Лекция 6 Человеческий фактор в системе защиты информации.

Задание для семинара Защита национальной критической инфраструктуры (national critical infrastructure) Почему национальная критическая инфраструктура (NCI) действительно является критической? В чем разница между «узким» и «широким» подходами к определению NCI? Какие типы ресурсов могут быть включены в NCI? Почему с каждым годом NCI становится все более уязвимой для кибер-угроз? Что такое «эффект домино» по отношению к NCI?

Лекция 6 Человеческий фактор в системе защиты информации

Человеческий фактор: определение Человеческий фактор - совокупность объективных условий (предпосылок) психического, социально-экономического, политического, идеологического, морального, национального, природного и техногенного характера, действующих в данное время и данном пространстве и обусловливающих негативное или позитивное поведение человека и его поступки.

Сотрудник как объект угрозы Угрожает Злоумышленник Сотруднику

Сотрудник как источник угрозы Угрожает Сотрудник Организации

Воздействует Сотрудник Организация Сотрудник как посредник в реализации угрозы Злоумышленник Воздействует

Варианты осознанного сотрудничества со злоумышленником инициативное сотрудничество работника фирмы с целью мести руководству, коллективу фирмы, а также по причине подкупа, регулярной оплаты постоянных услуг и психической неустойчивости; формирование сообщества со злоумышленником на основании убеждения в справедливости взглядов злоумышленника, дружеских и иных взаимоотношений, взаимопомощи, жалости и т.п.; сотрудничество на основании убеждений работника в противоправных действиях руководства фирмы или их моральном разложении; склонение (принуждение, побуждение) к сотрудничеству путем обманных действий, изменения взглядов или моральных принципов путем убеждения, вымогательства, шантажа, использования отрицательных черт характера, физического насилия.

Варианты неосознанного сотрудничества со злоумышленником переманивание ценных и осведомленных (владеющих конфиденциальной информацией) сотрудников обещанием лучшего материального вознаграждения, лучшими условиями труда и иными преимуществами. ложная инициатива в приеме сотрудника на работу в конкурир. фирму ; выведывание конфиденциальных сведений в процессе беседы с сотрудниками компании-конкурента; подслушивание личных разговоров сотрудников фирмы; прослушивание личных и служебных телефонов сотрудников фирмы, перехват телеграмм, факсов, сообщений по электронной почте, вскрытие и ознакомление со служебной и личной корреспонденцией руководства фирмы, сотрудников; получение злоумышленником от сотрудника нужной информации, когда тот находится в состоянии алкогольного опьянения, под действием наркотиков, психотропных препаратов, внушений, гипноза, или в бессознательном состоянии, не позволяющем адекватно оценивать свои действия.

Важность постоянной работы с персоналом 1.Крепость цепи равна крепости ее самого слабого звена. 2.Намерению сотрудника поделиться с посторонними секретами организации не способны помешать никакие технические средства защиты.

От персонала информация легко переходит к злоумышленнику по причине: слабого знания персоналом правил и требований ЗИ; злостного или безответственного невыполнения сотрудником этих правил; использования экстремальных ситуаций в помещениях фирмы и происшествий с персоналом: пожара (или инсценировки), нападения, отключения электропитания, и т.п.;

От персонала информация легко переходит к злоумышленнику по причине: ошибочных и безответственных действий персонала не провоцированных злоумышленником: взятие конфиденциальных документов на дом; оставление без надзора документа или загруженного компьютера; выбрасывание в мусорную корзину черновиков или копий конфиденциальных документов; использование конфиденциальной информации в открытых публикациях; ошибочная выдача конфиденциального документа сотруднику, не имеющему к нему доступа и т.п.

От персонала информация легко переходит к злоумышленнику по причине: ошибочных и безответственных действий персонала, спровоцированных злоумышленником: предоставление конфиденциальной информации на ложные социологические и др. опросы; прохождение сотрудником ложного анкетирования; обман сотрудника, выдающего документы; проход злоумышленника на территорию фирмы по фиктивным документам; общение сотрудника с залегендированным агентом злоумышленника по поводу конфиденциальных сведений.

Организационно-психологические меры защиты дробление, распределение информации между сотрудниками; ведение учета ознакомления сотрудников с особо важной информацией; распространение информации только через контролируемые каналы; назначение лиц, ответственных за контроль документации;

Организационно-психологические меры защиты обязательное уничтожение неиспользованных копий документов и записей; четкое определение коммерческой тайны для персонала; составление, регулярная оценка и обновление перечня информации, представляющей коммерческую тайну; включение пункта о неразглашении коммерческой тайны в трудовой договор, правила внутреннего распорядка и должностные инструкции, а также в соглашения и договоры с партнерами.

