Файл: Роль персонала в обеспечении безопасности (Меры противодействия угрозам безопасности через атаку на персонал).pdf

Так как большинство требований СТО БР ИББС-1.0-2014 по обеспечению кадровой безопасности было разработано на основе международного стандарта ISO/IEC 27001:2013 «Информационная технология. Методы защиты. Системы менеджмента информационной безопасности. Требования», можно соотнести требования по кадровой безопасности этих стандартов. Далее перечислены требования пункта 7.2 «Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу» стандарта СТО БР ИББС-1.0-2014 и в скобках указан пункт и его название в стандарте ISO/IEC 27001:2013, содержащий аналогичное требование [15; 3]:

• в организации должны быть документально выделены роли ее работников, которые следует персонифицировать с установлением ответственности за их выполнение;
• не допускается совмещение в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения [9, с. 79-83];
• в организации должны быть определена, выполняться и регистрироваться процедура приема на работу, влияющую на обеспечение информационной безопасности, включающую: проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; проверку в части профессиональных навыков и оценку профессиональной при-годности с документальным фиксированием результатов [25, с. 66-70];
• письменное обязательство о соблюдении конфиденциальности, приверженности корпоративной этике, включая требования по недопущению конфликта интересов;
• обязанности персонала по выполнению требований по обеспечению информационной безопасности должны включаться в трудовые контракты, должностные инструкции.
• невыполнение работниками организации требований по обеспечению информационной безопасности (должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности;
• контроль деятельности работников, обладающих совокупностью полномочий, позволяющей получить контроль над информационными активами организации;

Также в стандарте затронут вопрос обучения и повышения осведомленности в области информационной безопасности (ИБ) персонала организации. Приведены следующие требования [6, п. 8.9]:

1. Должна быть организована санкционированная руководством организации работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ;
2. Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний;
3. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности;
4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию [25, с. 66-70]:

---

• по существующим политикам информационной безопасности;
• по применяемым в организации защитным мерам;
• по правильному использованию защитных мер в соответствии с внутренними документами организации;
• о значимости и важности деятельности работников для обеспечения информационной безопасности организации.

В организации банковской системы РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться [25, с. 66-70]:

• документы (журналы), подтверждающие прохождение руководителями и работниками организации обучения в области информационной безопасности с указанием уровня образования, навыков, опыта и квалификации обучаемых;
• документы, содержащие результаты проверок обучения работников организации;
• документы, содержащие результаты проверок осведомленности в области информационной безопасности в организации.

Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области информационной безопасности, соответствующее полученной роли. В организации должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей [8, с. 26-33].

В международном стандарте ISO/IEC 27001:2013 также уделяется внимание вопросу обучения и повышения осведомленности в области информационной безопасности персонала организации. В нем приведены следующие требования: для всех сотрудников организации и, где это применимо, работающих по контракту должны быть проведены обучение и подготовка, обеспечивающие соответствующие знания, а также регулярное обновление организационных политик и процедур в той мере, в какой это касается их служебных обязанностей [3].

Можно заметить, что в стандарте СТО БР ИББС-1.0-2014 приведены более полные и конкретизированные требования, касающиеся вопроса обучения и повышения осведомленности в области информационной безопасности персонала организации [5].

Для оценки соблюдения требований стандарта СТО БР ИББС-1.0-2014 был разработан стандарт СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» [5].

В результате проведения оценки соответствия информационной системе присваивается один из 5 уровней соответствия в зависимости от итогового показателя оценки [3]. Значения всех показателей оценки расположены в диапазоне от 0 до 1. Значение итогового показателя определяется по наименьшему значению из трех показателей по направлениям оценки. Всего в методике три направления оценки [8, с. 26-33]:

---

1) оценка текущего уровня информационной безопасности организации;

2) оценка менеджмента информационной безопасности организации;

3) оценка уровня осознания информационной безопасности организации.

Представим такую ситуацию, что при оценке соответствия требованиям СТО БР ИББС-1.0 все частные показатели получили значение, равное единице, кроме какого-либо одного обязательного частного показателя в групповом показателе, касающегося вопроса кадровой безопасности (М1, М18 или М31), он оказался равным нулю. Тогда значение этого группового показателя будет меньше единицы, но не более чем на 20% (в соответствии с обеими редакциями методики). Тогда, в соответствии со старой редакцией методики, значение показателя по направлению оценки, содержащего этот групповой показатель, а, следовательно, и итогового показателя будет меньше единицы, но это отклонение будет меньше 15%, то есть оценка соответствия требованиям будет являться рекомендуемой банком [5].

