100982 (590414), страница 8

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 8)

(2001 Industry Survey — Information Security, October 2001).

Среди внешних угроз ИБ (Рис. 24) согласно полученным результатам исследований за последние 2 года возрос практически в 2 раза процент инцидентов, связанных с использованием так называемых брешей в системном программном обеспечении для несанкционированного проникновения через Интернет в информационные ресурсы, на 10% увеличилось количество случаев нарушения нормальной работы из-за влияния программ-вирусов, на 2% увеличилось количество отказов в обслуживании, связанных фактически на треть (до 32%) с переполнением буфера при спамах в электронной почте.

Рисунок 24. Динамика структуры внешних угроз информационной безопасности

Наибольшую проблему представляют происшествия, связанные с отказом в обслуживании (DOS — Denial-of-Service), поскольку в результате их негативного проявления организация, как правило, на длительное время теряет доступ к ресурсам и услугам Интернета. Так в результате одного из проведенных исследований в США в 2001 г. в течение трех недель наблюдались и фиксировались результаты и последствия свыше 12 тысяч атак (нападений, вторжений) на 5 тысяч хост-ЭВМ в Интернете, принадлежащих 2 тысячам организаций. Анализ этой статистики выявил, что в 90% случаях продолжительность отказа в обслуживании по времени достигала 1 часа, что представляет серьезную опасность для предприятий так называемого непрерывного цикла работы (транспорт, энергетика, связь, неотложная медицинская помощь и др.). (Managing the Threat of Denial-of-Service Attacks, CERT Coordination Center, October 2001). Анализируя структуру внутренних угроз (Рис. 25), эксперты отмечают, как наиболее серьезные с точки зрения нарушения системы мероприятий в области ИБ, имевших место за последние два года, такие негативные проявления человеческого фактора в работе персонала как самовольная установка и использование нерегламентированного ПО (до 78% внутренних происшествий), увеличение случаев использования оборудования и ресурсов в личных целях (на 10%). Одновременно отмечается снижение на 7% количества случаев, связанных с установкой и использованием нерегламентированного оборудования вследствие ужесточения контроля со стороны администрации.

Рисунок 25. Динамика структуры внутренних угроз информационной безопасности

Интересно, что эти же тенденции проявляются и в военной области. Проводившаяся в феврале 2001 г. Службой генерального инспектора выборочная проверка условий эксплуатации программного обеспечения, установленного на объектах информационной инфраструктуры МО, показала, что даже в Пентагоне, где действуют жесткая дисциплина и порядок, имеют место серьезные нарушения правил информационной безопасности.

Особое внимание следует уделить охране договоров, заключаемых предприятием. Большая их часть, безусловно, относится к коммерческой тайне. Причем в определенных случаях охране подлежит не только текст договора, но и сам факт его заключения.

Разрабатывая меры по защите коммерческой тайны фирмы, необходимо экономически обосновать целесообразность засекречивания той или иной информации. В первую очередь выделяется информация, утечка которой может привести вашу фирму к банкротству. Это строго конфиденциальная (критичная) информация. В мире бизнеса, это, как правило, “ноу-хау”. К конфиденциальной информации относятся сведения о перспективах развития фирмы, ее клиентах, сроках и сумме кредитования. Огласка этих сведений, конечно же, не приведет к краху, но лишит фирму на какое-то время устойчивой прибыли. Также не подлежит огласке информация, раскрытие которой может привести к неблагоприятным последствиям. К ней относятся: номера домашних телефонов, адреса руководителей и сотрудников фирмы, текущие планы работы, информация о конфликтных ситуациях и т.п. Остальные сведения относятся к открытым, то есть доступным всем. Но следует иметь в виду, что неправильно поданная информация может помочь аналитикам из конкурирующей фирмы обнаружить ваши уязвимые места. Руководитель фирмы должен установить строгий порядок хранения первых экземпляров договоров и работы с ними. Их следует хранить в определенном месте у ответственного лица и выдавать только под расписку с письменного разрешения руководителя фирмы. На лица, ответственные за хранение договоров и работу с ними, возлагается персональная ответственность за утерю договоров или утечку информации из них. Все это необходимо потому, что деятельность коммерческих структур строится в большей степени на договорных началах, и конкурент или партнер по переговорам, обладая информацией в этой сфере, может составить довольно полную картину производственного и финансового положения фирмы. Пропажа (похищение) первых экземпляров договоров ведет к значительным затруднениям и даже невозможности доказывать те или иные положения при возникновении спора и его решении в судебном порядке. При подписании договора рекомендуется, чтобы представители сторон ставили подписи не только в конце договора, но и на каждом листе во избежание замены одного текста другим. Зачастую бумага для важных документов маркируется средствами оперативной идентификации (например, флуоресцирующими невидимыми чернилами, штемпельными красками, микрошрифтом). Нумерация документации с КТ, например – “Конфиденциально” начинается с одного нуля, четырехзначным числом – 0100 – 0999, документов этой группы с №№ 0001 – 0099, 1000 не должно быть, итого не более 900 экземпляров. “Строго конфиденциально” – начинается с двух нулей, трехзначным числом – 001 – 009 (9 экземпляров) или четырехзначным числом – 0010 – 0099 (90 экземпляров). Желательно также иметь возможность точно определить момент, когда возможная утечка КТ не повредит интересам Компании и в соответствии с этим планировать свою деятельность и маркировать документацию – например: “Строго конфиденциально особой важности – до 00:00 мин. 00.00.00г., с 00:00 мин. 00.00.00г. - Конфиденциально”. Датировка конфиденциальных документов также может производиться специальным образом – сначала двузначным числом дается год даты, потом двузначным числом дается порядковый номер недели этого года (неполным неделям в начале и в конце года также присваивается соответствующий номер) и затем дается однозначным числом день недели, например воскресенье – первый день, тогда дата 12 апреля 1961 года будет выглядеть как 61 (год) 15 (неделя) 4 (день – в данном случае среда) – 61154, а 08 марта 2004 года - 04112.

