При копировании, не изменяющем информационные параметры носителя, количество информации не меняется, а цена снижается.

После снятия копии с документа на ксероксе или другим способом количество информации в нем не меняется. В результате этого несанкционированное копирование (хищение) информации может остаться незамеченным для ее владельца, если отсутствуют иные признаки проникновения злоумышленника к ее источнику и факта хищения. Но если при копировании происходят воздействия на информационные параметры носителя, приводящие к изменению их значений, или незначительные изменения накапливаются, то количество информации уменьшается. Ухудшается качество звука и изображения соответственно на аудио- и видеопленке из-за механического разрушения магнитного слоя, книжка зачитывается до дыр, обесцвечиваются из-за воздействия яркого ультрафиолетового света цвета изображения оригинала при ксерокопировании и т. д.. Так как при каждом кодировании увеличивается число ее законных и незаконных пользователей, то в соответствии с законами рынка цена снижается.

 

Лекция 4. Социально-психологические аспекты информационной безопасности

Процедуры безопасности могут обеспечивать проверку паролей и строгий контроль доступа к ценным данным. Но взломщика, хорошо знающего внутреннее устройство системы, практически невозможно остановить.

Нелояльные сотрудники, имеющие доступ к компьютерам, играют главную роль в большинстве финансовых преступлений. Это скорее организационная, чем техническая проблема. Статистика приводит очень печальные данные, утверждая, что лишь четверть сотрудников банка вполне лояльна, четверть, безусловно, настроена к фирме враждебно и не имеет моральных ограничителей, лояльность же оставшейся половины зависит исключительно от обстоятельств.

В связи с этим, очевидна необходимость учета социально-психологических аспектов проблемы защиты информации. При этом основное внимание необходимо уделять конфликтам между людьми, которые могут привести к негативным воздействиям на уязвимость информации. Поэтому цель данного вопроса занятия показать, что социально-психологические конфликты оказывают существенное влияние на безопасность информации и что воспользовавшись конкретными рекомендациями можно воздействовать и даже управлять социально-психологической обстановкой в коллективе, повышая тем самым степень защиты объекта в целом.

Типы конфликтов

Следует выделить 9 основных типов конфликтов в сфере защиты информации.

1. Конфликты, обусловленные требованиями режима

Необходимость неразглашения информации заставляет сотрудников искать возможность компенсации неудовлетворенных потребностей.

Нахождение в специальных помещениях для ведения секретных работ отрицательно влияет на психофизиологические и профессиональные качества сотрудников (генераторы помех, экранирование, маленькие комнаты, отсутствие окон).

Ограничение свободы негативно переживается сотрудниками (запрет на выезд за границу, публикацию научных работ, выступление на конференциях).

Увеличение времени работы за счет выполнения требований режима приводит к игнорированию последних.

2. Конфликты "человек – система защиты" проявляются в демонстрации себе и окружающим своего превосходства. Ярким примером в этом случае является деятельность хакеров.

Рекомендации:

· организация требований и правил в форме, удобной для восприятия; выделение тех пунктов, нарушение которых связано с особо тяжкими последствиями, а также отдельное выделение пунктов, чаще нарушаемых; ликвидация дублировании, обоснование правил;

· стимулирование: материальное, социальное, отрицательное (наказание, применяется ограниченно), с помощью игр (вознаграждение за осторожность);

· воспитательная работа: печатные издания, плакаты, стенные газеты, доклады, аудиовизуальные средства, беседы, коллективное обсуждение вопросов безопасности;

· обучение, тренинг, деловые игры (моделирование различных ситуаций);

· мероприятия, направленные на снятие напряжения у сотрудников: организация досуга, создание психологических групп и комнат отдыха, обеспечение неприкосновенности их личного пространства и информационной безопасности во время досуга.

3. Конфликты, обусловленные ограниченностью ресурсов (вычислительных или информационных)

Черпание ресурсов из одного ограниченного источника приводит к конфликту и между от-делами, и между сотрудниками. Нехватка информации восполняется слухами, что способствует появлению служебных интриг.

