Куперс

ПРОБЛЕМА ПЕРСОНАЛА В СФЕРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ © О.П. Родин

Rodin О.P. The problem of staff in the sphere of information safety.

Информация, являясь продуктом деятельности, выступает как собственность государства, предприятий, учреждений, организаций, граждан и как объект собственности требует защищенности.

В основе системы информационной безопасности лежит человеческий фактор, предполагающий преданность персонала интересам фирмы и осознанное соблюдение им установленных правил защиты информации. Персонал фирмы, владеющий ценной и конфиденциальной информацией, работающий с конфиденциальными документами и базами данных, является наиболее осведомленным, трудно контролируемым и часто достаточно доступным источником для злоумышленника. желающего получить необходимые ему сведения .

По статистике 80 % случаев злоумышленных воздействий на информационные ресурсы совершаются людьми, имеющими непосредственное отношение к их эксплуатации. Такие действия совершаются либо под воздействием преступных групп (разведывательных служб), либо побуждаются внутренними причинами (зависть, мссть, корысть и т. п.). Для блокирования угроз такого типа руководство организации с помощью службы безопасности должно осуществлять политику эффективного менеджмента, а именно, производить следующие организационные мероприятия:

— добывать всеми доступными законными путями информацию о своих сотрудниках, о людях или организациях. представляющих потенциальную угрозу информационным ресурсам:

— обеспечивать охрану сотрудников;

— устанавливать разграничение доступа к защищаемым ресурсам;

— контролировать выполнение установленных мер безопасности;

— создавать и по,1держивать в коллективе здоровый нравственный климат.

I к’рсонад является первостепенным и наиболее сложным элементом управления государственными и негосударственными структурами. В концепции эконо-мичсской безопасности кадровая политика играет профилактическую роль по отношению к множеству видов угроз, исходящих от персонала, в том числе такой угрозы. как неблагонадежность отдельных сотрудников. В случае, если даже один сотрудник обманет доверие руководства, то никакие современные автоматизированные системы защиты пс смогут гарантировать безопасность информации и предотвратить ее разглашение.

Следует отметить, что в современных предпринимательских структурах практически каждый основной сотрудник становится носителем ценных ‘I конфиден-

циальных сведений, которые представляю] интерес для конкурентов и криминальных сообществ. В связи с этим, помимо профессиональных способностей, сотрудники фирмы должны обладать высокими личными и моральными качествами. Они добровольно соглашаются на определенные ограничения в использовании информационных ресурсов и вырабатывают в себе самодисциплину, самоконтроль действий, поступков и высказываний.

Процессу приема сотрудника на работу, связанную с конфиденциальной информацией, предшествует ряд подготовительных аналитических этапов. которые позволяют составить точное представление о том, какой специалист и какой квалификации действительно нужен для данной должности, какими деловыми, личными и моральными качествами он должен обладать. Особенно но касается вновь вводимых должностей и новых направлений работы. На выходе процесса выполнения указанных подготовительных мероприятий составляется описание должности — вспомогательный документ, близкий по структуре должностной инструкции, который определяет всесторонние требования к кандидату на должность.

Поиск кандидата на вновь создаваемую или вакантную должность в фирме не должен носить бессистемный характер. Случайный, неизвестный фирме человек в определенной степени таит опасность как с точки зрения его профессиональной пригодности, гак и личных качеств. Особенно большие сомнения вызывает подобный метод при подборе кандидатов на должности. связанные с владением конфиденциальной информацией. 1’ем не менее не следует отказываться от подобного метода, потому что случайный человек может оказаться идеальной кандидатурой по всем критериям. По дело в том, что этот метод не должен быть единственным. К числу других методов можно отнести следующие:

1. Поиск кандидата внутри фирмы, особенно если речь идет о руководителе, специалисте высокого уровня или сотруднике, работа которого будет связана с владением тайной фирмы. Этот метод дает возможность продвигать способных сотрудников по служебной лестнице и заинтересовывать подобной перспективой всех сотрудников фирмы. Перераспределение персонала в соответствии с его склонностями, профессиональной фамотностью и преданностью делам фирмы всегда дает большой положительный рост эффективности работы фирмы и с достаточной степенью гарантии обеспечивает ее информационную безопасность.

Большим преимуществом этого метода является то. что о кандидате достаточно много известно всему кол-

лективу фирмы и судить о его профессиональных и личных качествах, соответствии предлагаемой должности можно на основании достаточного широкого крута мнений.

