Тема 4. Противодействие угрозам информационной
Безопасности организации со стороны
Собственного персонала
Вопросы темы:
4.1. Конфиденциальная информация как объект защиты.
4.2. Типовые причины, формы и методы реализации угроз информационной безопасности организации с участием ее персонала.
4.3. Методы противодействия угрозам информационной безопасности организации со стороны ее персонала.
4.4. Управление персоналом организации в целях обеспечения ее информационной безопасности.
Цели и задачи:
Цели и задачи изученияданной темы – получение общетеоретических знаний о проблеме информационной безопасности в деятельности современной организации во взаимосвязи с кадровым аспектом ее работы. Серьезное и целенаправленное изучение темы познакомит студентов с субъектами и объектами рассматриваемых в ней угроз, типовыми формами их практической реализации, основными профилактическими и пресекающими методами противодействия соответствующим угрозам.
В результате успешного изучения темы Вы:
Узнаете:
§ почему большинство современных организаций рассматривают угрозу информационной безопасности в качестве приоритетной;
§ какие причины могут подтолкнуть сотрудников организации к нарушению правил обеспечения информационной безопасности;
§ в какой форме и какими методами могут быть реализованы соответствующие угрозы;
§ какие организационные, технические и кадровые методы должна использовать организация для защиты конфиденциальной информации от угроз со стороны безответственных или нелояльных сотрудников.
и приобретете следующие профессиональные компетенции:
§ способность ранжировать закрытую информацию организации по степени ее конфиденциальности;
§ умение прогнозировать причины возможных нарушений сотрудниками правил обеспечения информационной безопасности своего работодателя и своевременно нейтрализовывать их;
§ навыки в области организации специального обучения сотрудников организации правилам обеспечения информационной безопасности;
§ навыки в области организации контроля над соблюдением сотрудниками организации правил обеспечения информационной безопасности и, при необходимости, выбирать адекватные санкции к виновникам их нарушения.
В процессе освоения темы акцентируйте внимание на следующих ключевых понятиях:
Безопасность компьютерных сетей организации- совокупность мер по обеспечению защиты их от несанкционированного доступа в целях перехвата информации, ее искажения или уничтожения, а также вмешательства в финансовые операции.
Гриф конфиденциальности – специальная отметка на конфиденциальных документах (базах данных), определяющая степень защиты содержащихся в них сведений.
Допуск– установленное режимом безопасности организации для конкретного сотрудника, клиента, пользователя право доступа в защищенные от несанкционированного проникновения компьютерные сети и базы данных, входа в охраняемые помещения, работы с конфиденциальными документами (дифференцируется в зависимости от степени секретности объекта защиты).
Канал утечки информации– конкретная форма атаки на конфиденциальную информацию в целях ее перехвата (наиболее распространенные способы – подслушивание, перехват электромагнитных излучений, проникновение в компьютерные сети, фотографирование, хищение документов и их носителей, вывод из строя технических и программных средств информационной защиты).
Конфиденциальная информация - информация, доступ к которой ограничивается в целях защиты коммерческой или клиентской тайны, а также другие сведения, разглашение которых по каким-либо причинам нежелательно для конкретной организации.
Перехват информации– получение несанкционированного доступа к конфиденциальным сведениям организации, осуществляемое с использованием различных методов компьютерного, технического и организационного характера.
«Слив» информации (сленговое выражение) – форма реализации угрозы информационной безопасности организации путем разового или систематического (регулярного) разглашения ее сотрудниками конфиденциальных сведений.
Хакер– специалист в области компьютерных систем, способный скрытно для объекта угрозы проникать в защищенные сети и базы данных в целях последующего перехвата информации, ее повреждения или проведения незаконных финансовых операций (чаще всего – с целью хищения денежных средств)
Для изучения темы:
Ø Прочитайте:
1. Алавердов А. Управление кадровой безопасностью организации: Учебник / Академическая серия – М.: Изд. МАРКЕТ-ДС, 2008 – Тема 1.
