Информационная безопасность и человеческий фактор | Статья в журнале «Молодой ученый»

Отправьте статью сегодня! Журнал выйдет 28 декабря, печатный экземпляр отправим 1 января.

Опубликовать статью в журнале

Авторы: ,

Рубрика: Информационные технологии

Опубликовано в Молодой учёный №7 (111) апрель-1 2016 г.

Дата публикации: 22.03.2016

Статья просмотрена: 3181 раз

Библиографическое описание:

Кошелев, С. О. Информационная безопасность и человеческий фактор / С. О. Кошелев, А. И. Яцкевич. — Текст : непосредственный // Молодой ученый. — 2016. — № 7 (111). — С. 17-19. — URL: https://moluch.ru/archive/111/27330/ (дата обращения: 16.12.2024).



В статье рассмотрены основные способы нарушения информационной безопасности предприятия, связанные с непреднамеренными действиями сотрудников, их анализ, способы борьбы с ними.

Ключевые слова: информационная безопасность, психология, работа с персоналом, безопасность, аналитика.

Практически любая информация подлежит защите, для обеспечения ее безопасности руководством организации, как правило, привлекаются имеющиеся сотрудники, отвечающие за вопросы информатизации. Такой подход позволяет организации сэкономить средства на привлечении специалистов в области информационной безопасности. Необходимо отметить, что несмотря на то, что в целом IT-специалисты достаточно квалифицированы для установки межсетевых экранов, антивирусов и разграничения прав доступа пользователей, это является серьезным упущением со стороны руководителей, которые считают, что технических мер безопасности будет достаточно, не учитывая человеческий фактор.

Российское правительство уделяет большое внимание правовой части информационной безопасности государственных структур и организаций, издавая соответствующие федеральные законы и постановления. Регуляторы в данной сфере, такие как Федеральная служба безопасности, Федеральная служба по техническому и экспортному контролю, Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций обеспечивают соблюдение установленных требований, также усиливая безопасность обрабатываемой информации, подлежащей защите.

К сожалению, ничего из выше указанного не исключает возможность обхода системы информационной безопасности, так как зачастую не рассматриваются угрозы безопасности, обусловленные человеческим фактором, а именно:

 нарушение правил эксплуатации автоматизированных рабочих мест;

 утрата носителей информации, содержащих ценные для организации сведения;

 утечка информации через сеть Интернет;

 разглашение защищаемой информации третьим лицам.

Существуют и другие типы угроз, связанные с недопустимой деятельностью сотрудников организации, но вышеперечисленные угрозы имеют наибольшую популярность. На сегодняшний день невозможно точно оценить вероятность осуществления какой-либо угрозы, возникающей из-за действий сотрудника, так как большинство организаций намеренно скрывают свои инциденты, защищая свою репутацию.

Компания Solar Security, занимающаяся выявлением, устранением, а также анализом нарушений в сфере информационной безопасности, регулярно получает данные о произошедших инцидентах в организациях, которые используют ее продукты. На основе данной информации коммерческий центр мониторинга JSOC (Jet Security Operation Center) ежеквартально предоставляет отчет ([1]), отражающий основные источники угроз и цели злоумышленников. К примеру, распределение источников внутренних инцидентов в компаниях за третий квартал 2015 года показано на диаграмме 1:

Рис. 1. Распределение источников внутренних инцидентов

В данном примере видно, что большинство угроз исходят от обычных пользователей организации. Существует мнение, что наибольший вред организации наносят так называемые инсайдеры — люди, которые специально внедряются или вербуются на предприятие с целью хищения или нарушения целостности информации. Однако, в соответствии со статистикой, большинство инцидентов происходят в результате недостаточной подготовленности и халатности работников.

Согласно отчету компании InfoWatch ([2]), обеспечивающей информационную безопасность организаций с 2003 года, в первом полугодии 2015 года распределение случайных и умышленных утечек имело вид, представленный на диаграмме 2:

Рис. 2. Распределение случайных и умышленных утечек

Из диаграммы видно, что наибольшую долю имеют случайные утечки. Это связано с не регламентированным доступом пользователей в интернет, посещением нежелательных сайтов сомнительного содержания, избыточными правами пользователей, использованием компаниями ненадежных почтовых серверов. Большое количество конфиденциальной информации теряется вместе с flash-накопителями, потерянными мобильными устройствами. Всё это негативно влияет репутацию организации, снижая ее конкурентоспособность.

Растет число случаев, в которых серьезный ущерб компании был нанесен из-за того, что один из сотрудников получил на электронную почту письмо, содержащее скрипт с шифратором файлов системы, которое было пропущено спам-фильтром. Сотрудником, уверенным, что письмо поступило из надежного источника, осуществляется запуск приложенного файла. Запущенная программа начинает проводить шифрование файлов на сетевых дисках, подключенных к рабочему месту, и заканчивает на системном диске пользователя. После этого пользователю выводится информационное сообщение, содержащее данные счета злоумышленника, с предложением перевести деньги для расшифровки файлов. Несмотря на то, что в подобных случаях пользователь виновен в нарушении установленных инструкций, имеющаяся судебная практика показывает, что обычной росписи в листе ознакомления с инструкциями может быть недостаточно для привлечения его к ответственности (допустивший нарушение сотрудник может аргументировать это тем, что было дано указание расписаться за инструкции, а их изучение не проводилось).