С другой стороны, использование данного метода может существенно подорвать дисциплину внутри подразделения в силу все гой же известности соискателя. Персоналу подразделения очень трудно воспринять человека, проработавшего с ними определенное количество времени на равном положении как непосредственною руководителя.

2. Поиск кандидатов среди студентов и выпускни-

делениями вузов, занятыми трудоустройством выпуск-ников. Можно иметь достаточно полную информацию о профессиональных, личных и моральных качествах студентов. Очень ‘эффективно вести поиск (даже на средних курсах) наиболее способных студентов, привлекать их в процессе учебы к работе в фирме.

3. Обращение в государственные и частные бюро, агентства по найму рабочей силы, биржи труда, службы занятости, организации по трудоустройству лиц, уволенных по сокращению штатов, трудоустройству молодежи, бывших военнослужащих и т. п. Подобные агентства, помимо целенаправленного поиска необходимых специалистов высокой квалификации, организуют переподготовку специалистов по заказу фирмы, в

том числе одновременно в области обеспечения информационной безопасности фирмы.

4. Рекомендации работающих в фирме сотрудников. Обычно такие рекомендации отличаются ответственным и взвешенным характером, т.к. с рекомендуемыми людьми сотрудникам придется работать вместе.

При подборе сотрудников для работы с конфиденциальной информацией важно не только определить пути поиска кандидатов, по и установить правовое обоснование тех ограничений во владении и использовании информации, которые неминуемо касаются данных сотрудников.

R Ор! IИМ р£1^0Т2.К.^ЩСЙ С КОН(|’И IMLL 1мНОП

информацией, обязательно разграничение доступа к информационным ресурсам. В случае предательства или других злоумышленных действий сотрудника ущерб должен быть ограничен рамками его компетенции. Сотрудники учреждения должны знать, что выполнение установленных правил контролируется руководством и службой безопасности.

ЛИТЕРАТУРА

1. Лукацкий АН. Подготовка кадров в области защиты информации // Системы безопасности, связи и телекоммуникаций. 1997 № 5.

2. Лукацкш! А. Н Кадры решают все И Системы безопасности, связи и тедекоммуникаилй. 1997 № 6.

3. Степанов Н.А. Персонал в системе защиты информации. М., 2002.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

Поступила в редакцию 16 октября 2006 г.

ЗАЩИТА ПЕРЕДАЧИ ДАННЫХ ОТ СЛУЧАЙНЫХ И ПРЕДНАМЕРЕННЫХ ПОМЕХ © Н.В. Седова

Sedova N. V. Protection of’the data transmission from accidental and deliberate interference.

Современное развитие экономики и политики характеризуется всс большей зависимостью от информационных потоков. Идет постоянная борьба между конкурирующими группами во всех сферах человеческой деятельности. и всс большее применение в этой борьбе находя! новые средства и методы информационного противостояния. Несмотря на создание сложнейших систем и средств защиты информации (в том числе и систем защиты передачи данных), их уязвимость не уменьшается. а наоборот, все более возрастает. Это приводит к возникновению эффекта «снежного кома», когда один маленький комок снега приводит к сходу лавины. Чем оригинальнее идея и техническое воплощение средств защиты, тем изощреннее способы ее взлома.

Различают две основные группы методов решения задач защиты передачи данных: канально-ориентированные и межконцевые методы защиты. Канальноориентированные методы защиты передачи данных основываются на предположении, что узлы системы передачи данных (СИД) не подвергаются несанкционированному доступу, что гораздо проще и «выгоднее» получить необходимую информацию, передаваемую по отдельному каналу связи. Межконцевые методы защи-

ты СП Д. напротив, защищают сообщения в процессе передачи данных между узлами источника и приемника таким образом, что при раскрытии одного из каналов между источником и адресатом не происходит раскрытия всего потока сообщений.

Анализ потока сообщений проводится, как правило, по значениям длин частот сообщений разных классов, адресов источника и адреса потока сообщений. Следовательно. защита строится на возможности их сокрытия.

При применении канального шифрования обеспечивается передача непрерывного потока данных по каналу от одного узла к другому. Это обеспечивает сокрытие значений частоты и длительности соединения. но при этом при вскрытии узла весь поток сообщений может быть подвергнут анализу.

Наиболее глубокий анализ данных, передаваемых через узлы СПД. обеспечивает контекстный анализ. Он позволяет, с одной стороны, предотвратить утечку конфиденциальной информации с доступных ресурсов, а с друзой — исключить поступление потенциально опасных сообщений и перегрузку систем передачи данных. Из имеющихся средств контекстного анализа в качестве примера можно указать антивирусные реше-