Содержание к диссертации
Введение
ГЛАВА 1 . Роль персонала в обеспечении информационной безопасности организации 14
1.1 Актуальность противодействия инсайдерам в условиях стремительного развития информационных технологий 14
1.2 Классификация нарушителей информационной безопасности: инсайдеры и их виды 18
1.3 Угрозы информационной безопасности и их источники 20
1.4 Связь источников угроз информационной безопасности и направлений работы с персоналом 26
1.5 Связь организационной приверженности персонала и информационной безопасности организации 30
1.6 Место аудита персонала в системе управления информационной безопасностью организации 36
1.7 Выводы по главе 39
Глава 2. Обзор современных методов моделирования и оценки организационной приверженности персонала 40
2.1 Понятие организационной приверженности в работах зарубежных авторов 41
2.2 Модель организационной приверженности Мейер-Аллен 44
2.3 Понятие организационной приверженности в работах отечественных авторов 52
2.4 Отечественные модели оценки организационной приверженности 54
2.5 Выводы по главе 66
ГЛАВА 3. Метод и модель оценки надежности персонала 67
3.1 Метод оценки надежности персонала 67
3.2 Построение модели оценки 74
3.3 Принципы оценки факторов 77
3.4 Оценка уровня подготовки сотрудника 81
3.5 Оценка организационной приверженности сотрудника на основе объективных факторов 82
3.6 Оценка организационной приверженности сотрудника на основе субъективных факторов 92
3.7 Оценка надежности сотрудника на основе специфических факторов 96
3.8 Итоговая оценка надежности персонала 101
3.9 Выводы по главе 104
ГЛАВА 4. Проверка разработанного метода и модели 106
4.1 Апробация модели оценки организационной приверженности 106
4.2 Экспертная оценка разработанного метода и модели 116
4.3 Рекомендации по практическому применению разработанных метода и модели 118
4.4 Выводы по главе 122
Заключение 124
Литература 127
- Угрозы информационной безопасности и их источники
- Модель организационной приверженности Мейер-Аллен
- Принципы оценки факторов
- Экспертная оценка разработанного метода и модели
Введение к работе
Актуальность исследования. Как показывает практика последних десятилетий, одной из главных угроз информационной безопасности организаций являются инсайдеры. Больше половины случаев хищения информации и незаконного доступа к информационным системам происходит при участии собственных сотрудников организаций. Таким образом, верность, или организационная приверженность, персонала являє гея одним из ключевых условий обеспечения информационной безопасности.
Современные модели оценки организационной приверженности персонала, такие как модель Мейер-Ален, работают с психологическими факторами: удовлетворённость от работы, ощущение вовлеченности в деятельность организации, верность профессии, и т.д. Основным методом получения данных для анализа является тестирование сотрудников, при этом применяются тестовые анкеты с достаточно большим числом вопросов, что позволяет оценить как ряд интересующих проверяющего факторов, так и достоверность ответов. Их недостаток в том, что человек знающий принципы составления таких тестов способен, в той или иной степени, обмануть их. В предельном варианте, при полном знании внутренней организации конкретного теста, не составляет проблемы так ответить на тест, что проверяющий получит ту картину, которая нужна проверяемому.
Подготовка персонала в вопросах обеспечения информационной безопасности проводится во многих (хотя и не во всех) организациях, но вот проверка качества подготовки персонала и оценка их знаний и умений зачастую находятся на весьма слабом уровне или вовсе отсутствуют.
И главное, эти два направления работы с персоналом и его оценки, как правило, ведутся независимо друг от друга, так же, как и контроль активности персонала в информационной системе организации. В результате они связаны только на организационном уровне, и не существует единой системы оценки персонала, которая бы включала в себя учет подготовки и приверженности сотрудника и результаты контроля его активности в информационной системе организации.
Учитывая актуальность проблемы обеспечения внутренней безопасности организаций, и информационной безопасности как её составной части, принимая во внимание недостатки существующих методов и моделей предлагается использовать гибкую многофакторную аддитивную модель оценки персонала, которая позволит учесть различные факторы: подготовку в области защиты информации, субъективно-психологические и объективные факторы позволяющие оценить организационную приверженность, и специфические факторы характерные для конкретной отрасли или организации. Применение такой модели позволит повысить вероятность раннего обнаружения потенциальных и действующих инсайдеров, что положительно скажется на обеспечении информационной безопасности, и, как следствие, позволит снизить потери от вредоносного инсайда.
