Методы и технологии противодействия угрозам кадровой безопасности (Распознавание источника проблем)

Содержание:

Введение

Начнем с того, что вспомним, что такое кадровая безопасность.

Кадровая безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Из данного определения видно, что кадровая безопасность занимает доминирующее положение по отношению к другим элементам системы безопасности компании, так как она «работает» с персоналом, кадрами, а они в любой составляющей первичны. И в этой системе служба персонала – наиболее важный субъект в кадровой безопасности.

И тут мы встретим одно из заблуждений, оно связанное с тем, что кадровой безопасностью должна заниматься только служба безопасности. Исходя из опыта работы в структурах безопасности, заявляем, что это не так. Вся деятельность служб персонала может быть разложена на этапы (поиск, отбор, прием, адаптация и т.д. вплоть до увольнения и далее), и на каждом этапе присутствует масса вопросов безопасности, решаемых именно «персональщиками». Любое действие менеджера по персоналу на любом этапе — это либо усиление, либо ослабление безопасности компании по главной ее составляющей — по кадрам.

Если взглянуть на цифры статистики, можно прийти в ужас, но от статистики никуда не уйдешь.

Около 80% ущерба материальным активам компаний наносится их собственным персоналом. Только 20% попыток взлома сетей и получения несанкционированного доступа к компьютерной информации приходит извне. Остальные 80% случаев спровоцированы с участием персонала компаний.

Также невозможно обойти вниманием и общемировую статистику, применимую и к России: 10—15% всех людей являются нечестными по определению, 10—15% абсолютно честны, остальные 70—80% — колеблющиеся, то есть те, кто поступит нечестно, если риск попасться будет минимальным.

Исходя из этих не утешительных чисел, можно понять почему все организации так обеспокоены своей безопасностью.

Глава 1. Виды угроз безопасности

1.1 Внешние угрозы безопасности.

В некотором смысле бизнес можно сравнить с военными действиями, как и на войне враги бывают со всех сторон. Враги могут окружить вашу крепость и активно нападать на нее, могу вести тихую, скрытую деятельность, готовить вам подлянки, разбрасывать мины и ставить капканы на вашем пути. Так же не надо забывать и про то, что враги могут засылать шпионов на вашу территорию и выманивать ценную информацию из вас. Предательство – оно тоже существовало всю жизнь, как бы не боролись с этим, люди бывают циничны и за некую сумму могут и родину, и любимую организацию продать.

Большое распространение в науке получило выделение угроз по месту их возникновения. По этому признаку различают внешние и внутренние угрозы экономической безопасности предприятия.^[1]

Внешние угрозы экономической безопасности предприятия возникают за пределами предприятия. Эти угрозы обычно не связаны с его производственной деятельностью. Как правило, это такое изменение окружающей среды, которое может нанести предприятию ущерб.^[2]

К внешним угрозам экономической безопасности предприятия относятся:

– кардинальное изменение политической ситуации;

– макроэкономические кризисы;

– изменение законодательства, влияющего на условия хозяйственной деятельности;

– противоправные действия криминальных структур;

– недобросовестная конкуренция;

– промышленно-экономический шпионаж и несанкционированный доступ конкурентов к конфиденциальной информации, составляющей коммерческую тайну; ^[3]

– чрезвычайные ситуации природного и технического характера и другие.

От подобных угроз мы можем обезопасить собственную организацию с помощью большого количества способов (пропускной режим, охрана и система видеонаблюдения и многое другое).

Хотя эти способы не всегда бывают эффективны.

Перейдем ко второму виду угроз.^[4]

1.2 Внутренние угрозы экономической безопасности предприятия связаны с хозяйственной деятельностью предприятия, его персонала. Они обусловлены теми процессами, которые возникают в ходе производства и реализации продукции и могут оказать свое влияние на результаты ведения хозяйственной деятельности.^[5]

К внутренним угрозам экономической безопасности предприятия относятся:

– нарушение режима сохранения конфиденциальной информации;

– подрыв делового имиджа и репутации в бизнес сообществе;

– производственные недостатки, нарушения технологии;

– конфликтные ситуации с конкурентами, контролирующими правоохранительными органами;

– существенные упущения, как в тактическом, так и в стратегическом планировании, связанные, прежде всего, с выбором цели, неверной оценкой возможностей предприятия, ошибками в прогнозировании изменений внешней среды;

– криминальные действия собственного персонала: от элементарного воровства, до продажи коммерческой информации конкурентам и другие.

Любое предприятие занято специфической экономической и торговой деятельностью, поэтому понятия внешних и внутренних угроз экономической безопасности для каждого предприятия будут индивидуальны.

Защитить себя и свою организацию от внутренних угроз гораздо сложнее. Так как опасность может представлять тот, о ком вы даже не догадывались. И как снабдить необходимой информацией и возможностями сотрудников так, чтобы они не смогли знать то, о чем им не следует знать – это большой вопрос.

А теперь поговорим о реальных примерах.^[6]

Сегодня во всем мире ущерб, причиняемый атаками внутренних злоумышленников (инсайдеров), уже давно превышает ущерб от внешних атак. Поэтому защита от внутренних угроз уже стала необходимостью. С ней сталкиваются как крупные, так и мелкие организации, не зависимо от вида своей деятельности.^[7]

Для начала рассмотрим несколько фактов.

В США зарегистрирована одна из самых крупных утечек персональных данных. Один из инцидентов, с участием печально известной фирмы ACS, просто поражает масштабами: его жертвами стали почти 3 млн. человек. В аналитическом центре InfoWatch подсчитали, что ACS могла уже многократно окупить систему защиты от утечек. Но компания упорно не желает принимать меры даже после нового инцидента.