Рекомендации:

· формирование общей миссии организации;

· установление прямой зависимости заработной платы от выполнения работы;

· обучение ведению переговоров;

· четкая информационная политика, корректное ведение дел, соблюдение дистанции в общении с сотрудниками, грамотная мотивация.

4. Конфликты, обусловленные несоответствием целей сотрудников системы информационной безопасности и других отделов (например, автоматизации)

Конфликт возникает из-за того, что функции СИБ носят “вспомогательный" (обслуживающий) характер, целью становится выполнение инструкций, а не прямых обязанностей, в результате чего создаются препятствия для выполнения задания. Появляется конфликт между целями СИБ и производственного отдела.

Рекомендации:

· улучшение координации, повышение (обеспечение) взаимозависимости;

· культивирование общих целей и ценностей;

· делегирование полномочий, более четкое определение задач, подробное обсуждение расхождений во мнениях, организация круглых столов.

5. Конфликты, обусловленные психологическими особенностями сотрудников СИБ и отличием их от других работников

Возникновение ролевых конфликтов, таких как: выбор роли (выбор эффективного поведения), замыкание в одной роли (действия по шаблону).

Особенности восприятия влияют на оценку происходящего: по одному сотруднику (некорректно выполняющему свои обязанности) судят обо всем отделе (СИБ). Контролирующие функции СИБ, выполняемые по шаблону, раздражают специалистов (пользователей).

Рекомендации:

· налаживание коммуникаций; объяснение поведения сотрудников с точки зрения производственной необходимости, обучение решению проблем с помощью переговоров, учет предложений других отделов по организации и функционированию системы защиты информации, в части их затрагивающей;

· тренинг (проигрывание возможных критических ситуаций);

· замена некоторых функций контроля горизонтальным обменом и сравнением.

6. Конфликты, обусловленные несоответствием ожиданий и реальности.

Конфликт начинается тогда, когда человек видит, что не может удовлетворить важные для него потребности, цели: карьера, условия работы, зарплата, значимость, влияние, престиж, гордость, самоуважение, идентификация с группой, безопасность, мечта, самоутверждение, успех, призвание.

Рекомендации:

· создание определенного порядка приема на работу, информирование претендента о перспективах и ограничениях, накладываемых на него при получении работы; подписание обязательства о неразглашении конфиденциальной информации, даже в случае увольнения;

· четкое разграничение ответственности и фронта работ отделов;

· продвижение сотрудников по служебной лестнице.

7. Конфликты иерархии

Существуют 4 вида конфликтов иерархии:

- "равный-равный" приводит к возникновению постепенно усиливающейся конкуренции.

- "высший - низший" проявляется в стремлении усилить власть над подчиненными, противостоять их желанию сохранить и увеличить свою автономию.

- "высший – средний - низший" происходит, когда низшее звено оказывает сопротивление в выполнении задания, а среднее выступает в роли своеобразного буфера.

- формальной и неформальной структур выливается в борьбу за власть со всеми вытекающими отсюда последствиями.

Рекомендации:

· изменение организационной структуры; установление более "горизонтальных" связей;

· делегирование ответственности;

· усиление роли центральной власти при решении таких вопросов, как установление и укрепление разграничения, арбитраж;

· установление "обезличенной" власти: создание системы правил и процедур в отношении персонала и организационной политики;

· более четкая координация задач;

· увеличение взаимозависимости;

· корректировка численности подразделений (оптимально 11-12 либо 5 сотрудников);

· улучшение межличностных отношений:

· обучение сторон способам устранения конфликтов и тренинг; обмен персоналом.

8. Конфликты "человек — машина"

Характеристики технического устройства должны соответствовать возможностям восприятия человека (эргономическое обеспечение). Профессиональные и психофизиологические качества оператора должны позволять ему обслуживать техническое устройство.

Рекомендации:

· установление рационального режима труда и отдыха операторов; соблюдение предельно допустимых норм деятельности оператора;

· установление переменной нагрузки (например, темпа подачи и количества пере-рабатываемой информации и т.п.) в соответствии с динамикой работоспособности оператора;

· чередование различных операций или форм деятельности в течение рабочего дня;

· рациональное распределение функций между человеком и техническими устройствами (принцип IBM);

· установление нормы соответствия психофизиологических качеств оператора характеру и сложности выполняемых работ путем профессионального отбора, обучения и тренировок операторов.

