СодержаниеВВЕДЕНИЕ 3
ГЛАВА 1. ЗАЩИТА ИНФОРМАЦИИ В КОМПАНИИ. 10
1.1. Роль информационной безопасности для коммерческой компании. 10
1.2. Информация компании, подлежащая защите. 13
1.3. Угрозы информационной безопасности компании со стороны персонала. 19
1.4. Категории нарушителей информационной безопасности. 24
ГЛАВА 2. ВЛИЯНИЕ СОЦИАЛЬНО-ПСИХОЛОГИЧЕСКИХ СВОЙСТВ ПЕРСОНАЛА НА ИНФОРМАЦИОННУЮ БЕЗОПАСНОСТЬ КОМПАНИИ. 28
2.1. Типы личностей сотрудников, надёжных с точки зрения защиты информации и категории ненадежных сотрудников. 28
2.2. Социально-психологические методы получения информации от сотрудников компании. 38
ГЛАВА 3. ТЕХНОЛОГИИ УПРАВЛЕНИЯ ЧЕЛОВЕЧЕСКИМИ РЕСУРСАМИ, НАПРАВЛЕННЫЕ НА ПОВЫШЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОМПАНИИ 48
3.1.Подбор персонала. 49
3.2. Обучение персонала. 55
3.3. Психологическое влияние управления временем на соблюдение информационной безопасности сотрудниками. 58
3.4. Воспитание лояльности персонала. 60
3.5. Корпоративная культура компании, обладающей коммерческой тайной, с социологической точки зрения. 66
3.6. Мотивация. 74
3.7. Управление конфликтами. 78
ЗАКЛЮЧЕНИЕ 86
ИСТОЧНИКИ 91
ЛИТЕРАТУРА 91
Приложение 1. 93
Приложение 2 97
Приложение 3. 102ВведениеПредметом настоящей дипломной работы являются социально-психологические методы управления человеческими ресурсами как средство повышения информационной безопасности компании.
В настоящей дипломной работе под «компанией» понимается любая коммерческая компания, для которой большое значение имеет защита информации. Под «человеческими ресурсами» подразумевается весь персонал коммерческой компании, имеющий доступ к конфиденциальной информации, не принимая во внимание сотрудников службы по защите информации и высшее руководство. На последние две группы сотрудников возлагается повышенная ответственность по защите информации, и в соответствии с этим предъявляются дополнительные требования к психологическому складу и устойчивости, и должны применяться отдельные технологии управления человеческими ресурсами, направленные на повышение уровня информационной безопасности компании.
Проведенное аналитическим центром InfoWatch исследование 145 инцидентов внутренней информационной безопасности показало, что утечка информации носит глобальный характер. «Невозможно выделить ни сферу деятельности, ни географический регион, где бы компании не пострадали от инсайдеров вообще или страдали не так часто ». От утечек информации по вине лиц, официально имеющих доступ к конфиденциальной информации, страдают и огромные корпорации, и малый бизнес, и государственные учреждения. Осведомленные лица, работающие в этих учреждениях или имеющие к ним прямое отношение, ставят под угрозу даже безопасность таких сильных и защищенных структур, как военные ведомства и спецслужбы.
Хотя нарушения информационной безопасности носят всеохватывающий характер, именно бизнес больше всего страдает от утечек конфиденциальной информации. По результатам исследования, 66% внутренних инцидентов в 2006 году пришлось на частные предприятия (рис.1). Их доля почти в два раза выше, чем количество инцидентов в государственных структурах. В то же время утечка конфиденциальной информации, помимо прямого финансового ущерба, наносит ущерб репутации компании, которая в условиях активной конкуренции имеет огромное значение. Таким образом, утечка информации в коммерческой компании при её использовании, может стать непоправимой и привести к гибели компании. Это относится не только к небольшим фирмам, но и к успешным корпорациям, на которые обращают пристальное внимание и конкуренты, и потребители из мира бизнеса, и государство, и общество.
Важность этой проблемы определяется местом коммерческих компаний в жизни и развитии страны. Бизнес – основной субъект рыночной экономики, источник налоговых выплат, а соответственно средств существования государства, бюджетных служащих и льготников; работодатель для огромного числа граждан.
Помимо потерь самой компании и такого косвенного влияния на общество, существует и прямая связь уровня информационной безопасности компаний и граждан. По результатам того же исследования объектами утечек в 81% случаев становятся персональные данные. В случае их опубликования в свободном доступе или попадания в руки криминальных структур, они ставят под угрозу жизнь, имущество и моральное состояние сотен тысяч людей. «Всего полторы сотни инцидентов за 2006 год поставили под угрозу кражи более 80 миллионов человек» .
