. Обычно лож­ный защитный
мотив используется потому, что со­трудник
в силу прежних привычек и традиций
опасает­ся неправильной интерпретации
своих действий со сто­роны руководителей
и коллег по работе.

Наряду с этим весьма часто
имеют место случаи, когда сотрудник
внутренне сам уверен в том, что увольняется
по откровенно называемой им причине,
хотя его решение сформировано и принято
под влия­нием совершенно иных, порой
скрытых от него обсто­ятельств. Так,
в практике уже известны случаи весьма
тонких и тайных комбинаций оказания
влияния на высококвалифицированных
специалистов с целью их переманивания
на другое место работы.

В этой связи принципиальная
задача состоит в том, чтобы определить
истинную причину увольнения со­трудника,
попытаться правильно ее оценить и
решить, целесообразно ли в данной
ситуации предпринимать попытки к
искусственному удержанию данного лица
в коллективе либо отработать и реализовать
процеду­ру его спокойного и
бесконфликтного увольнения. Ре­шение
рекомендуется принимать на основе
строго объективных данных в отношении
каждого конкрет­ного сотрудника.

При поступлении устного или
письменного заявле­ния об увольнении
рекомендуется во всех без исключе­ниях
случаях провести с сотрудником беседу
с участи­ем представителя кадрового
подразделения и кого-ли­бо из
руководителей коммерческой структуры.
Однако до беседы целесообразно предпринять
меры по сбору следующей информации об
увольняющемся сотруднике:

— характер его взаимоотношений
с коллегами в кол­лективе; отношение
к работе; уровень профессиональной
подготовки; наличие конфликтов личного
или служебного хара­ктера;

— ранее имевшие место
высказывания или пожелания перейти на
другое место работы;

— доступ к информации, в том
числе составляющей коммерческую тайну;

— вероятный период устаревания
сведений, составля­ющих коммерческую
тайну для данного предприятия;
предполагаемое в будущем место работы
увольня­ющегося (увольняемого)
сотрудника.

Беседа при увольнении
проводится лишь только после того, когда
собраны все необходимые сведения.
Конечно, предварительно руководитель
коммерческой структуры отрабатывает
принципиальный подход к вопросу о том,
целесообразно ли предпринимать попытки
склонить сотрудника изменить его
первона­чальное решение либо
санкционировать оформление его
увольнения. В любом случае рекомендуется
дать собеседнику высказаться и в
развернутой форме объяс­нить мотивы
своего решения. При выборе места
про­ведения беседы предпочтение
отдается, как правило, служебным
помещениям.

В зависимости от предполагаемого
результата беседа может проводиться в
официальном тоне либо иметь форму
доверительной беседы, задушевного
разговора, обмена мнениями. Однако
каковы бы ни были планы в отношении
данного сотрудника, раз­говор с ним
должен быть построен таким образом,
чтобы последний ни в коей мере не
испытывал чувства униженности, обиды,
оскорбленного достоинства. Для этого
следует сохранять тон беседы предельно
кор­ректным, тактичным и доброжелательным,
даже не­смотря на любые критические
и несправедливые заме­чания, которые
могут быть высказаны сотрудником в
адрес банковской структуры и ее конкретных
менеджеров.

Если менеджером банка,
отделом кадров и службой безопасности
все же принято решение не препятствовать
увольнению сотрудника, а по своему
служебному положению он располагал
доступом к конфиденциальной информации,
то в этом случае от­рабатывается
несколько вариантов сохранения в тайне
коммерческих сведений (оформление
официальной подписи о неразглашении
данных, составляющих ком­мерческую
тайну, либо устная «джентльменская»
до­говоренность о сохранении увольняемым
сотрудником лояльности к «своему банку
или фирме»).

В этой связи необходимо
подчеркнуть, что личное обращение к
чувству чести и достоинства увольняемых
лиц наиболее эффективно в отношении
тех индивиду­умов, которые обладают
темпераментом сангвиника и флегматика,
высоко оценивающих, как правило, до­верие
и доброжелательность.

Что касается лиц с темпераментом
холерика, то с этой категорией сотрудников
рекомендуется завер­шать беседу на
официальной ноте. В ряде случаев
объявление им принятого решения об
увольнении вы­зывает бурную негативную
реакцию, связанную с по­пытками
спекулировать на своих истинных, а порой
и мнимых профессиональных достоинствах.
Поэтому с сотрудниками такого темперамента
и склада харак­тера целесообразно
тщательно оговаривать и обуслов­ливать
в документах возможности наступления
для них юридических последствий раскрытия
коммерчес­кой тайны.

Несколько иначе рекомендуется
действовать в тех случаях, когда
увольнения сотрудников происходят по
инициативе самих коммерческих структур.
В этих об­стоятельствах не следует
поспешно реализовывать принятое решение.
Если увольняемое лицо располага­ет
какими-либо сведениями, составляющими
коммерческую тайну, то целесообразно
предварительно и под соответствующим
предлогом перевести его на другой
участок работы, например в такое
подразделение, в ко­тором отсутствует
подобная информация.

Кроме того, таких лиц
традиционно стремятся со­хранить в
структуре банка или фирмы (их дочерних
предприятий, филиалов) до тех пор, пока
не будут приняты меры к снижению
возможного ущерба от разглашения ими
сведений, составляющих коммерчес­кую
тайну, либо найдены адекватные средства
защиты конфиденциальных данных
(технические, администра­тивные,
патентные, юридические, финансовые и
пр.).

Только лишь после реализации
этих мер рекомен­дуется приглашать
на собеседование подлежащего уво­льнению
сотрудника и объявлять конкретные
причи­ны, по которым коммерческая
организация отказыва­ется от его
услуг. Желательно при этом, чтобы эти
причины содержали элементы объективности,
достове­рности и проверяемости
(перепрофилирование произ­водства,
сокращение персонала, ухудшение
финансово­го положения, отсутствие
заказчиков и пр.). При моти­вации
увольнения целесообразно, как правило,
воздер­живаться от ссылок на негативные
деловые и личные качества данного
сотрудника.

