Козьминых С.И. Организация защиты информации в ОВД. Ч. 1
.pdf111
Первый уровень – обеспечение информационной безопасности силами спецслужб.
Второй – культивирование атмосферы бдительности и ответственности с помощью так называемых координаторов, назначаемых из служащих среднего звена.
Таблица 1
Потенциальные угрозы информационной безопасности организации, вызванные использованием информационных технологий
Виды |
Категории |
|
|
|
компьютерных |
Примеры |
Результаты |
||
персонала |
||||
манипуляций |
|
|
||
|
|
|
||
Ввод |
Специалисты |
Фальсификация исход- |
Дезинформация |
|
неправильных |
по ИТ, |
ного документа, изме- |
и возможно |
|
данных |
пользователи, |
нение данных на носи- |
дискредитация |
|
|
другие сотрудни- |
теле информации, вве- |
|
|
|
ки |
дение данных в обход |
|
|
|
|
установленного порядка |
|
|
Фальсификация |
Специалисты по |
«Логическая бомба» |
Вывод из строя |
|
программ |
ИТ |
|
ИС |
|
Изменение |
Специалисты по |
Фальсификация распе- |
Дезинформация |
|
первоначальных |
ИТ, пользователи |
чаток, замена данных, |
и возможно |
|
данных |
|
записываемых на носи- |
дискредитация |
|
|
|
теле информации, дис- |
|
|
|
|
танционная передача |
|
|
|
|
измененных выходных |
|
|
|
|
данных |
|
|
Похищение и |
Специалисты по |
Несанкционированное |
Потеря конку- |
|
передача |
ИТ, |
копирование и вынос |
рентных пре- |
|
информации |
пользователи, |
информации, атаки ха- |
имуществ от ин- |
|
заинтересованным |
другие сотрудни- |
керов |
формационной |
|
лицам |
ки, посетители, |
|
асимметрии |
|
|
партнеры |
|
|
|
Незаконное |
Специалисты по |
Использование ИС для |
Снижение эко- |
|
использование |
ИТ, пользователи |
дополнительных зара- |
номической эф- |
|
машинного |
|
ботков, использование |
фективности, ис- |
|
времени |
|
Интернета, оргтехники |
пользование ИС |
|
|
|
и расходных материа- |
|
|
|
|
лов в личных целях |
|
|
Ошибочные |
Специалисты по |
Потеря распечаток, |
Потеря конку- |
|
действия |
ИТ, пользователи |
ошибочное уничтоже- |
рентных пре- |
|
персонала |
|
ние документов, остав- |
имуществ от ин- |
|
|
|
ление документов в ко- |
формационной |
|
|
|
пировальных аппаратах, |
асимметрии |
|
|
|
разглашение информа- |
|
|
|
|
ции в личных беседах, |
|
|
|
|
отправка информации |
|
|
|
|
по ошибочному элек- |
|
|
|
|
тронному адресу |
|
112
Необходим постоянный контроль отношений между сотрудниками, владеющими информацией, учет их морального и психологического состояния. Основаниями для беспокойства являются: проявления эмоциональной неуравновешенности, недовольства, хитрости, разочарования сотрудников. Целесообразно создать систему внутренней коммуникации,не допускающей полной автономности отдельных сотрудников.
В целом, психологическое обеспечение служебной тайны в процессе отбора, подготовки, выдвижения и увольнения кадров эффективнее и дешевле, чем при обычном засекречивании информации.
Весьма эффективны организационно-психологические меры защиты - ин формации:
–дробление, распределение информации между сотрудниками;
–ведение учета ознакомления сотрудников с особо важной информацией;
–распространение информации только через контролируемые каналы;
–назначение лиц, ответственных за контроль документации;
–обязательное уничтожение неиспользованных копий документов и записей;
–четкое определение служебной тайны для сотрудников;
–составление, регулярная оценка и обновление перечня информации, представляющей служебную тайну;
–включение пункта о неразглашении служебной тайны в трудовые -кон тракты, правила внутреннего распорядка и должностные инструкции.