Стадии взаимодействия сотрудника и предприятия 1.Предварительная (прием на работу) 2.Текущая (во время работы сотрудника) 3.Заключительная (процесс увольнения)

Прием на работу На основании должностной инструкции и особенностей деятельности организации разрабатываются требования, включающие не только формальные положения, такие как пол, возраст, образование, опыт работы, но и ряд морально- психологических качеств, которыми должен обладать кандидат.

Профпригодность Профпригодность – набор различных психологических и других факторов, которые необходимы сотруднику для эффективной работы: гражданские качества; отношение к труду, интересы и склонности в сфере деятельности предприятия; дееспособность как совокупность физических и умственных способностей; специальные способности; навыки и опыт работы в данной области; психологическая пригодность - успешность овладения профессией и удовлетворение от труда.

Методы поиска кандидата 1.Случайный человек. 2.Поиск кандидатов внутри фирмы. 3.Поиск среди студентов и выпускников ВУЗов. 4.Обращение в государственные и частные рекрутинговые агентства, биржи труда, организации по трудоустройству молодежи, бывших военных и т.д. 5.Рекомендации работающих в фирме сотрудников.

Работа сотрудника в компании (начало) успешное прохождение испытательного срока и признание сотрудника соответствующим должности, заключение трудового договора, заключение договора о сохранении коммерческой тайны, конфиденциальной информации, служебной тайны, о материальной ответственности, ознакомление под расписку с должностной инструкцией, Правилами трудового распорядка, Положением об оплате труда, специальными мерами в случае необходимости увольнения.

Должностная инструкция содержит: полное наименование должности; кому должность подчинена; кому должность дает распоряжения; требования к работнику на данной должности (образование, специальность, опыт работы); цели, которые руководство предприятия выдвигает для данной должности; функции, которые работник должен выполнять на данной должности; ответственность, которую несет работник на данной должности; порядок оценки труда работника.

Мотивация сотрудников (материальная составляющая) Экономическое поведение - это поведение, связанное с перебором экономических альтернатив с целью рационального выбора, то есть выбора, при котором минимизируются издержки и максимизируется чистая выгода. В основе экономического поведения лежат ценностные ориентации людей (деньги, статус, роль, идеалы).

Варианты экономического поведения сотрудников 1.Максимум дохода ценою максимума труда 2.Максимум дохода ценою среднего уровня труда 3.Максимум дохода ценою минимума труда 4.Средний уровень дохода ценою максимума труда 5.Средний уровень дохода ценою среднего уровня труда 6.Средний уровень дохода ценою минимума труда 7.Минимум дохода ценою максимума труда 8.Минимум дохода ценою среднего уровня труда 9.Минимум дохода ценою минимума труда

Моральная мотивация. Информирование. Информирование сотрудников о различных аспектах деятельности компании: ее успехах, планах развития, изменениях в структуре организации и системе оплаты труда, перестановках в руководящем составе и т. д. Почему работает: Неизвестность пугает больше, чем реальная опасность. Ясность причинно-следственных связей Отсутствие информации порождает догадки, слухи, нежелательное обсуждение дел компании с родными и знакомыми.

Моральная мотивация. Атрибутика Способы стимулирования: Доски почета Похвальные грамоты Соревнования между отделами Почему работает: Человеку нужно, чтобы его труд ценили и хвалили, важно осознавать собственную значимость. Минимальные затраты для работодателя

Моральная мотивация. Тренинг. Тренинги позволяют объединить сотрудников в команду, повысить эффективность продаж или производительность труда. Каждый тренинг должен сопровождаться отчетом, который затем анализируется: рассматриваются ситуации, происходившие на семинаре, даются развернутые характеристики участников, анализ сильных и слабых сторон каждого участника по тематике тренинга.

Моральная мотивация. Отождествление. Наилучшим способом мотивации персонала является отождествление сотрудника и компании. «Мои цели - это цели компании. Мои интересы это ее интересы». Это возможно только в том случае, если люди будут уверены, что их карьера будет развиваться наилучшим образом именно в данной компании. Причем ее развитие будет зависеть не от прихотей вышестоящего начальства, а подчиняться долгосрочному плану, предусматривающему и материальную заинтересованность, и профессиональный рост сотрудника.