После объявления об увольнении
рекомендуется внимательно выслушивать
контрдоводы, аргументы и замечания
сотрудника в отношении характера
рабо­ты, стиля руководства компанией
и т. п. Обычно уво­льняемый персонал
весьма критично, остро и правдиво
освещает ситуацию в коммерческих
структурах, вскры­вая уязвимые места,
серьезные недоработки, кадровые просчеты,
финансовые неурядицы и т. п.

Если подходить не предвзято
и объективно к подо­бной критике, то
эти соображения могут быть исполь­зованы
в дальнейшем весьма эффективно в
интересах самого банка. В ряде случаев
увольняемому со­труднику вполне
серьезно предлагают даже изложить
письменно свои рекомендации, конечно,
за соответст­вующее вознаграждение.

При окончательном расчете
обычно рекомендуется независимо от
личностных характеристик увольняемых
сотрудников брать у них подписку о
неразглашении конфиденциальных сведений,
ставших известными в процессе работ.

В любом случае после увольнения
сотрудников, осведомленных о сведениях,
составляющих коммер­ческую тайну,
целесообразно через возможности служ­бы
безопасности банка или фирмы (частного
детектив­ного агентства) проводить
оперативную установку по их новому
месту работы и моделировать возможности
утечки конфиденциальных данных.

Кроме того, в наиболее острых
и конфликтных ситуациях увольнения
персонала проводятся оператив­ные и
профилактические мероприятия по новому
месту работы, жительства; также в
окружении носителей коммерческих
секретов.

Персонал оказывает
су­щественное, а в большинстве случаев
даже решающее влияние на информационную
безопасность банка. В этой связи подбор
кадров, их изучение, рас­становка и
квалифицированная работа при увольнени­ях
в значительной степени повышают
устойчивость коммерческих предприятий
к возможному стороннему негативному
влиянию и агентурному проникновению
противоправных элементов.

Регулярное изучение всех
категорий персонала, по­нимание
объективных потребностей сотрудников,
их ведущих интересов, подлинных мотивов
поведения и выбор соответствующих
методов объединения от­дельных
индивидуумов в работоспособный коллек­тив
— все это позволяет руководителям в
итоге ре­шать сложные производственные
и коммерческо-финансовые задачи, в том
числе связанные с обеспечением
экономической безопасности.

Обобщая основные рекомендации,
представляется, что программа работы
с персоналом в коммерческой структуре
могла бы быть сформулирована следующим
образом:

— добывание в рамках
действующего российского за­конодательства
максимального объема сведений о
ка­ндидатах на работу, тщательная
проверка представ­ленных документов
как через официальные, так и опе­ративные
возможности, в том числе службы
безопас­ности банка или частного
детективного агент­ства, системность
в анализе информации, собранной на
соответствующие кандидатуры;

— проведение комплекса
проверочных мероприятий в отношении
кандидатов на работу, их родственников,
бывших сослуживцев, ближайшего окружения
в тех случаях, когда рассматривается
вопрос об их приеме на руководящие
должности или допуске к информа­ции,
составляющей коммерческую тайну;

— использование современных
методов, в частности собеседований и
тестирований, для создания психоло­гического
портрета кандидатов на работу, который
бы позволял уверенно судить об основных
чертах харак­тера и прогнозировать
их вероятные действия в раз­личных
экстремальных ситуациях;

— оценка с использованием
современных психологи­ческих методов
разноплановых и разнопорядковых
фа­кторов, возможно препятствующих
приему кандида­тов на работу или их
использованию на конкретных должностях;

— определение для кандидатов
на работу в коммер­ческих структурах
некоторого испытательного срока с целью
дальнейшей проверки и выявления деловых
и личных качеств, иных факторов, которые
бы могли препятствовать зачислению на
должность;

— введение в практику
регулярных и неожиданных комплексных
проверок персонала, в том числе через
возможности служб безопасности;

— обучение сотрудников
кадровых подразделений и служб
безопасности современным психологическим
подходам к работе с персоналом, социальным,
психо­аналитическим, этико-моральным
методам, навыкам использования современных
технических средств для фиксирования
результатов интервью и собеседований,
приемам проведения целевых бесед
«втемную» и про­цедурам
информационно-аналитической работы с
до­кументами кандидатов;

— выделение из числа первых
руководителей ком­мерческих структур
куратора кадровой работы для осуществления
контроля за деятельностью кадровых
подразделений и служб безопасности при
работе с пе­рсоналом.

Можно сделать определенный
вывод о том, что российские предприниматели
во все возрастающей степени меняют свое
отношение к «человеческому фак­тору»,
ставят на вооружение своих кадровых
подраз­делений и служб безопасности
современные методы работы с персоналом.
Очевидно, что дальнейшее раз­витие в
этой области связано с активным
использова­нием значительного
потенциала методов психоанали­за,
психологии и этики управления,
конфликтологии и ряда других наук и
более полного интегрирования
соответствующих специалистов в
коммерческие пред­приятия.

Источник

Содержание страницы

  1. Что собой представляет кадровая безопасность
  2. Внутренние и внешние опасности
  3. От чего зависит кадровая безопасность
  4. Поэтапная реализации кадровой безопасности
  5. Что дает эффективная кадровая безопасность

Успех предпринимательской деятельности определяется множеством факторов. Это ресурсы, производственные средства и кадры. Все это является отдельными направлениями, каждое из которых нужно контролировать. Контроль над безопасностью является одной из мер поддержания эффективности работы компании.

Как обеспечивается кадровая безопасность предприятия и почерковедческая диагностика?

Что собой представляет кадровая безопасность

Кадровая безопасность представляет собой меры по предупреждению негативных влияний со стороны персонала. Трудящиеся могут напрямую повлиять на деятельность компании. Поэтому руководитель должен отслеживать все потенциальные и реальные угрозы. Рассмотрим угрозы, которые могут быть связаны с личностью работника:

  • Создание угрозы жизни и здоровью учредителей/других трудящихся.
  • Создание конфликтных условий.
  • Дискредитация управленческой системы.
  • Провокация увольнения ключевых работников.
  • Вред репутации организации.
  • Разглашение конфиденциальных сведений.
  • Хищение.