2. Соломанидин В.Г., Соломанидина Т.О. Кадровая безопасность компании. – М.: Альфа-Пресс, 2011. – 688с.
3. Бизнес и безопасность. Толковый терминологический словарь. – М.: «Бек», 1995 – соответствующие термины.
Ø Обратите внимание на:
§ необходимость четкого разделения особо конфиденциальной информации на две категории – информацию, составляющую коммерческую тайну и информацию, составляющую клиентскую тайну;
§ две типовые первопричины реализации угроз информационной безопасности организации со стороны ее персонала – безответственность сотрудников и злой умысел сотрудников;
§ особую опасность угрозы искажения информации с позиции финансовых интересов организации и ее клиентов;
§ необходимость особого внимания к безопасности информации на электронных носителях;
§ многообразие каналов утечки информации в устной форме.
Ø Ознакомьтесь со следующими дополнительными материалами:
1. Закон РФ «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ в редакции на 01.06.2012. - http://www.consultant.ru
2. Абрамов А., Никулин О., Петрушин А. Системы управления доступом. – М.: «Оберег - РБ», 1998
3. Бузов Г., Калинин С., Кондратьев А. Защита от утечки информации по техническим каналам: учебное пособие. – М.: Горячая линия – Телеком, 2005. – 416 с.
4. Гончаренко Л., Куценко Е. Управление безопасностью: учебное пособие. – 2-е изд. – М.: КноРус, 2010. – 272 с.
5. Грень И. Компьютерная преступность. – М.: Изд. «Новое знание», 2007. – 413 с.
6. Доронин А. Бизнес-разведка. – М.: «Ось-89», 2010. – 704 с.
7. Енин А., Ковалевич И., Руденков В. Интеллектуальные секреты и безопасность бизнеса: практическое пособие. – М.: ФУАинформ, 2007. – 224 с.
8. Захаров О. Практическая секьюретизация. Руководство по безопасности бизнеса. – М.: Феникс, 2010. – 316 с.
9. Кузнецов И. Бизнес-безопасность. – М.: Дашков и К, 2008. – 416 с.
10. Лемке Г.Э. Коммерческая разведка для конкурентного превосходства. – М.: Московская финансово-промышленная академия, 2011. – 352 с. (серия «Безопасность бизнеса»).
11. Лукашин В. Информационная безопасность. Учебно-практическое пособие. – М.: МЭСИ, 1999
12. Минаев Т. Безопасность организации: учебник. – М.: КИТ, 2009. – 440 с.
13. Одинцов А. Экономическая и информационная безопасность предпринимательства: учебное пособие для вузов. – М.: Academia, 2008. – 336 с.
14. Чумарин И.Г. Испытательный срок и адаптация с точки зрения кадровой безопасности» // Кадры предприятия. – 2004. – № 9.
15. Ярочкин В. Система безопасности фирмы. – М.: Ось-89, 2003. – 352 с.
Ø Обратите внимание на:
§ конкретные формы проявления безответственности сотрудников при работе с конфиденциальной информацией;
§ многообразие технических средств перехвата информации, используемые в современной бизнес - разведке;
§ необходимость комбинирования методов защиты конфиденциальной информации.
Ø Ответьте на следующие вопросы:
1. Все ли организации должны сегодня применять одинаковую методику ранжирования конфиденциальной информации?
2. Какие причины разглашения конфиденциальной информации являются наиболее распространенными в нашей стране?
3. Почему организационные методы защиты конфиденциальной информации от нелояльных сотрудников являются наиболее доступными для большинства современных работодателей?
4. Между какими инстанциями распределяется ответственность за утечку конфиденциальной информации на электронных носителях?
5. Какие санкции целесообразно применять к сотруднику, безответственность которого привела к утечке абсолютно конфиденциальной информации?
Теоретический материал по теме: