УДК: 331.08
DOI: 10.21209/2227-9245-2020-26-4-108-115
ИДЕНТИФИКАЦИЯ КАДРОВЫХ РИСКОВ В СИСТЕМЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
s.A .-ЯШШ,
gorsa77@mail.ru
С. А. Городкова,
Забайкальский институт предпринимательства (филиал) Сибирского университета потребительской кооперации, г. Чита
expertn14@yandex.ru
Е. Б. Шевелева,
Забайкальский государственный университет, г. Чита
kat-krivosheeva@ya.ru
Е. А. Кривошеева,
Забайкальский государственный университет, г. Чита
тжьчпшхтшшттжтшшнт,
; йй; Лй;
: Ш; МШШ.; №
Спроектирована и представлена комплексная модель системы информационной безопасности с учетом кадровой политики, предусматривающая инструментарий минимизации кадровых рисков, защиты и требований к данной системе. Объектом исследования выступает кадровая политика в аспекте информационной безопасности организации, предметом исследования - угрозы со стороны персонала.
Рассматриваются этапы построения и составляющие менеджмента системы безопасности в организации, позволяющие обеспечивать организацию комплексом аппаратных и программных средств (для сбора, хранения, передачи, обработки и получения информации) и комплексом инструментов для распознавания и минимизации рисков, а также включения защитных механизмов.
Проанализированы риски в кадровой политике системы безопасности на всех этапах взаимодействия сотрудника с организацией. Наглядно представлен список возможных угроз со стороны персонала. Рассмотрена нормативно-правовая база для обеспечения защиты информации в системе информационной безопасности, выделен список инструментов защитных мероприятий информационной системы безопасности, сформирован ряд требований к системе менеджмента информационной безопасности.
© S. А. -^Шй, Е. В. Е. А. 2020
Достоинством предлагаемых авторами модели и инструментария защитных мероприятий в информационной системе безопасности является универсальность их применения хозяйствующими субъектами любых видов деятельности, так как они основаны на инновационно-ориентированных подходах.
Практическая значимость исследования заключается в том, что использование предлагаемого авторами комплексного подхода к обеспечению информационной безопасности ведет к взаимодействию основных компонентов ресурсного потенциала организации, в том числе кадровых и информационных, и повышает конкурентоспособность организации
Р [ m ЙШШ^ШЯ^ЙЙ^, ШШ
№ ЙЙМ ЙШМФ, Й^ШЯ ЙЙМп^^ й^Ф^ШЙ, i^ijM-Mttsrn,
^ШЯФЙ^Ф^ФЙ^ФШаЙШШЙ
ft, Й^МЖ^ШЯ^ЙЖ^ФЙМ, s^
ffit^^lff^So
ШМПЛ^ЙМ^ЙТМЙМ^
A.M. E.Yu.
E.O. Yu. I «S
A.L. fc^J^ A.G. ilfgg, V.I. Ш
ifi^A*^№ ЙЙШ
йй, mu
-^АШэЙ^Ж ШШЯ^ШЙХДЙ^Яо
И^ЙШЯте^ЖЙШМ^Л-тИ Шт:Ш,ЖШЙ1Ш - ШМШШМ - ^ (®1)о Й^-^И, ША^ЙШЙШ ^Ш^Ш!—t^M1Ш ЙЙИ, МЯШ^Д
#ЙШЯ,^Н - ^ШШЙЭШЙЙ^ЙЙ
ШАШ.Ж^ФЙШЯЖ^,^ Ф ЙШ^ЙИ о
«ЙЙШЖТ^ШЯШ+ЖЖШЙЙ
i№ffi7fa ШШЙМ, Stt, й
ШЛА^Л^Ш^о
Al w и Р а В.
й иг sIt
™ U и " Y
Рис. 1. Этапы построения системы защиты информации
^, йштойШЙ-ЖШ^ П
I Ш2)о
Ш7МЙ££Ж^Й^ШМ
(®з) о аж, ^ЖШШ^ШЯФЙШФ
ШР: Л^ШЛ, ^ЖЙШМ^Й, ШЯЙ ОТ[3; 4] о
f Й«Й^Й, ий* д f й^ж ¿дашташ^ Й«^ ^,
ЩйййМШШ, ШШШ
шш^шм, ШрйфШЙ, йЖйЖЖМ
тй^ й й ^ йхж^ш^йнф^а(лд, -^мл) ^й, тшй^^шшш^етшжм
Й: ГОСТ Р ИСО/МЭК 27001; ГОСТ Р ИСО/ МЭК 27002-2012; ГОСТ Р ИСО 19011-2012;
«^^#29.07.2004 № 98ФЗ;
йх^тшфх^йнф^а, ма^Фт лад,
[6; 15] о
|Щ]# / СОТРУДНИК
№ Шь/ ЗЛОУМЫШЛЕННИК
Сознательные действия
ШI / Месть
/ Вознаграждение
Шантаж
Использование обмана
шятш/
Обман для получения инсЬоомапии
СОТруДБ нициативное ичество ЛДОВД/ Фиктивный прием на работу
ШШЕШЯ/
Использование особенностей характера
I Болтливость
яящданвmtu
Стремление показать себя компетентным
ШЩШПЪ/Зяост-но-опшбочные действия
fc^RjMWEFJi/
Слабое знание требовний безопасности
/ Злостное невыполнение требований безопасности
Ш.Л^Й^вШШМ/Рис. 4. Утечки информации, связанные с персоналом
ШДВф, ШХМ^МШШШЙЙХ^ЙЯ
ШХЖ^Х^ЙШМП¡ВДЙШЙШ, ^х шийши, ^мшшшяшй—й
ЖЙЙ® ш, т^муттштт^о Ж шшш, М&щшшщ-тяшъш
ЙЙ®, Х^ЙШРАЙ&ШШЖ 9]о
шшшшшш*
о шхм
ШШИШХХШШаЖ^ХЙШМЮ; 11]о
йх^атййжатжошжйшяфд^л жет^ш^й^мй^жотлшш^ш^
ЙЙХХ^ИФ, дл^мхаддаад
шпшн, ^^ал
.МЙМЛШ^ЙХШШ.МХХМШШ^
^Хй^, 7ЛЙХХИШа Ж Ж; ^тМЙтХМШЛШХЖЙ^тШ Ш^, ХМШШШ,
ш^х^та^, ша^мм й; ^аМ^ХФШЙ^ЖЩШИММ;
адйкж^мйжхшшйх; д^ХЙ
аж, ^ХЙХ^^ЙШШШ^^Ф
ЙЖШХЖ) ^ХЩЕМЙЙ^
МИНИМИЗАЦИЯ
/ Риск по
несанкционированному доступу к информационным ресурсам и использованию запрещенных утилит
шшшшшт-шттш
/ Число попыток для получения доступа с неавторизованного рабочего
ШШ№1ЖШ / Число попыток доступа к информационным ресурсам с неавторизованного программного обеспечения
ЙШЙИгхТЙ / Прочие попытки доступа
/ Попытки перебора паролей
Попытки эксплоитов и атак на информационные ресурсы
Число нарушений регламента работы с информационной системой
ЙБЩ^ЙШШМШЙ / Число нарушений правил эксплуатации программного обеспечения
Вероятность ошибки при конфигурировании аппаратного и программного обеспечения
ИГ/ВНЕДРЕНИЕ
$гИ§7 Политики использования в
организации лицензионного программного обеспечения
шшйййвш*»:«5 ЙХ^шбш®/
Лиционзионные антивирусные программы и межсетевые экраны на рабочих местах для
обнаружения, уничтожения или блокировки различных видов угроз
ЁЩтШЙШШ^Й / Случаи вмешательства в работу информационной системы и прикладных программ, а также самовольную установку программного обеспечения
Жй/ Рационального использования внутреннего и внешнего трафика
шкшшшш №»№/ Защиту от сбоев оборудования и систему защиты технических средств
■УИЙ^тЛ! / Регулярное проведение тренингов и обучения в рамках информационной безопасности
№ / Разработать и внедрить
систему мотивации для стимулирования персонала к плодотворному сотрудничеству
СОВЕРШЕНСТВОВАНИЕ
Вероятность обнаружения умышленного вмешательства (путем установки разных программ на слабые места информационной системы)
(ШЁГйМЙЙ 3I ЁЙ) / Вероятность неумышленного вмешательства (к таким проблемам приводят
несовместимое программное ~ не)
обеспечение)
№} иЦк&|4 / Вероятность предотвращения сбоев системы, устанавливая источники бесперебойного питания
Н^ШЙЙМЧИВДзй /
Надежность архивирования информации с серверов и рабочих
станций в назначенное время с формированием отчета о резервном копировании
ШтйГчигйй^гё:, ши
&ЩШМ^ / Защищенность информации при удаленном доступе, позволяя разделять и передавать информацию по линиям связи, а также обеспечивая невозможность расшифровки
ШШ¥шШШщШшШ /
Криптографические механизмы д ля обеспечения шифрования с помощью ключа
ШШЩШШЩрШсЩШШ
/ Настройку защиту брандмауэра системы по пропуску или отмене проходящего трафика
/ Допуск к конфиденциальному документообороту
Й / Организацию работы руководителя и определить работу с инновационными ресурсами
Особый контроль за нарушением режима безопасности
ШИЩИИВЕЯЩ&РЮЩ!, НЯ
ШМ Ф ЙМк / Мониторинг действий сотрудников в ИС с момента начала трудовой деятельности в организации
Й^^-^ЖШШ^^ХД / Рис. 5. Инструментарий защитных мероприятий в информационной системе безопасности
ЯЧЁвШ^ч / Нейтрализация угроз
до их реализации и нанесения ущерба информации в плане доступности, целостности и
конфиденциальности
/ Сосредоточение основных средств защиты на информацию, решающую критичную задачу, обладающую большей степенью конфиденциальности, и сосредоточение сил и средств, для ликвидации наиболее опасных угроз и их источников
ЙШн/ Полное использование возможностей сил и средств защиты в данных условиях обстановки
Л^ШЯ!?/ Непрерывное управление защитой информации со всех уровней менеджмента организации
Шз^Ш/ Постоянная готовность системы безопасности к предотвращению угроз информации и отражению атак злоумышленников
Высокая надежность средств защиты и органов управления ими, устойчивость системы управления информационной безопасностью в различных условиях функционирования / ¡К ЖГ
ш&шт&^шкшшшт, ^шшшушшшш^шт^ш
ЙШГ*®&ШШШ, / Тесное взаимодействие с другими
системами управления организации в соответствии с политикой менеджмента качества
Щб.МШМ.^^.&ШШЖШШ^^. / Рис. 6. Требования к системе менеджмента информационной безопасности
«-МФййШ*, ММ ш^-^лй^шт
Список литературы _
References _
Briefly about the authors_
gorsa77@mail.ru
Ifii^i. ВЯАвЯИ^*^, «т W^ft: ёШ&Ш^ЙМ^Ш^^Й
expertn14@yandex.ru kat-krivosheeva@ya.ru
Коротко об авторах _
Городкова Светлана Александровна, д-р экон. наук, доцент, директор, Забайкальский институт предпринимательства (филиал) Сибирского университета потребительской кооперации; профессор кафедры экономики и бухгалтерского учета, Забайкальский государственный университет, г. Чита, Россия. Область научных интересов: ресурсоориентиро-ванный подход обеспечения экономической безопасности хозяйствующего субъекта
Шевелева Екатерина Борисовна, аспирант, Забайкальский государственный университет, г. Чита, Россия. Область научных интересов: инновационно-ориентированные подходы к обеспечению информационной безопасности хозяйствующего субъекта
Кривошеева Екатерина Александровна, аспирант, Забайкальский государственный университет, г. Чита, Россия. Область научных интересов: инновационно-ориентированные подходы к обеспечению информационной безопасности хозяйствующего субъекта.
Образец цитирования_
Городкова С. А., Шевелева Е. Б., Кривошеева Е. А. Идентификация кадровых рисков в системе информационной безопасности //Вестник Забайкальского государственного университета. 2020. Т. 26, № 4. С. 108-115. DOI: 10.21209/2227-9245-2020-26-4-108-115.
^Шй в. А„ Е. В., ЙМ^ЙЯЖ Е. А. ,
Статья поступила в редакцию: 28.01.2020 г. Статья принята к публикации: 28.03.2020 г.