Роль службы персонала в обеспечении защиты информации. Существует много различного защитного ПО, например файрволы, системы обнаружения вторжений, антивирусы и т. д., каждое из которых выполняет определенные функции и направлено на решение определенных задач. Однако мы можем использовать самое лучшее ПО, в котором применяются самые передовые технологии, криптостойкие алгоритмы, но при этом нельзя быть уверенным на все 100%, что наша система неуязвима. Потому что в реализации всех решений и применении их на практике участвуют люди, а людям свойственно ошибаться. Человек, являясь частью системы, был и остается самым уязвимым местом в системе безопасности. Человеческий фактор является причиной успеха многих атак, и тому есть масса примеров. Персонал является самым трудным в управлении ресурсом, с ним связано больше всего проблем. Можно выделить целый ряд особенностей персонала, приводящих к возникновению проблемных ситуаций: • Люди склонны обсуждать свои животрепещущие проблемы с коллегами везде, где только можно, - от столовой до вагона метро. В последние годы бороться с этой человеческой слабость стало сложнее, поскольку ушли в прошлое традиции секретности. • Человек, в отличии машин, способен воспринимать и обобщать информацию, поступающую из различных альтернативных источников, таких, как чужие телефонные разговоры, проекты документов на столе коллег, слухи и сплетни, обрывки фраз или просто настроение руководства. Объединяя такого рода информацию с имеющимися у него документами и знаниями, сотрудник может получить информацию, степень конфиденциальности которой выше, чем имеющиеся у него права доступа. • Люди обижаются, и порой мстят, и нанесение вреда информационным ресурсам стало одним из популярных способов отмщения обидчикам. Следует помнить, что можно не только запускать вирусы в корпоративные сети или стирать файлы - порой не меньший вред можно причинить, положив не на то место дело или бумажный документ, или же просто не поделившись известной человеку информацией. • Ограничения доступа к информации (особенно непродуманные) воспринимаются как вызов, и побуждают людей к активным, порой весьма хитроумным действиям по их преодолению или обходу. • В отличие от машин, квалифицированные сотрудники не выпускаются на конвейере, и найти полноценную замену заболевшему или уволившемуся работнику не всегда просто. Ситуация может стать очень острой, если выбывшего сотрудника некому подстраховать. Всё это означает, что служба персонала не только играет существенную роль в обеспечении информационной безопасности, но и то, что ей ещё очень многое предстоит сделать, - конечно, с помощью других подразделений. Статистика свидетельствует о том, что большинство удачных атак на информационные системы либо идут изнутри организации, либо при содействии кого-то из сотрудников. При помощи одних только технических и программных средств надёжную защиту обеспечить трудно, тем более, что сейчас в распоряжении злоумышленника может находиться арсенал средств (продаваемых в магазинах по вполне умеренным ценам), которому лет двадцать-тридцать назад позавидовали бы ведущие разведки мира. На каждую новинку в области защиты быстро находится "противоядие". Пример. Уровень "человеческой" угрозы компьютерным системах очень хорошо иллюстрируют данные ежегодного опроса коммерческих фирм, проводимого совместно Институтом компьютерной безопасности (Computer Security Institute - CSI) и ФБР. Опрос 2003 года показал, что несанкционированный доступ к своим компьютерам заметили 56% опрошенных, при этом 30% сообщили о попытках взлома "изнутри". В качестве основных причин для беспокойства компании отметили злоупотребление сетевым доступом со стороны сотрудников (97%), заражение вирусами (94%), несанкционированный доступ "изнутри" (71%) и кражу ноутбуков (69%). Уязвимость любой системы оценивается по её наиболее слабому звену. Накопленный опыт недвусмысленно показал, что самое слабое звено систем информационной безопасности организации - собственные сотрудники. Из исследовательского отчёта фирмы "Эрнст и Янг" "Глобальное исследование по информационной безопасности 2004" "Опрометчивость или простая неосторожность одного сотрудника может свести на нет даже самые действенные контрмеры технологического характера. Многие нарушения в области безопасности являются всего лишь следствием небрежности людей". Именно поэтому в международные и национальные стандарты по информационной безопасности включаются целые разделы, посвященные работе с персоналом организации. Меры, необходимые для уменьшения угрозы со стороны сотрудников, общеизвестны (другое дело, что реализовать их на практике не так-то легко): • Все принимаемые на работу сотрудники должны проверяться. Совершенно ясно, что проверка эта должна осуществляться в нескольких направлениях. • Необходимо внедрять программу обучения и повышения уровня информированности персонала, которая является одним из основополагающих компонентов эффективной стратегии информационной безопасности. По логике вещей, сотрудники вряд ли могут знать о случаях нарушения в области информационной безопасности, если им не предоставляется информация о критериях распознавания таких случаев, а также о том, как уведомить соответствующие инстанции об их обнаружении. Важность работы с персоналом определяется тем, что в случае желания сотрудника разгласить сведения (в силу корыстных или других мотивов), являющиеся коммерческой тайной, воспрепятствовать этому не смогут никакие, даже дорогостоящие средства защиты. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала. Таким образом, деятельность службы персонала, связанную с обеспечением информационной безопасности, можно разделить на три основных направления: 1. подбор надёжных и высококвалифицированных работников; 2. защита конфиденциальной информации и персональных данных сотрудников; 3. защита информации, находящейся в головах сотрудников и имеющей ценность для организации, в которой они работают. Рассмотрим каждое направление и изучим существующую статистику: При подборе персонала для работы с ценной или конфиденциальной информацией следует в первую очередь обращать внимание на личные и моральные качества кандидатов на должность, их порядочность и лишь затем - на их профессиональные знания, умения и навыки. Важно уже на первых этапах отбора отсечь те кандидатуры, которые по формальным признакам явно не соответствуют требованиям, предъявляемым к будущему сотруднику. Основные личные качества, которыми должен обладать потенциальный работник, связанный с конфиденциальной информацией: порядочность, честность, принципиальность и добросовестность; исполнительность, дисциплинированность; эмоциональная устойчивость (самообладание); стремление к успеху и порядок в работе; самоконтроль в поступках и действиях; правильная самооценка собственных возможностей и способностей; умеренная склонность к риску; умение хранить секреты в любой обстановке и любом состоянии; тренированное внимание; хорошая память, умение вести сравнительную оценку фактов, предложений и т.д. Личные качества, не способствующие сохранению секретов: эмоциональное расстройство; неуравновешенность поведения; разочарование в себе и своих способностях; отчуждение от коллег по работе; недовольство своим служебным положением; ущемленное личное самолюбие; крайне эгоистическое поведение; отсутствие достаточного благоразумия; нежелание и неспособность защищать информацию; нечестность; финансовая безответственность, желание получать деньги без особых затрат умственных и физических сил; употребление наркотиков; отрицательное воздействие алкоголя. О многом может рассказать анкета соискателя. На каждого кандидата должны быть рекомендации с предыдущего места работы - письменные и устные. Весьма подозрительно, если человек утаивает предыдущее место работы. Тогда к нему предъявляются дополнительные требования, и он проверяется более тщательно. Многие компании при найме новых сотрудников подключают собственную службу безопасности. Служба безопасности может проверить наличие у кандидата криминального прошлого и административных правонарушений по информационным базам МВД и других силовых структур". НО согласно новому трудовому законодательству, все данные о потенциальном работнике можно узнать только у самого работника и никак иначе. Фактически, собирая информацию о будущем работнике, работодатель нарушает