Применение полиграфа Суть метода - приборное измерение параметров физиологических реакций организма тестируемого: ритма сердечных сокращений; фотоплетизмограммы (ФПГ); изменения частоты дыхания; кожногальванической реакции (КГР); наличия треммора дрожания рук и т.д.

Принцип работы полиграфа

Сложности применения полиграфа «средневековый» антураж в виде датчиков, креплений, опросного листа, необходимости подписания согласия на исследование заранее вводит испытуемого в стрессовое состояние, что достаточно быстро(1,5-2 часа) приводит к эмоциональному утомления, «эмоциональному выгоранию»; точный ответ на вопрос о причине «стрессовых» реакций на конкретные вопросы полиграфолог дать не может. Человек может остро реагировать на вопросы, например, об убийстве, исключительно из-за своего пацифизма, или неприязни к личности убитого, или из-за чувствительности к любым видам насилия. естественные физиологические реакции организма тоже вызывают стрессоподобные реакции, которые затруднительно отследить и исключить из исследования; существуют лица с противопоказаниями к полиграфическим опросам – имеющие заболевания сердечно- сосудистой системы, органов дыхания, психические отклонения, имеющие слабое состояние здоровья; синдром Отелло - даже честный человек, когда его подозревают во лжи, начинает вести себя как настоящий обманщик. существуют естественные физиологические состояния, при которых опрос с помощью полиграфа неэффективен – болезнь испытуемого, состояние острой боли, похмельного синдрома, притупление эмоциональных реакций из-за используемых препаратов, обычного «недосыпа» или из-за того, что человек замерз. добавление большего числа каналов малоощутимо влияет на точность исследования;

Методы противодействия полиграфу Метод 1: Снижение чувствительности. В Сети можно натолкнуться на рекомендации выпить накануне тестирования некоторое количество (иногда весьма большое) спиртного или психотропных препаратов. Также рекомендуют нехимические методы – например, отсутствие сна в течение нескольких дней или ночь, проведенную в онлайн-шутере. Как должно работать: На следующий день человек становится слабо чувствительным, его реакции падают, поэтому на стимулы полиграфолога он не может реагировать адекватно. Из-за хронического недосыпания человек впадает в состояние близкое к трансу, между сном и бодрствованием физиологическая реакция на все вопросы у него будет одинаково незначительной.

Методы противодействия полиграфу Метод 1: Снижение чувствительности. На самом деле: Полиграфолог при помощи своего аппарата быстро распознает падение реакций по многочисленным параметрам записываемых кривых, которые сильно отличаются от тех, какие бывают в норме. Также при «серьезных» исследованиях проводят предварительный анализ крови – его результаты обмануть невозможно. Если испытуемый отказывается от анализа крови или его реакция на контрольные вопросы не отличается от «общего фона» полиграфолог может прекратить тест, или же перенесет его на другое время.

Методы противодействия полиграфу Метод 2: Подавление всех эмоций Основной принцип здесь состоит в том, что человек старается отвечать на все вопросы автоматически, не обращая на них серьезного внимания. Он при этом сосредотачивает внимание на чем-то постороннем – на посторонних мыслях, на счете и умножении чисел в уме и т.п.

Методы противодействия полиграфу Метод 2: Подавление всех эмоций На самом деле: Такой способ требует способности к самоконцентрации, для его освоения нужны длительные тренировки. Полиграфолог, используя анализ величины реакций на специальные (не известные тестируемому в качестве контролирующих и выявляющих это состояние) вопросы, распознает и этот способ противодействия.

Методы противодействия полиграфу Метод 3: Вызывание стрессоподобных реакций. Обычно используют болевой раздражитель. Некоторые люди кладут в обувь кнопку: боль при надавливании на нее должна якобы вызвать «фальшивую реакцию». Для создания подобных реакций есть много и других способов, один из них – незаметное (как кажется опрашиваемому лицу) напряжение каких-нибудь мышечных групп. Обычно люди прижимают пальцы ног к полу, сводят глаза к носу и т.д.

Методы противодействия полиграфу Метод 3: Вызывание стрессоподобных реакций. На самом деле: Сложность в том, чтобы скрыть эти движения от допрашивающего. К тому же, тестируемого обычно снимают на видеокамеры, которые фиксируют крупным планом любые движения и изменения выражения лица испытуемого. Любое подозрительное или двусмысленное поведение обязательно будет трактоваться НЕ в пользу испытуемого. Механические противодействия контролируются датчиком тремора, подкладываемыми под ягодицы или ножки стула, иногда они надеваются на икры тестируемого. Кроме того, наличие нескольких других датчиков, контролирующих другие параметры жизнедеятельности человека, дают полиграфологу сигнал о противодействии проверяемого лица.

