Автор Анна Евкова
Преподаватель который помогает студентам и школьникам в учёбе.

Роль персонала в обеспечении безопасности (Меры противодействия угрозам безопасности через атаку на персонал)

Содержание:

Введение

Тема данной курсовой работы: «Роль персонала в обеспечении безопасности». Актуальность выбрaнной для исследования темы заключается в том, что одной из главных проблем, которая стоит сейчас перед любым предприятием – это обеспечение безопасности. Эта подсистема тесно взаимодействует с подсистемой управление кадрами.

Безопасность – состояние защищенности жизненно важных интересов предприятия от внутренних и внешних угроз.

На предприятии к основным задачам службы безопасности относятся: обеспечение безопасности самого предприятия, его производства, а также продукции, защита всех видов информации.

Человеческий фактор на предприятии играет очень важную роль. Именно люди оказывают влияние на становление и продвижение компании (предприятия). Поэтому роль персонала в обеспечении безопасности организации занимает в структуре экономической безопасности ведущее место.

Основной целью данной курсовой работы является исследование роли персонала в обеспечении безопасности организации. В соответствии с поставленной целью в работе решаются следующие задачи:

  • изучить роль персонала в реализации угроз информационной безопасности организации;
  • исследовать существующие методы противодействия угрозам безопасности через атаку на персонал;
  • проанализировать угрозы безопасности через атаку на персонал организации и методы противодействия им;
  • показать возможные угрозы безопасности, исходящие от персонала организации, и упреждающие действий;
  • рассмотреть требования по вопросу кадровой безопасности в системе стандартов Банка России.

Предметом исследования являются действия персонала в обеспечении безопасности.

Объектом исследования является анализ действий персонала в обеспечении безопасности.

При написании работы были использованы научные труды многих исследователей, среди которых: А.Р. Алавердов, Л.В. Астахова, М.К. Бойдало, Г.П. Жигулин, А.Я. Кибанов, Н.В. Парушина, В.П. Пугачев, А.В. Семенченко, М.А. Сидорова, В.А. Тропникова, Н.Л. Ульянов, К.В. Харский, В.Ф. Шарипов и др.

В исследовании применялись общенаучные методы: анализа и синтеза, индукции и дедукции, сравнения, системного подхода; экономико-статистические методы сбора и обработки информации и аналитические методы системного анализа. Для обработки информации и сравнения результатов использовался стандартный пакет программ «MicrosoftOffice».

Работа состоит из 2-х глав, разделенных на параграфы, введения, заключения, списка использованных источников.

1. Центральное место кадровой политики персонала в системе экономической безопасности организации

1.1. Роль персонала в реализации угроз информационной

безопасности организации

Успешность компании всецело находится в зависимости от кадровой политики. Персонал должен быть объединен в коллектив, а это – живой организм, имеющий взаимосвязанную структуру: организационную, активную, ролевую, штатную. Именно от эффективности работы этого организма зависит будущее компании [19, с. 1112-1116].

Для осуществления своих задач любая компания подбирает персонал, который состоит из нужных сотрудников, при необходимости обучает их, чтобы дать им навыки, с помощью которых предприятие будет достигать своих целей. Кадровая служба фирмы производит оценку участия каждого сотрудника в решении поставленных задач, награждает наиболее выдающихся сотрудников.

Подбор персонала – это искусство, которое так и называется: искусство подбора персонала. Поиск сотрудников нужно начинать с подбора кандидатов как внутри самой организации, так и вне ее с учетом определенных требований [20, с. 25].

Если должность требует высоких профессиональных навыков, то используется конкурсная система подбора персонала. Персонал компании может влиять на экономическую безопасность в нескольких направлениях [22]:

- удачный отбор персонала;

- оптимальное число работающих;

- профессиональная подготовка персонала;

- правильная организация и дисциплина труда;

- мотивация труда;

- сохранение коммерческой тайны.

Если рассматривать угрозы информационной безопасности организации исходя из их источника, то можно выделить три большие группы [13, с. 116-118]:

1) Внутренние угрозы, вызванные деятельностью персонала организации;

2) Внешние угрозы – следствие действий людей, не являющихся сотрудниками организации;

3) Случайные угрозы, являющиеся результатом действий природных и техногенных факторов.

Рассмотрим эти группы подробнее.

  • Внутренние угрозы. Деятельность сотрудников организации, наносящая ущерб её информационной безопасности может быть вызвана следующими причинами [10, с. 66-71]:
  • Некомпетентность персонала – сотрудники не имеют достаточной подготовки в области обеспечения информационной безопасности;
  • Халатность персонала – организация провела обучение сотрудников мерам обеспечения информационной безопасности, но они пренебрегают их выполнением;
  • Злой умысел – сотрудник сознательно действует во вред своей организации. Такая деятельность (также называемая инсайдом или вредоносным инсайдом) может быть вызвана различными причинами: желанием отомстить организации за реальные или мнимые обиды, желанием получить финансовую выгоду, давлением со стороны третьих лиц и так далее.

Внешние угрозы. К внешним угрозам относится [12, с. 39-43]:

  • Хакерские атаки, то есть деятельность с целью захвата контроля над информационной системой организации, либо нарушение её работы;
  • Не санкционированное получение информации посредством технических средств – в эту группу входит как использование внешних средств, таких, как направленные и лазерные микрофоны, видео камеры, тепловизоры, системы радиоперехвата, так и установка различных специальных устройств («жучков») на территории организации, а так же в её информационную систему;
  • Несанкционированный физический доступ – проникновение на территорию организации с целью похищения информации на различных носителях (бумага, микропленки, цифровые носители данных и так далее). В первую очередь это предполагает проникновение посторонних лиц на закрытую для общего доступа часть территории организации.