Что предусматривает понятие кадровой безопасности?

Вред может быть причинен не только отдельным сотрудником, но и всем коллективом. Рассмотрим потенциальные опасности:

  • Активное игнорирование корпоративных норм и ценностей.
  • Имитация трудовой деятельности.
  • Незаконные забастовки.
  • Массовые увольнения с целью повлиять на решение работодателя.
  • Саботаж решений.
  • Неподчинение требованиям.

ВНИМАНИЕ! Согласно статистике, 80% ущерба организации причиняется именно ее персоналом. Именно потому менеджер должен особое внимание уделить кадровой безопасности. Грамотная политика руководства позволит на 60% уменьшить убытки организации, связанные с ее персоналом.

Внутренние и внешние опасности

Задача менеджера – проведение грамотной работы по выявлению и предотвращению опасностей. Существуют внутренние и внешние угрозы. Первые представляют собой действия работников, которые приносят компании ущерб. Рассмотрим примеры внутренних опасностей:

  • Несоответствие квалификации работников требованиям к должности.
  • Плохая организация управленческой системы.
  • Посредственная организация системы обучения.
  • Плохо налаженная система мотивации.
  • Погрешности в планировании трудовых ресурсов.
  • Уменьшение объема эффективных предложений и идей.
  • Увольнение сотрудников с хорошей квалификацией.
  • Работники полностью сконцентрированы на решении тактических задач.
  • Работники заботятся только об интересах своего подразделения.
  • Нет разумной корпоративной политики.
  • В организацию принимаются сотрудники без предварительной проверки их профессионализма.

Кадровые угрозы, возникающие на различных уровнях, могут быть предсказуемыми и непредсказуемыми, а также иметь различную степень последствий от их исполнения (от низкой до очень высокой).
Изучив основания для классификации угроз кадровой безопасности организации, а также специфику ее деятельности, можно определить отличительные черты их проявления, на которые следует обратить внимание при определении угроз кадровой безопасности.
Посмотреть информацию

Внешние опасности – эти процессы, которые не определяются волей персонала, однако причиняют организации ущерб. Рассмотрим их примеры:

  • Система мотивации у персонала конкурентов более эффективна.
  • Конкуренты стараются переманить квалифицированных работников.
  • Присутствует внешнее давление на сотрудников организации.
  • Зависимость работников от внешних обстоятельств.
  • Инфляция, которую придется учитывать при расчете зарплаты.

Определение опасностей – это уже 50% успеха. Менеджер должен знать, какие именно проблемы перед ним стоят. После этого можно намечать стратегию по устранению угроз.

От чего зависит кадровая безопасность

Кадровая безопасность определяется этими тремя факторами:

  1. Найм. Представляет собой перечень мер безопасности при найме работников в организацию. Менеджер также должен формировать прогноз благонадежности. Процедура найма на работу подразделяется на эти этапы: поиск специалистов, отбор соискателей, документальное оформление сотрудника. Руководитель также отвечает за продолжительность испытательного срока, адаптацию работников на новом месте. Меры безопасности также включают в себя подготовку аттестации, планирование образовательной программы.
  2. Лояльность. Представляет собой комплекс мер по созданию благоприятного настроя сотрудников по отношению к организации и руководителю. От обстановки в компании зависит инициатива сотрудников, их мотивация к деятельности. Мотивированные специалисты больше вкладываются в труд, с большей старательностью относятся к решению задач.
  3. Контроль. Это комплекс мер управления: создание регламентов, ограничений и правил. Проверка их исполнения. Создание систем объективной оценки. Контроль нужен для ликвидации потенциальных опасностей. За него отвечает, как правило, служба безопасности.

Представленные меры могут компенсировать друг друга. К примеру, компания уделяет много внимания безопасности при найме сотрудников. В этом случае в меньшей степени можно финансировать направление по лояльности персонала.

Самые распространенные проблемы и их решение

Одна из самых распространенных проблем в сфере кадровой безопасности – воровство. Предупредить и выявить его можно с помощью следующих инструментов:

  • Установка камер видеонаблюдения.
  • Введение штрафов за воровство.
  • Создание лояльной обстановки.
  • Регулярная инвентаризация средств.

К СВЕДЕНИЮ! Еще одна популярная проблема – разглашение конфиденциальной информации. Это может нанести компании самый серьезный ущерб. К примеру, сотрудник сливает информацию конкурентам компании, из-за чего последняя теряет прибыль.

Поэтапная реализации кадровой безопасности

Кадровая безопасность предполагает различные этапы от трудоустройства до увольнения. Перед воплощением мер нужно подготовиться. В частности, менеджеру требуется выявить существующие и потенциальные проблемы. Для этого можно использовать различные инструменты: опросы, интервью, беседы с сотрудниками и менеджерами, просмотр нарушений за определенный период. После этого формируется перечень актуальных проблем. Воплощаемые меры должны соответствовать конкретной ситуации. К примеру, если в компании все плохо с профессионализмом сотрудников, нужно сконцентрироваться на найме работников.

Рассмотрим примеры мер безопасности при трудоустройстве:

  • Психодиагностическое исследование соискателей при их приеме в компанию.
  • Психофизиологическое исследование соискателей.
  • Составление информационно-аналитической справки о трудящемся.

Меры кадровой безопасности нужно реализовывать в рамках работы с уже принятым персоналом:

  • Социально-психологическое обследование трудящихся, проверка лояльности и климата в организации.
  • Определение стиля управления.
  • Создание условий для лояльности персонала.
  • Психофизиологическое исследование работника.
  • Проведение служебных расследований с использованием полиграфа.
  • Мероприятия технического характера.