Меры по обеспечению информационной безопасности с позиций человеческого фактора можно рассматривать в качестве щита от воровства информации как специфического ресурса, имеющего значительную ценность.
Воровство и мошенничество как психологическая проблема имеют и свою идеологию: «в России воруют все». С некоторыми вариациями это суждение существует уже столетия. В чем же конкретно проявляется тяжелая наследственность российской ментальности?
1. В сознании людей закон не воспринимается как объективная реальность (установка: «закон, что дышло, куда повернул – туда и вышло»).
2. Возможность заработать воспринимается людьми как возможность -ук расть (установка: «кто смел, тот и съел»).
3. Наличие отраслей, в которых воровство традиционно негласно входит в систему оплаты труда (установка: «работать на кухне и не воровать?»).
Различают такие формы воровства, как:
–индивидуальное воровство, в основе генетический код и ощущение анонимности, самооправдание (все воруют);
–коллективное воровство, в основе идеология восстановления социальной справедливости (экспроприация экспроприированного).
Наиболее эффективно противодействовать этому можно только с учетом фактора как экономического поведения сотрудника.
Экономическое поведение – это поведение, связанное с перебором экономических альтернатив с целью рационального выбора, т.е. выбора, при котором минимизируются издержки и максимизируется чистая выгода. В основе экономического поведения лежат ценностные ориентации людей (деньги, статус, роль, идеалы).
113
На экономическое поведение оказывают влияние различные факторы: технический уровень организации, оплата и условия труда, удовлетворенность трудом, морально-психологический климат в коллективе, образовательный и культурный уровень сотрудника, характер общественной активности.
Различают четыре стратегии экономического поведения:
–минимум труда – минимум дохода;
–минимум труда – максимум дохода;
–максимум труда – гарантированный доход;
–максимум труда – максимум дохода.
Поведение человека в рамках одной стратегии регулируется исключительно его мотивами. Переход от одной стратегии к другой регулируется системой стимулов.
Стратегия «минимум труда – минимум дохода» возникая как вынужденная реакция человека на ситуацию, формирует у сотрудника чувства внутреннего желания искать другую работу, подавленности, способствует становлению разрушительного поведения.
Поскольку в органах внутренних дел используется стратегия«максимум труда – гарантированный доход», для стимулирования добросовестных и инициативных сотрудников необходимо применять такие способы поощрения, как награды грамотами и медалями, помещение на доску почета, повышение классности, повышение в должности, выделение путевок, льготное кредитование и др.
Рекомендации по профилактике воровства в организации.
1.Создавать сильную корпоративную культуру организации(отношения, социальные приоритеты, мораль в организации). Если сформирована «критическая масса» работников, то новички попадают в систему самовоспроизводящегося общественного сознания.
2.Создавать эффективную систему контроля, отвечающую следующим требованиям: регулярность и систематичность, персональная ответственность работников. Условие – контроль необходимо рассматривать как помощь людям
вборьбе с искушением украсть.
3.В качестве профилактических средств периодически вызывать у сотрудников синдромы «чувства вины», «чувства благодарности», играя роль строгого начальника или начальника-спасителя.
4.Контролировать разборчивость в служебных связях. Утверждение «свои не украдут» достаточно спорно.
Могут быть сформулированы и общие правила стимулирования, обеспечивающие безопасное поведение сотрудников:
–доступность (я тоже могу заработать не меньше);
–ощутимость (премия не менее 20 % к окладу, оклад больше возможного дохода от воровства);
–минимальный разрыв между результатами и оплатой по времени(недостаток стимулирования восполняется воровством);
–сочетание стимулов и мер наказания;
–сочетание материальных, социальных и психологических стимулов.