Следует отметить, что затраты зарубежных фирм на охрану своей коммерческой тайны составляют 10-15 % всех расходов на процесс производства. Поэтому наиболее расчетливые предприниматели пытаются на этом сэкономить, переложив затраты на плечи государства, путем получения госзаказов оборонного характера. Помимо прочих преимуществ, госзаказы позволяют пользоваться защитой государственных правоохранительных органов и, в первую очередь, контрразведки.

Допуская служащих фирмы к госсекретам, контрразведка с присущей ей тщательностью проверяет благонадежность каждого из них. Так, например проверка граждан США, получающих доступ к секретной информации, обычно включает:

- обязательную проверку на детекторе лжи (полиграфе). В число проверяемых включают также сотрудников служб безопасности и персонал фирм подрядчиков. Отказ от прохождения проверки на детекторе лжи влечет автоматическое лишение допуска или увольнение с работы;

- глубокое и всестороннее изучение досье кандидата на работу;

- проверка его биографических данных за последние 10 лет;

- выяснение целей и обстоятельств поездок за рубеж;

- исследование финансового положения.

В ходе проверки служащего полученные сведения сопоставляются с данными Национального банка информации о секретоносителях, где на каждого из них существует электронное досье. В нем содержатся данные предыдущих проверок, его фотография, фонограмма его голоса, сведения об изменении в его финансовом положении, о поездках за границу. Помимо проверки на благонадежность сотрудников коммерческой фирмы, получающих доступ к государственным секретам, контрразведывательные органы формируют систему безопасности фирмы, включая программу защиты, вводят в ее штат своих сотрудников.

Наша экономика находится лишь на этапе становления рыночных отношений, поэтому для коммерческих структур, не связанных с выполнением оборонных заказов, состояние защиты от промышленного шпионажа (в т.ч. от государственных органов РФ), выглядит удручающим.

Сразу же следует подумать о безопасности наиболее важных секретов, утечка которых может нанести ущерб, значительно превышающий затраты на их защиту. При этом надо установить:

- какая информация нуждается в защите (здесь рекомендуется также свериться с Указом Президента РФ от 06 марта 1997 г. №188 “Об утверждении перечня сведений конфиденциального характера”, Указом Президента Российской Федерации № 61 от 24 января 1998 г. “О перечне сведений, отнесенных к государственной тайне”, Указом Президента Российской Федерации № 1203 от 30 ноября 1995 г. “Об утверждении перечня сведений, отнесенных к государственной тайне” и Указом Президента №1268 от 26.08.96 “Список товаров и технологий двойного назначения, экспорт которых контролируется”);

- кого она может заинтересовать;

- каков “срок жизни” этих секретов и их коммерческая стоимость;

- во что обойдется их защита.

Затем следует подготовить план по охране коммерческой тайны. Он может состоять из двух разделов:

- предотвращение похищения секретной информации;

- предотвращение утечки секретной информации.

Для этого требуется:

- определить, какая коммерческая информация является секретом фирмы;

- установить места ее создания и накопления;

- выявить потенциальные каналы утечки информации;

- получить консультацию по перекрытию этих каналов у специалистов;

- проанализировать соотношение затрат по использованию различных систем, обеспечивающих защиту секретной информации с их качеством, и выбрать наиболее приемлемую;

- назначить людей, ответственных за каждый участок этой системы;

- составить график проверки состояния дел на участках и механизм внеплановых проверок.