Степень разработанности проблемы. В последние два десятилетия, проблема взаимосвязи инсайдеров и информационной безопасности изучалась в ходе ряда исследований и освящалась во многих статьях.
Стоит отметить доклад В.И. Прасолова «Технологии обеспечения лояльности персонала в структуре политики безопасности фирмы», сделанный им 15.02.05. на конференции «Создание системы корпоративной безопасности. Основная тема доклада — персонал, его надежность и влияние на обеспечение безопасности организации.
Л.II. Асаул, в своем учебнике «Организация предпринимательской деятельности», посвятил несколько глав вопросу информационной безопасности предприятия, управления персоналом и их взаимосвязи.
Необходимо отметить немалую работу и большое число исследований по вопросам информационной безопасности проведенных в университете ИТМО, в том числе коллективом кафедры МиПИУ. Хотя большая часть этих исследований посвящены организационным и техническим вопросам информационной безопасности, среди них есть и некоторое количество работ, связанных с ролью персонала в обеспечении информационной безопасности.
Наиболее крупные и значимые исследования по информационной безопасности и проблеме инсайдеров производятся за рубежом. Так данному вопросу ежегодно посвящается ряд публикаций, издаваемых под эгидой американского Координационного Центра CERT, занимающегося разработками в области обеспечения информационной безопасности. Не малое внимание данному вопросу уделяют и другие организации в США, такие как Software Engineering Institute и Institute for Information Infrastructure Protection, в частности все три организации регулярно проводят различные исследования и издают статьи, памятки и руководства с рекомендациями по обеспечению информационной безопасности и противодействию угрозе инсайдеров.
Выявлению характерных черт поведения вредоносных инсайдеров было посвящено исследование, проведенное в 2009 году группой ученых под руководством Деанны Д. Капуто, Грега Стефенса, Врэда Стефенсона и Минны Ким, ход и результаты которого изложены в статье "Human Behavior, Insider Threat, and Awareness. An Empirical Study of Insider Threat Behavior".
В значительной мере, изучению проблемы инсайдеров в информационной безопасности и разработке методов обеспечения информационной безопасности способствовало создание ITSRA - Insider Threat Security Reference Architecture (Стандартная Архитектура Внутренней Безопасности), проведенная работа и ее результаты были описаны в статье «Insider Threat Security Reference Architecture» за авторством Джоуи Моптелибано и Эндрю Муура, изданной Carnegie Mellon Software Engineering Institute в апреле 2012 года в рамках программы CERT.
Эти и многие другие исследования показывают, что организационная приверженность персонала, знание и выполнение им своих профессиональных обязательств, а также правил и процедур, предписанных политикой
информационной безопасности, является одним из важнейших факторов
обеспечения информационной безопасности организации.
Разработка понятия организационной приверженности, а затем методов и моделей её оценки началась в зарубежных странах в 1960-х годах.
Среди ученых занимавшихся разработкой данной тематики в означенный период следует выделить:
Б. Быокенена и P.M. Кантера разрабатывавших концепцию организационной приверженности как положительной эмоциональной реакции на организацию, ее цели и ценности;
Г.С. Беккера, разрабатывавшего концепцию организационной приверженности как результата оценки потерь, связанных с оставлением организации;
P.M. Марша и Г. Маннари разрабатывавших концепцию организационной приверженности как ощущения обязательств оставаться в организации.
Колектив Моудей-Портер-Стирс, основой их концепции организационной приверженности были отношения сотрудника и организации. Его идентификация с организацией, вовлеченность и желание оставаться в ней. Результатом стала разработка Organizational Commitment Questionary (OCQ) - теста, широко применяемого за рубежом для оценки лояльности персонала.
Следующий этап наступил в 1980-е, когда происходит переход к пониманию организационной приверженности как многомерной рабочей установки.
Наиболее широко распространённой становится модель, разработанная Дж. Мейером и Н. Аллен, так же они разработали шкалу оценки организационной приверженности, названную ими Organizational Commitment Scale (OCS), широко применяемую во многих странах.
В России работы в этом направлении начались в конце XX века, среди исследователей занимавшихся вопросом организационной приверженности следует выделить следующих:
Л.Г. Почебут и О.Е. Королёва, рассматривавших организационную приверженность как социально-психологическую установку (аттитыод).
