Основа стратегической безопасности

CERT на основании результатов  своих исследований разработал ряд инструкций, которые помогут организовать защиту от внутренних угроз в компании и предотвратить их на ранних стадиях.

Инструкция 1. Установить в компании таблицу ценностей и доступа к ним каждого сотрудника исходя из его служебных обязанностей.

Непростая задача для организации обоснованно определить баланс между доверием своим сотрудникам, предоставляя им доступ для достижения организацией своей миссии, и защитой от этих же сотрудников. Доступ в совокупности со знаниями об уязвимостях организации технологической составляющей и бизнес-процессов дает возможность внутреннему нарушителю совершать деструктивные действия против своих сотрудников. Организация должна защитить себя одновременно от внутреннего и от внешнего нарушителя, используя принципы управления рисками. Организация должна взглянуть на информационную безопасность в масштабе всего предприятия, первое — определить свои критические активы, затем определить стратегию управления рисками для защиты данных активов одновременно и от внутреннего от внешнего нарушителя.

Инструкция 2. Организовать периодические занятия для всех служащих по повышению уровня их квалификации в информационной безопасности.

Культура осведомленности о  безопасности должна быть привита в организации так, чтобы все сотрудники понимали необходимость правил, процедур и технического контроля. Первой линией обороны от внутренних угроз должны быть сами сотрудники. Все сотрудники организации должны понимать, что в силу определенных причин существует политика безопасности и процедур и следует неукоснительно им подчиняться и что могут быть серьезные последствия в случае их нарушения. Каждый сотрудник должен быть осведомлен о политике безопасности в организации и процессах отчетности нарушения данных правил.

Инструкция 3. Определить требования к применяемым паролям и политику управления учетными записями в корпоративных системах бдительность сотрудника, который пытается предотвратить внутреннюю атаку, тщетна, если компьютерные учетные записи в организации могут быть скомпрометированы вследствие совмещенного доступа, например, или записанного на мониторе пароля. Внутренний нарушитель имеет возможность обойти все: ручной и автоматический механизмы, предназначенные для предотвращения атак.

Инструкция 4. Журналирование, мониторинг и аудит в режиме реального времени действий сотрудников. Если политика учетных записей, паролей и процедур внедрена, организация может связать действие в реальном режиме с сотрудником, который данные действия совершил. Журналирование, периодический мониторинг и аудит предоставляют организации возможность обнаружить и изучить подозрительную внутреннюю активность, прежде чем возникнут более серьезные последствия.

Инструкция 5. Использовать дополнительные меры предупреждения для системных администраторов и привилегированных пользователей. Обычно журналированием мониторинг осуществляются совместно системными администраторами и привилегированными пользователями. Поэтому дополнительные меры безопасности должны быть применены к этим пользователям.

Инструкция 6. Использование только доверенного программного обеспечения.

Системные администраторы или привилегированные пользователи могут разместить логическую бомбу или становить другой деструктивный код в системе или в сети. Данные типы атак скрыты и, следовательно, трудно заблаговременно обнаружимы, но проверка установленных программ и их целостности может быть тем инструментом, который может обнаружить на ранних стадиях данные атаки.

Инструкция 7. Использование эшелонированной защиты против удаленных атак.  Внутренний нарушитель будет вынужден осуществлять свои атаки удаленно, если сотрудники компании прошли обучение и применяют нормы информационной безопасности в своей работе, учетные записи защищены от компрометации и сотрудники знают, что их действия журналируются и осуществляется мониторинг. Также, если сотрудники будут сопровождать работу друг друга, это даст дополнительную меру противодействия скрытой угрозе. Поэтому политика удаленного доступа и процедур должна быть разработана и внедрена с особой тщательностью.

Инструкция 8. Блокирование доступа уволенного сотрудника. Необходима процедура уничтожения всех точек доступа в систему уволенного сотрудника независимо от обстоятельств, при которых он был уволен.

Инструкция 9. Сбор и сохранение данных для использования в расследовании.