Случайные угрозы включают в себя потерю информации вследствие чрезвычайных ситуаций техногенного или природного характера. А также в результате воздействия вредоносного программного обеспечения случайно попавшего в информационную систему организации (случаи целенаправленного попадания относятся к хакерским атакам) [14, с. 15].

Для противодействия внутренним угрозам, необходима постоянная работа с персоналом – сотрудники должны быть, в необходимом объеме, ознакомлены с правилами и принципами обеспечения информационной безопасности, и их выполнение должно постоянно контролироваться. Не менее важно поддерживать высокий уровень организационной приверженности сотрудников, чтобы снизить вероятность вредоносного инсайда [10, с. 66-71].

Как показывает статистика ФБР, от 60 до 90% успешных реализаций внешних угроз была произведена при наличии у злоумышленника пособника среди персонала организации. Таким образом, высокий уровень организационной приверженности является необходимой мерой для снижения вероятности успешной реализации внешних угроз. Отсутствие пособников внутри организации значительно снижает шансы злоумышленника на успех [12, с. 39-43].

Таким образом, правильно обученный персонал, выполняющий свои обязанности в области обеспечения информационной безопасности, позволяет снизить вероятность случайного попадания вредоносного программного обеспечения в информационную систему организации и ущерб от такого попадания до пренебрежительно малых величин.

1.2. Методы подбора персонала

Работа с персоналом, его подготовка и мотивация является одной из важнейших задач, решаемых в интересах обеспечения информационной безопасности организации. Можно выделить три главных составляющих [22]:

  • при приеме на работу нужно рассмотреть кандидата в долгосрочной перспективе, а также сразу выявить все возможные угрозы и риски для организации;
  • рабочие должны относиться к своей компании лояльно, а к своей работе ответственно. Лояльность – это само по себе психологическое явление, но сюда можно включить: решимость работника переживать с компанией все трудности и, соответственно, доверие к организации; неформальный подход к своей работе; заинтересованность в достижении своих профессиональных целей и целей организации;
  • контроль за исполнением правил, норм, ограничений, регламентов и так далее.

При приеме на работу и уже у набранного персонала нужно выделить «группу рисков». Сюда можно отнести: алкоголиков, наркоманов, игроков и без инициативных сотрудников [20, с. 26].

Алкоголиков можно выявить как медицинскими средствами, так и методом наблюдения. Такую группу желательно выявить при приеме на работу. К признакам злоупотребления алкоголем относятся: повышенная суетливость, речевые признаки, поведение работников на корпоративах, развлекательных мероприятиях, которые связаны с употреблением алкоголя.

Каждая имиджевая компания должна иметь свою политику подбора персонала. Для того чтобы рекрутинг был эффективен, существуют основные положения и принципы подбора персонала, а также типовые внутренние документы [20, с. 26].

Технология отбора персонала, которая существует в определенной организации, находится в зависимости от [19, с. 1112-1116]:

  • формы собственности;
  • размера предприятия: в маленьких компаниях меньше этапов собеседований и поэтому процесс принятия решения проходит быстрее, чем в больших;
  • структуры компании: в холдингах процедура подбора зависит от статуса вакансии. По значимым позициям решение принимается в управляющей компании, в то время как рядовые позиции отбираются прямо «на местах»;
  • национальной принадлежности: иностранные компании имеют свои методы отбора персонала.

Компания может иметь централизованную службу подбора персонала, занимающуюся отбором персонала в разных направлениях деятельности. Методы подбора персонала могут отличаться, если предприятие имеет региональные представительства или филиалы в других городах. Также от масштаба деятельности компании зависит количество внутренних документов, используемых для обмена информации. Но если организация обратилась в кадровое агентство, то документы будут иметь иное содержательное назначение [19, с. 1112-1116].

Для успешного рекрутинга необходимо разработать основные положения и принципы подбора персонала.

Кадровая политика – это предписанные руководством компании общие установки, принципы, правила и нормы реализации кадровой стратегии, а также требований корпоративной философии и культуры. Она включает как формализованные в документах установки и принципы, так и не писанные, устные установки, соблюдение которых требуют от руководителей и других сотрудников. Исходя из этого, можно сформулировать следующее определение: политика подбора персонала – это правила, нормы и принципы, которые компания считает приемлемыми в рамках своей корпоративной культуры. Каждая компания устанавливает свои правила подбора сотрудников, основываясь на специфике бизнеса: какие методы поиска использовать, какие источники поиска использовать, какие виды интервью проводить, по каким критериям оценивать потенциальных сотрудников [20, с. 26].

Кадровая политика несет в себе не только правила, а также требования и запреты. Под требованиями понимают рекомендуемые критерии отбора. Запреты вводятся для того, чтобы избежать рисков ошибок, а требования вводят в рамках подбора персонала, как правило, для того, чтобы повышать качество нанимаемых сотрудников, их компетенции и процесс отбора [21].

Кадровая политика не может устанавливать нормы, противоречащие Трудовому Кодексу Российской Федерации [1]. Но практика показывает, что определенная работа требует исключительно женских или мужских рук. То есть здесь четко прослеживается дискриминация, а соответственно нарушение трудового законодательства. И поэтому работодатель должен находить альтернативы, при которых нарушение законодательства происходить не будет [19, с. 1112-1116].

Отбор выступает латентной функцией, которая осуществляется предприятием для определения из списка заявителей лиц, более подходящих для искомой вакансии. Так как персонал нанимается на предприятие, основываясь на тактических и стратегических задачах, то необходимо [19, с. 1112-1116]:

  • при наборе персонала подобрать соответствующие профилю деятельности предприятия кадры;
  • минимизировать расходы, связанные с привлечением кадров;
  • сохранить структуру кадров, но и в тоже время обеспечить приток новых идей в организацию;
  • поддерживать психологическое состояние в компании;
  • личные и профессиональные цели работников компании должны быть реализованы.