О.С. Дейнека, при рассмотрении феномена организационной приверженности, выделяет наличие взаимных обязательств сотрудника и работодателя. Организационная приверженность сотрудника рассматривается как следствие отношения работодателя к нему.
Т.Н. Чистякова и П.В. Моисеенко определяют верного сотрудника, как сотрудника, который «идентифицирует себя с организацией, где он работает, связывает с деятельностью в ней свои успехи и неудачи во всех сферах жизни». Соответственно организационная приверженность понимается, как готовность следовать правилам и рамкам заданным организацией, стремится оправдать ожидания и стремиться к достижению целей и выполнению задач организации.
В.И. Доминяк определяет понятие организационной приверженности следующим образом: «лояльность персонала - доброжелательное, корректное, искреннее, уважительное отношение к руководству, сотрудникам, иным лицам, их
действиям, к компании в целом; осознанное выполнение сотрудником своей работы в соответствии с целями и задачами компании и в интересах компании, а также соблюдение норм, правил и обязательств, включая неформальные в отношении компании, руководства, сотрудников и иных субъектов взаимодействия».
Так же необходимо отметить, что ряд отечественных исследователей занимался адаптацией зарубежных подходов к нашим реалиям:
В.И. Доминяк, помимо других работ в данной области, произвел перевод и адаптацию теста OCQ на русский язык.
И.А. Германова и Н.Б. Плотникова, используя перевод В.И. Доминяка, произвели практическую проверку работоспособности теста OCQ в российских условиях.
Цель исследования повышение уровня информационной безопасности организации за счет разработки научно-методического обеспечения внутреннего аудита персонала.
Задачи исследовании. Для достижения поставленной цели диссертационной работы решается следующая научная задача разработка метода и модели оценки надежности персонала в интересах обеспечения информационной безопасности организации, которые бы обеспечили повышение уровня информационной безопасности организации за счет обнаружения сотрудников имеющих пониженный уровень надежности.
Декомпозиция задачи диссертационного исследования может быть представлена в виде следующих подзадач:
-
Проанализировать роль персонала в обеспечении информационной безопасности;
-
Выявить направления оценки персонала с точки зрения его надежности в обеспечении информационной безопасности;
-
Разработать метод и построить модель оценки надежности персонала организации в интересах обеспечения информационной безопасности;
-
Провести апробацию разработанных метода и модели;
-
Разработать рекомендации по их практическому применению и дальнейшему совершенствованию.
Объектом исследования являются вопросы управления персоналом в процессе обеспечения информационной безопасности организации.
Предметом исследования являются методы и модели оценки надежности персонала организации в интересах обеспечения её информационной безопасности.
Научная новизна исследования заключается в следующем:
1. Разработан метод многофакторпой оценки надежности персонала в интересах обеспечения информационной безопасности организации, в котором, в отличие от существующих методов, сотрудники организации рассматриваются не с одной, а с трех точек зрения: подготовки в области обеспечения
і
информационной безопасности, уровня организационной приверженности и активности в информационной системе организации.
2. Разработана модель многофакторной оценки надежности персонала в
интересах обеспечения информационной безопасности организации. В отличии от
существующих моделей оценивающих сотрудника с одного направления, в
данной модели оценка сотрудника строится на основе его оценок по трём
направлениям: оценки уровня его подготовки в области обеспечения
информационной безопасности, оценки уровня организационной приверженности
и оценки его активности в информационной системе организации.
3. Разработана модель оценки организационной приверженности
сотрудника, в которой, в отличие от существующих моделей для построения
оценки используются не результаты тестирования сотрудника, а оценка факторов
характеризующих сотрудника и влияющих на него.
Теоретическая значимость работы заключается в том, что сформулированные в работе положения и выводы развивают и дополняют разделы теории информационной безопасности, а полученные результаты вносят вклад в её дальнейшее развитие. Исследование способствует более глубокому осмыслению важности надежности персонала организации для обеспечения её информационной безопасности.
Практическая значимость работы определяется тем, что применение разработанных метода и модели в государственных и коммерческих организациях, как одного из инструментов обеспечения их информационной безопасности, позволит улучшить обеспечение информационной безопасности данных организаций. Результаты и выводы, полученные в данном исследовании, могут использоваться при создании нормативно-правовых документов, написания методических рекомендаций и учебных пособий и служить основой при принятии организационно-управленческих решений в различных организациях.
