Файл: Методы и технологии противодействия угрозам кадровой безопасности (Распознавание источника проблем).pdf

Скачать файл
Заказать решение

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 30.06.2023

Просмотров: 52

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Введение

Глава 1. Виды угроз безопасности

1.1 Внешние угрозы безопасности.

Глава 2. Технологии по сохранению информации

2.1 Распознавание источника проблем.

2.2 Методы решения проблем безопасности

2.3. Способы хранение информации

Заключение

Список литературы

Введение

Начнем с того, что вспомним, что такое кадровая безопасность.

Кадровая безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Из данного определения видно, что кадровая безопасность занимает доминирующее положение по отношению к другим элементам системы безопасности компании, так как она «работает» с персоналом, кадрами, а они в любой составляющей первичны. И в этой системе служба персонала – наиболее важный субъект в кадровой безопасности.

И тут мы встретим одно из заблуждений, оно связанное с тем, что кадровой безопасностью должна заниматься только служба безопасности. Исходя из опыта работы в структурах безопасности, заявляем, что это не так. Вся деятельность служб персонала может быть разложена на этапы (поиск, отбор, прием, адаптация и т.д. вплоть до увольнения и далее), и на каждом этапе присутствует масса вопросов безопасности, решаемых именно «персональщиками». Любое действие менеджера по персоналу на любом этапе — это либо усиление, либо ослабление безопасности компании по главной ее составляющей — по кадрам.

Если взглянуть на цифры статистики, можно прийти в ужас, но от статистики никуда не уйдешь.

Около 80% ущерба материальным активам компаний наносится их собственным персоналом. Только 20% попыток взлома сетей и получения несанкционированного доступа к компьютерной информации приходит извне. Остальные 80% случаев спровоцированы с участием персонала компаний.

Также невозможно обойти вниманием и общемировую статистику, применимую и к России: 10—15% всех людей являются нечестными по определению, 10—15% абсолютно честны, остальные 70—80% — колеблющиеся, то есть те, кто поступит нечестно, если риск попасться будет минимальным.

Исходя из этих не утешительных чисел, можно понять почему все организации так обеспокоены своей безопасностью.

Глава 1. Виды угроз безопасности

1.1 Внешние угрозы безопасности.

В некотором смысле бизнес можно сравнить с военными действиями, как и на войне враги бывают со всех сторон. Враги могут окружить вашу крепость и активно нападать на нее, могу вести тихую, скрытую деятельность, готовить вам подлянки, разбрасывать мины и ставить капканы на вашем пути. Так же не надо забывать и про то, что враги могут засылать шпионов на вашу территорию и выманивать ценную информацию из вас. Предательство – оно тоже существовало всю жизнь, как бы не боролись с этим, люди бывают циничны и за некую сумму могут и родину, и любимую организацию продать.

Большое распространение в науке получило выделение угроз по месту их возникновения. По этому признаку различают внешние и внутренние угрозы экономической безопасности предприятия.[1]

Внешние угрозы экономической безопасности предприятия возникают за пределами предприятия. Эти угрозы обычно не связаны с его производственной деятельностью. Как правило, это такое изменение окружающей среды, которое может нанести предприятию ущерб.[2]

К внешним угрозам экономической безопасности предприятия относятся:

– кардинальное изменение политической ситуации;

– макроэкономические кризисы;

– изменение законодательства, влияющего на условия хозяйственной деятельности;

– противоправные действия криминальных структур;

– недобросовестная конкуренция;

– промышленно-экономический шпионаж и несанкционированный доступ конкурентов к конфиденциальной информации, составляющей коммерческую тайну; [3]

– чрезвычайные ситуации природного и технического характера и другие.

От подобных угроз мы можем обезопасить собственную организацию с помощью большого количества способов (пропускной режим, охрана и система видеонаблюдения и многое другое).

Хотя эти способы не всегда бывают эффективны.