114
Превентивные действия службы защиты информации:
–гибкая организационная структура«под задачи» организации: лишние подразделения следует ликвидировать, перераспределив или уволив часть сотрудников;
–определение приоритетов в развитии сотрудников и реализация функций управления ими;
–ежегодная аттестация сотрудников организации;
–систематический пересмотр «Положений о подразделениях» и «Должностных инструкций» с целью их совершенствования в соответствии с изменениями в разделении и организации труда, а также в связи с изменениями уровня профессионализма самих сотрудников;
–разработка компенсационных пакетов (размера, структуры, соотношения различных форм вознаграждения сотрудников) с ориентацией на конечные результаты, значимые для организации(например, система сквозных показателей), и с учетом индикации;
–разработка системы мер профилактики противоправного поведения сотрудников, в том числе и на случаи возникновения объективных причин к снижению уровня преданности, например при угрозе увольнения(здесь речь идет о защите конфиденциальной информации, включая соответствующие положения о трудовых соглашениях, и мерах против мошенничества, включая внутренний аудит).
Превентивные меры могут быть приняты также с момента поступления сотрудника на службу. К таким мерам относятся: заключение срочного трудового контракта; заключение договора о сохранении конфиденциальной информации, служебной тайны, о материальной ответственности; ознакомление под расписку с должностной инструкцией с правилами трудового распорядка, положением об оплате и стимулировании труда, коллективным договором (если таковой имеется), специальными мерами в случае необходимости увольнения.
7. Создание в коллективе здорового психологического климата
Дальновидные руководители под воспитательной работой подразумевают прежде всего создание реально здорового психологического климата в коллек-
тиве, позволяющего объединить осознанные усилия сотрудников на решение стоящих задач и преодоление возникающих трудностей. Психологический климат именуется «здоровым», когда интересы всех сотрудников и каждого отдельного сотрудника совпадают и составляют единое устремление, направленное к одной цели – достижению успехов в организации.
Упорная работа руководителей по формированию здорового психологического климата в коллективе лежит в основе воспитания у сотрудников ответственного отношения к своей работе и осознанного участия в делах организации. Такие сотрудники, как правило, серьезно относятся к сохранению конфиденциальности тех работ, которые они выполняют, строго соблюдают требования информационной безопасности и защиты информации.
При формировании здорового психологического климата решаются -сле дующие задачи:
115
–создание действенной системы стимулирования труда сотрудников;
–обеспечение условий для долговременной работы в организации каждого способного сотрудника, развитие духа коллективизма;
–участие сотрудников в выработке решений, распределении премий и других льгот;
–расстановка кадров в соответствии со способностями сотрудников;
–реализация на практике(при необходимости) гибкой нетравмирующей системы увольнений;
При нормальном психологическом климате сотрудники доброжелательно относятся к любым ограничениям, связанным с функционированием системы защиты информации, добровольно, с пониманием выполняют все требования этой системы.
Структурно здоровый психологический климат должен включать в себя следующие основные элементы:
–постоянное изучение комплекса качеств каждого сотрудника, т.е. знание каждого сотрудника в отдельности, а не абстрактная воспитательная работа с коллективом;
–строгое выполнение работодателем пунктов и положений коллективного договора и соглашений;
–создание реальных условий для продвижения сотрудников по службе или повышения заработной платы с учетом их трудовых достижений;
–организация обучения или переподготовки способных и ценных работников;
–неотвратимость и обоснованность применения норм дисциплинарной ответственности;
–строгое выполнение руководством норм по технике безопасности и охра-
не труда, создание наилучших условий для работы сотрудников и их отдыха;
–организация благоприятных условий для проведения отпусков и выходных дней сотрудников;
–своевременное выявление неформальных лидеров в коллективе, выдвижение их на руководящие должности или перевод в другие подразделения или увольнение (при их отрицательном влиянии на коллектив);
–заинтересованное участие руководства в решении сотрудниками своих бытовых проблем;
–охрана сотрудников, гарантия их юридической и физической защиты в случае попыток криминальных действий злоумышленников по отношению к ним, их родственникам и близким людям.
Здоровый психологический климат воспитывает профессиональную -гор дость сотрудников и создает труднопреодолимый барьер на пути любого злоумышленника, который пытается получить конфиденциальные сведения.
Для сотрудников часто важна не столько заработная плата, которую он получает, сколько та доброжелательная обстановка, которая существует в коллективе, уверенность в том, что его ценят как специалистаценят, его упорный труд, и он может надеяться на продвижение по службе.