Также кадровая безопасность может быть реализована и в сфере увольнения:

  • Меры по выявлению желаний сотрудников уйти с работы.
  • Меры по созданию лояльной атмосферы для предупреждения увольнений.

Поэтапное воплощение мер кадровой безопасности обеспечит эффективную деятельность организации.

Что дает эффективная кадровая безопасность

Эффективная кадровая безопасность обеспечивает эти преимущества:

  • Возможность конкурировать с сильными игроками на рынке.
  • Минимизация расходов на компенсацию ущерба.
  • Привлечение лучших профессионалов, что обеспечивает максимальную производительность.
  • Предупреждение хищений.
  • Исключение из штата сотрудников с недостаточной квалификацией.
  • Создание дружелюбной среды.

Своевременное воплощение нужных мер позволит предупредить убытки, извлекать из деятельности организации максимальную прибыль.

Источник

«Кадровик. Кадровый менеджмент», 2007, N 12

Одной из важнейших задач современности является борьба с компьютерной преступностью и кибертерроризмом. Спектр преступлений в сфере информационных технологий весьма широк, он варьируется от интернет-мошенничества до детской порнографии и включает такие потенциально опасные действия, как электронный шпионаж и подготовка к террористическим актам. Существенное противодействие росту преступлений в сфере информационных технологий может оказать грамотная политика подготовки национальных кадров.

Доктрина информационной безопасности Российской Федерации относит развитие и совершенствование системы подготовки кадров, работающих в сфере обеспечения информационной безопасности, к первоочередным задачам государственной политики.

Задачи кадрового обеспечения вошли отдельным разделом в Перечень приоритетных направлений научных исследований в области информационной безопасности Российской Федерации, неоднократно рассматривались на заседаниях Межведомственной комиссии Совета безопасности и секции по информационной безопасности научного совета при Совете безопасности Российской Федерации, Межведомственной комиссии по защите государственной тайны. Благодаря принятым мерам под руководством Минобрнауки России во взаимодействии с заинтересованными федеральными органами исполнительной власти в стране сформировались основные направления многоуровневой системы подготовки кадров в области информационной безопасности.

Задача подготовки специалистов является особенно актуальной еще и потому, что в настоящее время достаточно просто получить доступ к информации, с помощью которой человек может научиться взламывать компьютерные сети и совершать иные киберпреступления. Свободно распространяются печатные издания, где описываются технологии совершения компьютерных преступлений (в качестве примера достаточно привести журналы, такие как «Хакер» и «Спецхакер»), получившие особую популярность среди молодежи. В настоящее время любой подросток может купить за небольшие деньги книгу, обучающую его элементарным приемам атаки на информационные системы. С помощью изложенных в книге знаний такой подросток становится реальной угрозой безопасности компьютерных систем. В Интернете представлено огромное количество сайтов, обучающих компьютерному взлому. В сети Интернет проводятся форумы, виртуальные конференции и семинары по обмену опытом совершения компьютерных преступлений. Таким образом, компьютерные преступники активно работают над повышением своей квалификации, вовлекают в свою среду подрастающее поколение и активно его обучают. При этом необходимо отметить, что все это происходит практически легально. Эти обстоятельства подтверждают актуальность и важность решения еще одной задачи — активного противодействия вовлечению молодежи в преступную среду и разработки эффективных методов проведения воспитательной работы среди молодежи.

Насущной задачей современного образования становится разработка таких методов учебно-воспитательной работы, где бы гармонично сочеталось обучение современным информационным технологиям с формированием высоких нравственных качеств для выработки иммунитета к совершению компьютерных преступлений.

В последнее время проблема кадрового обеспечения информационной безопасности привлекает к себе повышенное внимание. Эффективное развитие любого региона, да и всей страны в целом, невозможно без создания в государственных или иных структурах пользователей подлежащей защите информации специальных служб защиты, укомплектованных высококвалифицированными кадрами.

Основные принципы подготовки кадров в области защиты информации с учетом требований настоящего времени можно сформулировать следующим образом: уровень теоретических знаний должен приближаться к международному; подготовку следует ориентировать на приобретение практических навыков ведения дела в отечественных кризисных условиях; существенное внимание должно быть уделено вопросам обеспечения безопасности и устойчивого развития субъекта хозяйствования и региона в целом.

Поскольку современные системы защиты становятся все более сложными и комплексными как по целям, так и по используемым методам и средствам защиты, необходимо расширять номенклатуру образовательных специальностей по защите информации. Подготовка кадров должна осуществляться комплексно в нескольких уровнях:

— подготовка молодых специалистов на базе школьного образования (срок обучения — 5 — 5,5 лет);

— подготовка специалистов по информационной безопасности на базе высшего технического образования (срок обучения — 2 — 2,5 года);

— переподготовка кадров на краткосрочных курсах повышения квалификации специалистов и руководителей подразделений (срок обучения — 2 — 4 недели);

— подготовка специалистов на базе среднетехнического образования через колледж на базе 9 классов (срок обучения — 4 — 5 лет);

— подготовка специалистов высшей квалификации через аспирантуру и защита диссертационных работ в специализированных советах.

По-прежнему актуальна проблема развития системы подготовки кадров в области информационной безопасности как по «вертикали» — с охватом всех уровней подготовки, так и по «горизонтали» — с выходом на проблемы информационной безопасности в гуманитарной сфере и на стыке естественно-научных, технических и гуманитарных направлений. В первую очередь это относится к подготовке и переподготовке специалистов правоохранительных органов, органов суда и прокуратуры в области борьбы с преступлениями в сфере компьютерной информации. Представляется необходимым создать систему непрерывного профессионального образования специалиста в области информационной безопасности.

Словарь управления персоналом. Информационная безопасность — область науки и техники, охватывающая совокупность программных, аппаратных и организационно-правовых методов и средств обеспечения безопасности информации при ее обработке, хранении и передаче с использованием современных информационных технологий.