Методология исследования. Методологическую основу исследования составляют специальные и общенаучные методы познания, труды ученых и специалистов по теории и практике информационной безопасности и управления персоналом, энциклопедическая и справочная литература, нормативно-правовые документы, материалы исследований и конференций опубликованных в периодических изданиях.
Методы исследования. Основным методом исследования является математическое моделирование, базирующееся на использовании аппарата математической статистики, теории информационной безопасности, методов управления персоналом. При решении поставленных задач исследования использовались методы эмпирического исследования, индуктивных и дедуктивных умозаключений, моделирования, систематизации, а также расчетно-аналитические, документальные и общелогические методы.
Положения, выносимые на защиту:
1) Метод многофакторной оценки надежности персонала в обеспечении информационной безопасности организации;
2) Модель многофакторной оценки надежности персонала в
обеспечении информационной безопасности организации;
3) Рекомендации по применению разработанных метода и модели
обеспечении информационной безопасности организации;
Степень достоверности результатов. Обоснованность и достоверность научных положений, результатов и выводов, полученных в диссертационном исследовании, обеспечиваются: использованием аналитических и экспериментальных методов проверки и доказательства достоверности результатов; опорой на положения теории информационной безопасности; методологической основой научного задела по рассматриваемой тематике; обработкой полученных данных с помощью математического аппарата; апробированием основных результатов работы на конференциях; публикациями по теме диссертационной работы.
Апробация результатов. Основные и промежуточные результаты диссертационного исследования были представлены на различных конференциях:
-
XXXI отраслевая научно-техническая конференция молодых ученых и специалистов МПО-МС-2012.
-
X Международная научно-практическая конференция «Фундаментальные и прикладные исследования в современном мире».
3. XIV Международная научно-практическая конференция «Научные
перспективы XXI века. Достижения и перспективы нового столетия».
Основные и промежуточные результаты диссертационного исследования были представлены на различных конкурсах:
-
Конкурс грантов для студентов вузов, расположенных на территории Санкт-Петербурга, аспирантов вузов, отраслевых и академических институтов, расположенных на территории Санкт-Петербурга, 2013г.
-
Конкурс грантов для студентов вузов, расположенных на территории Санкт-Петербурга, аспирантов вузов, отраслевых и академических институтов, расположенных на территории Санкт-Петербурга, 2014г.
Публикации. Основные и промежуточные результаты диссертационного исследования представлены в 8 статьях, в том числе три работы в российских журналах входящих в Перечень ведущих рецензируемых научных журналов и изданий ВАК. Остальные работы опубликованы в материалах научно-практических конференций и иных научных изданиях.
Личный вклад. Содержание диссертации и положения, выносимые на защиту, отражают персональный вклад автора в данную работу.
Структура диссертации. Диссертация состоит из введения, четырех глав, заключения и списка литературы состоящего из 91 наименования, включая труды автора. Материал изложен на 136 страницах машинописного текста, содержит 12 рисунков и 2 таблицы.
Угрозы информационной безопасности и их источники
Проблема предательства и предателей столь же стара, как и человечество, но если еще в XIX веке для похищения секретных документов их необходимо было физически вынести из места хранения или скопировать вручную, что было долгим и трудоемким процессом. То к середине XX века злоумышленнику было достаточно компактного фотоаппарата, а с распространением в 80-е гг персональных компьютеров процесс кражи упростился еще больше, к услугам злоумышленника были дискеты, имевшие смешную по сегодняшним меркам емкость и немалые размеры, но тем не менее позволявшие быстро скопировать и вынести достаточно большой объем информации. Так же компьютер мог быть подключен к принтеру, несмотря на то, что тогдашние матричные принтеры были весьма шумными устройствами и уступали современным лазерным принтерам, они позволяли достаточно быстро распечатать большой объем документации. С развитием компьютеров, электроники и информационных технологий ситуация лишь ухудшается.
Объединение компьютеров в сеть позволяет злоумышленнику (будет ли он сотрудником организации, клиентом или проникнет на ее территорию нелегально) получив доступ к одному компьютеру, так же получить доступ ко всем ресурсам сети. С появлением и широким распространением Интернета ситуация стала еще сложнее, теперь злоумышленнику не нужно даже появляться на территории предприятия, он может получить доступ к интересующей его информации удаленно, не покидая своего кресла. Если же злоумышленником является сотрудник, то он может отправить похищенную информацию сообщнику или на виртуальное хранилище в Интернете, не покидая своего рабочего места и ничего не вынося за территорию организации.