По разным оценкам от 50 до 82% утечек информации происходит по вине персонала. Человек - самая непредсказуемая и сложно-управляемая составляющая системы защиты информации.
Соответственно, наиболее важное направление работы в области защиты информации – именно управление человеческими ресурсами. Какой бы безупречной ни была техническая система, она в той или иной степени управляется человеком и взаимодействует с ним, а, следовательно, имеет место человеческий фактор. Можно предусмотреть все возможные каналы утечки и установить инженерно-техническую, программно-аппаратную защиту, принять административные меры по работе с конфиденциальными документами и досконально контролировать соблюдение режима. Но все эти меры и затрачиваемые средства будут бесполезны, и информация всё равно будет разглашена, если например, системный администратор будет подкуплен. Он, пользуясь служебным положением, создаст для себя возможность предоставить нужную информацию третьему лицу. Точно так же технические меры не предотвратят утечку информации, если общительный рядовой сотрудник, имеющий легальный доступ к конфиденциальной информации, случайно выболтает её «незначительную» часть на выставке якобы заинтересованному потенциальному клиенту.
С этим утверждением соглашается эксперт в области информационной безопасности Владимир Баланин, руководитель отдела ИТ-безопасности TopS BI в статье «Инсайдеры: есть ли панацея?» : «…Уделять внимание стоит не только разделению и мониторингу информационных потоков/каналов, шифрованию данных, системам контроля внешними носителями информации, но и движущим мотивам инсайдеров (финансовым, личным и т.п.). Не менее важно рассматривать и разнообразные векторы атак инсайдеров - не обязательно красть конфиденциальную информацию, иногда обычный саботаж может принести гораздо больший ущерб. Если рассматривать какие-либо конкретные шаги по борьбе с инсайдерами, то помимо организации физической безопасности и проведения HR-процедур, стоит также поднять вопрос построения правильной корпоративной культуры внутри предприятия - проведение обучений и информирование сотрудников, разработку системы мотивации и взысканий, программы помощи/содействия сотрудникам и т. д.»
Существует 3 основных группы методов управления человеческими ресурсами:
• Административные,
• Экономические,
• Социально-психологические.
Административные методы управления человеческими ресурсами в области информационной безопасности являются обязательным условием существования современной компании. Однако полное ограничение доступа персонала к конфиденциальной информации и установление тотального контроля за сотрудниками представляется трудно осуществимым и препятствующим нормальному функционированию компании и достижению её основных целей. Следовательно, соблюдение требований административных документов зависит, прежде всего, от чувства долга каждого сотрудника. Насколько у каждого сотрудника компании развито чувство долга, и как коллектив в целом воспринимает административные методы – важные аспекты информационной безопасности (далее по тексту -ИБ), которыми можно управлять только с помощью социально-психологических методов.
Экономические методы – важный фактор, влияющий на поведение сотрудника. Однако в вопросах защиты информации на него полагаться очень опасно. Стоимость коммерческих секретов может быть несопоставимо выше всех материальных выплат сотруднику за работу и вознаграждение может быть получено единомоментно, поэтому компании, определяющим фактором управления человеческими ресурсами которых являются только деньги, теряют своих ценных сотрудников вместе с коммерческими секретами.
Морально-психологическое состояние сотрудника на работе, его отношение к компании и к коллегам, уровень внимания к вопросам защиты информации в компании – ключевые факторы, определяющие решение сотрудника нарушить информационную безопасность или соблюдать все требования защиты информации.
Это подтверждается исследованием , согласно которому:
• «92% инсайдеров, предпринимающих попытки атак в своих компаниях, сталкивались с негативным событием, связанным с работой, например, с переводом на менее квалифицированную работу или в другое подразделение, с выговором, окончанием срока контракта;
• 80% проявляли негативное поведение еще до инцидента».
Таким образом, социально-психологические методы управления человеческими ресурсами, направленные на защиту информации, играют ключевую роль в повышении уровня информационной безопасности компании. В результате применения этих методов сотрудники должны быть преданными своей компании, радеющими за её интересы, осведомленными о способах получения конфиденциальной информации и методах её защиты, владеющими соответствующими навыками распознавания угроз информационной безопасности и навыками защиты информации.
Цель дипломной работы: определить психологический тип личностей, наиболее предрасположенных к соблюдению требований информационной безопасности, и предложить социально-психологические методы управления человеческими ресурсами, направленные на повышение уровня информационной безопасности компании.