116
Здоровый психологический климат в коллективе формируется не только за счет взаимопонимания руководства и сотрудников в вопросах повышения эффективности работы, но и ответственного отношения руководителей к соблюдению трудового законодательства.
Важно, чтобы нормы трудового законодательства являлись основой при решении любых вопросов, связанных с оформлением прав сотрудников в процессе их трудовой деятельности. Это касается прежде всего вопросов предоставления отпусков, поощрения сотрудников за успехи в работе, наложения на них дисциплинарных взысканий, нормирования и охраны труда и других не менее важных вопросов.
8. Создание корпоративной культуры в организации
Одним из направлений текущей работы с сотрудниками по защите информации является создание так называемой корпоративной культуры в организации.
Корпоративная культура – понятие хотя и новомодное, перенесенное в нашу жизнь с Запада, но, как оказывается, является центральным фактором, влияющим на поведение сотрудников организации. От того, как складывается корпоративная культура в организации, зависят действия сотрудников по сохранению конфиденциальной информации.
Корпоративная культура как свод правил и норм поведения может быть документирована и представлять собой описание действий персонала в тех или иных ситуациях. В описании корпоративной культуры могут быть внесены пункты, прямо определяющие поведение сотрудников при столкновении с различными ситуациями: склонении к сотрудничеству; переманивании или выведывании информации. Целесообразно ввести в корпоративный кодекс пункт: «При контакте с любым человеком, делающим Вам предложение о смене работы или попытке узнать сведения конфиденциального характера, оповестите руководство».
Одним действенных способов «обороны» служит максимальное «сужение» каналов информации о сотрудниках компании в публичных источниках(в прессе, Интернете и т.д.). Например, в ряде организаций прямо запрещают(отражено в описании корпоративной культуры) своим сотрудникам публиковать свои телефоны и другую контактную информацию, давать интервью, публиковать статьи, посещать семинары, конференции, профессиональные клубы без согласования с руководством компании и службы защиты информации.
В годы «холодной войны» на инструктаже в преддверии одной из международных конференций по ядерной физике куратор из КГБ запретил советским ученым выступать на ней с докладами и вступать в кулуарные дискуссии с -за падными учеными. Но он же разрешил задавать вопросы по выступлениям зарубежных коллег, очевидно, рассчитывая почерпнуть, таким образом, дополнительные сведения из области их научных исследований. Однако результат оказался прямо противоположен планируемому: по характеру задаваемых нашими учеными вопросов аналитический отдел ЦРУ смог сделать близкие к реальности выводы относительно уровня развития советской научной мысли по определенной проблематике.
117
Однако на какой бы высокий уровень ни была поднята корпоративная культура, организации не следует забывать и о системе мотивации сотрудников, которая играет значительную роль в формировании лояльного отношения сотрудника к своему работодателю.
9. Мотивация сотрудников к выполнению требований по защите информации
Прежде всего, важна стратегия построения такой системы, которая бы удерживала сотрудников от неожиданного перехода на другое место работы или от сознательной передачи конфиденциальной информации противнику. Конечно же, ситуация, когда ни один сотрудник не покидает стен своей организации, справедлива только для итальянской мафии или японской якудза.
Когда руководитель слышит слова«система мотивации», в его воображении моментально возникает внушительная стопка денежных купюр, с которыми он тут же мысленно расстается. Однако при правильном подходе к делу можно обойтись и без существенных финансовых затрат. Секрет успешного построения системы мотивации – в сбалансированном сочетании материальной и моральной составляющих.
Кматериальной составляющей системы мотивации персонала относятся:
– заработная плата;
– премии;
– ценные подарки;
– доплата за классность;
– льготное кредитование;
– служебные машины и квартиры;
– оплата проезда (на работу и к месту отдыха во время отпуска);
– оплата обучения;
– страхование жизни, здоровья;
– медицинское обслуживание;
– предоставление бесплатного фитнеса и спортивных секций;
– социальные программы.