С другой стороны развитие электроники привело к тому, что на флеш-карту размером с копеечную монету помещается несколько десятков гигабайт информации, что позволяет злоумышленнику скопировать множество документов, программ, баз данных и другой критически важной информации и вынести ее за охраняемую территорию не привлекая внимания. [36]
Таким образом, проблема инсайдеров становится одной из ключевых проблем в обеспечении информационной безопасности. Изучению данной проблемы посвящен ряд исследований. Далее рассмотрим характерные примеры. «Espionage and the Insider» Примером статьи показывающей видение существовавших на тот момент и будущих проблем информационной безопасности можно привести статью Стивена П. Киппа «Espionage and the Insider» («Шпионаж и Инсайдер») опубликованную в 2001 году Институтом САНС. Среди ключевых проблем организации информационной безопасности и противодействия инсайдерам указываются недооценка скорости развития цифровых технологий и пренебрежение многими организациями даже такими довольно простыми, но в то же эффективными мерами обеспечения информационной безопасности как принцип минимальных привилегий и разграничение доступа. «Human Behavior, Insider Threat, and Awareness» Необходимо отметить исследование, проведенное в США под эгидой исследовательской программы Института защиты Информационной Инфраструктуры, при поддержке гранта Министерства Внутренней Безопасности США. Результаты исследования изложены в статье «Human Behavior, Insider Threat, and Awareness» которая была выпущена Институтом защиты Информационной Инфраструктуры в июле 2009 года.
Целью исследования было помочь организациям в борьбе с инсайдерами, для чего предполагалось выявить различия в поведении между неопасными и вредоносными инсайдерами. Исследование проводила группа ученых включающая в себя социологов и специалистов по информационной безопасности. В эксперименте приняли участие шестьдесят один человек, согласно легенде эксперимента все они имели финансовые трудности, часть из них (вредоносные инсайдеры) собирала информацию для конкурентов к которым собиралась перейти на работу, другая часть (неопасные инсайдеры) для своей компании что дало бы им повышение оплаты труда. При проведении исследования был использован двойной слепой метод, т.е. ни участники эксперимента, ни наблюдатели не знали его истинных целей.
Эксперимент показал, что вредоносные инсайдеры стойко придерживаются принципа «количество важнее качества» - средний объем собранной ими информации в 5.43 раза превысил таковой для неопасных инсайдеров. Также вредоносные инсайдеры прикладывали куда больше усилий для обхода системы контроля. «The CERT Guide to Insider Threats» Проблеме инсайдеров посвящена книга «The CERT Guide to Insider Threats» написанная Дэном Капелли, Эндрю Муром и Рэнделом Тржечиаком на основе ряда исследований проведенных центром CERT. В данной работе в качестве инсайдеров рассматриваются не только сотрудники организации, но и другие лица имеющие доступ на её территорию: временные сотрудники, деловые партнеры, персонал подрядчиков, клиенты.
В данной работе, возможные угрозы со стороны инсайдеров делятся на три группы: В книге рассматриваются пути реализации угроз относящихся к каждой из этих трех групп и меры противодействия им. Также в книге приводится список мер по предупреждению инсайдерской активности и поиску вредоносных инсайдеров. Работа по противодействию инсайдерам включает в себя три основных направления:
Модель организационной приверженности Мейер-Аллен
Позднее Мейер совместно с группой других исследователей предложил модель, связывающую предпосылки, корреляты и последствия организационной приверженности. [65]
В качестве предпосылок рассматривались демографические факторы: возраст, пол, семейное положение, образование, стаж; индивидуальные особенности; факторы связанные с опытом работы и отношениями сотрудник-организация.
В качестве коррелятов: вовлеченность в работу, лояльность к профессии, удовлетворенность от работы.
Последствия: снижение текучести кадров, уменьшение абсентеизма, повышение производительности труда, гражданское организационное поведение сотрудника, а также снижение вероятности стресса на рабочем месте и уменьшение конфликта между семьей и работой.
Из анализа данных Мейер пришел к выводу, что демографические показатели слабо влияют на организационную приверженность. Факторы влияющие на организационную приверженность Мейер [78] объединил в четыре группы:
Опыт работы сильно влияет на аффективную составляющую организационной приверженности, при этом наибольших значений она достигает у тех сотрудников, чей повседневный опыт способствует чувству комфорта (например, ролевая определенность, хорошие межличностные отношения) и компетентности (например, соответствующие уровни сложности задач и личной ответственности).