Около 80% потерь, связанных с нарушением информационной безопасности, вызывается утечкой конфиденциальной информации из-за внутренних угроз: саботажа, хищения данных, неосторожных действий сотрудников.

243 тыс. детей, их родителей и опекунов Лос-Анджелеса находятся под угрозой кражи персональной информации. Виной тому - пропавший из Службы социальной помощи детям Los Angeles County Child Support Services ноутбук.^[8]

О подобных фактах мы узнаем практически ежедневно. Поэтому защита от внутренних угроз выходит на первое место.

Во многих странах в банковской сфере, биржах, финансовых институтах существуют очень жесткие законодательные требования, невыполнение которых может повлечь за собой отзыв лицензии. ^[9]

В России в последнее время особое значение приобрел Закон "О защите персональных данных", который требует принятия мер по неразглашению конфиденциальной частной информации граждан. Аналогичный закон готовится к принятию на Украине и в других странах.

В разных странах за последнее время был принят целый ряд законодательных мер:

• European Union Data Protection Directive - директива Евросоюза о защите данных;
• Insurance Portability and Accountability Act (HIPAA) - закон о преемственности страхования и отчетности в области здравоохранения;
• Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли;
• US Patriot Act ;
• Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей;
• California SB 1386 - закон штата Калифорния SB 1386;
• Basel II - Базельское соглашение по капиталу в странах OECD (Organization for Economic Co-operation and Development - организация экономического сотрудничества и развития).^[10]

Поговорим кратко о каждом из этих законодательных актов, все они касаются внутренней безопасности.

DPD (Data Protection Directive) - директива о защите данных, принятая в Евросоюзе в 1995 году. Данная директива предназначена для защиты персональной идентифицирующей информации. Директива обязывает каждое государство, которое входит в Евросоюз, принять собственный закон о защите персональных данных, совместимый с рекомендациями Организации экономического сотрудничества и развития (OECD) от 1980 года (в состав OECD входит 30 стран: Австралия, Австрия, Бельгия, Канада, Чехия, Дания, Финляндия, Франция, Германия, Греция, Венгрия, Исландия, Ирландия, Италия, Япония, Корея, Люксембург, Мексика, Нидерланды, Новая Зеландия, Норвегия, Польша, Португалия, Словакия, Испания, Швеция, Швейцария, Турция, Великобритания, США; Украина и Россия не входят). Кроме того, данная директива вводит классификацию личных данных (медицинские, финансовые и т.д.). Каждая категория данных требует дополнительных мер безопасности.^[11]

Data Protection Directive значительно жестче соответствующих законодательных актов США. Например, данная директива требует защиты персональной идентифицирующей информации как клиентов компании, так и сотрудников, что не требуется в рамках законодательства США.

Нарушение этой директивы может привести к наступлению как гражданской, так и уголовной ответственности, включая большие штрафы, а в некоторых странах даже лишение свободы.

Базельское соглашение по капиталу Basel II Capital Accord вступило в силу с конца 2006 года в большинстве стран, входящих в состав OECD. Данное соглашение требует от финансовых институтов считать кредитные, производственные и рыночные риски для того, чтобы быть уверенным, что имеющихся сбережений хватит для покрытия этих рисков. Риски Basel II Accord включают и риски ИТ-безопасности.^[12]

Sarbanes-Oxley Act of 2002 (SOX) - акт Сарбаниса-Оксли. Этот акт принят в США в 2002 году в связи с корпоративными скандалами, которые имели место в таких компаниях как Enron и WorldCom. Акт возлагает ответственность на генеральных, исполнительных и финансовых директоров, CEO и CFO, которые обязаны провести сертификацию своих компаний на предмет полноты финансовой отчетности. Несовместимость с Актом может стоить до 5 млн. долларов для физических лиц и до 25 млн. - для юридических. Уголовная ответственность за несовместимость с этим актом в США - до 20 лет лишения свободы.^[13]

Широкое толкование этим актом термина «активы» включает и цифровые активы, то есть исходные коды, торговые соглашения, записи пациентов и любую другую информацию, разглашение которой может нанести ущерб стоимости акций компании. А, следовательно, оценка рисков является неотъемлемой частью акта Сарбаниса-Оксли.

Health Insurance Portability and Accountability Act, HIPAA - закон США о преемственности страхования и отчетности в области здравоохранения был принят в 1996 году. Данный закон преследует две основные цели:

• упростить осуществление транзакций в сфере здравоохранения путем использования стандартной кодовой классификации и уникальных медицинских идентификаторов (unique health identifiers);
• защитить конфиденциальность информации о здоровье пациента.

Раздел данного закона, относящийся к приватности HIPAA Privacy Rule, определяет административные, физические и технические меры, которые включают стандарты для сохранения приватности защищенной электронной медицинской информации, Electronic Protected Health Information (EPHI).

Положения HIPAA, касающиеся приватности, вступили в силу в апреле 2003 года. Крупные организации обязаны были обеспечить совместимость с ними до апреля 2005, а небольшие компании - до апреля 2006 года.^[14]

Понятно, что обеспечить выполнение всех требований закона без учета предотвращения утечек по каналам связи и на уровне рабочих мест практически невозможно.

Gramm-Leach Bliley Act (GLBA) - закон Грэма-Лича-Блилей предназначен для защиты информации заказчика, полученной или используемой финансовыми организациями США, от кражи, неавторизованного доступа или злоупотребления.

Положения данного закона требуют от финансовых компаний разработать, внедрить и применять всестороннюю письменную политику ИТ-безопасности, которая подразумевает использование административных, технических и физических мер защиты непубличной информации. Таким образом, сюда относятся номера счетов, детали финансовых операций, номера кредитных карт и т.д.^[15]

Несовместимость с GLBA Safeguard Rule карается штрафами и лишением свободы на срок до 5 лет.

Другие регулятивные акты США (SEC 17A-4, US Patriot Act, Check 21, Government Paperwork Elimination Act) также во многих случаях требуют использования продуктов для предотвращения утечек и других средств обеспечения ИТ-безопасности, хотя и не так явно, как рассмотренные выше.

Исходя из сказанного выше, можно отметить, что модель защиты от внутренних ИТ-угроз уже заложена в международные стандарты и внедрять ее нужно таким образом, чтобы она могла пройти аудит на соответствие международным стандартам. В этом случае при разрешении конфликтной ситуации между эффективностью и соответствием стандартам выбор делается в пользу соответствия стандартам, в ущерб эффективности. Хотя на Украине ситуация пока обратная.

Вместе с тем стоит отметить, что ни один регулирующий документ не рекомендует не только конкретные продукты, а даже тип продуктов, обеспечивающих защиту. Кроме того, часть угроз допускается устранять не техническими, а организационными мерами.^[16]

Глава 2. Технологии по сохранению информации

2.1 Распознавание источника проблем.

Этим вопросом задаются многие, но обычно это происходит после случая утечки конфиденциальных данных. В данной ситуации руководство компании не связано определенными стандартами, а хочет построить защиту информационной системы, исходя из собственного понимания и имеющихся средств. В этом случае внедрение технических средств для усиления эффективности сопровождается организационными мероприятиями, направленными на работу с персоналом.^[17]

В таком случае в набор организационных мероприятий входят инструктажи и тренинги, адаптация к новым условиям, подписание трудовых соглашений, должностных инструкций и прочих документов, регламентирующих использование ресурсов информационной системы.

Стоит учесть, что в этом случае на защиту информации работает и психологический фактор. Ведь зная о контроле со стороны руководства, многие потенциальные внутренние нарушители политики безопасности откажутся от своих намерений.

Следовательно, внедрение подобной системы должно сопровождаться гласными мероприятиями, а реализация политики внутренней безопасности должна быть введена приказом за подписью первого лица в организации.

Вместе с тем стоит понимать, что конкретные технологические решения по защите информации лучше не афишировать, чтобы не спровоцировать атаки, направленные на противодействие конкретным решениям.^[18]

Выявление источников и каналов утечки информации.

Данная цель становится приоритетной для руководства организации, если оно осведомлено о регулярных утечках конфиденциальной информации из системы. Если основной целью организации становится выявление источников и каналов утечки, то задачи будут совсем другими.^[19]

В данном случае внедрение необходимо проводить, используя противоположный предыдущему поход, то есть не открытый, с акцентом на сборе доказательств. Как правило, при этом установка программного обеспечения маскируется под обновление антивируса или другой системы безопасности.

Важной частью такого внедрения является сбор доказательств. Ведь выявить источник утечек - это только малая часть работы. Нужно собрать доказательства, чтобы иметь возможность наказать злоумышленника в рамках действующего законодательства. А тут придется «попотеть». В каждой стране юридическая база процесса сбора доказательств своя. Однако общим является то, что сбор цифровых доказательств (журналы логов, копии писем и т.д.) строго регламентирован законом. Однако стоит понимать, что даже собрав доказательства, вы сможете доказать вину не конкретного человека, а его «цифровой копии» (почтовый ящик, IP-адрес, учетная запись). А это очень усложняет данную ситуацию. Доказать, что эти конкретные цифровые идентификаторы использовались в данный момент времени конкретным человеком - весьма сложно. Учитывая презумпцию невиновности, доказательство вины конкретного человека должен предоставить работодатель. Доказать вину человека и однозначно связать его с цифровой «копией» могут системы видеонаблюдения, биометрические системы аутентификации или системы строгой аутентификации на базе аппаратных ключей или смарт-карт.^[20]

2.2 Методы решения проблем безопасности

Чаще всего эта цель ставится предприятиями, которые получают информацию третьих компаний - аудиторскими компаниями, консультационными компаниями, call-центрами, компаниями, которые оказывают услуги перевода и т.д.

В данном случае внедрение производится открыто, однако средства контроля внедряются таким образом, чтобы в любой момент компания могла предоставить клиенту информацию обо всех действиях с его данными.

Комплекс технических средств и правил.

После выбора цели проекта компания должна описать весь комплекс технических средств и правил, которые применяются в компании.

Часто в компании, которая поставила цель создать технологическую инфраструктуру защиты от внутренних ИТ-угроз, отсутствует политика стандартизации процессов, которые происходят на рабочих местах пользователей. Кроме того, часть пользователей обладает правами локальных администраторов. Как правило, это пользователи операционных систем Windows 9x и владельцы ноутбуков. Это также означает, что на рабочих местах хранятся копии документов, содержащих конфиденциальную информацию.^[21]

Помимо этого, на рабочих местах может быть установлено потенциально опасное программное обеспечение, например программы синхронизации с мобильными устройствами, программы шифрования, файловые менеджеры, которые могут проводить операции с временными файлами Windows и т.д.^[22]

Стоит отметить, что с каждым годом пользователи становятся все более высококвалифицированными. Ведь имея дома компьютер с доступом в Internet, а то и локальную сеть, они могут приобрести потенциально опасные для информационной сети навыки. Как правило, сегодня обычный пользователь может инсталлировать программы, выходить в Internet по мобильному телефону, передавать информацию в зашифрованном виде, пользоваться мобильными устройствами хранения информации и т.д.^[23]

Сегодня к мерам по защите информации от внутренних угроз компании относят использование технических средств контроля доступа к ресурсам (Internet, электронная почта, USB), а также сигнатурную контентную фильтрацию (как правило, это специальным образом настроенный антиспам-фильтр). Однако стоит понимать, что эти методы позволяют противодействовать либо неопытным, либо неосторожным пользователям.^[24]

Стоит помнить, что сигнатурная контентная фильтрация легко обходится либо удалением «опасных» слов, либо примитивным кодированием, т.е. заменой символов одной кодировки (западноевропейской) другой (кириллической). Легко заметить что слова «секретно» и «ceкpeтно» читаются одинаково, в то время как во втором слове выделенные буквы набраны в западноевропейской кодировке. Более того, кто или что может мешать заменить букву «о» на цифру «0» или букву «s» на цифру «5»? А сигнатурный анализатор просто пропустит это слово как нераспознанное.