Задачи дипломной работы:
1. проанализировать особенности защиты информации в коммерческой компании,
2. определить доступным и удобным для менеджеров по защите информации и управлению персоналом образом типы личностей, наиболее способных к соблюдению требований информационной безопасности,
3. предложить социально-психологические методы, направленные на работу с такими сотрудниками с целью защиты ими информации и конкретные методики, которые коммерческие компании могут применять в отношении сотрудников, имеющих доступ к конфиденциальной информации.
Новизна работы заключается в том, что типы личностей, наиболее способных к защите информации проанализированы по технологии MBTI (Myers-Briggs Type Indicator Индикаторы типов Муйерс - Бриггс); каждая из предложенных технологий и методик управления человеческими ресурсами, помимо того, что направлена на защиту информации, учитывает особенности выбранного типа личности, что делает весь процесс комплексным, продуманным и, соответственно, более эффективным.
Дипломная работа состоит из 3 глав, каждая из которых соответствует одной из её задач.Литература1. Трудовой Кодекс Российской Федерации от 30.12.2001 N 197-ФЗ;
2. Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
3. Закон РФ о государственной тайне от 21.07.1993 (с изм. 22.0.2004) № 5485-1;
4. Федеральный закон «о коммерческой тайне» в редакции федеральных законов от 02.02.2006 N 19-ФЗ, от 24.07.2007 N 214-ФЗ;
5. Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»;
ЛИТЕРАТУРА
6. В.А. Северин «Коммерческая тайна в России», Москва, Зерцало-М, 2007;
7. В.И. Ярочкин, Я.В. Бузанова «Системы защиты предпринимательства: защита от недобросовестной конкуренции, Москва, Фонд «Мир», 2005;
8. М. Кузнецов, И. Симдянов «Социальная инженерия и социальные хакеры», Санкт-Петербург, «БХВ-Петербург», 2007;
9. «Безопасность информационных технологий» №1 1997. Н.В. Гришина, Т.Л. Партыка, Е.В. Морозова «Вопросы социально-психологического обеспечения деятельности комплексных систем защиты информации»;
10. Г.А. Шевцова «Методы управления персоналом, обладающим конфиденциальной информацией, «Группа ФМЦ», Москва, 2005;
11. Нэнси Мак-Вильямс «Психоаналитическая диагностика». Перевод с английского под редакцией М.Н. Глущенко, М.В. Ромашкевича, Москва, Независимая фирма “Класс”, 2001;
12. Маейрс «Социальная психология» (электронная версия);
13. К.Г. Юнг «Проблемы души нашего времени», Москва, Акдемический проект, 2007;
14. Е.А. Степанов «Управление персоналом. Персонал в системе защиты информации», М., Форум-Инфра-М, 2002;
15. Harvard Business Review. «Управление персоналом». «Что объединяет современную компанию?» Роб Гоффи, Гарет Джонс. М, Альбина Бизнес букс, 2006;
16. Harvard Business Review, Управление персоналом, Д. Стерлинг Ливингстон, «Эффект Пигмалиона» в сфере управления» Альпина бизнес бук М, 2006;
17. Е.А. Степанов, И.К. Корнеев «Информационная безопасность и защита информации: учебное пособие»,М., Инфра-М, 2001;
18. «Управление персоналом: учебник для вузов» под ред. Т.Ю. Базарова, Б.Л. Еремина, М.: ЮНИТИ,2002;
19. «Управление персоналом организации», учебник под ред. А.Я. Кибанова, Москва, Инфра-М, 2008;
20. Руководство пользователя. Типология MBTI (Майерс-Бриггс), 2008 (электронная версия);
21. www.infowatch.ru «Глобальное исследование утечек 2006»;
22. www.infowatch.ru «Внутренние ИТ-угрозы в России 2006»;
23. М. Емелянников «Защита от инсайдеров» — проблема нетехническая. Опубликовано в журнале "CIO" №12 от 15 февраля 2008 года;
24. Рамиль Яфизов «Инсайдеры: есть ли панацея?», Connect! Мир связи, 2007;
25. Р.Ронин, Практическое пособие «Своя разведка»"Харвест", Минск, 1997;
26. http://www.sec4all.net/sposob-polinfo.html
27. http://www.euromanagement.ru/consulting/same/same_corp_6.html
28. http://ru.wikipedia.org/wiki/column-one#column-one
29. дипломная работа «Формирование корпоративной культуры как элемент системы защиты информации», Москва, РГГУ, 2006.
|
|