Из подобных происшествий следует, что отделу информационной безопасности нельзя ограничиваться одними инструкциями, а необходимо осуществлять обучение и регулярный контроль знаний сотрудников посредством проведения экзаменов, результаты которых отражали бы реальную осведомленность аттестуемых об угрозах безопасности. На основе полученных данных можно было бы выявить потенциальные уязвимости системы защиты информации, провести разъяснительные беседы с сотрудниками, которые позволили бы избежать подобных инцидентов.

Эксперты из компании Trend Micro считают, что в 2016 году хакеры также будут воздействовать на сотрудников организаций ([3]). Злоумышленники будут использовать механизмы онлайн вымогательства, причем в 2016 году будет упор на психологический аспект. Точно такие же схемы использовались и ранее, но теперь атаки будут иметь направленный характер, а также будут учитывать поведение конкретной жертвы.

Таким образом, можно судить о том, что информационные отделы многих организаций не обеспечивают должный контроль своих пользователей. Данную проблему можно решить путем проведения с сотрудниками занятий по информационной безопасности предприятия, для более четкого понимания ценности информации, с которой они работают, и существующих угрозах. Целесообразно периодическое проведение конференций, в ходе которых были бы рассмотрены потенциальные угрозы, произошедшие инциденты и их анализ. Проведение данных мероприятий повысит подготовленность сотрудников, что, в свою очередь, приведет к снижению частоты инцидентов безопасности.

Литература:

  1. Отчет JSOC Security flash report Q3 2015 // ООО «СОЛАРСЕКЬЮРИТИ» — URL: http://solarsecurity.ru/upload/pdf/JSOC %20Reports %20Q3 %202015.pdf
  2. Глобальное исследование утечек конфиденциальной информациив I полугодии 2015года // Аналитический центр InfoWatch — URL: http://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Global_Report_2015_half_year.pdf
  3. Прогнозы в области ИБ на 2016 год // Аналитический центр Anti-Malware.ru — URL: https://www.anti-malware.ru/news/2015–11–02/17158
Основные термины (генерируются автоматически): информационная безопасность, JSOC, информационная безопасность предприятия, инцидент, пользователь, распределение источников, сотрудник, угроза безопасности, Федеральная служба.


Похожие статьи

Формирование структуры экономической безопасности на предприятиях

В данной статье автором рассматривается состав экономической службы безопасности, классификация угроз и каналов утечки информации.

Риски в образовании

Статья посвящена исследованию состояния изученности опыта управления рисками в общеобразовательных организациях, выявлению значения рисков в системе образования.

Обеспечение экономической безопасности предприятия на основе управления рисками

Целью исследования данной работы является рассмотрение возможностей обеспечения экономической безопасности предприятия на основе управления рисками, возникающими в процессе ее функционирования.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Проблемы в области экономической безопасности

В статье рассматриваются основные аспекты экономической безопасности, основные проблемы и решения. Научная значимость исследования состоит в разработке методически подходов к оценке и проведению мониторинга экономической безопасности.

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Предупреждение угроз экономической безопасности предприятия

В статье авторы анализируют актуальные проблемы экономической безопасности предприятия и подходы к их устранению.

Информационная безопасность в школе

В статье авторы рассматривают основные понятия и проблемы информационной безопасности на уровне общеобразовательной организации.

Факторы, определяющие сущность менеджмента рисков информационной безопасности

В данной статье описывается сущность менеджмента рисков информационной безопасности и рассматриваются его основные составляющие. Освещаются вопросы асимметрии принятия решений, а также ограничения риск-менеджмента.

Научно-технический аспект принятия управленческих решений с учетом требований пожарной безопасности

Статья посвящена актуальным проблемам альтернативного выбора принятия управленческого решения требований пожарной безопасности на объектах социальной сферы.

Похожие статьи

Формирование структуры экономической безопасности на предприятиях

В данной статье автором рассматривается состав экономической службы безопасности, классификация угроз и каналов утечки информации.

Риски в образовании

Статья посвящена исследованию состояния изученности опыта управления рисками в общеобразовательных организациях, выявлению значения рисков в системе образования.

Обеспечение экономической безопасности предприятия на основе управления рисками

Целью исследования данной работы является рассмотрение возможностей обеспечения экономической безопасности предприятия на основе управления рисками, возникающими в процессе ее функционирования.

Аналитические методы оценки защищенности информации, обрабатываемой в информационной системе

В статье рассматривается проблема оценки защищенности информации в информационных системах, а также применение и возможности средств защиты информации, основанных на аналитических методах оценки защищенности.

Проблемы в области экономической безопасности

В статье рассматриваются основные аспекты экономической безопасности, основные проблемы и решения. Научная значимость исследования состоит в разработке методически подходов к оценке и проведению мониторинга экономической безопасности.

Методика предотвращения угроз информационной безопасности на предприятии

Актуальность выбранной темы обусловлена необходимостью совершенствования информационной безопасности на территории Российской Федерации.

Предупреждение угроз экономической безопасности предприятия

В статье авторы анализируют актуальные проблемы экономической безопасности предприятия и подходы к их устранению.

Информационная безопасность в школе

В статье авторы рассматривают основные понятия и проблемы информационной безопасности на уровне общеобразовательной организации.

Факторы, определяющие сущность менеджмента рисков информационной безопасности

В данной статье описывается сущность менеджмента рисков информационной безопасности и рассматриваются его основные составляющие. Освещаются вопросы асимметрии принятия решений, а также ограничения риск-менеджмента.

Научно-технический аспект принятия управленческих решений с учетом требований пожарной безопасности

Статья посвящена актуальным проблемам альтернативного выбора принятия управленческого решения требований пожарной безопасности на объектах социальной сферы.

Задать вопрос