Файл: Методы и технологии противодействия угрозам кадровой безопасности (Распознавание источника проблем).pdf

ВУЗ: Не указан

Категория: Курсовая работа

Дисциплина: Не указана

Добавлен: 30.06.2023

Просмотров: 55

Скачиваний: 2

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

После составления такого списка необходимо устанавливать (изменять) программное обеспечение на рабочих станциях (серверах) только в соответствии с утвержденными правилами.[53]

Ввод в эксплуатацию новых рабочих мест и все изменения в конфигурации технических и программных средств имеющихся рабочих мест должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ПК".

Эта инструкция призвана регламентировать функции и взаимодействие подразделений по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств, и должна содержать следующие положения.[54]

Все изменения конфигурации технических и программных средств защищенных рабочих станций (PC) и серверов (различных уровней защищенности в соответствии с "Положением о категорировании ресурсов автоматизированной системы (АС)") должны производиться только на основании заявок руководителей структурных подразделений организации либо заявок начальника ИТ, согласованных с начальником службы защиты информации.[55]

Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:

  • в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам отдела ИТ;
  • в отношении программно-аппаратных средств защиты - уполномоченным сотрудникам службы защиты информации;
  • в отношении программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть запрещено.

Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела ИТ (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип "все, что не разрешено - запрещено" в этом случае должен соблюдаться неукоснительно. Это избавит компанию от проблем с утечками через злонамеренных нарушителей в будущем.[56]


К специфическим решениям можно отнести решения, принимаемые в каждом конкретном случае. Ведь предусмотреть все возможные утечки, а тем более способы защиты - невозможно.

Необходимо постоянно работать с пользователями. Обучение сотрудников, инструктаж новичков и временных пользователей поможет предотвратить утечки. Любое копирование информации на сменный носитель должно вызывать вопросы коллег - ведь лояльные сотрудники пострадают вместе с компанией.[57]

Стоит понимать, что высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified - приблизительно его можно перевести как "слишком квалифицированный". Излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся?

Выявление "специалистов-любителей" возможно во время традиционной аттестации. Стоит добавить в опросник вопрос "Как снять зависший процесс в Windows?" и провести разъяснительную работу с теми, кто начнет ответ со слов: "Нажать одновременно клавиши Ctrl, Alt и Del". Ведь правильный ответ на этот вопрос для большинства пользователей - "Вызвать системного администратора" (если, конечно, пользователь и администратор находятся недалеко друг от друга).[58]

В настоящее время еще одним каналом утечки информации является вынос носителей с резервными копиями с территории предприятия.

Сегодня используется несколько способов устранения этого канала утечки.

Первый из них - анонимизация носителей, т.е. сотрудники, имеющие физический доступ к носителям, не знают, какая информация на нем записана. Те же сотрудники, которые знают, какая информация записана, не имеют доступа к хранилищу носителей.[59]

Второй способ - шифрование информации при резервном копировании, поскольку расшифровка вынесенной информации потребует некоторого времени и вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных вещей - замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа и т. д. С развитием технологий радиоидентификации (RFID), возможно, появятся системы автоматического оповещения о попытках вынести за пределы хранилища носители, в которые для этой цели будут внедрены радиометки.

Системы контроля информационных потоков позволяют контролировать информационные потоки в трех режимах:


  • режим архива;
  • режим сигнализации;
  • режим активной защиты.[60]

В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информации и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности, либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.[61]

Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и управление временем сотрудника службы информационной безопасности. Сотрудник отдела информационной безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц.[62]

Недостатком этого режима является невозможность предотвращения утечки.

Фактически мы имеем расширенный режим архива. В этом режиме перед сохранением информации в архив действие или сообщение проверяется на предмет соответствия политике информационной безопасности. В случае выявления запрещенного действия/сообщения, сотрудник отдела информационной безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения политики информационной безопасности, сотрудник отдела информационной безопасности принимает решение реагировать немедленно, либо отложить принятие мер.[63]

Преимуществом этого способа является возможность немедленно реагировать на события.