Подбор персонала проходит несколько стадий: набор, отбор, наем. Существует целый комплекс факторов, который нужно учитывать при подборе персонала: законодательные ограничения и возможности, специфика компании, рынок рабочей силы, непосредственно окружение и местоположение организации и так далее. Чем выше и значимее вакантная должность, тем процесс отбора будет сложнее и продолжительней [20, с. 26].

При отборе персонала существует три вида критерия: квалификационный, объективный и психолого-личностный [22]:

  • квалификационные критерии устанавливаются нормативной документацией отрасли, на которой специализируется предприятие;
  • объективные критерии оцениваются реальные достижения претендентов количественными и качественными показателями;
  • психолого-личностные критерии определяются качествами, позволяющими добиться высоких результатов в профессиональной деятельности.

Существуют методы и инструменты, которые повышают уровень принятия решения при проведении отбора персонала. Последним этапом процесса при наборе персонала является составление базы данных по претендентам на вакантные должности [22].

Кадровая безопасность – важная составляющая экономической безопасности предприятия. По статистике, 75 % преступлений в организациях совершают сотрудники, имеющие доступ к конфиденциальной информации или активам. Грамотные сотрудники кадровой службы снижают убытки организации на 60 % [19, с. 1112-1116].

Одной из главных целей менеджера по подбору персонала является рассмотрение каждого работника не только в роли источника увеличения прибыли, но и как потенциальную угрозу. Но кадровая безопасность на этом не заканчивается, также следует вести людей и вовремя работы и после увольнения.

1.2. Меры противодействия угрозам безопасности через атаку на персонал

Практика показывает, что как во многих, как зарубежных, так и отечественных компаниях пренебрегают подготовкой персонала в вопросах обеспечения информационной безопасности. Как следствие, даже при наличии мощной системы технической и программной защиты информационной системы, в системе безопасности остается огромная не прикрытая дыра – персонал организации. Аудит информационной безопасности показывает, что успешность проникновения в информационную систему организации через воздействие на её сотрудников (то есть методами социальной инженерии) достигает 60-70% [23].

Рассмотрим виды атак, являющихся угрозами для информационной системы организации, через воздействие на персонал, и методы противодействия им:

  1. Атаки без применения технических средств;
  2. Атаки с использованием телефонной связи;
  3. Атаки с использованием сети Интернет [11, 2015, с. 89-91].

Атаки без применения технических средств – наиболее старый вид мошенничества. В данном случае злоумышленник использует различные методы манипулирования людьми в отношении сотрудника организации, без применения дополнительных технических средств. Территориально данный вид атак может быть разделен на две группы: на территории организации и за пределами территории организации [11, с. 66-71].

К первой группе относятся:

  • инсайдерские атаки;
  • анализ мусора, когда злоумышленник проводит сбор информации посредством анализа выброшенных документов, черновиков, отходов производства и так далее;
  • подбрасывание на территорию организации информационного носителя с вредоносным программным обеспечением (ПО), таким образом, чтобы данный носитель информации заинтересовал сотрудника [13 , с. 116-118].

Ко второй группе атак без применения технических средств относятся:

  • убеждение;
  • использование доверительных отношений;
  • шантаж и угрозы.

Меры противодействия включают:

  • разработку и внедрение четких и понятных протоколов и политики безопасности;
  • проведение регулярного обучения сотрудников соблюдению протоколов и политик безопасности;
  • непрерывный контроль за выполнением протоколов и политик безопасности;
  • пресечение всех попыток злоупотребления полномочиями;
  • информирование всех сотрудников о случаях нарушения протоколов и политик безопасности;
  • обеспечение надлежащего программно-технического комплекса средств защиты в составе системы безопасности [11, 2015, с. 89-91].

Атаки с использованием телефонной связи, то есть телефонное мошенничество или атаки на информационную систему путем манипулирования сотрудниками посредством телефонной связи. Данный вид атак значительно моложе предыдущего и остается актуальным, не смотря на появление компьютерных сетей. Деловой партнер, заказчик, сотрудник, родственник, сотрудник силового ведомства или органа государственной власти, вот далеко не полный список образов, которые может использовать злоумышленник. К видам телефонных атак относятся [13 , с. 116-118]:

  • обращение злоумышленника в качестве технического специалиста, заказчика или делового партнера по корпоративному телефону;
  • создание обратимой проблемы, для решения которой жертва обратится к нему за помощью;
  • обращение к конкретному сотруднику с использованием заранее разработанного плана атаки;
  • использование заранее записанных голосовых сообщений, для имитации официальных звонков или запросов, от различных структур (банки, органы государственной власти и так далее);
  • шантаж и угрозы по телефону.

Меры противодействия [13, с. 66-71]:

  • разработать и внедрить регламенты передачи информации по телефону;
  • разработать и внедрить процедуру идентификации сотрудников компании по телефону;
  • также возможно техническое разграничение внутренней корпоративной телефонной сети и внешней.

Атаки с использованием сети Интернет – самое молодое и бурно развивающееся направление. Злоумышленник использует возможности, предоставляемые современными информационными технологиями и всемирной сетью Интернет, для манипулирования сотрудником организации. Виды интернет-атак [11, 2015, с. 89-91]:

  • обман сотрудника для побуждения его скачать вредоносное ПО;
  • создание доверительных отношений с сотрудником посредством общения через электронную почту, социальные сети и другие сервисы массового общения;
  • использование фишинговых сайтов для получения логинов, паролей и другой конфиденциальной информации;
  • шантаж и запугивание сотрудников посредством общения через электронную почту, социальные сети и другие сервисы массового общения.

Меры противодействия [10 с. 66-71]:

  • разработка, внедрение и поддержание на должном уровне многоуровневой системы программно-аппаратной защиты корпоративной информационной системы [13 , с. 116-118];
  • информирование персонала о существующих методах мошенничества в глобальной сети, и методах противодействия им;
  • не всегда возможный, но эффективный метод защиты от интернет-мошенничества – физическая изоляция корпоративной компьютерной сети от глобальной сети Интернет.