Где и как готовят специалистов

в области информационной безопасности

В России вопросы подготовки кадров по информационной безопасности в национальном масштабе получили развитие с 1992 г., когда была сформирована межвузовская научно-техническая программа «Методы и технические средства обеспечения безопасности информации». В период между 1992 и 1998 гг. сложился крупный коллектив исполнителей, в состав которого вошли 15 крупнейших вузов России, главным среди которых стал Московский инженерно-физический институт (МИФИ).

В настоящее время специализированную подготовку в области безопасности на российском рынке информационных технологий обеспечивают как учебные центры, для которых это направление является приоритетным (учебный центр «Информзащита», «Конфидент», Domina Security и др.), так и учебные центры, специализирующиеся на обучении по всему спектру проблем в сфере информационных технологий и телекоммуникаций (Школа CNews, АИС, «Специалист», Сетевая академия «Ланит», Академия «АйТи» и др.). Тематику обучения составляют как авторизованные зарубежные курсы международных центров обучения по защите информации, так и авторские курсы отечественных учебных центров, разработанные с учетом специфики российского рынка.

В качестве метода отбора кадров для обучения используется тестирование на профессиональную пригодность. Но данный метод не является каким-то нововведением, он уже достаточно давно используется для отбора абитуриентов в вузы МВД и службы безопасности, а также в военные учебные заведения. Опыт предварительного тестирования абитуриентов, поступающих на специальности, связанные с защитой информации, заслуживает самого пристального внимания в связи с необходимостью высоких морально-этических качеств у специалистов, занимающихся вопросами информационной безопасности.

Некоторые российские вузы не без успеха используют для тестирования абитуриентов телекоммуникационные технологии. Отдельного внимания заслуживает опыт по отбору в Академию ФАПСИ (Федеральное агентство правительственной связи и информации) с использованием интернет-технологий. В данном случае определить готовность к обучению по конкретной специальности можно при помощи тестирования, которое любой желающий может пройти непосредственно на сервере Академии ФАПСИ (www.academ.fnnet.ru). Данное тестирование предоставляет возможность осуществления дистанционной диагностики способностей и прогноза поступления абитуриента.

Условия повышения качества подготовки специалистов

в области защиты информации

Анализ информации, представленной на сайтах ведущих российских вузов, занимающихся подготовкой специалистов по направлению «Информационная безопасность», позволил выявить ряд условий, реализация которых обеспечит качественную подготовку специалистов в области защиты информации.

Обеспечение тесной связи учебного процесса с научными исследованиями в области информационной безопасности. Как известно, качество обучения во многом определяется глубиной соответствующих научных исследований. Чрезвычайная наукоемкость информационных технологий требует привлечения большого числа специалистов и мощного технического обеспечения. Исследования в области информационной безопасности до недавних пор проводились только в закрытых и военных вузах. Стремительное развитие информационных технологий стимулирует гражданские вузы к интенсивному накоплению собственного опыта, созданию своих научных школ. В настоящее время сложилась научная школа в области криптографии (Институт криптографии, связи и информатики); по техническим средствам защиты (Московский инженерно-физический институт); правовым вопросам защиты информации (Московский государственный университет); защите компьютерных систем от вредоносных программ (Санкт-Петербургский государственный политехнический университет, Таганрогский государственный радиотехнический университет).

Материально-техническое обеспечение учебного процесса. Дополнительные трудности при подготовке специалистов по защите информации возникают и из-за жесткости существующих требований к материально-техническому обеспечению учебного процесса. Практические и лабораторные занятия должны проводиться в специально оборудованных помещениях с применением современной вычислительной техники. Для обеспечения занятий по циклу дисциплин специализации нужны специальные технические средства (закладные устройства, сканирующие радиоприемники, приборы ночного видения, портативные металлодетекторы), приобретение которых для большинства вузов просто не представляется возможным. Значительных затрат требует лицензионное программное обеспечение, расходные материалы, доступ в Интернет. Решение этой проблемы в России находят путем интеграции с промышленными предприятиями, которые, с одной стороны, берут на себя материально-техническое снабжение вузов, а с другой — удовлетворяют собственные потребности в молодых специалистах. С этой точки зрения заслуживает внимания опыт работы учебного центра «Информзащита», в циклы курсов которого включено обучение практическим вопросам знакомства с отечественными разработками (система «Гриф», «Кондор», электронный замок «Соболь» и др.).

Обеспечение учебного процесса педагогическими кадрами высшей квалификации. Решение данной проблемы видится в организации краткосрочных курсов повышения квалификации, проведении семинаров и конференций по обмену опытом. Недостаток кадров высшей квалификации требует непрерывного мониторинга качества образования.

Анализ программ подготовки специалистов в области информационной безопасности России позволяет выделить следующие особенности обучения:

1) большая номенклатура направлений подготовки и переподготовки по информационной безопасности в учебных центрах;

2) направленность обучения на углубленную теоретическую подготовку специалистов по наиболее общим аспектам безопасности и ознакомление с относительно полным спектром методов и систем защиты информации;

3) акцент на практическую направленность обучения (в рамках учебных программ большое внимание уделяется лабораторным работам и практическим занятиям);

4) ориентация на изучение конкретных продуктов и правил их эксплуатации;

5) высокая мобильность содержания читаемых курсов (быстрая реакция на новые технологии защиты информации);

6) проведение учебных курсов по нормативно-правовой базе защиты информации;

7) тесные контакты с западными ведущими центрами.

Следует отметить также высокую стоимость обучения (300 — 1200 долл. за 3 — 12 дней обучения).

Важным положительным моментом подготовки специалистов в области информационной безопасности в России является осуществление государственного мониторинга качества образования специалистов по защите информации.

Проблема совершенствования подготовки специалистов в области информационной безопасности является многоплановой. Успешно решить ее возможно только комплексно, на основе системного подхода.