Вместе с тем следует понимать, что принцип «запретить все» неприменим, так как сотрудникам необходимо продолжать работать.

То есть нужно учесть, что, с одной стороны, компании нуждаются в упорядочении системы хранения конфиденциальной информации, а с другой - во внедрении более эффективной системы защиты от внутренних угроз.^[25]

После определения цели защиты конфиденциальной информации, которая хранится в корпоративной сети в электронном виде, от внутренних угроз, важно понять, что именно мы собираемся защищать.^[26]

Таким образом, в компании необходимо принять документ (например, «Положение о конфиденциальной информации»), который позволит однозначно категорировать информацию по степени конфиденциальности. Вместе с тем необходимо провести категорирование групп пользователей по степени разрешенных действий с данной информацией. Скорее всего, такое положение о конфиденциальности у вас уже существует для бумажных документов. Теперь нужно адаптировать данное положение к электронным документам, т.е. дать определение жизненному циклу документа (определить, кем и при каких условиях создается документ, модифицируется и уничтожается), а также регламентировать работу с такими отсутствующими у бумажных документов понятиями, как копия документа, часть документа и т.д.^[27]

В процессе разработки «Положения о конфиденциальной информации» (далее Положение) необходимо отметить виды информации, которые запрещено отправлять по электронной почте. Практически во всех компаниях существует стандартный набор документов, который запрещено отправлять по электронной почте.

При этом нужно учесть, что существует набор информации, которую одно подразделение может отправлять, а другое - нет. В качестве примера можно привести письма, в которых упоминаются первые лица компании. Такие письма может рассылать лишь служба по связям с общественностью, а письма с упоминанием банковских реквизитов - бухгалтерия и т.д. При этом стоит отметить, что в каждой компании будут свои нюансы.^[28]

В Положении необходимо предусмотреть регламент использования конфиденциальных документов, описание системы хранения подобных документов и организации доступа к ним.

Кроме того, следует предусмотреть ведение «журнала» работы с подобными документами, в котором требуется отражать основание для обращения к документу, цель использования и т.д. В данном случае ведение журнала облегчено тем, что многие операции могут производиться в автоматическом режиме. Подобный способ ведения журнала в разных источниках называется по-разному. Кроме термина «журналирование» можно встретить термин «логирование». Хотя фактически это один и тот же процесс.^[29]

В положении должно быть отмечено, что никакой администратор не может изменять информацию в журнале своей работы, чтобы предотвратить возможные противоправные действия.^[30]

Классификация информации по уровню конфиденциальности

Конфиденциальную информацию можно разнести по следующим категориям (пример):

• «СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (банковская тайны, персональные данные), а также информация, ограничения на распространение которой введены решением руководства организации (коммерческая тайна), разглашение которой может привести к тяжким финансово-экономическим последствиям для организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
• «КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства организации в соответствии с предоставленными ему, как собственнику (уполномоченному собственником лицу) информации, правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности организации (нанесению ущерба его клиентам, корреспондентам, партнерам или сотрудникам);
• «ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.^[31]

Иногда в компании вводят больше уровней конфиденциальности. Однако следует понимать, что чрезмерное увеличение числа категорий влечет за собой увеличение числа документов и усложнение системы защиты.

Однако надо учесть, что, так как в организации каждый день создается множество документов, без механизма их автоматической или полуавтоматической классификации реестр уже через некоторое время потеряет свою актуальность.^[32]

Также следует категорировать информацию по критериям целостности и доступности.

Необходимо обратить особое внимание на организацию процесса пометки конфиденциальных документов. Каждый конфиденциальный документ должен содержать метку, по содержанию которой контролирующие программы могли бы определить степень его конфиденциальности и категорию пользователей, которые могут проводить с ним потенциально опасные операции - публикацию в Internet, копирование на сменные носители, переименование, отправку по электронной почте и т.п. Технические и организационные методы установки меток выбирает заказчик. Если все защищаемые документы хранятся исключительно в формате программ Microsoft Office, то в качестве метки может использоваться запись "конфиденциально" в соответствующих полях свойств документов. Некоторые производители систем документооборота используют программные метки и специальные форматы файлов. Однако самый распространенный и простой способ присваивания меток - именование файлов по специальной маске. Например, первые 10 символов - тематическая группа, к которой относится документ (название клиента, рабочей группы, подразделения, отрасли и т.д.), затем знак подчеркивания, затем 20 символов для описания документа, снова знак подчеркивания и восьмизначная дата в формате YYYYMMDD.^[33]

Следует обратить внимание на то, что процесс внедрения процедуры именования файлов - не какая-то разовая акция, а постоянная работа по обучению персонала именовать файлы именно таким образом. Необходимо понимать, что, кроме организационных методов (закрепление приказом только такой формы именования, поддержка способа именования руководством и инструктаж новых сотрудников), надо привлечь и технические средства. Самый простой технический способ внедрения этой процедуры - разрешать выкладывать на файловый сервер, класть в корпоративное хранилище или публиковать в корпоративной сети только те файлы, которые именованы по заранее утвержденному шаблону. Со временем все файлы, которые прошли через электронную почту, файловые серверы, хранилище данных и корпоративную сеть, будут называться правильно.^[34]