В соответствии же с новой редакцией при расчете значения показателя по направлению оценки необходимо учесть корректирующие коэффициенты. С их учетом значение показателя оценки по направлению будет снижено дополнительно на 15%, так как в этом направлении содержится один частный показатель со значением, равным нулю . В итоге это приведет к тому, что итоговый показатель будет меньше единицы более чем на 15%, что является нерекомендуемым Банком России [СТО БР ИББС-1.2-2014 «4, п. 10, 11].

На этом примере видно, как возросла значимость требований по вопросу кадровой безопасности в новой редакции методики 2014 года по сравнению с редакцией 2010 года. Если раньше полное несоблюдение требования, описанного в каком-либо частном показателе, касающегося кадровой безопасности, незначительно снижало итоговую оценку соблюдения требований стандарта СТО БР ИББС-1.0 [3], то теперь это вызовет снижение итоговой оценки до значения, нерекомендуемого Банком России. Также можно отметить, что в новой редакции уделено больше вниманию принципу комплексности защиты информации.

Следует отметить, что было бы уместно дополнить систему стандартов более полными конкретизированными требованиями, например, к процедуре приема сотрудников на работу, к планам и программам обучения и повышения осведомленности в области информационной безопасности, к их периодичности; а также методическими рекомендациями по вопросу кадровой безопасности.

Подводя итог второй главы исследования нужно отметить, что нами проанализирована зависимость определенных угроз при реализации организацией некоторых типов кадровой стратегии.

---

В качестве основных мер противодействия определенным кадровым угрозам может стать детальная проработка и совершенствование кадровой стратегии и связанных с ней локально-нормативных документов организации, направленные на предупреждение рисков и регулярный мониторинг уровня угроз.

Рассмотрены требования по вопросу кадровой безопасности в системе стандартов Банка России. Проведено соотношение этих требований с требованиями международных стандартов, оценивается важность требований по вопросу кадровой безопасности в системе стандартов Банка России.

Заключение

Подводя итоги всему вышеизложенному, следует отметить, что главным ресурсом в организации является персонал. Чем совершеннее в процесс найма персонала и чем больше средств руководство вкладывает в лояльность, тем дешевле будет обходиться контроль. Кадровая безопасность это не только однажды достигнутый результат, а постоянный процесс, направленный на стабильность работы, выполнение основных задач организации и, конечно же, своевременность распознания и предотвращения серьезных и нежелательных операций со стороны сотрудников компании.

Создание комфортных условий для работы в организации оказывает положительное влияние на сбалансированность системы кадровой безопасности, а значит и эффективной защиты компании от угроз и опасностей.

Все рассмотренные виды атак на информационную систему построены на манипулировании сотрудниками организации, для противодействия им необходимо принимать следующие меры:

• должное обучение персонала в области обеспечения информационной безопасности, и, в частности, противодействия мошенническим атакам;
• стимулирование персонала к постоянному применению знаний и умений полученных в ходе обучения;
• контроль выполнения персоналом положений протоколов и политик безопасности;
• поддержание высокого уровня организационной приверженности персонала: чем более лоялен сотрудник к своей организации, тем ниже вероятность того, что он решит стать сообщником злоумышленнику

В процессе данной курсовой работы были следующие задачи:

• изучена роль персонала в реализации угроз информационной безопасности организации;
• исследованы существующие методы противодействия угрозам безопасности через атаку на персонал;
• проанализированы угрозы безопасности через атаку на персонал организации и методы противодействия им;
• показаны возможные угрозы безопасности, исходящие от персонала организации, и упреждающие действий;
• рассмотрены требования по вопросу кадровой безопасности в системе стандартов Банка России.

---

В современных экономических условиях организация сталкивается с необходимостью модернизации существующих подходов к построению стратегии эффективного развития в целом и, особенно, кадровой стратегии как ее наиболее важной составляющей. В таком случае, необходимо обратить особое внимание на собственный персонал организации, который может стать источником различных кадровых угроз в результате бездействия, ошибок или негативного воздействия на активы компании.

Приоритет многих угроз, исходящих от персонала организации, ранжируется в зависимости от типа кадровой стратегии, что целесообразно учитывать при совершенствовании системы безопасности.