Итак, работа с персоналом является одним из краеугольных камней системы информационной безопасности. Некомпетентный в информационной безопасности, халатный, плохо мотивированный сотрудник – серьёзнейшая угроза для информационной безопасности. Тогда как обученный и мотивированный сотрудник – надежный помощник службы безопасности и основа обеспечения информационной безопасности организации [11, с. 89-91].

Подводя итог первой главы нужно отметить, что нами дано обоснование того, что кадровая политика персонала занимает центральное место в системе экономической безопасности организации. Подбор персонала, определение профессионального статуса претендентов на должность, прохождение процедуры тестирования, эффективное управление кадрами являются элементами кадровой политики и определяют приоритетные направления кадровой работы.

Дана классификация угроз информационной безопасности по их источнику. Показана роль персонала в реализации угроз информационной безопасности организации.

Рассмотрены методы подбора персонала. Исследованы меры противодействия угрозам безопасности через атаку на персонал

2. Роль персонала в обеспечении кадровой безопасности

2.1. Угрозы безопасности, исходящие от персонала организации. Упреждающие действия

В процессе эволюции деятельности руководители высшего звена каждой организации задумываются о необходимости грамотного управления возникающими угрозами и снижении вероятности их возникновения и причинения значительного ущерба активам. Общие угрозы благосостоянию организации можно классифицировать по вероятности возникновения, масштабу возможного ущерба, но, по мнению Д.С. Кузнецовой, необходимо особенно учитывать угрозы, исходящие от персонала компании, так как именно осознанные негативные действия или бездействие сотрудников может привести к ущербу. Выделение данной проблемы позволяет определить в качестве приоритетной задачи вопрос организации кадровой безопасности [18, с. 179-183].

Спектр кадровых угроз может варьироваться в зависимости от различных факторов и моделей организации хозяйственной деятельности. Кадровая стратегия в общем виде является отражением принципов взаимодействия организации с внешней и внутренней средой и уровнем влияния топ-менеджмента на кадровые бизнес-процессы [7, с. 23].

Данная тема косвенно затрагивалась в работах отечественных и зарубежных исследователей, рассматривавших вопросы кадровой стратегии, управления человеческими ресурсами, эффективного управления персоналом, однако в науке не разработаны и оформлены в достаточной степени концепции и стратегии управления угрозами, которые основывались бы на анализе кадровой стратегии [21, с. 232-236].

Д.С. Кузнецовой было проведено исследование, цель которого состояла в определении приоритетных кадровых угроз для основных типов кадровой стратегии: активного и пассивного, закрытого и открытого. Многие ученые в своих работах рассматривают также превентивный и реактивный типы кадровой стратегии. В рамках проведенного Д.С. Кузнецовой исследования рассматривались только активный и пассивный тип, так как на практике, как правило, организации стремятся к проработке и утверждению активной кадровой стратегии, либо, выбирают пассивный тип стратегии, при отсутствии необходимых ресурсов и в кризисных ситуациях [18, с. 179-183].

Для проведения исследования была разработана анкета из 101 вопроса для сбора статистического материала. Первый блок вопросов определял степень открытости организации внешней среде, второй блок вопросов определял уровень влияния руководителей высшего звена на систему управления персоналом, третий блок выделял наличие тех или иных угроз, исходящих от персонала. Четвертый блок содержал три открытых вопроса с целью предоставить респондентам возможность отметить специфические угрозы, характерные именно для их компании и необходимые, по их мнению, меры воздействия на текущую ситуацию в области управления человеческими ресурсами в организации [24, с. 16-20].

В качестве основных угроз для проведения диагностики были определены: конфликт интересов, риск переманивания персонала, проблемы нелояльности персонала, конфликты в коллективе, недостаточное обеспечение защиты информации, мошеннические действия, недостаточный уровень защиты персональных данных, недостаточное обеспечение системы охраны труда, наличие аддикций у сотрудников компании, дискриминация и насилие. С помощью данной анкеты был проведен опрос сотрудников в 39 российских организациях [21, с. 232-236]

Выборка респондентов в каждой организации проводилась таким образом, чтобы отразить репрезентативность и представлять собой соотношение руководства, управленческого звена и исполнителей в каждой организации. Результаты вопросов обрабатывались с помощью методов статистического анализа. По результатам исследования было определено, что открытая активная кадровая стратегия реализуется подавляющим числом участников – данный тип был выявлен у 62,4% организаций ( рисунок 1) [18, с. 179-183].

Рис.1. Соотношение организаций-респондентов по типам

кадровой стратегии

По итогам обработки результатов исследования была составлена общая таблица, выделяющая приоритетные угрозы для выбранных типов кадровой стратегии (таблицу 1) [18, с. 179-183].

Таблица 1

Кадровые угрозы в зависимости от типа кадровой стратегии

закрытая

активная

(%)

открытая

активная

(%)

открытая

пассивная

(%)

закрытая

пассивная

(%)

риск переманивания

10.36

14.09

13,2

12,42

нелояльность

10.56

8.09

8.86

9.09

конфликты

12,72

7.97

10.37

12,97

недостаточное обеспечение защиты информации

6.83

15,76

13,94

10.65

мошенничество

12,77

8.3S

11.44

8.62

недостаточное обеспечение защиты персональных данных

3.19

8.32

6.97

8.76

недостаточное обеспечение охраны труда

6.14

6.54

5

7,39

аддикции

12.08

9.87

9.96

6.08

конфликт интересов

15,96

17

14,72

13,33

дискриминация и насилие

9.38

3.98

5.54

10.68

Как показывают итоги исследования, респонденты отмечали конфликт интересов и угрозу переманивания персонала как основные для всех типов кадровой стратегии, что свидетельствует о необходимости разработки упреждающих мер для данных угроз в любой организации.