Соответствие ценностей. Организационные ценности отражают сущность бизнеса, продукции или услуг, путей сбыта производимой продукции и услуг, способов обращения с сотрудниками. Сотрудники будут более верны организации, когда их ценности совместимы с ценностями организации. Организационная поддержка. Сотрудники будут более лояльны по отношению к организации, если она лояльна по отношению к ним. Обычно лояльность организации по отношению к сотрудникам рассматривается как обеспечение гарантии занятости. Этот подход не является единственным. Важной составляющей организационной приверженности является оценка сотрудниками того, насколько организация заинтересована в их благополучии. Ощущение поддержки формируется на основе повседневного опыта с помощью соответствующей политики в отношении персонала.
Организационная справедливость. Люди рассчитывают на справедливое обращение с ними и ценят его. Конечно, на ощущение справедливости влияет распределение значимых для сотрудника ресурсов (зарплата, продвижение по службе и пр.). При этом в значительной степени на это ощущение влияют не сами ресурсы или их размер, а способ, которым эти ресурсы распределены. Даже решения, ведущие к негативным последствиям (снижение зарплаты, потеря работы), будут приняты с минимальным влиянием на организационную приверженность, если они проводятся справедливо (без предвзятости). Сотрудники также ожидают, что с ними будут обращаться достойно и с уважением, и ответят на такое обращение повышением организационной приверженности.[46]
Данная модель широко применяется как в Соединенных Штатах Америки, так и за их пределами.
Как пример адаптации модели Мейер-Аллен под национальные, и профессиональные особенности стоит рассмотреть работу турецких ученых Абдулкадира Кирмизи и Оркана Дениза «Организационная приверженность специалистов по ИТ в частных банках», результаты которой они представили на Европейской и Средиземноморской Конференции по Информационным Технологиям в 2009 году. Подробно о ней можно узнать из публикации трудов участников конференции [63], мы же рассмотрим основные положения и результаты.
Авторы закономерно указывают, что роль информационных технологий в работе современных организаций постоянно возрастает, так пять лет назад в четырёх крупнейших коммерческих банках работало около двух тысяч специалистов по ИТ. А программные продукты, разрабатываемые и обеспечиваемые ими, применялись во всех сферах деятельности банков. Как следствие, организационная приверженность специалистов по ИТ по отношению к своему банку становится одним критических условий обеспечения его конкурентоспособности. Для оценки организационной приверженности специалистов по ИТ была разработана модель базирующаяся на модели Мейер-Аллен с рядом дополнений.
Сбор информации был организован в виде он-лайн анкетирования, на которое было приглашено три тысячи специалистов по ИТ из десятка банков, девяносто девять из них (или 3,3% от общего числа приглашенных) приняли участие в опросе. В опросе принимали участие только работники частных банков, государственные банки не рассматривались, так как, по утверждению авторов, они имеют свою специфику, в частности связанную с их большей устойчивостью и, как следствие, большей уверенностью их сотрудников завтрашнем дне. В анкете была использована пятиточечная шкала Лайкерта, широко применяемая в социологических и психологических исследованиях - в качестве ответов на вопросы анкетируемый сотрудник должен был указать степень своего согласия с утверждением, которая могла быть выраженная от полного несогласия (один балл), до полного согласия (пять баллов).
Принципы оценки факторов
Для обработки веса фактора, в зависимости от его типа и принципов построения модели могут использоваться разные функции. В рамках предложенной модели предполагается применение нескольких функций.
Для обработки факторов веса которых могут, в зависимости от своей природы, принимать произвольные значения на известных, не ограниченных хотя бы с одной стороны, интервалах используется функция 8. f(s (S)) = k1 arctan( ( )) (8)
Значение функции арктангенса принадлежит области [-0.5; 0.5], а аргумент должен быть действительным числом. Коэффициенты k1m и k2m, выбираются таким образом, что бы все возможные значения функции №8 находились в области [0;1], а для среднего состояние фактора, значение функции составляло одну вторую. При этом исходный вес фактора может быть любым действительным числом на заданном интервале.