В целях обеспечения документального оформления конфиденциального делопроизводства мной разработаны (адаптированы) следующие документы:

1. “Положение об организации защиты сведений конфиденциального характера, составляющих коммерческую, банковскую и служебную тайну компании ООО “_________” (далее Компании)” (Приложение 3);

2. “Договор об оформлении допуска сотрудника к банковской, коммерческой и служебной тайне (приложение к трудовому договору)” (Приложение 4);

3. “Инструкция о порядке проведения служебного расследования по фактам незаконного получения и разглашения сведений, составляющих банковскую, коммерческую и служебную тайну, нарушения порядка конфиденциального делопроизводства” (Приложение 5);

4. “Проект заключения о результатах служебного расследования по факту нарушения порядка защиты сведений конфиденциального характера” (Приложение 6);

5. “Обязательство сотрудника о недопущении конфликта интересов”. (Приложение 7);

6. “Договор о защите коммерческой информации (о конфиденциальности)” (Приложение 8);

7. “Специальные обязанности руководителей подразделений ______________ по защите коммерческой тайны” (Приложение 9).

Заключение

Итак, нами рассмотрены общие вопросы кадровой безопасности, вопросы кадровой безопасности в сфере высоких технологий, защиты персональных данных работников и конфиденциальной информации.

Кадровая безопасность - это процесс предотвращения негативных воздействий на экономическую безопасность предприятия за счет ликвидации или снижения рисков и угроз, связанных с персоналом, его интеллектуальным потенциалом и трудовыми отношениями в целом.

Как мы увидели, кадровая безопасность распространяется на все сферы кадровой и управленческой работы. Особое значение кадровая безопасность принимает в высокотехнологичных областях. Ее обеспечение распределяется во всех элементах (отделах, структурных подразделениях) предприятия, но самую важную роль в этом процессе играет служба персонала.

Особый смысл приобретает конфиденциальность информации и защита персональных данных работников.

Наметившиеся изменения в корпоративном управлении, вызванные глобализацией рынков и структуры промышленности, сдвигами в архитектуре рабочих мест и демографии рабочей силы, ориентацией на высокие доходы собственников, быстрыми и непрерывными организационными и технологическими изменениями, являются стратегическими. Они охватывают не только бизнес в целом, но и организацию кадровой работы в корпорациях. Речь идет о следующих сдвигах в бизнесе:

• от автономного самообеспечения — к безграничному партнерству;

• от иерархических или (и) централизованных структур — к пластичным и децентрализованным структурам;

• от патриархальных моделей управления — к делегированию полномочий;

• от ориентации на большие объемы и низкую себестоимость — к ориентации на качество, быстроту и нововведения;

• от безошибочной работы — к измеряемым ее усовершенствованиям;

• от закрытой организационной системы — к открытой системе.

В сфере человеческих ресурсов корпорации:

• от узкой специализации и ограниченной ответственности за порученную работу — к широким профессиональным и должностным профилям;

• от спланированного карьерного пути — к информированному и гибкому выбору траектории профессионального развития;

• от ответственности менеджеров за развитие персонала — к ответственности самих работников за собственное развитие;

• от контроля над проблемами, с которыми сталкиваются работники, — к созданию возможностей для всестороннего профессионального роста каждого работника;

• от уклонения от обратной связи с подчиненными — к ее активному поиску;

• от секретного рассмотрения факторов успеха, вакантных рабочих мест и отбора специалистов — к открытому обсуждению уровня компетентности работников, имеющихся вакансий и путей их заполнения.

В условиях серьезного системного кризиса науки и образования в России, отсутствия их нормального финансирования со стороны государства, слабой юридической защищенности, коррозии морально-нравственной составляющей личности при высоком интеллектуальном потенциале, катастрофической нехватке высококвалифицированных научных кадров, усиления демографической проблемы, обеспечение кадровой безопасности в области высоких технологий – процесс достаточно сложный. Не “одноразовый” анализ ситуации и “постановка” процесса, а постоянный мониторинг, коррекция и внедрение улучшений, упреждающих действий, адекватная мотивация персонала, создание систем с “разделением ключа” (невозможностью накопления у одного – двух сотрудников любого уровня критического объема информации и полномочий) позволит удержать предприятие в границах стабильного развития.

Использованные источники:

1. Публикации на Интернет-сайтах:

www.sec.ru,

www.ciber-crimes.ru,

http://kariera.idr.ru/,

http://www.poteri.net/,

http://www.ippnou.ru/,

Характеристики

Список файлов ВКР