После проведения детальной оценки результатов исследования была предложена комплексная методика по организации упреждающих действий при создании и совершенствовании кадровой стратегии, состоящая из трех этапов.

На первом этапе необходимо определить тип кадровой стратегии организации. Если организация ранее не обозначала принципы взаимодействия с внешней средой при найме и степень влияния руководителей высшего звена на систему управления человеческими ресурсами, то тип кадровой стратегии с высокой долей вероятности можно определить с помощью разработанного тестирования.

На втором этапе необходимо определить общие и специфические угрозы кадровой безопасности организации.

Особое внимание, как показало исследование, необходимо уделять проблемам конфликта интересов и переманивания персонала. Соответственно, при проведении разработанного Д.С. Кузнецовой тестирования, можно выделить и уточнить распределение основных угроз системе управления человеческими ресурсами, а при анализе ответов на четвертый блок вопросов можно выявить специфические угрозы, характерные для организации, в которой проходит исследование, и дополнительно узнать анонимную оценку сотрудников о текущей ситуации в организации [21, с. 232-236].

На третьем этапе методики необходимо определить состав комплекса мероприятий и варианты управленческих решений, которые организация будет реализовывать, с целью снизить вероятность наступления угрозы и ее возможное негативное влияние.

С учетом полученных результатов руководство выстраивает систему управления и предупреждения кадровых угроз с учетом особенностей организации, причем рекомендуется дополнительно проработать комплекс мер, направленных на снижение вероятности повторного возникновения данных угроз. Документальным итогом проведенных мероприятий станет письменно оформленная «Кадровая стратегия организации», куда, помимо общих вопросов управления персоналом, войдут аспекты новой системы кадровой безопасности организации, а также ряд локально-нормативных документов, дополняющих и уточняющих положения кадровой стратегии [21, с. 232-236].

Результаты исследования выявили из всего перечня угроз в адрес сотрудников организации приоритет конфликта интересов и угрозы переманивания ценных специалистов, которые не зависят от типа кадровой стратегии организации. В качестве первопричины возникновения данных угроз, в первую очередь, стоит проанализировать действующую в организации систему организации мотивации и стимулирования работников, выявить возможные недостатки, а также определить уровень удовлетворенности работников условиями труда с целью последующей проработки мероприятий по формированию высокого уровня лояльности и приверженности ценностям организации.

Рекомендуется ввести в действие положение о недопущении конфликта интересов, организовать обратную связь с сотрудниками для сбора информации о фактах злоупотребления должностным положением, проработать прозрачную систему мотивации и поощрения персонала, регулярно проводить исследования уровня лояльности персонала [26, с. 205].

Для упреждения возможных угроз системе охраны труда необходимо обеспечить доведение требований инструкций по организации безопасного рабочего пространства до работников и проводить регулярные тренинги по безопасности труда и порядке поведения при внештатной ситуации. Данному риску, как правило, не уделяется достаточно внимания, что, однако, может повлечь за собой существенный ущерб при негативном развитии событий [7, с. 23].

Если сместить акцент на уровень открытости организации внешней среде, то на первый план для открытого типа кадровой стратегии выходят угроза в области защиты информации и отмеченный выше риск переманивания персонала. Данную угрозу можно снизить с помощью проработки и утверждения инструкций и положений, как тоже указывалось выше, разграничивающих права доступа к информации, установки программных и технических средств [17, с. 37].

В качестве приоритетной для закрытого типа кадровой стратегии можно выделить угрозу конфликтов внутри коллектива. Для предупреждения данной угрозы рекомендуется проводить оценку общего уровня конфликтности и лояльности сотрудников, проводить командные тренинги и обеспечить наличие обратной связи между персоналом и руководством организации, уделить внимание вопросам адаптации новых сотрудников [21, с. 232-236].

Одной из основных проблем организаций с закрытым типом кадровой стратегии была отмечена также проблема дискриминации и насилия на работе. Косвенно данная проблема может выходить из неразрешенных и запущенных конфликтов в коллективе, однако, в ряде случаев сам факт дискриминации может повлечь за собой стремительное развитие конфликта. В условиях развития российского бизнеса многие работники настолько привыкли проявлениям дискриминации на рабочем месте, что не придают данной угрозе серьезного значения [26, с. 204].

При смещении акцента на степень влияния действий топ-менеджмента на кадровую ситуацию в организации необходимо отметить приоритет угрозы аддиктивного поведения для активного типа кадровой стратегии, упреждение которого можно при грамотной организации процедур собеседования и предварительных проверок. Также рекомендуется проведение психологических исследований и обеспечение возможности получения сотрудниками экстренной психологической помощи.

Термин «аддикции» включает в себя широкий спектр различных психологических, психофизиологических и иных видов зависимостей. В отличие от наркотической зависимости частое или чрезмерное употребление алкогольных напитков может трактоваться в коллективе по-разному и не всегда носит резко негативную оценку [27, с. 127]. Сложнее всего оценивать угрозу возникновения зависимости сотрудника от азартных игр, компьютерных игр и пищевой зависимости. Наличие последних видов аддикций у человека может не признаваться не только им самим, но и близким кругом общения.

При определении угроз пассивного типа кадровой стратегии, помимо обозначенных выше угроз, необходимо обратить внимание на угрозу мошенничества. Это можно объяснить тем, что на данном этапе развития законодательство Российской Федерации регулирует вопросы обеспечения имущественной и финансовой безопасности юридических лиц лучше, чем безопасность информации и нематериальных активов, что является сдерживающим фактором для потенциальных мошенников [27, с. 232-236].

Необходимо также отметить, что в процессе исследования уровня кадровой безопасности в 39 компаниях, многие респонденты отмечали, что большинство угроз, исходящих от персонала можно было бы предупредить на этапе организации найма новых сотрудников. Вероятность наступления рисков конфликта интересов, мошенничества, найма сотрудников с аддикциями с высокой долей вероятности можно было бы выявить на этапе проведения собеседований и скрининговых проверок [7, с. 23].

