Противодействие угрозами информационной безопасности организации со стороны собственного персонала

Для классификации рисков и угроз ООО «Агентство С» существуют различные подходы, например, классификация по преднамеренности и непреднамеренности действий нарушителя, по внутренним и внешним угрозам, по сферам возникновения, по частоте возникновения.

В данной работе будем использовать классификацию и ранжирование угроз по четырем областям информационной системы: организационной, технической, программной и правовой. Таким образом все существующие риски и угрозы предприятию (как внутренние, так и внешние) можно отнести к одной из областей, создав группы.

Во-вторых, разделив угрозы по группам и применив к ним выделенные методы можно оценить, на сколько заявленные методы позволяют выявить угрозы безопасности информационной системе.

Чтобы проверить данный подход была опрошена группа экспертов, работающих в сфере проектирования и обслуживания систем безопасности, в составе 10 человек. На просьбу оценить в процентном отношении степень перекрытия каждым методом угроз по областям проявления, были получены неоднородные результаты.

Проанализировав ответы всех экспертов, представляем усредненную и обработанную таблицу результатов. В столбцах приведены угрозы безопасности по областям возникновения, в строках – методы, позволяющие выявить данные угрозы (таблица 2.2). [13]

Таблица 2.2. Общая таблица применения различных методов оценки защищенности по отношению к различным типам угроз в ООО «Агенство С»

К определенным типам угроз применимы различные методы оценки эффективности СБ ИС. Из таблицы видно, что с помощью экспертных оценок и метода иерархий можно оценить все угрозы предприятию. Табличным методом целесообразно определять угрозы организационной, технической и программной областей, в то время как сложную цепь взаимосвязей правовых угроз можно оценить методом иерархий. Метод моделирования позволяет выявить угрозы в программно-аппаратном  комплексе. Моделирование угрожающей ситуации в организационной и правовой областях не оправданно и трудоёмко. Единственно возможным применением метода испытаний является оценка угроз технического  характера. Отслеживать воздействия на ИС со стороны внутренних пользователей и оценку их лояльности возможно психофизиологическим методом.

В общей таблице приведены все возможные варианты использования методов оценки защищенности ИС от возможных угроз без учета эффективности и других критериев.

В зависимости от масштаба и специфики предприятия, можно определить набор эффективных методов для каждого типа предприятий: малого, среднего и крупного.

Полнота охвата методами угроз безопасности и структурных частей организации.

Минимальный (базовый) уровень ИБ, обязательный для любой информационной системы обеспечивается применением апробированных и сертифицированных решений, стандартного набора контрмер при этом вопросы эффективности защиты не рассматриваются, если ценность защищаемых ресурсов не является чрезмерно высокой. Такой подход используется для всех типов предприятий и является достаточным для многих малых предприятий. Для крупных и средних предприятий вводится дополнительная оценка параметров, характеризующих уровень безопасности ИС: количественная оценка угроз безопасности, уязвимостей, ценности информационных ресурсов. Как правило, производится анализ по критерию стоимость/эффективность нескольких вариантов защиты. Мы вводим иной критерий эффективности – полнота охвата методами различных типов угроз на предприятии.

Можно сделать вывод о необходимости применения комплексного подхода. Комплексность  обеспечивает необходимый уровень оценки, используя аспекты системного подхода к проведению аудита информационных рисков компании.

Обеспечение информационной безопасности ООО «Агентство С» предполагает реализацию комплекса технических, технологических, организационных, экономических и социально-психологических мер в составе программы экономической безопасности. Рассмотрим некоторые организационные аспекты этой программы.

Организационная составляющая информационной безопасности ООО «Агентство С» имеет следующие особенности:

-реализуется в рамках функций, возложенных, как правило, на службу безопасности или контролируемых этой службой;

-отличается низкой ресурсоемкостью, т.к. затраты на организационные мероприятия несопоставимы с затратами на приобретение и обслуживание технических средств;

-высокой мобильностью, т.е. возможностью быстрой реализации.

Все это выводит организационные меры обеспечения информационной безопасности на первый план как высокорентабельные.

В числе таких мер ООО «Агентство С» следует назвать:

-дробление, распределение информации между сотрудниками;

-ведение учета ознакомления сотрудников с особо важной информацией;

-распространение информации только через контролируемые каналы;

-назначение лиц, ответственных за контроль документации;

-обязательное уничтожение неиспользованных копий документов и записей;

-четкое определение коммерческой тайны для персонала;

-составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну;

-включение пункта о неразглашении коммерческой тайны в трудовой договор, правила  внутреннего распорядка и должностные инструкции;

-включение положений о неразглашении тайны в соглашения и договора с партнерами;

-дополнительную проверку компетентности работников при найме;

-обязательное предварительное профессиональное обучение;

Особо выделим меры, повышающие безопасность работы с информационными технологиями ООО «Агентство С». Здесь необходим комплексный системный подход, который включает следующие блоки мероприятий.