Перейдем ко второму виду угроз.[4]

1.2 Внутренние угрозы экономической безопасности предприятия связаны с хозяйственной деятельностью предприятия, его персонала. Они обусловлены теми процессами, которые возникают в ходе производства и реализации продукции и могут оказать свое влияние на результаты ведения хозяйственной деятельности.[5]

К внутренним угрозам экономической безопасности предприятия относятся:

– нарушение режима сохранения конфиденциальной информации;

– подрыв делового имиджа и репутации в бизнес сообществе;

– производственные недостатки, нарушения технологии;

– конфликтные ситуации с конкурентами, контролирующими правоохранительными органами;

– существенные упущения, как в тактическом, так и в стратегическом планировании, связанные, прежде всего, с выбором цели, неверной оценкой возможностей предприятия, ошибками в прогнозировании изменений внешней среды;

– криминальные действия собственного персонала: от элементарного воровства, до продажи коммерческой информации конкурентам и другие.

Любое предприятие занято специфической экономической и торговой деятельностью, поэтому понятия внешних и внутренних угроз экономической безопасности для каждого предприятия будут индивидуальны.

Защитить себя и свою организацию от внутренних угроз гораздо сложнее. Так как опасность может представлять тот, о ком вы даже не догадывались. И как снабдить необходимой информацией и возможностями сотрудников так, чтобы они не смогли знать то, о чем им не следует знать – это большой вопрос.

А теперь поговорим о реальных примерах.[6]

Сегодня во всем мире ущерб, причиняемый атаками внутренних злоумышленников (инсайдеров), уже давно превышает ущерб от внешних атак. Поэтому защита от внутренних угроз уже стала необходимостью. С ней сталкиваются как крупные, так и мелкие организации, не зависимо от вида своей деятельности.[7]

Для начала рассмотрим несколько фактов.

В США зарегистрирована одна из самых крупных утечек персональных данных. Один из инцидентов, с участием печально известной фирмы ACS, просто поражает масштабами: его жертвами стали почти 3 млн. человек. В аналитическом центре InfoWatch подсчитали, что ACS могла уже многократно окупить систему защиты от утечек. Но компания упорно не желает принимать меры даже после нового инцидента.

Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации из-за внутренних угроз: саботажа, хищения данных, неосторожных действий сотрудников.

243 тыс. детей, их родителей и опекунов Лос-Анджелеса находятся под угрозой кражи персональной информации. Виной тому - пропавший из Службы социальной помощи детям Los Angeles County Child Support Services ноутбук.[8]

О подобных фактах мы узнаем практически ежедневно. Поэтому защита от внутренних угроз выходит на первое место.

Во многих странах в банковской сфере, биржах, финансовых институтах существуют очень жесткие законодательные требования, невыполнение которых может повлечь за собой отзыв лицензии. [9]

В России в последнее время особое значение приобрел Закон "О защите персональных данных", который требует принятия мер по неразглашению конфиденциальной частной информации граждан. Аналогичный закон готовится к принятию на Украине и в других странах.

В разных странах за последнее время был принят целый ряд законодательных мер:

  • European Union Data Protection Directive - директива Евросоюза о защите данных;
  • Insurance Portability and Accountability Act (HIPAA) - закон о преемственности страхования и отчетности в области здравоохранения;
  • Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли;
  • US Patriot Act ;
  • Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей;
  • California SB 1386 - закон штата Калифорния SB 1386;
  • Basel II - Базельское соглашение по капиталу в странах OECD (Organization for Economic Co-operation and Development - организация экономического сотрудничества и развития).[10]

Поговорим кратко о каждом из этих законодательных актов, все они касаются внутренней безопасности.

DPD (Data Protection Directive) - директива о защите данных, принятая в Евросоюзе в 1995 году. Данная директива предназначена для защиты персональной идентифицирующей информации. Директива обязывает каждое государство, которое входит в Евросоюз, принять собственный закон о защите персональных данных, совместимый с рекомендациями Организации экономического сотрудничества и развития (OECD) от 1980 года (в состав OECD входит 30 стран: Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Финляндия, Франция, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Япония, Корея, Люксембург, Мексика, Нидерланды, Новая Зеландия, Норвегия, Польша, Португалия, Словакия, Испания, Швеция, Швейцария, Турция, Великобритания, США; Украина и Россия не входят). Кроме того, данная директива вводит классификацию личных данных (медицинские, финансовые и т.д.). Каждая категория данных требует дополнительных мер безопасности.[11]

Data Protection Directive значительно жестче соответствующих законодательных актов США. Например, данная директива требует защиты персональной идентифицирующей информации как клиентов компании, так и сотрудников, что не требуется в рамках законодательства США.