Таким образом, предложенный Д.С. Кузнецовой обособленный подход к выделению и анализу приоритетных рисков, характерных для выбранного компанией типа кадровой политики, позволяет направить усилия управленческого аппарата на контроль и проработку слабых мест системы кадровой безопасности и тем самым укрепить уровень благосостояния компании [18, с. 179-183].

2.2. Кадровые уязвимости работников на примере банковской системы

На сегодняшний день вопрос о кадровых уязвимостях информационной безопасности становится все более актуальным. По данным «Исследования утечек конфиденциальной информации в I полугодии 2014 года» аналитического центра «InfoWatch», в 71% случаев виновными в утечке информации оказались сотрудники компаний [15], по результатам аналогичного исследования за 2013 год – это число было равно лишь 54,1% [15].

К сожалению, в настоящее время существует нормативная недооценка угроз и уязвимостей, связанных с персоналом. В нормативных документах государственных регуляторов вопросу кадровых уязвимостей информационной безопасности практически не уделяется внимание. Однако существуют стандарты по информационной безопасности, в которых затрагиваются вопросы кадровой безопасности. Центральный банк Российской Федерации разработал систему стандартов в области информационной безопасности, в которой затронута проблема персонала.

Основным стандартом в данной системе является СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». В стандарте особое внимание выделяется угрозам, связанным с персоналом. К основным источникам угроз причисляются работники организации БС РФ (банковской системы Российской Федерации), реализующие угрозы информационной безопасности с использованием легально или вне легально полученных прав и полномочий [5, п. 6.6]. Приоритетность кадровых уязвимостей подчеркивается в пункте 5.4 стандарта:

«Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами. При этом он будет стремиться к сокрытию следов своей деятельности.

Внешний злоумышленник, как правило, имеет сообщника (сообщников) внутри организации БС РФ. Незлоумышленные действия собственных работников создают либо уязвимости информационной безопасности, либо инциденты, влияющие на свойства доступности, целостности и конфиденциальности актива или параметры системы, которая этот актив поддерживает» [5, п. 5.4].

В стандарте также представлены принципы, которыми следует руководствоваться при распределении прав доступа работников к информационным активам организации БС РФ [5, п 7.1.4]. К этим принципам относятся: «знать своего служащего» (Кпом уоиг Етр1оуее) – принцип, демонстрирующий озабоченность организации по поводу отношения служащих к своим обязанностям и возможных проблем, таких как злоупотребление имуществом, аферы или финансовые трудности, которые могут приводить к проблемам с безопасностью; «необходимо знать» (Need to Know) – принцип, ограничивающий полномочия по доступу к информации и ресурсам по обработке информации на уровне минимально необходимых для выполнения определенных обязанностей.

Так как большинство требований СТО БР ИББС-1.0-2014 по обеспечению кадровой безопасности было разработано на основе международного стандарта ISO/IEC 27001:2013 «Информационная технология. Методы защиты. Системы менеджмента информационной безопасности. Требования», можно соотнести требования по кадровой безопасности этих стандартов. Далее перечислены требования пункта 7.2 «Обеспечение информационной безопасности при назначении и распределении ролей и обеспечении доверия к персоналу» стандарта СТО БР ИББС-1.0-2014 и в скобках указан пункт и его название в стандарте ISO/IEC 27001:2013, содержащий аналогичное требование [15; 3]:

  • в организации должны быть документально выделены роли ее работников, которые следует персонифицировать с установлением ответственности за их выполнение;
  • не допускается совмещение в рамках одной роли следующих функций: разработки и сопровождения АБС/ПО, их разработки и эксплуатации, сопровождения и эксплуатации, администратора системы и администратора ИБ, выполнения операций в АБС и контроля их выполнения [9, с. 79-83];
  • в организации должны быть определена, выполняться и регистрироваться процедура приема на работу, влияющую на обеспечение информационной безопасности, включающую: проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов; проверку в части профессиональных навыков и оценку профессиональной при-годности с документальным фиксированием результатов [25, с. 66-70];
  • письменное обязательство о соблюдении конфиденциальности, приверженности корпоративной этике, включая требования по недопущению конфликта интересов;
  • обязанности персонала по выполнению требований по обеспечению информационной безопасности должны включаться в трудовые контракты, должностные инструкции.
  • невыполнение работниками организации требований по обеспечению информационной безопасности (должно приравниваться к невыполнению должностных обязанностей и приводить как минимум к дисциплинарной ответственности;
  • контроль деятельности работников, обладающих совокупностью полномочий, позволяющей получить контроль над информационными активами организации;

Также в стандарте затронут вопрос обучения и повышения осведомленности в области информационной безопасности (ИБ) персонала организации. Приведены следующие требования [6, п. 8.9]:

  1. Должна быть организована санкционированная руководством организации работа с персоналом и клиентами в направлении повышения осведомленности и обучения в области ИБ;
  2. Должны быть разработаны планы, программы обучения и повышения осведомленности в области ИБ. По результатам выполнения указанных планов должна осуществляться проверка полученных знаний;
  3. В планах обучения и повышения осведомленности должны быть установлены требования к периодичности обучения и повышения осведомленности;
  4. Программы обучения и повышения осведомленности должны разрабатываться для различных групп сотрудников с учетом их должностных обязанностей и выполняемых ролей и включать информацию [25, с. 66-70]:
  • по существующим политикам информационной безопасности;
  • по применяемым в организации защитным мерам;
  • по правильному использованию защитных мер в соответствии с внутренними документами организации;
  • о значимости и важности деятельности работников для обеспечения информационной безопасности организации.