Уровень квалификации пользователей принято оценивать по следующей шкале: начинающий пользователь, пользователь, продвинутый пользователь, специалист. Начинающий пользователь: умение совершать элементарные действия (включить-выключить ПК и т.п.), разбираться во всех базовых операциях. Пользователь: уверенное владение программным обеспечением общего назначения (Word, Excel и т.д.). Продвинутый пользователь: способность реализовать все возможности ИТ на своем участке работы. Специалист: способность определить, какое программное обеспечение оптимально решит его задачи, самостоятельно установить и настроить его, автоматизировать отдельные операции с помощью встроенных в ПО инструментов. [14]

Оценка квалификации пользователя в ООО «Агенство С» может проводиться по четырем уровням квалификации:

-нулевой уровень  – отсутствие навыков данной группы;

-базовый уровень  – умение выполнять элементарные пользовательские операции по инструкции;

-продвинутый уровень  – умение самостоятельно находить решения практически всех пользовательских и некоторых специальных задач;

-специальный уровень – уровень знаний специалиста, профессионально занимающегося технической поддержкой ИТ в организации.

В США наличие сертификата пользователя – обязательное условие для допуска работника к АРМ. Корпорация Microsoft проводит сертификацию по 300 различным программам. Из них около 200 сертификатов специалистов по ИТ (certified engineer), в т.ч. архитекторов баз данных и специалистов по информационной безопасности. Ведущим конкурентом Microsoft является разработчик операционных систем корпорация Novell.

Повышение квалификации пользователя связано с психологическими особенностями профессиональной жизни. Пользователь демонстрирует один из двух стилей трудового поведения: адаптационный (начинающий пользователь) и саморазвивающийся (профессионал). Чем старше пользователь, тем больше у него стремление перейти к адаптационному типу работы с ПК. Систематическое повышение квалификации  может сгладить этот процесс, но качественных изменений добиться чрезвычайно сложно. При этом управление квалификацией пользователей ИТ в ООО «Агенство С» строится по следующему алгоритму:

-оценка вакантного АРМ, составление квалификационных требований (сертификат пользователя, определенный уровень квалификации или перечисление требуемых навыков) и отражение их в должностной инструкции;

-подбор персонала. Анализ резюме на предмет соответствия требованиям. Приглашение соискателей для профотбора: интервью, анкетирование, испытания;

-испытательный срок. Установление критериев прохождения испытательного срока. Например, время освоения программного продукта или степень самостоятельности решения профессиональных задач с помощью ИТ;

-аттестация пользователей ИТ. Предметом оценки является эффективность использования ИТ для решения профессиональных задач. Можно реализовать в форме интервью, наблюдения, анализа протоколов, анкеты, тестовых заданий;

-повышение квалификации. Обеспечение доступа к документации, к программам, к специальной литературе, организация обмена опытом между пользователями, специальные курсы;

Гибкие тарифные системы в основе формирования заработка имеют тариф, который дополняется различными премиями, доплатами, надбавками. От привычных систем гибкая тарифная система отличается тем, что:

-разрабатывается для нужд конкретного предприятия с учетом его специфики;

-основой ее формирования является не единый тарифно-квалификационный справочник (ЕТКС), а перечень тех работ, которые выполняются на данном предприятии и классифицируются по сложности и значимости именно для данного предприятия;

-заработок работника индивидуализирован и привязан к фактическим результатам труда.

Обеспечение информационной безопасности организации при увольнении сотрудника также имеет свои особенности. При намерениях сотрудника уволиться (косвенное свидетельство - посещение соответствующих сайтов в Internet, рассылка резюме) рекомендуются следующие действия:

-вся переписка с рабочего адреса и некоторые операции на ПК должны быть взяты под негласный контроль;

-в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов.

Если сотрудник уже объявил о своем увольнении, можно принять следующие меры:

-проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе;

-сделать резервную копию файлов пользователя;

-организовать передачу дел;

-постепенно, по мере передачи дел сокращать права доступа к информации;

-по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.

Если сотрудник уличен в промышленном шпионаже в ООО «Агентство С» применяют следующие меры:

-немедленно лишить сотрудника всех прав доступа к ИТ и уволить;

-немедленно скорректировать права доступа к общим информационным ресурсам (базы данных, принтеры, факс). Перекрыть или изменить внешние входы в сеть;

-все сотрудники должны сменить пароли; при этом до сведения сотрудников доводится следующая информация: «Сотрудник N с (дата) не работает. При любых попытках контакта с его стороны немедленно сообщать в службу безопасности»;

-некоторое время контроль над ИС осуществляется в усиленном режиме.

Таким образом, «Агентство «С» занимается созданием и обслуживанием международных телефонных линий. Если вы ранее ничего не слышали о нашей легендарной компании, вносит конструктивный вклад в создание и развитие цивилизованного телекоммуникационного рынка Москвы.

Вывод по главе 2

Основополагающим принципом работы ООО «Агенство С» в области информационной безопасности является комплексный подход, обеспечивающий грамотный выбор и согласованное внедрение программных и аппаратных средств и организационных мероприятий – комплексных систем защиты информации. Предлагаемые организационно-технические решения соответствуют выявленным на этапе обследования внешним и внутренним угрозам и полностью удовлетворяют всем потребностям заказчика в области обеспечения информационной безопасности.