Одним из важных условий повышения качества подготовки специалистов в области информационной безопасности является формирование высоких нравственных качеств у студентов. Под понятием «человеческий фактор» психологи понимают «совокупность свойств человека-оператора, влияющих на эффективность системы «человек — машина». Представляется целесообразным расширить определение — это интегральная характеристика личности, определяющая надежность защиты информации при ее получении, хранении и переработке в автоматизированных технико-биологических системах. Невзирая на разнообразие и постоянное совершенствование специальной техники для защиты информации, люди остаются самым слабым звеном в человекомашинных системах, одним из самых вероятных источников утечки информации.

Проблему «человеческого фактора» при подготовке специалистов в области информационной безопасности целесообразно решать в двух направлениях: совершенствование технологии профотбора на специальности, связанные с защитой информации, и оптимизация воспитательной работы в процессе обучения. В учебных заведениях, связанных с подготовкой специалистов в области информационной безопасности, целесообразно создавать специальные подразделения (лаборатории, группы, службы), которые смогли бы заниматься изучением мотивации студентов к совершению противоправных действий в области информационных технологий и выработкой рекомендаций для оперативной корректировки учебно-воспитательной работы среди молодежи. Одним из главных направлений деятельности таких подразделений должно быть проведение профориентационной работы среди молодежи и обязательного тестирования абитуриентов на их профессиональную пригодность. Такие подразделения смогли бы решать еще одну достаточно важную задачу — использование влияния лидеров социальных групп для борьбы и предотвращения компьютерных преступлений. Такое направление успешно развивается в США. Например, одним из способов сокращения количества киберпреступлений является использование влияния лидеров социальных групп. Как показали социологические исследования, проведенные в США, влияние авторитетов в социальных группах действует на поведение людей. Так, снижение количества курильщиков в США в значительной степени связано с социальным клеймом курильщика.

Таким образом, одним из важных факторов повышения качества подготовки специалистов в области информационной безопасности должны быть меры по ужесточению режима отбора на специальности, связанные с защитой информационных технологий.

Можно предложить следующие пути развития технологии профотбора:

1) создание эталонных моделей студента и специалистов в многомерном пространстве профессионально важных качеств;

2) отражение в содержании профессионально важных качеств познавательных способностей личности, адаптационных возможностей в профессиональной направленности кандидата;

3) разработка алгоритма оценки близости реальных и эталонных образцов кандидата с расчетом как обобщенного интегрального показателя, так и уровней развития составляющих каждого показателя.

В качестве начального приближения к эталонной модели кандидата можно предложить следующее ее содержание: перечень основных профессиональных качеств, которые являются значимыми для успешной профессиональной подготовки в вузе; диапазон изменения уровня сформированности качеств, в пределах которого не снижается успешность подготовки; уровень развития каждого качества.

В учебном заведении учебно-воспитательная работа должна быть поставлена таким образом, чтобы активно вовлечь специалистов по компьютерным технологиям в борьбу с киберпреступностью или хотя бы изолировать их от преступной среды. В учебных заведениях, занимающихся подготовкой специалистов по информационным технологиям, целесообразно преподавать «Кодекс компьютерной этики», делая упор на то, что уважение к собственности других лиц в виртуальном мире столь же важно, как в мире физическом. Конечно, есть те, кто совершит преступление независимо от общественного мнения, но влияние авторитета — ценный инструмент против многих правонарушений, совершаемых только из-за ошибочной веры в то, что все это делают.

Концепция совершенствования процесса обучения в этом направлении предусматривает решение следующих задач: формирование правовой культуры в области информационных технологий, корректировка существующих учебных программ, введение новых учебных дисциплин.

Для отражения современных достижений в области защиты информации необходимо регулярно (не менее 1 раза в год) пересматривать содержание специальных учебных дисциплин. В настоящее время целесообразно дополнить учебные программы подготовки специалистов в области информационной безопасности дисциплинами по нормативно-правовой базе информационных технологий и по стратегии и тактике информационной войны.

Компьютерные преступления являются одним из способов ведения информационной войны с целью идеологического и психологического влияния на сознание отдельного индивида, социальных групп, разжигания этнической и религиозной вражды. Поэтому при подготовке специалистов в области защиты информации необходимо включать вопросы, связанные методологическими принципами ведения информационных операций. Специалист по защите информации обязан знать стратегию и тактику ведения информационной войны, поражающие факторы информационного оружия и приемы противодействия информационным операциям.

Необходимо существенно сократить количество коммерческих учебных заведений. Один из путей — жесточайший контроль качества обучения (уровня подготовки), сертификация руководящего и преподавательского состава учебного заведения. Необходимо отметить, что соответствующая нормативно-правовая база существует. В частности, существуют документы по аккредитации учебных заведений. Однако реально эти документы для коммерческих структур не работают.

Если с политикой подготовки специалистов по информационной безопасности дело обстоит относительно благополучно, то с повышением квалификации специалистов возникают проблемы. Для эффективного осуществления процесса повышения квалификации предлагается проводить его на базе ведущих вузов. Именно вузы и должны определять содержание и перечень курсов. При этом надо учитывать и мнение «производственников», но окончательное решение должно быть за высшими учебными заведениями. Именно вузы обладают достаточно высоким научным и педагогическим потенциалом и способны обеспечить повышение квалификации в соответствии с международными нормами.

Также немаловажным моментом является изменение кадровой политики структур повышения квалификации. В настоящее время одной из проблем повышения квалификации является низкий уровень профессиональной подготовки руководящих работников структурных подразделений. Встречаются случаи, когда подразделениями повышения квалификации руководит человек, не имеющий не только подготовки в области информационной безопасности, но и вообще компьютерного образования, к тому же и без опыта преподавательской работы.

Один из путей совершенствования процесса повышения квалификации — проведение аттестации лиц, занимающихся подготовкой (переподготовкой) кадров. Они должны иметь обязательную специализированную подготовку и опыт преподавательской работы.

Борьба с компьютерной преступностью и кибертерроризмом является одной из важнейших задач современности. Успешность противодействия в этом направлении во многом определяется качеством подготовки специалистов по информационной безопасности. Совершенствование учебно-воспитательной работы создает предпосылки для предотвращения компьютерной преступности, особенно в молодежной среде.