Важно при внутренней атаке, чтобы организация собрала улики для идентификации внутреннего нарушителя и соответствующих последующих действий.

Инструкция 10. Осуществлять сохранение резервных копий и организовать восстановительные процедуры.

Несмотря на все вышеперечисленные  меры предосторожности, необходимо периодически осуществлять резервное копирование данных и создавать контрольные точки восстановления системы.

Инструкция 11. Необходима предельно ясная документация по информационной безопасности для технического и для пользовательского персонала.

Приведенные инструкции, подготовленные CERT, основываются на многолетних исследованиях проблем защиты критически важных корпорационных систем.

Внедрение данных инструкций независимо от принадлежности сферы  информационной инфраструктуры позволит существенно снизить риск от действий внутреннего нарушителя.

В нашей стране к вопросам информационной защиты наиболее серьезно подходят компании, имеющие отношение к информационным технологиям, к банковскому сектору, сотовой связи, компании, проводящие операции с ценными бумагами. Что касается других организаций, согласно результатам различных исследований руководители многих из них знают об основных видах угроз, но не уделяют должного внимания этим вопросам, полагая, что обеспечение информационной безопасности не имеет смысла, если отсутствует видимая угроза. Как правило, сначала они осознают необходимость защиты от внешних атак, а позже, по мере изучения проблемы, — от атак внутренних. Основная проблема в сфере информационной защиты — недостаточное внимание к ней руководства компаний и, как следствие, дефицит ее финансирования.

Тем не менее, постепенно руководители российских компаний изменяют свой взгляд на информационную безопасность, начиная относиться к ней как к одному из способов повышения конкурентоспособности компании.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА 4. ПРОБЛЕМЫ ОБЕСПЕЧЕНИЯ КАДРОВОЙ БЕЗОПАСНОСТИ

 

«Хорошие кадры стоят дорого,

но плохие обходятся еще дороже»

Г. Форд

 

§ 1. Понятие  кадровой безопасности

 

Кадровая  безопасность представляет собой процесс предотвращения негативных воздействий рисков и угроз на экономическую безопасность предприятия, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Невооруженным взглядом видно, что  кадровая безопасность занимает доминирующее положение по отношению к другим элементам системы безопасности компании, так как она работает с персоналом, кадрами, а они в любой составляющей первичны.

В работе с персоналом первична служба персонала. Таким образом, служба персонала — более важный субъект в кадровой безопасности, чем служба безопасности, то есть кадровой безопасностью не должна заниматься только служба безопасности. Вся деятельность служб персонала может быть разложена на этапы (поиск, отбор, прием, адаптация и т.д., вплоть до увольнения и далее), и на каждом этапе присутствует масса вопросов безопасности, решаемых именно сотрудниками службы персонала. Любое действие менеджера по персоналу на любом этапе — это либо усиление, либо ослабление безопасности компании по главной ее составляющей — по кадрам.

Около 80% ущерба материальным активам  компаний наносится их собственным персоналом. Только 20% попыток взлома сетей и получения несанкционированного доступа к компьютерной информации приходит извне. Остальные 80% случаев спровоцированы с участием персонала компаний.

Также невозможно обойти вниманием и общемировую статистику, применимую к России: 10-15% всех людей являются нечестными по определению, 10-15% абсолютно честны, остальные 70-80% — колеблющиеся, то есть те, кто поступит нечестно, если риск попасться будет минимальным.

На наш взгляд, в  рамках обсуждаемой проблемы, приводимые относительные данные очень близки отечественным показателям. Стоимость преступлений, совершенных должностными лицами и работниками американских компаний, в 1980 году составила $50 млрд., в 1990 — $250 млрд., в 1998— $400 млрд., в 2002 —$600 млрд. Кстати, последняя цифра означает, что каждый работник каждой американской организации (в исследовании участвуют частные и государственные учреждения и предприятия) крадет у своего работодателя больше 12 долларов в день круглый год.