Из свойств функции арктангенса следует: 1. Каждому значению аргумента соответствует одно и только одно значение результата; 2. Функция арктангенса может принимать минимальное и максимальное значения только при sm(S) равном - и + соответственно. Данные значения недостижимы, следовательно, при росте значения sm(S) будет наблюдаться асимптотическое приближение f(sm(S)) к границе области значений; 3. arctg(0)=0 следовательно f(0)= k1m; 4. Чем дальше значение аргумента от нуля, тем меньше приращение функции при приращении аргумента. Что отображает существенное влияние фактора на общий вес, при колебаниях фактора около среднего значения и малое влияния его колебаний при значениях значительно отстоящих от средних. Ведь если состояние фактора очень хорошее или, наоборот, очень плохое, то его малые изменения мало влияют общее состояние организации. В рамках рассматриваемой модели, в большинстве случаев, функция sm(S) строится таким образом, что её областью значений является интервал [-;+] или интервал [0;+]. В дальнейшем будем называть f(sm) для этих интервалов функцией первого и второго типа соответственно. Рассчитаем коэффициенты k1m и k2m для них, так что бы выполнялось условия формул №3 и №4.
Для обработки факторов, веса которых принимают дискретные значения, используются интервальные оценки. Вес фактора будет принимать одно из фиксированных значений, в зависимости от того какому интервалу принадлежит значение фактора. Например, если в тесте сотруднику предлагают оценить каждый вопрос в баллах от одного до пяти, тогда пяти вариантам ответа можно сопоставить веса 0; 0.25; 0.5; 0.75 и 1, соответственно.
Для определения весовых коэффициентов km необходимо собрать статистику, включающую достаточно большое количество (как минимум несколько десятков, лучше сотен) случаев действий сотрудников направленных против своих организаций, что позволит определить важность каждого из рассматриваемых факторов. Так же, анализ статистики может привести к обнаружению новых закономерностей, что потребует добавить в модель дополнительные факторы.
Второй вариант определения весовых коэффициентов km — вычисление на основе другой модели, например можно использовать модель оценки субъективных факторов для расчета весовых коэффициентов объективных факторов.
Выбор факторов для оценки надежности сотрудника и построение частных моделей оценки отдельных групп факторов были произведены исходя из анализа следующих источников:
Оценка уровня подготовки сотрудника производится на основании результатов его аттестации проводимой в рамках обучения сотрудников политике обеспечения информационной безопасности. Для учета результатов аттестации в разработанной модели оценки необходимо провести ряд операций: 1. Формализация результатов аттестации - все учитываемые результаты аттестации должны быть приведены в численный вид; 2. Выработка единой оценки - необходимо разработать модель, обеспечивающую итоговую оценку уровня подготовки сотрудника на основе результатов аттестации; 3. Преобразование оценки - численные значение оценок подготовки сотрудников должны быть приведены к виду пригодному к учету в разработанной модели. Для этого оценки подготовки сотрудников должны отвечать следующим требованиям:
Итоговая оценка уровня подготовки сотрудника в вопросах обеспечения информационной безопасности строится в соответствии с формулой №3. Учитывая, что для оценки успешности сдачи аттестационных заданий и тестов широко используется балловая система, итоговая оценка, с высокой вероятностью будет представлять собой взвешенную сумму интервальных оценок, каждая из которых будет отражать успешность решения определенного аттестационного задания.
В свою очередь, опыт, накопленный при применении модели, может быть использован для повышения эффективности аттестаций персонала проводимых организацией. Кроме того, так как разработанная модель должна применяться на постоянной и регулярной основе, то это, в свою очередь, потребует регулярно проводить аттестацию персонала, что позволит своевременно выявлять сотрудников, имеющих недостаточно высокий уровень подготовки, и проводить для них дополнительное обучение.
Экспертная оценка разработанного метода и модели
У данного параметра есть важное отличие от параметров используемых для расчета оценки организационной приверженности сотрудника на основе объективных факторов - параметр уровня информационного обмена представляет собой отношение среднего, по организации или её подразделению объёма информационного обмена, к объему информационного обмена конкретного сотрудника. Это связано с тем фактом, что тревожащим является именно превышение объёма информационного обмена сотрудника, над среднестатистическим объёмом информационного обмена по организации. Соответственно, при росте уровня обмена, оценка должна снижаться.
Важным нюансом, который необходимо учитывать при оценке уровня информационного обмена, является специфика работы конкретного сотрудника. Так как выполняемые им профессиональные обязанности могут сильно влиять на объемы его информационного обмена.