В итоге можно сделать вывод, что существующая система подготовки кадров еще не в полной мере удовлетворяет потребностям страны, а возникающие перед ней новые задачи диктуют необходимость как обновления содержания образования, так и совершенствования организации образования. Особенно остро эта проблема стоит в регионах России.

Таким образом, можно отметить ключевые моменты в повышении уровня подготовки квалифицированных кадров:

— возрастающая актуальность проблематики в области обеспечения информационной безопасности для субъектов Российской Федерации с учетом специфики региональных особенностей;

— формирование количественной и качественной структуры подготавливаемого контингента в области обеспечения информационной безопасности. Механизм определения потребностей в специалистах по защите информации для государственного и негосударственного сектора экономики требует совершенствования;

— отсутствие развернутого перечня должностей специалистов для данного направления деятельности. Действующие квалификационные характеристики должностей руководителей, специалистов и служащих, занятых на предприятиях, в учреждениях и организациях в области обеспечения информационной безопасности устарели и не соответствуют современной ситуации;

— существующие в настоящее время документы по лицензированию и контролю качества подготовки специалистов не отражают специфические требования к содержанию и условиям реализации основных образовательных программ в области информационной безопасности с учетом региональной специфики подготовки кадров;

— нуждаются в совершенствовании, дифференциации по образовательным областям и подкреплении учебно-методическими материалами федеральный и региональный компоненты государственного образовательного стандарта по вопросам защиты государственной тайны и информационной безопасности, направленные на формирование базового уровня понимания проблематики в обществе;

— необходимость более активного привлечения представителей объединений работодателей, творческого потенциала ученых и практиков регионов к разработке государственных образовательных стандартов и образовательных программ в области информационной безопасности.

Информация к размышлению

Внутренние угрозы информационной безопасности

Среди наиболее распространенных мифов из области защиты информации — уверенность в том, что основные угрозы исходят от внешних злоумышленников. Бесспорно, их нельзя недооценивать. Однако наибольший ущерб может принести атака изнутри.

виды атак

├─┐ │ │ │ │ │ │ │ │

взлом системы │ │ 2 754 400 │ │ │ │ │ │

├─┘ │ │ │ │ │ │ │ │

├──┐ │ │ │ │ │ │ │ │

саботаж │ │ 5 148 500 │ │ │ │ │ │

├──┘ │ │ │ │ │ │ │ │

├────┴────┴────┴────┴────┴────┴──┐ │ │

DOS-атаки │ 65 643 300 │ │ │

├────┬────┬────┬────┬────┬────┬──┘ │ │

внутренние ├────┴─┐ │ │ │ │ │ │ │

злоупотребления в сети │ │ 11 767 200 │ │ │ │ │

├────┬─┘ │ │ │ │ │ │ │

нецелевое использование ├┐ │ │ │ │ │ │ │ │

телекоммуникации ││ 705 000│ │ │ │ │ │ │

├┘ │ │ │ │ │ │ │ │

├───┐│ │ │ │ │ │ │ │

кража компьютеров │ │ 6 830 500│ │ │ │ │ │

├───┘│ │ │ │ │ │ │ │

├────┴────┴──┐ │ │ │ │ │ │

вирусы │ │ 27 382 340│ │ │ │

├────┬────┬──┘ │ │ │ │ │ │

кража (утечка) ├────┴────┴────┴────┴────┴────┴────┴┐ │

конфиденциальной │ 70 195 904 │ │

информации ├────┬────┬────┬────┬────┬────┬────┬┘ │

├┐ │ │ │ │ │ │ │ │

мошенничество ││ 701 500│ │ │ │ │ │ │

в телекоммуникациях ├┘ │ │ │ │ │ │ │ │

├────┴┐ │ │ │ │ │ │ │

финансовое мошенничество │ │ 10 186 400 │ │ │ │ │

├────┬┘ │ │ │ │ │ │ │

├┐ │ │ │ │ │ │ │ │

неавторизованный ││ 406 300│ │ │ │ │ │ │

доступ изнутри ├┘ │ │ │ │ │ │ │ │

─┼────┼────┼────┼────┼────┼────┼────┼────┼

0 10 20 30 40 50 60 70 80

объем потерь (млн долл.)

По оценкам экспертов в области компьютерной безопасности, до 80% всех компьютерных преступлений совершено работающими или уволенными сотрудниками. Причин можно назвать много, самая распространенная из них — неудовлетворенность работника статусом или зарплатой. Наиболее опасным является увольнение сотрудников, обладающих большими полномочиями и имеющих доступ к широкому спектру информации. Например, огромный ущерб может нанести сотрудник отдела информационных технологий, а тем более администратор сети (баз данных), инженер по безопасности. Им могут быть известны пароли к большинству используемых систем. Атаки, исходящие от такого экс-сотрудника, весьма сложно обнаружить, ведь ему известны все применяемые защитные механизмы. Но больше всего убытков может причинить неграмотность и халатность сотрудников.

Половина паролей, придуманных рядовыми служащими, состоят из цифр даты рождения и имени дочери или сына (например, Natasha 1984). Подобрать такие пароли не составит труда. Назначение системным администратором пароля из трудно запоминаемой комбинации букв и цифр может усугубить ситуацию. Опасаясь забыть пароль, сотрудники записывают его на обратной стороне клавиатуры, либо приклеивают бумажку к монитору, либо ставят галочку «запомнить пароль», чтобы не набирать его заново. В результате доступ к компьютеру и корпоративной сети может получить каждый желающий.

Специалисты считают, что беспечность менеджеров и персонала связана с отсутствием информации о подобных атаках: большинство пострадавших не предают такие инциденты огласке. Негативно сказывается также низкий уровень корпоративной дисциплины и поверхностное обучение пользователей правилам защиты информации. Кроме того, до сих пор данная проблема освещалась довольно слабо. В лучшем случае о ней говорили как о второстепенной на фоне внешних угроз.