Кморальной составляющей системы мотивации персонала относятся:
–персональное доброжелательное внимание к сотрудникам;
–согласование целей и задач организации с сотрудниками;
–учет потребностей сотрудников организации;
–карьерный рост сотрудников;
–перевод сотрудника на ожидаемую работу;
–награждение сотрудников грамотами, помещение фамилий сотрудников на доску почета;
–оценка хорошо выполненной работы на общих собраниях коллектива;
–поздравления сотрудников с юбилеями и другими значимыми событиями. В органах внутренних дел имеются подразделения по работе с личным соста-
вом, в составе которых работают не только кадровые сотрудники, но и профессиональные психологи, задачами которых являются изучение морально-психоло- гического климата в коллективе, анализ потребностей сотрудников и их эмоцио-
118
нального состояния. На основе анализа формируются планы работы с личным составом, нацеленные в первую очередь на создание системы мотивации сотрудников в сбалансированном сочетании материальной и моральной составляющих.
Одной из проблем, которой руководители зачастую уделяют мало внимания, является информирование сотрудников о различных аспектах деятельности организации: ее успехах, планах развития, изменениях в структуре организации, перестановках в руководящем составе и т.д. Как известно, неизвестность пугает больше, чем реальная опасность. Когда человек имеет ясное представление о причинах тех или иных событий, происходящих на работе, знает, из чего складывается его благополучие, он чувствует себя спокойнее. В противном случае им овладевает чувство неуверенности, депрессии.
Действительно, отсутствие информации порождает догадки, слухи, не всегда оправданные сравнения, что со временем становится катализатором недовольства сотрудников. Все это отрицательно влияет на обеспечение безопасности конфиденциальной информации. Сотрудники становятся болтливыми, обсуждают работу дома, со знакомыми и становятся легкой добычей охотников за информацией.
Вместе с тем было бы неверно свести проблему безопасности конфиденциальной информации только к оплате труда и возможному недовольству ее размером. Человеческие потребности безграничны, и любой уровень заработной платы со временем будет казаться недостаточно высоким. Ресурсы, которые могут использоваться для выплат сотрудникам, ограничены, и руководителям волей-неволей приходится искать нематериальные способы мотивации и стимулирования.
Сегодня в системе стимулирования переживают второе рождение уже подзабытые атрибуты советской эпохи: грамоты, «Доски почета», соревнования между отделами, группами и т.п. Критерий «о ценности труда» при росте профессиональной компетенции достаточно быстро становится определяющим. Человеку просто необходимо, чтобы его труд ценили и хвалили. Важно осознавать собственную значимость, не требуя никаких материальных затрат. Этот способ мотивации при умелом применении вполне может конкурировать по результатам с материальным поощрением.
Другими современными инструментами мотивации являются тренинги, например, по коммуникативному общению, психологической совместимости и т.д., позволяющие объединить сотрудников в команду, повысить эффективность и производительность труда. Каждый тренинг должен сопровождаться отчетом, который затем анализируется: рассматриваются ситуации, происходившие на семинаре, даются развернутые характеристики участников, анализ сильных и слабых сторон каждого участника по тематике тренинга. Этот анализ позволит как руководителю, так и службе по работе с личным составом и сотрудникам службы -за щиты информации не только выявить слабые и сильные стороны сотрудников, но и оценить их поведение в различных ситуациях, в том числе и экстремальных.
Однако наилучшим способом мотивации персонала является отождествление сотрудника и организации. «Мои цели – это цели организации. Мои инте-
119
ресы – это ее интересы». Если сотрудники рассуждают подобным образом, разделяют цели организации, то сманить их на сторону или выведать у них конфиденциальную информацию практически невозможно. Однако это возможно лишь в том случае, если люди будут уверены, что их карьера будет развиваться наилучшим образом именно в данной организации, причем ее развитие будет зависеть не от прихотей вышестоящего начальства, а подчиняться долгосрочному плану, предусматривающему и материальную заинтересованность, и профессиональный рост сотрудника.