После того, как все файлы документов будут названы по такой маске, документы будут автоматически попадать в поле зрения контролирующих систем и перехватываться при запрещенных действиях пользователя не только средствами контентной фильтрации, но и мониторами, действующими на основании политик. В отличие от контентной фильтрации, этот метод дает практически 100% гарантиии. Это удобно и при ведении визуального контроля, ведь даже в очереди на печать можно сразу увидеть конфиденциальные документы. К тому же не будет лишним еще раз напомнить пользователю при открытии файла, что документ конфиденциален.^[35]

2.3. Способы хранение информации

После того, как реестр конфиденциальных документов будет создан, можно приступить к организации их хранения. Во многих компаниях организационными и техническими методами запрещено хранить на рабочих станциях конфиденциальную информацию. Как правило, такие данные хранятся на специальных клиент-серверных или web-приложениях (корпоративных порталах, хранилищах документов, бизнес-приложениях, справочно-нормативных базах, системах документооборота, ERP и т.д.), которые позволяют разделить права пользователей и защитить информацию от попыток сохранить в несанкционированном месте. Несмотря на то, что защита таких данных является многоуровневой (уровни аппаратной платформы, СУБД, приложения), тем не менее, риски утечки такой информации с рабочих станций существуют.

Прежде всего, в организации необходимо обеспечить защиту от утечки информации следующих типов:

• сводная информация;
• конфиденциальные документы;
• интеллектуальная собственность.^[36]

Структурированные данные в формате базы данных электронных таблиц могут быть отнесены к сводной информации. В качестве примера можно привести информацию о продукции, ценах, финансовую информацию и т.д., которая, безусловно, представляет ценность для конкурентов. Вместе с тем, сюда же можно отнести и персональную информацию, которую компания обязана защищать по закону. В случае хищения подобного типа информации злоумышленнику важно сохранить ее полноту, достоверность и структуру. В противном случае ее цена упадет. Отдельным случаем является «заказ» на хищение конкретных данных, а не всей информации. Однако такой вариант встречается гораздо реже, так как предполагает конкретного заказчика.^[37]

К интеллектуальной собственности может быть отнесена любая информация в электронном виде, обеспечивающая конкурентные преимущества компании, например шаблоны документов, должностные инструкции, описание бизнес-процессов компании, сведения об изобретениях и т.д. Эта информация может храниться в любом месте и в любом виде. Ценными являются не только сами документы, но и их фрагменты, черновики и т.д.^[38]

Хищение документов, содержащих неструктурированную информацию, также может привести к различным потерям. Защита от утечек подобной информации крайне затруднена.^[39]

Одним из вероятных путей утечки информации, с использованием санкционированного доступа, являются клиентские приложения. Большинство используемых рабочих станций - компьютеры на платформе Intel. Хранение информации в незашифрованных временных файлах, встроенная в операционную систему возможность копирования информации в буфер (операции Copy и PrintScreen), наличие многих каналов ввода-вывода (дискеты, CD-R, USB, Wi-Fi, Bluetooth и т. д.) делают рабочую станцию весьма опасным устройством для реализации внутренних ИТ-угроз. Таких угроз практически нет при использовании тонких клиентов.

Еще одним потенциальным источником утечки информации являются копии информации на мобильных устройствах. Сегодня часть сотрудников проводит большую часть времени вне офиса. При этом для работы необходимы копии служебных документов, в том числе конфиденциальных. Следует помнить, что закрытие всех портов ввода-вывода на ноутбуках осуществить достаточно сложно технически, а кроме того это затруднит работу мобильным пользователям, ведь они должны использовать как сменные носители, так и коммуникационные порты.^[40]

Так как внутренним нарушителем может быть любой сотрудник компании, который имеет доступ к информации, методы защиты необходимо планировать так, чтобы соблюсти баланс доступности для легального пользователя и в то же время обеспечить защиту от утечки.

Для защиты электронных документов применяются те же методы, что и для работы с бумажными. В этой области активно используется шифрование документов, применение специальных форматов файлов, которые запрещают сохранение в другом формате, редактирование и копирование содержимого в буфер Windows.^[41]

На сегодня самым эффективным средством является контроль выноса физических носителей с территории компании. Уже сегодня во многих компаниях запрещено вносить на территорию сотовые телефоны и фотоаппараты. Однако носители информации делаются все меньше, флэш-память встраивается в часы и плееры, так что такой контроль становится все менее эффективным. Следовательно, контролировать информацию необходимо до того, как она будет скопирована.

Для защиты от внутренних утечек информации крайне важно не только, кто получил доступ к файлу, но и что именно он делал с документом, ведь разные люди будут использовать документы по-разному. При этом для соблюдения правил внутренней безопасности в первую очередь важно контролировать те действия, которые могут привести к утечке. Это:

• перемещение документа, как единого целого;
• копирование информации из документа;
• изменение документа с целью обмана следящих систем.

К первой группе можно отнести копирование файла на сменные носители, отправку по почте, публикацию в Internet, печать.

Ко второй - копирование информации из документа в буфер Windows, копирование временного файла Windows и т.п.

К третьей группе - переименование файла или изменение его расширения, сохранение файла под другим именем, сохранение в другом формате, архивирование, кодирование и шифрование.^[42]

Операция с конфиденциальной информацией, которая недопустима для данного пользователя, должна либо блокироваться, либо сведения о такой операции должны поступать в службу безопасности. При этом система внутренней безопасности должна быть настроена так, чтобы пользователь (его руководитель) узнавали, что он пытается совершить запрещенную операцию, либо чтобы эта информация была доступна только сотруднику службы информационной безопасности.^[43]

Пользователи, которые допускают утечку конфиденциальной информации, будучи к ней официально допущенными, могут быть классифицированы по нескольким критериям:

• злоумышленники;
• проявляющие халатность;
• действующие по заказу;
• действующие в собственных интересах;
• охотники за конкретной информацией;
• ворующие все, что можно.

Для составления прогноза действий конкретного нарушителя его поведение нужно правильно классифицировать. Внутренних нарушителей можно разделить на следующие категории (см. Таблицу 2):

• неосторожные;
• подвергшиеся манипуляции;
• саботажники;
• нелояльные;
• мотивируемые извне.

Таблица 2. Мотивы внутренних нарушителей

Тип	Умысел	Корысть	Постановка задачи	Действия при невозможности
Халатный	Нет	Нет	Нет	Сообщение
Подвергшиеся манипуляции	Нет	Нет	Нет	Сообщение
Обиженный	Да	Нет	Сам	Отказ
Нелояльный	Да	Нет	Сам	Имитация
Подрабатывающий	Да	Да	Сам Извне	Отказ Имитация Взлом
Внедренный	Да	Да	Сам Извне	Взлом

Нарушители по типу могут быть подразделены на незлонамеренных и злонамеренных.^[44]

В свою очередь незлонамеренные нарушители подразделяются на:

• жертв манипуляции;
• неосторожных.

Такие пользователи нарушают правила из лучших побуждений. Чаще всего они выносят информацию для работы с ней дома, в командировке и т.д. Ущерб от таких утечек может быть не меньшим, чем от промышленных шпионов. Против таких нарушителей эффективны простые технические средства - фильтрация контента исходящего трафика и менеджеры устройств ввода-вывода.^[45]

Все чаще для манипулирования сотрудниками используется «социальная инженерия». Например, добросовестный сотрудник по просьбе злоумышленника может "для надежности" продублировать почтовое сообщение, содержащее конфиденциальную информацию, на открытый почтовый ящик.^[46]

Другим примером манипуляции может служить сотрудник, начальник которого - злоумышленник, отдавший этому сотруднику преступный приказ.

Отдельной группой являются злонамеренные сотрудники, осознающие, что они наносят вред компании, в которой работают. По мотивам действий их можно разделить на:

• саботажников;
• нелояльных;
• мотивируемых извне;
• прочих.

Саботажники чаще всего стремятся нанести вред компании в силу личных мотивов. Чаще всего таким мотивом является недооценка их роли в компании. Ключевым в поведении таких нарушителей является то, что, во-первых, такие сотрудники не собираются покидать компанию, а во-вторых, целью саботажника является нанесение вреда, а не похищение информации. То есть такие люди стремятся к тому, чтобы руководство не узнало, что утечка произошла по их вине и, столкнувшись с технической невозможностью нанести вред, они направят свои усилия на уничтожение или фальсификацию иной информации.^[47]

Чаще всего нелояльные сотрудники стараются унести максимально возможное количество информации, зачастую даже не подозревая о ее истинной ценности.

Сюда же можно отнести и тех сотрудников, которые, решив сменить место работы, еще не сообщили об этом начальству. Чаще всего нелояльные сотрудники не скрывают факта хищения.

Однако максимальную опасность представляют не эти два типа нарушителей, а мотивированные извне. Ведь если потенциальный злоумышленник может заранее найти покупателя на информацию и тогда его дальнейшая работа, благосостояние, а иногда и жизнь напрямую зависят от полноты и актуальности похищенной информации.^[48]

Мотивированные извне - это сотрудники, цель которым определяет заказчик похищения информации. К этому типу сотрудников относят внедренных, то есть специально устроенных на работу для похищения информации, и завербованных, то есть сотрудников, изначально лояльных, но впоследствии подкупленных или запуганных. Опасность этого типа нарушителей заключается в том, что в случае технических ограничений на вынос информации за пределы корпоративной информационной сети "работодатели" могут снабдить их соответствующими устройствами или программами для обхода защиты.^[49]

В эту классификацию не включены сотрудники, передающие с целью выгоды внутреннюю корпоративную информацию, которая может повлиять на стоимость акций компании. В нашей стране этот вид нарушений пока не приобрел актуальность. Но только пока. Пресечь утечку такой информации техническими средствами невозможно.^[50]

Если основная цель внедрения - выявить действующий канал утечки, то необходимо в первую очередь внедрять средства контентной фильтрации почты и мониторинга пользователей.^[51]

Если же система защиты от внутренних пользователей внедряется открыто, то ознакомление сотрудников с новыми регламентами, ознакомление с попытками выноса запрещенной информации за пределы компании поможет предотвратить хищение информации незлонамеренными сотрудниками.

Не стоит думать, что самые совершенные программно-аппаратные решения могут решить все проблемы утечки информации. Время от времени будут предприниматься попытки обойти такое программное обеспечение, следовательно, необходимо максимально усложнить задачу взломщика. В первую очередь - лишить пользователей прав локальных администраторов на их рабочих местах. Однако эта простая мера до сих пор не реализована в большинстве компаний. Выходом может служить локализация рабочих мест, на которых нельзя забрать права локальных администраторов, и размещение их в отдельной подсети.

Однако необходимо понимать, что это временное решение и постепенно нужно отбирать у сотрудников права локальных администраторов.

Редко в какой компании существует список программного обеспечения, допущенного к установке на рабочие станции. Причем очень часто составляющие его специалисты не задумываются о том, что некоторое программное обеспечение из этого списка может быть использовано для противоправных действий.^[52]

После составления такого списка необходимо устанавливать (изменять) программное обеспечение на рабочих станциях (серверах) только в соответствии с утвержденными правилами.^[53]

Ввод в эксплуатацию новых рабочих мест и все изменения в конфигурации технических и программных средств имеющихся рабочих мест должны осуществляться только установленным порядком согласно "Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств ПК".

Эта инструкция призвана регламентировать функции и взаимодействие подразделений по обеспечению безопасности при проведении модификаций и обслуживании программного обеспечения и технических средств, и должна содержать следующие положения.^[54]

Все изменения конфигурации технических и программных средств защищенных рабочих станций (PC) и серверов (различных уровней защищенности в соответствии с "Положением о категорировании ресурсов автоматизированной системы (АС)") должны производиться только на основании заявок руководителей структурных подразделений организации либо заявок начальника ИТ, согласованных с начальником службы защиты информации.^[55]

Право внесения изменений в конфигурацию аппаратно-программных средств защищенных рабочих станций и серверов АС должно быть предоставлено уполномоченным сотрудникам (могут быть отданы соответствующими приказами) определенных подразделений:

• в отношении системных и прикладных программных средств, а также в отношении аппаратных средств - уполномоченным сотрудникам отдела ИТ;
• в отношении программно-аппаратных средств защиты - уполномоченным сотрудникам службы защиты информации;
• в отношении программно-аппаратных средств телекоммуникации - уполномоченным сотрудникам службы (отдела) связи (телекоммуникации).

Изменение конфигурации аппаратно-программных средств защищенных рабочих станций и серверов кем-либо, кроме уполномоченных сотрудников перечисленных подразделений, должно быть запрещено.

Право внесения изменений в конфигурацию аппаратно-программных средств PC AC организации, не требующих защиты, может быть предоставлено как сотрудникам отдела ИТ (на основании заявок), так и сотрудникам подразделений, в которых они установлены, на основании распоряжений начальников данных подразделений.

После составления списка программного обеспечения необходимо гарантировать его установку на все рабочие станции и ограничить запуск других программ без участия администратора. Принцип "все, что не разрешено - запрещено" в этом случае должен соблюдаться неукоснительно. Это избавит компанию от проблем с утечками через злонамеренных нарушителей в будущем.^[56]

К специфическим решениям можно отнести решения, принимаемые в каждом конкретном случае. Ведь предусмотреть все возможные утечки, а тем более способы защиты - невозможно.

Необходимо постоянно работать с пользователями. Обучение сотрудников, инструктаж новичков и временных пользователей поможет предотвратить утечки. Любое копирование информации на сменный носитель должно вызывать вопросы коллег - ведь лояльные сотрудники пострадают вместе с компанией.^[57]

Стоит понимать, что высокая компьютерная квалификация пользователей не всегда является плюсом. В западной литературе встречается термин overqualified - приблизительно его можно перевести как "слишком квалифицированный". Излишняя квалификация в компьютерных навыках является более серьезным недостатком, чем квалификация недостаточная. Ведь научить недостающим навыкам можно всегда, а как заставить человека забыть уже имеющиеся?

Выявление "специалистов-любителей" возможно во время традиционной аттестации. Стоит добавить в опросник вопрос "Как снять зависший процесс в Windows?" и провести разъяснительную работу с теми, кто начнет ответ со слов: "Нажать одновременно клавиши Ctrl, Alt и Del". Ведь правильный ответ на этот вопрос для большинства пользователей - "Вызвать системного администратора" (если, конечно, пользователь и администратор находятся недалеко друг от друга).^[58]

В настоящее время еще одним каналом утечки информации является вынос носителей с резервными копиями с территории предприятия.

Сегодня используется несколько способов устранения этого канала утечки.

Первый из них - анонимизация носителей, т.е. сотрудники, имеющие физический доступ к носителям, не знают, какая информация на нем записана. Те же сотрудники, которые знают, какая информация записана, не имеют доступа к хранилищу носителей.^[59]

Второй способ - шифрование информации при резервном копировании, поскольку расшифровка вынесенной информации потребует некоторого времени и вычислительной мощности. Безусловно, здесь работают все технологии хранения ценных вещей - замки, открывающиеся только двумя ключами, находящимися у разных сотрудников, несколько уровней доступа и т. д. С развитием технологий радиоидентификации (RFID), возможно, появятся системы автоматического оповещения о попытках вынести за пределы хранилища носители, в которые для этой цели будут внедрены радиометки.

Системы контроля информационных потоков позволяют контролировать информационные потоки в трех режимах:

• режим архива;
• режим сигнализации;
• режим активной защиты.^[60]

В этом режиме система контроля лишь протоколирует действия пользователей, архивируя журналы операций с конфиденциальной информации и содержимое информационных потоков. Архивы анализируются на предмет наличия в них фактов о нарушении политики информационной безопасности, либо по регламенту (каждый вечер, каждую пятницу и т.д.), либо по запросу о расследовании инцидента.^[61]

Преимуществом этого режима контроля является нетребовательность к вычислительным ресурсам и управление временем сотрудника службы информационной безопасности. Сотрудник отдела информационной безопасности сам определяет время для анализа архива. Его рабочее время, занятое анализом архива, не превышает нескольких часов в месяц.^[62]

Недостатком этого режима является невозможность предотвращения утечки.

Фактически мы имеем расширенный режим архива. В этом режиме перед сохранением информации в архив действие или сообщение проверяется на предмет соответствия политике информационной безопасности. В случае выявления запрещенного действия/сообщения, сотрудник отдела информационной безопасности получает на свое рабочее место сообщение. В зависимости от уровня нарушения политики информационной безопасности, сотрудник отдела информационной безопасности принимает решение реагировать немедленно, либо отложить принятие мер.^[63]

Преимуществом этого способа является возможность немедленно реагировать на события.