По данным совместного исследования Computer Security Institute и ФБР (CSI/FBI Computer Crime and Security Survey), объем потерь от утечки информации у 1000 участвовавших в опросе предприятий США составил более 70 млн долл. Этот показатель опередил другие виды IT-угроз, в том числе вирусы (27 млн долл.), хакерские атаки (65 млн долл.), финансовые мошенничества (10 млн долл.), и составил около 40% общего объема зарегистрированного ущерба. Согласно тому же исследованию средний размер потерь от действий инсайдеров составил 300 тыс. долл. при максимальном размере 1,5 млн долл.

Компания Ernst&Young подтверждает наметившиеся тенденции данными ежегодного исследования проблем информационной безопасности (Global Information Security Survey 2004). Именно внутренние угрозы вызывают наибольший рост озабоченности IT-профессионалов: респонденты поставили эту проблему на второе место в списке наиболее серьезных опасностей. 60% опрошенных заявили, что неправомерные действия сотрудников действительно представляют угрозу нормальному функционированию информационных систем. Этот показатель опередил такие «громкие» темы, как SPAM (56%), атаки, вызывающие «отказ в обслуживании» (48%), финансовое мошенничество (45%) и бреши в системах безопасности программного обеспечения (39%). Он уступил лишь угрозе со стороны вирусов и червей (77%). В десятку также попали такие виды внутренних угроз, как утечка информации о клиентах и прочие виды кражи конфиденциальных данных. «Человеческий фактор» был возведен на первое место в списке обстоятельств, препятствующих проведению эффективной политики информационной безопасности.

По данным Association of Certified Fraud Examiners, американские компании в среднем теряют 6% доходов из-за инцидентов, связанных с различными способами обмана и кражи информации. Сопоставляя эту цифру с величиной ВВП США в 2003 г., нетрудно подсчитать, что общий объем потерь составил около 660 млрд долл. По оценке InfoWatch, порядка 50 — 55% этой суммы составляют потери, причиной которых являются неправомерные действия сотрудников.

Приведенные данные свидетельствуют о том, что руководство компаний понимает проблему, но не уделяет ей должного внимания. Существует несколько причин такой парадоксальной ситуации.

Во-первых, это высокий уровень сокрытия (латентности) подобных преступлений. По различным оценкам, латентность киберпреступлений составляет в США 80%, в Великобритании — 85%, в Германии — 75%, в России — более 90%.

Во-вторых, с развитием и расширением предприятия возможностей у злоумышленников становится больше, а риск обнаружения — меньше.

Как установлено аналитиками, в подавляющем большинстве сотрудники, которые тем или иным способом саботировали IT-инфраструктуру компании, занимали в пострадавших организациях технические должности.

В результате подобных действий компании столкнулись с нежелательными последствиями в бизнес-процессах, понесли финансовые убытки, существенный ущерб был нанесен их репутации.

10 главных угроз информационной безопасности

вирусы, троянские ├────┴────┴────┴────┴────┴────┴────┴───┐│

программы │ 77 ││

и интернет-черви ├────┬────┬────┬────┬────┬────┬────┬───┘│

│ │ │ │ │ │ │ │ │

неправомерные действия ├────┴────┴────┴────┴────┴────┤ │ │

сотрудников │ 60 │ │ │

с использованием ├────┬────┬────┬────┬────┬────┤ │ │

информационных систем │ │ │ │ │ │ │ │ │

├────┴────┴────┴────┴────┴──┐ │ │ │

SPAM │ 56 │ │ │ │

├────┬────┬────┬────┬────┬──┘ │ │ │

│ │ │ │ │ │ │ │ │

потеря ├────┴────┴────┴────┴────┴──┐ │ │ │

конфиденциальности │ 56 │ │ │ │

данных о клиентах ├────┬────┬────┬────┬────┬──┘ │ │ │

│ │ │ │ │ │ │ │ │

├────┴────┴────┴────┴───┐│ │ │ │

DOS-атаки │ 48 ││ │ │ │

├────┬────┬────┬────┬───┘│ │ │ │

финансовое │ │ │ │ │ │ │ │ │

мошенничество ├────┴────┴────┴────┴─┐ │ │ │ │

с использованием │ 45 │ │ │ │ │

информационных систем ├────┬────┬────┬────┬─┘ │ │ │ │

│ │ │ │ │ │ │ │ │

неправомерное ├────┴────┴────┴────┴─┐ │ │ │ │

использование │ 45 │ │ │ │ │

IT-систем с вовлечением ├────┬────┬────┬────┬─┘ │ │ │ │

третьих лиц │ │ │ │ │ │ │ │ │

├────┴────┴────┴────┤ │ │ │ │

физическая безопасность │ 40 │ │ │ │ │

├────┬────┬────┬────┤ │ │ │ │

│ │ │ │ │ │ │ │ │

плохое качество ├────┴────┴────┴───┐│ │ │ │ │

программного │ 39 ││ │ │ │ │

обеспечения ├────┬────┬────┬───┘│ │ │ │ │

│ │ │ │ │ │ │ │ │

├────┴────┴────┴───┐│ │ │ │ │

кража конфиденциальной │ 39 ││ │ │ │ │

информации ├────┬────┬────┬───┘│ │ │ │ │

┼────┼────┼────┼────┼────┼────┼────┼────┼ %

0 10 20 30 40 50 60 70 80

В.Лихачев

Финансовый директор

ООО «Страховое агентство «Комфорт»

Подписано в печать

25.11.2007

информационной безопасностипрофориентационная работа в вузе

Источник

Понравилась статья? Поделить с друзьями:
  • Какой реквизит проставляется на документе в случае его утверждения должностным лицом
  • Какую заработную плату получает работник за работу выполненную за определенное время
  • Какую характерную черту проблему малого бизнеса называют авторы какие два объяснения
  • Картинка вопроса вы намерены проехать перекресток в прямом направлении ваши действия
  • Кит транспортная компания отслеживание груза по номеру телефона получателя по номеру