Организация защиты персонала организации от шантажа
В быстро меняющейся рыночной среде организации работают в острых вопросах экономической безопасности. Компании должны работать против всех видов угроз и восстанавливаться после их возникновения. Успешное функционирование организации в условиях рыночной экономики предполагает обеспечение эффективной системы экономической безопасности. Экономическая безопасность - это общая концепция, поскольку она объединяет различные функциональные компоненты.
По мнению многих ведущих экономистов в этой области, информационными, финансовыми, техническими, технологическими, интеллектуальными, политическими и правовыми, кадровыми ресурсами являются компоненты экономической безопасности. Эффективное обеспечение организации защиты персонала организации является одним из приоритетов в достижении стабильности и процветания не только для отдельной организации или группы организаций, но и для экономической системы государства в целом.
Информационная безопасность - состояние безопасности информации (данных), обеспечение безопасности информации, для которой она используется, и безопасность информации в автоматизированной информационной системе, в которой она реализована.
Под объектом защиты понимается такой структурный компонент системы, в котором защищаемая информация находится или может быть, а под элементом защиты представляет собой набор данных, который может содержать информацию, подлежащую защите.
Объектами информационной безопасности являются:
- автономные персональные компьютеры, рабочие станции и серверы компьютерной сети;
- LAN-соединения и сетевое оборудование;
- устройства для документирования информации;
- носители информации и их хранилища;
- внешние каналы связи и сетевое оборудование
- устройства ввода и т.д.
Элементами защиты информации являются блоки информации в объектах защиты:
- данные и программы, которые находятся в основной памяти компьютера, на внешних запоминающих устройствах и носителях;
- данные, отображаемые на экране дисплея или отображаемые на принтере;
- пакеты данных передаются по каналам связи в рамках как локальных, так и глобальных сетей;
- журналы обслуживания, которые записывают пользовательские функции;
- архивы данных и программ, резервные копии;
- руководство по технологиям обработки данных, настройкам и функциям функционирования элементов системы защиты информации и т.д.
На практике используется широкий спектр разнообразных, преднамеренных актов несанкционированного доступа к информации:
- шантаж или подкуп сотрудников с определенными полномочиями;
- физическое уничтожение или временное разрушение важнейших компонентов системы защиты информации (система безопасности);
- изменение режимов работы устройств или программ, которые нарушают работу систем; в частности, это может быть достигнуто с помощью программ троянских коней, во многих случаях блокирующих некоторые функции защиты информации в течение определенного времени, что позволяет программе злоумышленника выполнять неавторизованные операции над файлами в течение некоторого времени без регистрации их действий;
- кража носителей информации и незаконное копирование информации;
- маскировка под истинного пользователя после незаконного получения характеристик доступа (пароли и т.д.); возможен вариант с отменой сигнала пользователя о завершении работы с системой и его дальнейшее продолжение от имени пользователя;
- считывание из оперативной памяти остаточной информации и с внешних устройств хранения; как объект атаки, не только файловые блоки, но также различные типы буферов, фреймы страниц памяти, сектора магнитного диска, зоны магнитной ленты, регистры памяти и т. д.;
- открытие шифров шифрования информации;
- изменение аппаратного обеспечения информационных систем, направленное на обеспечение несанкционированного доступа или изменение режима работы. К ним относятся: изменение макета информационного кабеля; установить диск и загрузить его с другой операционной системой для последующего доступа к информации; установка дополнительного порта для подключения внешнего устройства; замена элементов информационных систем на один и тот же тип с высоким уровнем электромагнитного излучения; установка съемных устройств для накопления информации; установка радиоуправляемых специализированных устройств;
- внедрение аппаратных и программных «закладок», которые позволяют тайно и незаконно преодолевать систему защиты для доступа к системным ресурсам системы. Использование программ-симуляторов, имитирующих работу компонента, и создание пользовательского интерфейса информационной системы для взаимодействия с системой, например, для перехвата пользовательской информации. В частности, экранный симулятор позволяет вам захватить ваш пароль или код; в то время как часто имитируется система зависания, которая запускает процедуру повторного входа. Пользователь повторно вводит свой идентификатор и пароль, после этого имитатор ему возвращает управление с работающей нормально системой;
- незаконное подключение к линиям связи с целью работы «между строками» с использованием пауз в действиях законного пользователя от его имени, за которым следует ввод ложных сообщений или изменение переданных сообщений;
- незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем физического отключения его после входа в систему и успешной аутентификации с последующим введением дезинформации и наложением ложных сообщений;
- перехват данных, передаваемых по каналам связи, и их анализ для установления протоколов обмена, правил для ввода в связь и авторизации пользователя и последующих попыток имитировать их для проникновения в систему;
- перехват ложного электромагнитного, акустического и другого излучения устройств и линий связи, а также интерференция активного излучения на вспомогательных технических средствах, не связанных непосредственно с обработкой информации;
- отказ от факта получения фактически полученной информации; выдача ложной информации о времени получения информации; отказ от факта формирования передачи информации; утверждение о получении информации от пользователя, хотя оно фактически сформировано нарушителем; заявление о том, что информация была отправлена получателю в определенное время, которое фактически не было отправлено, и другие;
- несанкционированное расширение своих полномочий по доступу к информации;
- вход в обход защиты (загрузка операционной системы флешек и т.д.);
- просмотр конфиденциальной информации, отображаемой на экранах мониторов, на сплошных носителях (распечатки, графики и т.д.), а также своевременные не уничтоженные носители, попадающие в мусорную корзину и т. д.