В организации банковской системы РФ должен быть определен перечень свидетельств выполнения программ обучения и повышения осведомленности в области ИБ. В частности, такими свидетельствами могут являться [25, с. 66-70]:

  • документы (журналы), подтверждающие прохождение руководителями и работниками организации обучения в области информационной безопасности с указанием уровня образования, навыков, опыта и квалификации обучаемых;
  • документы, содержащие результаты проверок обучения работников организации;
  • документы, содержащие результаты проверок осведомленности в области информационной безопасности в организации.

Для работника, получившего новую роль, должно быть организовано обучение или инструктаж в области информационной безопасности, соответствующее полученной роли. В организации должны быть определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей [8, с. 26-33].

В международном стандарте ISO/IEC 27001:2013 также уделяется внимание вопросу обучения и повышения осведомленности в области информационной безопасности персонала организации. В нем приведены следующие требования: для всех сотрудников организации и, где это применимо, работающих по контракту должны быть проведены обучение и подготовка, обеспечивающие соответствующие знания, а также регулярное обновление организационных политик и процедур в той мере, в какой это касается их служебных обязанностей [3].

Можно заметить, что в стандарте СТО БР ИББС-1.0-2014 приведены более полные и конкретизированные требования, касающиеся вопроса обучения и повышения осведомленности в области информационной безопасности персонала организации [5].

Для оценки соблюдения требований стандарта СТО БР ИББС-1.0-2014 был разработан стандарт СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014» [5].

В результате проведения оценки соответствия информационной системе присваивается один из 5 уровней соответствия в зависимости от итогового показателя оценки [3]. Значения всех показателей оценки расположены в диапазоне от 0 до 1. Значение итогового показателя определяется по наименьшему значению из трех показателей по направлениям оценки. Всего в методике три направления оценки [8, с. 26-33]:

1) оценка текущего уровня информационной безопасности организации;

2) оценка менеджмента информационной безопасности организации;

3) оценка уровня осознания информационной безопасности организации.

Представим такую ситуацию, что при оценке соответствия требованиям СТО БР ИББС-1.0 все частные показатели получили значение, равное единице, кроме какого-либо одного обязательного частного показателя в групповом показателе, касающегося вопроса кадровой безопасности (М1, М18 или М31), он оказался равным нулю. Тогда значение этого группового показателя будет меньше единицы, но не более чем на 20% (в соответствии с обеими редакциями методики). Тогда, в соответствии со старой редакцией методики, значение показателя по направлению оценки, содержащего этот групповой показатель, а, следовательно, и итогового показателя будет меньше единицы, но это отклонение будет меньше 15%, то есть оценка соответствия требованиям будет являться рекомендуемой банком [5].

В соответствии же с новой редакцией при расчете значения показателя по направлению оценки необходимо учесть корректирующие коэффициенты. С их учетом значение показателя оценки по направлению будет снижено дополнительно на 15%, так как в этом направлении содержится один частный показатель со значением, равным нулю . В итоге это приведет к тому, что итоговый показатель будет меньше единицы более чем на 15%, что является нерекомендуемым Банком России [СТО БР ИББС-1.2-2014 «4, п. 10, 11].

На этом примере видно, как возросла значимость требований по вопросу кадровой безопасности в новой редакции методики 2014 года по сравнению с редакцией 2010 года. Если раньше полное несоблюдение требования, описанного в каком-либо частном показателе, касающегося кадровой безопасности, незначительно снижало итоговую оценку соблюдения требований стандарта СТО БР ИББС-1.0 [3], то теперь это вызовет снижение итоговой оценки до значения, нерекомендуемого Банком России. Также можно отметить, что в новой редакции уделено больше вниманию принципу комплексности защиты информации.

Следует отметить, что было бы уместно дополнить систему стандартов более полными конкретизированными требованиями, например, к процедуре приема сотрудников на работу, к планам и программам обучения и повышения осведомленности в области информационной безопасности, к их периодичности; а также методическими рекомендациями по вопросу кадровой безопасности.

Подводя итог второй главы исследования нужно отметить, что нами проанализирована зависимость определенных угроз при реализации организацией некоторых типов кадровой стратегии.

В качестве основных мер противодействия определенным кадровым угрозам может стать детальная проработка и совершенствование кадровой стратегии и связанных с ней локально-нормативных документов организации, направленные на предупреждение рисков и регулярный мониторинг уровня угроз.

Рассмотрены требования по вопросу кадровой безопасности в системе стандартов Банка России. Проведено соотношение этих требований с требованиями международных стандартов, оценивается важность требований по вопросу кадровой безопасности в системе стандартов Банка России.

Заключение

Подводя итоги всему вышеизложенному, следует отметить, что главным ресурсом в организации является персонал. Чем совершеннее в процесс найма персонала и чем больше средств руководство вкладывает в лояльность, тем дешевле будет обходиться контроль. Кадровая безопасность это не только однажды достигнутый результат, а постоянный процесс, направленный на стабильность работы, выполнение основных задач организации и, конечно же, своевременность распознания и предотвращения серьезных и нежелательных операций со стороны сотрудников компании.

Создание комфортных условий для работы в организации оказывает положительное влияние на сбалансированность системы кадровой безопасности, а значит и эффективной защиты компании от угроз и опасностей.

Все рассмотренные виды атак на информационную систему построены на манипулировании сотрудниками организации, для противодействия им необходимо принимать следующие меры:

  • должное обучение персонала в области обеспечения информационной безопасности, и, в частности, противодействия мошенническим атакам;
  • стимулирование персонала к постоянному применению знаний и умений полученных в ходе обучения;
  • контроль выполнения персоналом положений протоколов и политик безопасности;
  • поддержание высокого уровня организационной приверженности персонала: чем более лоялен сотрудник к своей организации, тем ниже вероятность того, что он решит стать сообщником злоумышленнику

В процессе данной курсовой работы были следующие задачи:

  • изучена роль персонала в реализации угроз информационной безопасности организации;
  • исследованы существующие методы противодействия угрозам безопасности через атаку на персонал;
  • проанализированы угрозы безопасности через атаку на персонал организации и методы противодействия им;
  • показаны возможные угрозы безопасности, исходящие от персонала организации, и упреждающие действий;
  • рассмотрены требования по вопросу кадровой безопасности в системе стандартов Банка России.