Нарушение этой директивы может привести к наступлению как гражданской, так и уголовной ответственности, включая большие штрафы, а в некоторых странах даже лишение свободы.

Базельское соглашение по капиталу Basel II Capital Accord вступило в силу с конца 2006 года в большинстве стран, входящих в состав OECD. Данное соглашение требует от финансовых институтов считать кредитные, производственные и рыночные риски для того, чтобы быть уверенным, что имеющихся сбережений хватит для покрытия этих рисков. Риски Basel II Accord включают и риски ИТ-безопасности.[12]

Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли. Этот акт принят в США в 2002 году в связи с корпоративными скандалами, которые имели место в таких компаниях как Enron и WorldCom. Акт возлагает ответственность на генеральных, исполнительных и финансовых директоров, CEO и CFO, которые обязаны провести сертификацию своих компаний на предмет полноты финансовой отчетности. Несовместимость с Актом может стоить до 5 млн. долларов для физических лиц и до 25 млн. - для юридических. Уголовная ответственность за несовместимость с этим актом в США - до 20 лет лишения свободы.[13]

Широкое толкование этим актом термина «активы» включает и цифровые активы, то есть исходные коды, торговые соглашения, записи пациентов и любую другую информацию, разглашение которой может нанести ущерб стоимости акций компании. А, следовательно, оценка рисков является неотъемлемой частью акта Сарбаниса-Оксли.

Health Insurance Portability and Accountability Act, HIPAA - закон США о преемственности страхования и отчетности в области здравоохранения был принят в 1996 году. Данный закон преследует две основные цели:

  • упростить осуществление транзакций в сфере здравоохранения путем использования стандартной кодовой классификации и уникальных медицинских идентификаторов (unique health identifiers);
  • защитить конфиденциальность информации о здоровье пациента.

Раздел данного закона, относящийся к приватности HIPAA Privacy Rule, определяет административные, физические и технические меры, которые включают стандарты для сохранения приватности защищенной электронной медицинской информации, Electronic Protected Health Information (EPHI).

Положения HIPAA, касающиеся приватности, вступили в силу в апреле 2003 года. Крупные организации обязаны были обеспечить совместимость с ними до апреля 2005, а небольшие компании - до апреля 2006 года.[14]

Понятно, что обеспечить выполнение всех требований закона без учета предотвращения утечек по каналам связи и на уровне рабочих мест практически невозможно.

Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей предназначен для защиты информации заказчика, полученной или используемой финансовыми организациями США, от кражи, неавторизованного доступа или злоупотребления.

Положения данного закона требуют от финансовых компаний разработать, внедрить и применять всестороннюю письменную политику ИТ-безопасности, которая подразумевает использование административных, технических и физических мер защиты непубличной информации. Таким образом, сюда относятся номера счетов, детали финансовых операций, номера кредитных карт и т.д.[15]

Несовместимость с GLBA Safeguard Rule карается штрафами и лишением свободы на срок до 5 лет.

Другие регулятивные акты США (SEC 17A-4, US Patriot Act, Check 21, Government Paperwork Elimination Act) также во многих случаях требуют использования продуктов для предотвращения утечек и других средств обеспечения ИТ-безопасности, хотя и не так явно, как рассмотренные выше.

Исходя из сказанного выше, можно отметить, что модель защиты от внутренних ИТ-угроз уже заложена в международные стандарты и внедрять ее нужно таким образом, чтобы она могла пройти аудит на соответствие международным стандартам. В этом случае при разрешении конфликтной ситуации между эффективностью и соответствием стандартам выбор делается в пользу соответствия стандартам, в ущерб эффективности. Хотя на Украине ситуация пока обратная.

Смотрите также файлы