Внутренними злоумышленниками могут быть сотрудники различных категорий: руководители разных уровней иерархии работы; сотрудники безопасности; сотрудники отделов разработки и сопровождения программного обеспечения; системные пользователи (операторы); персонал технической поддержки (инженеров, техников); технический персонал, обслуживающий здания (чистящие средства, электрики, телекоммуникационные операторы, водопроводчики и другие работники, имеющие доступ к помещениям, где расположены компоненты ИС) и т. д.
К внешним злоумышленникам относятся: представители криминального мира; клиентов и посетителей; представители организаций, взаимодействующих с средствами к существованию организации; представители конкурирующих организаций и т. д.
В большинстве случаев злоумышленники используют в то же время не одно, а несколько типов действий.
В дополнение к преднамеренным угрозам потенциальная возможность случайных угроз потенциально возможна:
- появление ошибок при вводе данных;
- сбои и ошибки в работе оборудования, вызванные нестабильностью напряжения питания;
- незаконное отключение оборудования или изменение режимов работы устройств;
- наличие ошибок в системном программном обеспечении и пользовательских программах;
- недостаточный уровень подготовки персонала, обслуживающего средства обработки информации, что приводит к потере производительности системы или ее отдельных частей;
- незаконная установка и использование программ, которые не являются необходимыми для выполнения служебных обязанностей;
- неосторожные действия персонала, ведущие к раскрытию конфиденциальной информации (пароли, ключи шифрования, ...);
- некомпетентные инструкции по настройке или отключению защиты от персонала службы безопасности;
- пересылка сообщений на неправильный адрес, пожар, наводнение и т.д.
Шантаж сам по себе не является отдельным корпусом преступления, выделенным в Уголовном кодексе Российской Федерации (далее - Уголовный кодекс Российской Федерации). Согласно сложившейся юридической практике шантаж является методом совершения другого преступления, чаще всего вымогательства, выраженного в виде угрозы совершения действий, которые явно нежелательны для шантажа, не связанные с нанесением прямого вреда здоровью и жизни, и заключается в требовании передачи чужого имущества или права собственности или осуществления других действий имущественного характера под угрозой распространения информации о жертве или его родственниках, как это определено законом. Законодатель делится информацией, составляющей содержание шантажа как формы вымогательства:
1) информация, порочащая жертву или его родственников;
2) другая информация, которая может нанести существенный вред правам или законным интересам потерпевшего или его родственников.
В соответствии с разъяснениями Постановления Пленума Верховного Суда Российской Федерации от 17 декабря 2015 года № 56 «О судебной практике в случаях вымогательства» информация, которая опозорила жертву или его родственников, следует понимать, как дискредитацию информации их честь, достоинство или репутация. другая информация, объявление которой может нанести ущерб чести и достоинству потерпевшего или его родственников (п. 10).
Для субъектов бизнеса, занимающих лидирующие позиции на обслуживаемом рынке, особенно тех, которые работают в инновационно-ориентированных сферах экономической деятельности, раскрытие информации, составляющей коммерческую тайну, представляет собой серьезную угрозу для нелояльных и безответственных сотрудников. Сегодня возможность завоевать или сохранить лидирующие позиции на обслуживаемом рынке чаще всего обеспечивается в основном благодаря возможностям той или иной организации, которая впервые внедряет инновационные технологии, развивает новые рынки, организует производство новых продуктов, т.е. опережает его конкурентов. Очевидно, что все рассматриваемые виды деятельности требуют длительной подготовки и больших первоначальных затрат.
Соответствующая информация (от бизнес-плана к конкретной технической или коммерческой документации) автоматически приобретает статус конфиденциальной и относится к категории «коммерческой тайны». Конкуренты организации, в свою очередь, заинтересованы в доступе к такой информации, чтобы своевременно принять адекватные меры. Для этого они используют различные инструменты бизнес-аналитики, в том числе - незаконные, из категории методов недобросовестной конкуренции. Одним из наиболее распространенных методов является коммерческий подкуп сотрудников конкурирующей организации, имеющей доступ к соответствующей конфиденциальной информации. Таким образом, подкупленный сотрудник отдела регионального развития торговой корпорации может регулярно «объединять» конкурента с информацией о планах по расширению филиальной сети, которая предоставит конкуренту возможность реализовать стратегию предвидения захвата новых региональных рынки, получая очевидные конкурентные преимущества.
Не менее очевидным объектом угроз в области кадровой деятельности является собственность организации.
Для обеспечения эффективного функционирования механизма обеспечения безопасности персонала и его укрепления необходимо: объединить материальные вложения в персонал с моральными; создавать безопасные и хорошие условия труда для персонала; создавать условия для развития карьеры; создать подразделение по безопасности персонала на предприятиях; осуществлять стратегическое планирование персонала на каждом предприятии; координировать рыночные условия, развитие бизнеса и интересы сотрудников; осуществлять дифференциацию суммы доходов сотрудников, выполняющих различные функции. Таким образом, обеспечение безопасности персонала может гарантировать стабильную и эффективную работу предприятия и высокий потенциал для его развития в будущем.
- My lucky charm (I could play on my own whole day long)
- The most beautiful thing in the world.
- If I could be somebody else for a day (no life is perfect)
- Do you agree with the statement: Fear can prevent people from pursuing their dreams?
- What does it mean to be successful? (Winston Churchill)
- Участники налоговых правоотношений
- Бионика света и цвета
- Международная организации труда и ее роль в современных условиях (МОТ)
- Методика расследований преступлений в сферах экономики
- Фразеологический фонд словарного состава
- Электронная цифровая подпись (реквизиты электронного документа)
- Информационная основа расследования