10. Увольнение сотрудников, работающих с конфиденциальной информацией
Особо следует остановиться на мерах по обеспечению информационной безопасности при увольнении сотрудника. О намерениях сотрудника уволиться косвенно свидетельствует посещение соответствующих сайтов в Интернете, рассылка резюме. С этого момента вся переписка с рабочего адреса и некоторые операции на персональном компьютере должны быть взяты под негласный контроль. Как можно скорее в отсутствие данного пользователя необходимо сделать резервную копию всех его файлов.
Принимая во внимание, что сотрудник может изменить свои намерения и остаться, а также допуская, что просмотр вакансий мог осуществляться по просьбе знакомых, ищущих работу, нет необходимости принимать сразу явные меры безопасности.
Если сотрудник объявил о своем увольнении, необходимо принять следующие меры:
–проинформировать всех сотрудников о предстоящем увольнении их коллеги и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе;
–сделать резервную копию файлов с компьютера увольняющегосясо трудника;
–организовать передачу дел;
–постепенно, по мере передачи дел, сокращать права доступа к конфиденциальной информации;
–организовать сопровождение специалистом по защите информации увольнение сотрудника.
Если сотрудника увольняют, уличив в шпионаже, то процедура сопровождения остается на усмотрение службы защиты информации, задача которой – происходящее не должно нанести ущерб социально-психологическому климату в коллективе, а по возможности, напротив, консолидировать остальных сотрудников.
Если сотрудник уличен в шпионаже, необходимо немедленно:
–лишить его всех прав доступа к информационным системам;
–скорректировать права доступа к общим информационным ресурсам(ба-
зам данных, принтерам, факсам), перекрыть входы во внешние сети и изменить правила доступа к ним;
120
–всем сотрудникам сменить личные пароли, при этом до их сведения доводится следующая информация: «Сотрудник N с такого то числа не работает. При любых попытках контакта с его стороны сразу же сообщать в службу защиты информации»;
–на некоторое время проводить контроль информационных систем в усиленном режиме.
Если сотрудник увольняется не по причине уличения в шпионаже, то перечисленные меры могут применяться не в полном объеме, дабы не оказывать негативного воздействия на психологическое состояние человека. Необходимо внушить увольняющемуся сотруднику, что таков общий порядок, и он лично ни в чем не подозревается.
Если сотрудники увидят, что увольнение сотрудника неразрывно связано с моральным ущербом, то пострадает общий морально-психологический климат: организация может ассоциироваться с тюрьмой или сектой. Кроме того, нецелесообразно портить отношения со всеми увольняющимися сотрудниками: кто-то может вернуться, а кто-то – оказать помощь.
Увольнение человека, работавшего с конфиденциальной информацией, имевшего доступ к важным информационным ресурсам, представляет угрозу безопасности деятельности организации, так как никому неизвестно, куда пойдет работать уволившийся сотрудник. Он может оказаться в любой из криминальных структур, где, не имея обязательств перед бывшим работодателем, скорее всего, не преминет поделиться накопленным багажом знаний или использует их в своих корыстных целях.
Пример
Бывший работник регионального отделения крупного банка .Чпохитил у компании крупную сумму денежных средств. Ч. проработал в банке около года в должности старшего инженера с функциями администратора безопасности системы расчетов по пластиковым картам. И Ч. неожиданно уволился, заблокировав перед этим пароль базы данных. Затем с помощью специальной программы, позволявшей делать так называемое безадресное зачисление средств, Ч. перечислил около 2 млн руб. на счета своих подельников. Понадобились длительные усилия правоохранительных органов для задержания
злоумышленников, причем значительная часть похищенного так и не была возвращена.
Если сотрудник, располагающий какими-либо конфиденциальными сведениями, увольняется по инициативе работодателя, не следует поспешно реализовывать принятое решение. В этом случае необходимо под соответствующим предлогом перевести сотрудника на другой участок работы, где отсутствуют сведения конфиденциального характера, либо сохранить его в структуре организации до тех пор, пока не будут приняты меры к снижению возможного ущерба от разглашения сведений или найдены адекватные средства защиты.
Если сотрудник увольняется по собственному желанию, необходимо попытаться определить истинную причину его решения(иногда причины, на которые ссылается сотрудник при увольнении, и подлинные мотивы, побудив-