Недостатком этого режима является также невозможность предотвращения утечек, а для сотрудника службы ИБ - необходимость постоянно находиться в режиме on-line. Этот режим нередко используется для тестовой эксплуатации системы перед переходом к режиму активной защиты.[64]

Этот режим позволяет активно вмешиваться в информационные процессы, блокировать опасные операции безвозвратно или до их разрешения сотрудником отдела информационной безопасности.

Преимуществом данного режима является возможность блокирования попыток нарушить политику информационной безопасности, предотвращение утечек.[65]

Недостатком этого режима является необходимость постоянного присутствия сотрудника службы информационной безопасности для разбора спорных случаев и ложных срабатываний. На сегодня максимальная достоверность используемых технологий не превышает 90%, поэтому в режиме активной защиты на сотрудника службы ИБ ложится ответственность за оперативное решение спорных вопросов. Кроме того, недостатком такого режима является высокая требовательность к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и сообщений в Internet.[66]


Заключение

По состоянию на сегодня внутренние нарушители представляют едва ли не большую опасность, чем внешние, ведь злоумышленником может быть любой сотрудник компании, от обычного пользователя до руководителя высшего ранга. И решение задачи защиты информации от несанкционированного воздействия внутренних пользователей невозможно только организационными, или только техническими методами защиты. Лишь комплексное применение этих методов способно принести результат.

Так же, можно придерживаться следующих советов.

Специалистам кадровых подразделений следует как можно активнее привлекать к сотрудничеству коллег из СЭБ, чётко разграничить зоны взаимной ответственности с учётом специфики компании и разработать регламент взаимодействия.

Старайтесь вникать в проблемы коллег из других компаний, на законных основаниях запрашивающих характеризующую информацию о деловых качествах ваших бывших сотрудников. Помните, что завтра вы можете оказаться в их положении и будете пытаться решить ту же задачу.

Активнее используйте ОИП на этапе кадрового отбора. Тем самым вы можете избавить компанию от целого букета кадровых рисков.

Список литературы

1. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

2. Овчинникова О.Г. Лояльность персонала / О.Г. Овчинникова // Управление персоналом. - М.: ООО "Журнал", 2006.

3. Соломанидина Т.О. Организационная культура в таблицах, тестах, кейсах и схемах. - М.: ИНФРА-М, 2007.

4. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

5. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

6.  Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

7. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

8. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ.

9. Закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.1992 №2487-1 (в редакции на 24.07.2007 № 214-ФЗ).

10.Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

11.Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005.


12.       Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

13.       Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ с изм. и доп.

14.       Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001.

15.       Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005.

16.       Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

  1. Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005.

  2. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

  3. Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005.

  4. Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

  5. Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

  6. Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

  7. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

  8. Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001.

  9. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ.

  10. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ.

  11. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ.

  12. Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005

  13. Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005

  14. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  15. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  16. Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001.

  17. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  18. Овчинникова О.Г. Лояльность персонала / О.Г. Овчинникова // Управление персоналом. - М.: ООО "Журнал", 2006.

  19. Овчинникова О.Г. Лояльность персонала / О.Г. Овчинникова // Управление персоналом. - М.: ООО "Журнал", 2006.

  20. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

  21. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

  22. Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ с изм. и доп.

  23. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  24. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  25. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

  26. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

  27. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  28. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  29. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  30. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  31. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

  32. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  33. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  34. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

  35. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  36. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  37. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  38. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

  39. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

  40. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  41. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

  42. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

  43. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  44. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

  45. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  46. .       Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  47. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

  48. .       Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  49. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  50. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

  51. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

  52. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

  53. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  54. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  55. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

  56. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

  57. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  58. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  59. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

  60. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  61. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

  62. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

  63. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  64. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

  65. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

  66. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.