Правовая база использования полиграфа Использование полиграфа должно производиться только с согласия человека, что может быть оговорено в анкете кандидата, контракте или трудовом договоре. Федеральный закон «О частной детективной и охранной деятельности», статья 3 которого разрешает частным детективам «выяснение биографических и других характеризующих личности данных об отдельных гражданах (с их письменного согласия) при заключении ими трудовых и иных контрактов»; статья 5 допускает «устный опрос граждан и должностных лиц (с их согласия)», «использование … технических и иных средств, не причиняющих вреда жизни и здоровью граждан».

Альтернатива полиграфу: профайлинг Профайлинг это понятие, обозначающее совокупность психологических методов и методик оценки и прогнозирования поведения человека на основе анализа наиболее информативных частных признаков, характеристик внешности, невербального и вербального поведения.

Профайлинг

Альтернатива полиграфу: виброаура

Увольнение сотрудника Признаки возможного ухода: снижение качества работы; разговоры о новой работе; частые отгулы, которые можно связать с возможным трудоустройством; составление резюме; рассылка резюме; частое посещение сайтов о трудоустройстве; вынос своих вещей с территории организации (подготовка к увольнению); копирование или попытки копирования (или доступа) к конфиденциальной информации.

При увольнении по инициативе работодателя или предварительно и под соответствующим предлогом перевести сотрудника на другой участок работы, где отсутствуют сведения конфиденциального характера, либо сохранить его в структуре компании до тех пор, пока не будут приняты меры к снижению возможного ущерба от разглашения сведений или найдены адекватные средства защиты.

При увольнении по собственной инициативе Причины добровольного ухода: Конфликты в коллективе. Конфликты с начальством. Конфликты, связанные с оплатой труда. Конфликты, связанные с определенными правилами, установленными в коллективе.

Процесс увольнения написание сотрудником заявления об увольнении, в котором будут подробно раскрыты причины такого решения, а также (желательно) место предполагаемой работы; передача ответственному лицу всех числящихся за ним документов, баз данных, носителей информации, изделий, материалов, проверка их комплектности, полноты и оформление приема в описи исполнителя или актом; сдача сотрудником пропуска (идентификатора) для входа в рабочую зону, всех ключей и печатей, запрещение сотруднику входа в рабочие помещения с использованием знания шифра кодового замка (в случае необходимости - замена шифра); проведение беседы с увольняющимся сотрудником с целью напоминания ему об обязательстве сохранения в тайне конфиденциальных сведений и подписания сотрудником обязательства о неразглашении им конфиденциальных сведений после увольнения; документальное оформление увольнения в соответствии с общими правилами.

При увольнении сотрудника следует проинформировать всех сотрудников о предстоящем увольнении и запретить передавать ему любую или какую-то конкретную информацию, имеющую отношение к работе; сделать резервную копию файлов пользователя; организовать передачу дел; постепенно, по мере передачи дел, сокращать права доступа к информации; по необходимости организовать сопровождение увольнения специалистом по информационной безопасности.

Если сотрудник уличен в ПШ немедленно лишить его всех прав доступа к ИТ; немедленно скорректировать права доступа к общим информационным ресурсам (базам данных, принтерам, факсам), перекрыть входы во внешние сети или изменить правила доступа к ним; все сотрудники должны сменить личные пароли, при этом до их сведения доводится следующая информация: «Сотрудник N с (дата) не работает. При любых попытках контакта с его стороны немедленно сообщать в службу безопасности»; некоторое время контроль ИС осуществляется в усиленном режиме.

Дополнительная литература 1.Трудовой Кодекс РФ 2.Информационная безопасность и защита информации: Учебное пособие. – Ростов-Н/Д: Ростовский юридический институт МВД России, – 82 с. 3.Гришина Н.В. Организация комплексной защиты информации. – М.: Гелиос АРВ, Гришина К. В., Морозова Е. В. Вопросы социально- психологического обеспечения деятельности комплексных систем защиты информации // Безопасность информационных технологий Организация и современные методы защиты информации / Под ред. С. А. Диева, А. Г. Шаваева. М.: Концерн "Банковский Деловой Центр", 1998.