Аналогичным образом производится учет информационного обмена с локальной сетью (ЛС) и съемными носителями данных (СНД), а так же общее количество запросов в локальной сети и количество запросов по темам не связанным с профессиональными и должностными обязанностями сотрудника:
Не менее важным для обнаружения активности потенциальных инсайдеров является наблюдение и анализ изменения объемов информационного обмена. Для выполнения данной задачи в модель введены факторы изменения уровня информационного обмена (с Интернетом, локальной сетью и съемными носителями данных), а так же количества запросов в локальной сети (общее и не профильных для сотрудника) в текущем отчетном периоде по сравнению с предыдущим отчетным периодом.
Спецификой данных факторов является то, что подозрительными следует рассматривать резкие изменения в любую сторону. Поэтому функция sm(S) для каждого из этих пяти факторов будет представлять собой модуль отношения разницы значения фактора в текущем (тОП) и предыдущем (пОП) отчетных периодах к его значению в предыдущем отчетном периоде.
Необходимо учитывать, что уже двукратный рост уровня информационного обмена является очень тревожным признаком, при этом sm(S)=l. В тоже время незначительные колебания не являются тревожащими признаками
Соответственно функция f(sm) должна отвечать следующим требованиям: для оставшихся 0,4% сотрудников значение функции f(sm) составит менее 0,73 - причем для сотрудника, у которого изменение параметра составило 100% от значения за предыдущий отчетный период, значение функции f(sm) составит 0,12;
Таким образом, большинство сотрудников будет иметь достаточно высокие рейтинги по изменению объёмов информационного обмена, в то время как сотрудники, у которых произошло значительное изменение объёма информационного обмена, будут резко выделяться на общем фоне.
Учитывая, что помимо сознательной вредоносной деятельности сотрудника в отношении организации также возможно нанесение ущерба информационной системе в результате случайных ошибок, стоит признать полезным добавление в группу специфических факторов учитывающих количество и тяжесть ошибок, допускаемых сотрудником в ходе его профессиональной деятельности.
Таким образом, разработанная модель позволяет провести оценку надежности сотрудников организации в обеспечении информационной безопасности. При этом учитываются все направления возникновения угроз информационной безопасности, выявленные в Главе 1, что позволяет найти уязвимости, с точки зрения информационной безопасности, как конкретного сотрудника в отдельности, так и, при обобщении и анализе полученных оценок, системы безопасности организации в целом.
Исходя из выводов, полученных в первой главе, разработан метод оценки надежности персонала в вопросах обеспечения информационной безопасности.
На основе разработанного метода оценки надежности персонала построена гибкая аддитивная модель оценки надежности персонала в обеспечении информационной безопасности, которая может быть легко адаптирована под национальные, этнические, отраслевые особенности, а так же под специфические особенности конкретной организации или коллектива в неё входящего.
Модель учитывает подготовку сотрудника в вопросах обеспечения информационной безопасности; внешние факторы, влияющие на сотрудника, и его собственное отношение к организации, в которой он работает. Также модель позволяет учесть специфические факторы, в качестве базовых факторов в этой категории рассматриваются факторы, свидетельствующие о подозрительной активности сотрудника в информационной системе организации. Такая активность может быть признаком вредоносной инсайдерской деятельности или использования рабочего компьютера и корпоративной сети в личных интересах, хоть и не наносящих прямого ущерба организации.
Помимо применения разработанной модели по прямому назначению, также возможно применение модели в целом, её составных частей и информации накопленной в ходе применения модели для решения смежных задач. А именно:
Статистическая информация и опыт, накопленные в ходе применения модели, могут быть использованы для оптимизации обучения персонала политике информационной безопасности и аттестации их подготовки в вопросах обеспечения информационной безопасности.
Модель позволяет сопоставить оценки по субъективным и объективным факторам, а затем прогнозировать изменение организационной приверженности и, как следствие, надежности персонала при изменении объективных факторов.
Модель оценки информационной активности сотрудников в информационной системе организации может быть использована не только для поиска потенциальных вредоносных инсайдеров, но и для поиска сотрудников использующих служебную технику в личных целях.
Таким образом, разработанные метод и модель дают гибкий, многофункциональный, легко адаптируемый инструмент, который может применяться не только для оценки надежности персонала в обеспечении информационной безопасности, но и при решении смежных вопросов, как в информационной безопасности, так и в работе с персоналом в целом.