Функции персонала предприятия в современной системе управления информационными рисками
Повышение стоимости и значимости информации и информационных технологий, возрастающие масштабы ущерба от воздействия негативных событий в информационной сфере предприятий, появление новых информационных технологий, высокий уровень внутренних рисков требуют от руководителей с должным вниманием подойти к проблеме управления информационными рисками.
Изменения в информационной сфере предприятий требуют принятия адекватных мер противодействия информационным рискам. Важнейшими из них являются меры по повышению эффективности управления персоналом.
Роль менеджеров и специалистов предприятия в управлении
информационными рисками
Сущность информационного риска заключается в том, что это случайное событие, приводящее к негативным последствиям в информационной системе. Воздействуя на информационную систему, в конечном итоге риски приводят к ущербу предприятия, в чем и заключается экономический смысл понятия «информационный риск».
Понятие «информационная система» включает в себя все ресурсы предприятия, которые используются для получения, хранения, обработки, передачи и применения информации, а также информационные ресурсы. В состав информационных систем входят следующие компоненты: компьютерные системы, системы передачи информации, оргтехника, базы данных и файлы компьютерных систем, документы в печатной форме, аудио — и видеоинформация на носителях различной физической природы. В качестве одного из основных ресурсов информационной системы рассматривается специалист, имеющий отношение к использованию или эксплуатации информационной системы.
Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам, как проблему системную.
В сфере управления персоналом основными направлениями решения этой проблемы являются:
— привлечение к управлению информационными рисками менеджеров всех уровней;
— выполнение комплекса мер для сокращения числа ошибочных действий персонала в информационных системах;
— совершенствование системы противодействия злоумышленным действиям персонала (борьба с инсайдом).
К управлению информационными рисками должны привлекаться менеджеры разных уровней. Только менеджеры, управляющие бизнес-процессами, могут оценить величину ущерба предприятия от реализации рискового события. Менеджеры высшего звена, кроме того, обязаны принимать непосредственное участие в разработке политики управления информационными рисками и создании системы управления информационными рисками.
Новые информационные технологии позволяют менеджерам повседневно непосредственно участвовать в процессах управления информационными рисками. В объеме своих компетенций менеджеры должны:
— совместно со специалистами отделов информационных технологий и информационной безопасности принимать участие в допуске (лишении прав допуска) сотрудников предприятия к ресурсам информационной системы;
— осуществлять контроль за деятельностью подчиненных, требующий доступа к рабочей информации подчиненных, с которой они работают;
— принимать участие в мониторинге и аудите системы управления информационными рисками.
Осуществление этих функций допускает высокий уровень автоматизации и не станет обременительным для менеджеров. Для подтверждения этого можно рассмотреть действия менеджера по работе с персоналом при приеме нового сотрудника. После окончательного оформления нового сотрудника менеджер активизирует программу, которая передает соответствующему специалисту отдела информационной безопасности необходимые данные для допуска нового сотрудника к ресурсам информационной системы. Причем если сотрудник зачисляется на типовую должность, то менеджеру достаточно выбрать соответствующий данной должности профиль (стандартный набор) полномочий.
Эта программа разблокирует также программу специалиста отдела информационной безопасности на внесение изменений в систему разграничения доступа. После завершения работы специалистом отдела информационной безопасности в автоматическом режиме будет запущена программа менеджера, которая произведет сравнение заданных менеджером полномочий и результаты их реализации в системе разграничения доступа. Программные средства менеджера позволяют ему в автоматическом режиме отслеживать все попытки несанкционированного изменения полномочий доступа к ресурсам системы.
Ошибочные действия персонала при работе в информационной системе являются основным источником непреднамеренных информационных рисков. Для сокращения количества ошибок, кроме известных мер научной организации труда, необходимо использовать ряд организационно-технических механизмов информационных систем.
К таким механизмам относятся аппаратно-программные блокировки неправильных действий персонала, экспертные системы различного назначения, механизмы обеспечения эффективного взаимодействия пользователя и системы (удобный ввод и получение информации, системы меню, шаблонов, напоминания и т.п.). Ошибки персонала могут быть сокращены также путем применения эффективных механизмов обеспечения работоспособности подсистем, настройки и эксплуатации подсистемы защиты информации, восстановления системы после наступления рисковых событий.
В решении проблемы борьбы с инсайдерами, наряду с другими механизмами, большое значение занимают технологические механизмы противодействия внутренним злоумышленникам. Причем современные информационные технологии позволяют коренным образом решить наиболее сложную и актуальную проблему ограничения возможностей злоумышленных действий со стороны специалистов отделов информационных технологий и информационной безопасности.
Основная идея предлагаемых изменений заключается в максимальном приближении статуса специалистов отделов информационных технологий и информационной безопасности к статусу пользователя информационной системы, решающего специфические задачи управления безопасностью и качеством информации. Производственная деятельность специалистов этой категории должна строго регламентироваться и находиться под постоянным автоматическим и автоматизированным контролем менеджеров высшего звена.
Для этого функции и полномочия специалистов отделов информационных технологий и информационной безопасности должны быть существенно изменены. Эти изменения предлагается осуществить по следующим направлениям [1]:
— устранить возможность несанкционированного доступа к рабочей информации предприятия;
— разграничить разработку и эксплуатацию программных средств;
— практически исключить возможности необнаруживаемого несанкционированного и недокументированного изменения программной и технической структур информационной системы предприятия.
Для персонала рассматриваемой категории отсутствует производственная необходимость в доступе к рабочей информации предприятия, поскольку задача контроля контента пользователя информационной системы возлагается на менеджеров, которым подчиняется пользователь. Современные технологии позволяют ввести реальное разграничение доступа специалистов отделов информационных технологий и информационной безопасности к ресурсам системы.
В защищенных информационных системах необходимо обеспечить полную программную замкнутость, исключающую возможность несанкционированного выполнения и изменения программ. Особое внимание руководства предприятием должно быть сосредоточено на организации работ, критических в отношении безопасности информационной системы. К ним можно отнести установку нового оборудования и программ, изменения в системе управления информационными рисками, устранение неисправностей системы и восстановление информационных ресурсов.
Заключение
На основе анализа сущности информационных рисков предлагаются изменения и перераспределения функций персонала предприятия, обеспечивающего создание, эксплуатацию и развитие системы управления информационными рисками. В процессе управления активную роль будут выполнять менеджеры предприятия, а деятельность специалистов отделов информационной безопасности и информационных технологий должна строго регламентироваться и контролироваться руководством предприятия.
Источник: hr-portal.ru