Недостатком этого режима является также невозможность предотвращения утечек, а для сотрудника службы ИБ - необходимость постоянно находиться в режиме on-line. Этот режим нередко используется для тестовой эксплуатации системы перед переходом к режиму активной защиты.^[64]

Этот режим позволяет активно вмешиваться в информационные процессы, блокировать опасные операции безвозвратно или до их разрешения сотрудником отдела информационной безопасности.

Преимуществом данного режима является возможность блокирования попыток нарушить политику информационной безопасности, предотвращение утечек.^[65]

Недостатком этого режима является необходимость постоянного присутствия сотрудника службы информационной безопасности для разбора спорных случаев и ложных срабатываний. На сегодня максимальная достоверность используемых технологий не превышает 90%, поэтому в режиме активной защиты на сотрудника службы ИБ ложится ответственность за оперативное решение спорных вопросов. Кроме того, недостатком такого режима является высокая требовательность к ресурсам, особенно при обработке on-line потоков. Приходится резервировать каналы и наращивать вычислительную мощность, чтобы обеспечить минимальную задержку писем и сообщений в Internet.^[66]

Заключение

По состоянию на сегодня внутренние нарушители представляют едва ли не большую опасность, чем внешние, ведь злоумышленником может быть любой сотрудник компании, от обычного пользователя до руководителя высшего ранга. И решение задачи защиты информации от несанкционированного воздействия внутренних пользователей невозможно только организационными, или только техническими методами защиты. Лишь комплексное применение этих методов способно принести результат.

Так же, можно придерживаться следующих советов.

Специалистам кадровых подразделений следует как можно активнее привлекать к сотрудничеству коллег из СЭБ, чётко разграничить зоны взаимной ответственности с учётом специфики компании и разработать регламент взаимодействия.

Старайтесь вникать в проблемы коллег из других компаний, на законных основаниях запрашивающих характеризующую информацию о деловых качествах ваших бывших сотрудников. Помните, что завтра вы можете оказаться в их положении и будете пытаться решить ту же задачу.

Активнее используйте ОИП на этапе кадрового отбора. Тем самым вы можете избавить компанию от целого букета кадровых рисков.

Список литературы

1. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006.

2. Овчинникова О.Г. Лояльность персонала / О.Г. Овчинникова // Управление персоналом. - М.: ООО "Журнал", 2006.

3. Соломанидина Т.О. Организационная культура в таблицах, тестах, кейсах и схемах. - М.: ИНФРА-М, 2007.

4. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005.

5. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005.

6.  Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996.

7. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006.

8. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ.

9. Закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.1992 №2487-1 (в редакции на 24.07.2007 № 214-ФЗ).

10.Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999.

11.Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005.

12.       Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006.

13.       Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ с изм. и доп.

14.       Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001.

15.       Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005.

16.       Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005.

1. Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005. ↑

2. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑

3. Мелтон Г.К., Пилиган К. Офисный шпионаж. / Пер. с англ. – М.: Феникс, 2005. ↑

4. Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005. ↑

5. Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005. ↑

6. Яскевич В.И. Секъюрити:  Организационные основы безопасности фирмы. – М.: Ось-89, 2005. ↑

7. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999. ↑

8. Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001. ↑

9. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ. ↑

10. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ. ↑

11. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ. ↑

12. Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005 ↑

13. Ярочкин В.И., Бузанова Я.В. Основы безопасности бизнеса и предпринимательства. Учебное пособие. – М.: Изд. «Академический проект Фонд «Мир», 2005 ↑

14. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

15. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

16. Хигир Б.Ю. Нетрадиционные методы подбора и оценки персонала – М.: ЗАО «Бизнес – школа «Интел – Синтез», 2001. ↑

17. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

18. Овчинникова О.Г. Лояльность персонала / О.Г. Овчинникова // Управление персоналом. - М.: ООО "Журнал", 2006. ↑

19. Овчинникова О.Г. Лояльность персонала / О.Г. Овчинникова // Управление персоналом. - М.: ООО "Журнал", 2006. ↑

20. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006. ↑

21. Дзлиев М.И. Предпринимателю. Как избежать опасности - М.: Экономика, 2006. ↑

22. Уголовный кодекс РФ от 13.06.1996 № 63-ФЗ с изм. и доп. ↑

23. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

24. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

25. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999. ↑

26. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999. ↑

27. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

28. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

29. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

30. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

31. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999. ↑

32. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

33. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

34. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999. ↑

35. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

36. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

37. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

38. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005. ↑

39. Соломанидина Т.О., Соломанидин В.Г. Управление мотивацией персонала. Учебно-методическое пособие в таблицах, схемах, тестах, кейсах / Т.О. Соломанидина, В.Г. Соломанидин. - М.: ООО "Журнал", 2005. ↑

40. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

41. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005. ↑

42. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005. ↑

43. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

44. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005. ↑

45. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

46. .       Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

47. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005. ↑

48. .       Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

49. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

50. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑

51. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005. ↑

52. Гончаренко Л.П., Куценко Е.С. Управление безопасностью. Учебное пособие для вузов. – М.: КноРус, 2005. ↑

53. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

54. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

55. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑

56. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑

57. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

58. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

59. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑

60. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

61. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑

62. Группа личной охраны. Методическая разработка.– М.: Арсин Лтд. 1996. ↑

63. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

64. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑

65. Осипенко О.В. Российский гринмейл. Стратегия корпоративной обороны. – М.: ЮРКНИГА, 2006. ↑

66. Организационное поведение / Под ред. Г.Р. Латфуллина, А.Н. Громовой. - М.: Айрис пресс, 2006. ↑