Список использованных источников

1. "Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (ред. от 03.07.2016) (с изм. и доп., вступ. в силу с 03.10.2016) // СПС Консультант плюс
2. ISO 27004 «Информационная технология. Методы и средства защиты информации. Менеджмент информационной безопасности. Измерения» URL: http://www.consultant.ru/document/cons_doc_LAW_102278/5b46a07a2672055ee770be4ac6a7d64e7e62cf50
3. Международный стандарт ISO/IEC 27001:2013 «Системы менеджмента информационной безопасности. Требования». URL: http://www.rsm-cert.com/sertifikaciya-suib.14.html
4. СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014». URL: http://www.consultant.ru/document/cons_doc_LAW_163807/5b46a07a2672055ee770be4ac6a7d64e7e62cf50
5. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014». URL: http://www.consultant.ru/document/cons_doc_LAW_102278/5b46a07a2672055ee770be4ac6a7d64e7e62cf50
6. Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 № 399). URL: http://www.consultant.ru/document/cons_doc_LAW_163762
7. Алавердов А.Р. Управление кадровой безопасностью организации. – М., 2012. – 176 с.
8. Астахова Л.В. Проблема оценки HR-уязвимости объекта защиты информации // Вестник УрФО. Безопасность в информационной сфере, 2011. – № 1. – С. 26-33
9. Астахова Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации // Вестник ЮУрГУ. Серия «Компьютерные технологии, управление, радиоэлектроника», 2013. – Т. 13. – № 3. – С. 79-83
10. Бойдало М.К., Жигулин Г.П. Метод и модель оценки профессионального соответствия персонала в вопросах обеспечения информационной безопасности // Научно-технический вестник Поволжья, 2014. – №3. – С. 66-71
11. Бойдало М.К., Жигулин Г.П. Персонал организации как уязвимость в системе информационной безопасности: атаки и противодействие им // Научно-технический вестник Поволжья, 2015. – №3. – С. 89-91
12. Бойдало М.К. Политика информационной безопасности в государственных органах и коммерческих организациях США в XXI веке // Научная Перспектива, 2013. – №7(41). – С. 39-43
13. Бойдало М.К. Роль персонала органиизации в обеспечении информационной безопасности // Фундаментальные и прикладные исследования в современном мире, 2015. – С. 116-118
14. Жигулин Г.П., Бузинов А.С., Шабаев Р.И. Моделирование и прогнозирование информационных угроз. – СПб.: СПб ГУ ИТМО, 2011. – 150 с.
15. Исследование утечек конфиденциальной информации в 2013 году аналитического центра «InfoWatch», 2014. URL: httpy/www.infowatch.ru/report2013
16. Исследование утечек конфиденциальной информации в первом полугодии 2014 года аналитического центра «InfoWatch», 2014. URL: http://www.infowatch.ru/ report2014_half
17. Кибанов А.Я. Кадровая политика и стратегия управления персоналом. – М., 2012. – 64 с.
18. Парушина Н.В. Сучкова Н.А., Губина О.В. Концепция профессиональной подготовки кадров для инновационной экономики на основе современных информационно-аналитических технологий, алгоритмов, методик и программ // Фундаментальные исследования, 2013. – №10(5). – С. 1112-1116
19. Пугачев В.П. Планирование персонала организации: Учебное пособие. – М.: Издательство Московского Университета, 2011. – 235 с.
20. Семенченко А.В. Управление кадровой безопасностью в контексте социально-экономического развития организации // Проблемы экономики, 2013. – № 1. – С. 232-236
21. Сидорова М.А., Парушина Н.В. Экономическая безопасность управления кадрами и кадровая политика подбора персонала, 2015. URL: http://www.scienceforum.ru/2016/1429/17430 (дата обращения: 24.01.16)
22. Статистика компании «Информзащита», 2013. URL: http://infosec.ru/
23. Тропникова В.А. Человеческий капитал России – проблема или потенциал современного развития экономики? // Инновационная экономика и общество, 2013. – № 1. – С. 16-20
24. Ульянов Н.Л., Астахова Л.В. Проблема кадровой безопасности в системе стандартов информационной безопасности банка России // Вестник УрФО. Безопасность в информационной сфере, 2015. – №4(14). – С. 66-70
25. Харский К.В. Благонадежность и лояльность персонала. – СПб.: Питер, 2013. – 496 с.
26. Шарипов Ф.В. Психологические основы менеджмента. – Издательство: Владос-Пресс, 2013. – 296 с.

---