В современных экономических условиях организация сталкивается с необходимостью модернизации существующих подходов к построению стратегии эффективного развития в целом и, особенно, кадровой стратегии как ее наиболее важной составляющей. В таком случае, необходимо обратить особое внимание на собственный персонал организации, который может стать источником различных кадровых угроз в результате бездействия, ошибок или негативного воздействия на активы компании.

Приоритет многих угроз, исходящих от персонала организации, ранжируется в зависимости от типа кадровой стратегии, что целесообразно учитывать при совершенствовании системы безопасности.

Список использованных источников

  1. "Трудовой кодекс Российской Федерации" от 30.12.2001 N 197-ФЗ (ред. от 03.07.2016) (с изм. и доп., вступ. в силу с 03.10.2016) // СПС Консультант плюс
  2. ISO 27004 «Информационная технология. Методы и средства защиты информации. Менеджмент информационной безопасности. Измерения» URL: http://www.consultant.ru/document/cons_doc_LAW_102278/5b46a07a2672055ee770be4ac6a7d64e7e62cf50
  3. Международный стандарт ISO/IEC 27001:2013 «Системы менеджмента информационной безопасности. Требования». URL: http://www.rsm-cert.com/sertifikaciya-suib.14.html
  4. СТО БР ИББС-1.2-2014 «Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014». URL: http://www.consultant.ru/document/cons_doc_LAW_163807/5b46a07a2672055ee770be4ac6a7d64e7e62cf50
  5. Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки соответствия информационной безопасности организаций банковской системы Российской Федерации требованиям СТО БР ИББС-1.0-2014». URL: http://www.consultant.ru/document/cons_doc_LAW_102278/5b46a07a2672055ee770be4ac6a7d64e7e62cf50
  6. Стандарт Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" СТО БР ИББС-1.0-2014" (принят и введен в действие Распоряжением Банка России от 17.05.2014 № 399). URL: http://www.consultant.ru/document/cons_doc_LAW_163762
  7. Алавердов А.Р. Управление кадровой безопасностью организации. – М., 2012. – 176 с.
  8. Астахова Л.В. Проблема оценки HR-уязвимости объекта защиты информации // Вестник УрФО. Безопасность в информационной сфере, 2011. – № 1. – С. 26-33
  9. Астахова Л.В. Проблема идентификации и оценки кадровых уязвимостей информационной безопасности организации // Вестник ЮУрГУ. Серия «Компьютерные технологии, управление, радиоэлектроника», 2013. – Т. 13. – № 3. – С. 79-83
  10. Бойдало М.К., Жигулин Г.П. Метод и модель оценки профессионального соответствия персонала в вопросах обеспечения информационной безопасности // Научно-технический вестник Поволжья, 2014. – №3. – С. 66-71
  11. Бойдало М.К., Жигулин Г.П. Персонал организации как уязвимость в системе информационной безопасности: атаки и противодействие им // Научно-технический вестник Поволжья, 2015. – №3. – С. 89-91
  12. Бойдало М.К. Политика информационной безопасности в государственных органах и коммерческих организациях США в XXI веке // Научная Перспектива, 2013. – №7(41). – С. 39-43
  13. Бойдало М.К. Роль персонала органиизации в обеспечении информационной безопасности // Фундаментальные и прикладные исследования в современном мире, 2015. – С. 116-118
  14. Жигулин Г.П., Бузинов А.С., Шабаев Р.И. Моделирование и прогнозирование информационных угроз. – СПб.: СПб ГУ ИТМО, 2011. – 150 с.
  15. Исследование утечек конфиденциальной информации в 2013 году аналитического центра «InfoWatch», 2014. URL: httpy/www.infowatch.ru/report2013
  16. Исследование утечек конфиденциальной информации в первом полугодии 2014 года аналитического центра «InfoWatch», 2014. URL: http://www.infowatch.ru/ report2014_half
  17. Кибанов А.Я. Кадровая политика и стратегия управления персоналом. – М., 2012. – 64 с.
  18. Парушина Н.В. Сучкова Н.А., Губина О.В. Концепция профессиональной подготовки кадров для инновационной экономики на основе современных информационно-аналитических технологий, алгоритмов, методик и программ // Фундаментальные исследования, 2013. – №10(5). – С. 1112-1116
  19. Пугачев В.П. Планирование персонала организации: Учебное пособие. – М.: Издательство Московского Университета, 2011. – 235 с.
  20. Семенченко А.В. Управление кадровой безопасностью в контексте социально-экономического развития организации // Проблемы экономики, 2013. – № 1. – С. 232-236
  21. Сидорова М.А., Парушина Н.В. Экономическая безопасность управления кадрами и кадровая политика подбора персонала, 2015. URL: http://www.scienceforum.ru/2016/1429/17430 (дата обращения: 24.01.16)
  22. Статистика компании «Информзащита», 2013. URL: http://infosec.ru/
  23. Тропникова В.А. Человеческий капитал России – проблема или потенциал современного развития экономики? // Инновационная экономика и общество, 2013. – № 1. – С. 16-20
  24. Ульянов Н.Л., Астахова Л.В. Проблема кадровой безопасности в системе стандартов информационной безопасности банка России // Вестник УрФО. Безопасность в информационной сфере, 2015. – №4(14). – С. 66-70
  25. Харский К.В. Благонадежность и лояльность персонала. – СПб.: Питер, 2013. – 496 с.
  26. Шарипов Ф.В. Психологические основы менеджмента. – Издательство: Владос-Пресс, 2013. – 296 с.

СПИСОК ДЛЯ ТРЕНИРОВКИ ССЫЛОК