Мошенничество сотрудников  стало основной причиной вынужденного закрытия около 100 американских банков за последние 20 лет. 95% ущерба, понесенного в банковской сфере США, образуется при непосредственном участии персонала банков и только 5% за счет действий клиентов и иных лиц. И это при их хваленой передовой системе safety & security и средствах, выделяемых на защиту активов.

В среднем все эти  заграничные и подобные им отечественные проблемы стоят от 6 до 9% прибыли. И это данные только об умышленном нанесении ущерба персоналом, а во сколько обходится стоимость ошибок, неграмотного использования ресурсов, непрофессионализма и отсутствия компетентности, бездействия, нелояльности и прочее. Это тоже имеет отношение к кадровой проблеме, к кадровой безопасности. И никакая служба безопасности не решит эти проблемы самостоятельно, без помощи подразделения, чья деятельность прямо направлена на работу с персоналом.

Таким образом, специалисты кадровых служб имеют возможность почти на 60% снизить убытки компании, связанные с персоналом и трудовыми отношениями в целом. В определении кадровой безопасности было отмечено, что это процесс предотвращения угроз. Эти угрозы представляют собой негативные воздействия, отрицательно влияющие на состояние кадровой функциональной составляющей экономической безопасности предприятия. Проще говоря, безопасность — это предотвращение убытков. Для этого необходимо проводить постоянную работу по предотвращению угроз, вызывающих эти убытки.

Следует различать внешние  и внутренние угрозы. Внешние негативные воздействия — это действия, явления или процессы, не зависящие от воли и сознания сотрудников предприятия и влекущие нанесение ущерба. В свою очередь, к внутренним негативным воздействиям относятся действия (умышленные или неосторожные) сотрудников предприятия, также влекущие нанесение ущерба.

Обращая внимание на небольшой  список профильных угроз, становится очевидным, что обеспечение кадровой безопасности является важнейшей составляющей работы менеджера (директора) по персоналу. Например, внутренние опасности таковы:

• несоответствие квалификации сотрудников предъявляемым к ним требованиям;
• недостаточная квалификация сотрудников:
• слабая организация системы управления персоналом;
• слабая организация системы обучения;
• неэффективная система мотивации;
• ошибки в планировании ресурсов персонала;
• снижение количества рационализаторских предложений и инициатив;
• уход квалифицированных сотрудников;
• сотрудники ориентированы на решение внутренних тактических задач;
• сотрудники ориентированы на соблюдение интересов подразделения;
• отсутствие или слабая корпоративная политика;
• некачественные проверки кандидатов при приеме на работу.

Без сомнения, менеджеры  по персоналу могут продолжить этот список, что и надо сделать, проанализировав состояние кадровой работы с точки зрения безопасности как безубыточности трудовых отношений на предприятии.

Добавим примеры внешних опасностей:

• условия мотивации у конкурентов лучше;
• установка конкурентов на переманивание;
• давление на сотрудников извне;
• попадание сотрудников в различные виды зависимости;
• инфляционные процессы.

Бесспорно, все эти  негативные воздействия внешней среды оказывают влияние на процессы внутри предприятия, в целом на ее безопасность по кадровой составляющей.

Кадровая  безопасность зависит от трех основных факторов.

1. Найм. Под этим понимается целый комплекс мер безопасности при приеме на работу и прогнозирования благонадежности. В него входит рассмотрение вопросов безопасности компании на таких этапах в работе менеджера по персоналу, как поиск кандидатов, процедуры отбора, документальное и юридическое обеспечение приема на работу, испытательный срок, адаптация, также процедуры безопасности в деятельности кадровиков при подготовке аттестации, при планировании обучения.

2. Лояльность — комплекс мер по установлению позитивных отношений работников к работодателям. В эту составляющую работы по предотвращению угроз безопасности традиционно вкладывается мало средств. Однако, экономя на этом, предприятие вынуждено будет затратить еще больше ресурсов на мероприятия следующего, третьего блока.