9. Конфликты в личной жизни сотрудников

Рекомендации:

· создание в организации здорового психологического климата, способствующего открытому разрешению всех конфликтов;

· борьба с равнодушием, как со стороны коллектива, так и со стороны начальства;

· введение в штат профессионального психолога, создание различных психологических групп;

· культивирование определенных моральных принципов у коллектива (включая руководителей).

 

Итак, одной из наиболее уязвимых точек любой организации с точки зрения безопасности является ее персонал. В связи с этим большое значение приобретают грамотная реализация внутренней политики и работа с персоналом, которая должна проводиться по следующим направлениям:

· подбор и расстановка кадров;

· адаптация сотрудника к новому коллективу;

· распределение задач и ответственности;

· обучение и повышение квалификации;

· мотивация сотрудников;

· контроль за исполнением сотрудником возложенных на него функций;

· мониторинг психологического климата в коллективе;

· выявление неудовлетворенных своим положением и нелояльных сотрудников;

· увольнение сотрудников.

Среди перечисленных задач в компетенцию службы безопасности (система безопасности) организации входит выявление нелояльных сотрудников (работающих на конкурента) и сотрудников, не удовлетворенных своим положением в коллективе и поэтому потенциально готовых работать на конкурента.

Можно выделить ряд черт характера и поведенческих стереотипов, которые могут направить человека на совершение преступления (в том числе на продажу информации).

Работники службы безопасности должны выявлять сотрудников, у которых эти черты довлеют над личностью и при определенных обстоятельствах могут представлять угрозу безопасности предприятия. Конечно, лучше выявить таких людей до принятия на работу. Это можно сделать, используя психологические тесты, анализ почерка, полиграф. Но, как говорится, «лучше поздно, чем никогда».

К числу таких особенностей относятся:

· подсознательные неосознаваемые мотивы (игроки);

· употребление стимуляторов (наркотики, алкоголь);

· эмоции, неадекватные ситуации;

· недовольство своим положением (отсутствие возможности его изменить);

· желание выделиться за счет других (карьеризм, эгоизм);

· любовь к вещам, к жизни на широкую ногу;

· повышенная внушаемостью (неуверенность в себе);

· отсутствие заинтересованности в результатах труда (жизнь без смысла).

Подсознательные неосознаваемые мотивы (игроки)

У каждого человека существуют неосознанные желания, инстинкты, каждый совершает какие-то поступки автоматически, не задумываясь о том, почему он поступает именно так, а не иначе. Как и любая другая человеческая особенность, эта может повлечь за собой как позитивные, так и деструктивные последствия. Подсознательные мотивы у каждого человека связаны с особенностями его воспитания, среды обитания, традиций семьи и общества, родительских установок, испытанными потрясениями и приобретенным опытом.

Для системы безопасности, впрочем как и для конкурента, который хочет завербовать сотрудника, интерес представляют следующие аспекты:

· психологические игры;

· жизненные позиции;

· социальные роли.

Игры — это взаимодействие людей, характеризующееся скрытыми мотивами и наличием выигрыша, с четко определенным и предсказуемым исходом. Это серия ходов, содержащих ловушку, какой-то подвох. Все игры предполагают наличие какой-либо приманки. Однако приманка срабатывает лишь тогда, когда имеет место слабость, на которую она рассчитана, или наличествует какой-то «рычаг», ухватившись за который можно вызвать отклик другого игрока. В качестве наиболее характерных слабостей можно назвать жадность, зависть, сентиментальность, вспыльчивость. Как только приманка схвачена, игрок начинает тянуть «рычаг», чтобы получить свой выигрыш.

Еще одно важное понятие — жизненная позиция, представляющая собой установку, сложившуюся у человека под действием различных внешних факторов (переживания, чьи-то наставления, опыт, традиция).

Следующее понятие — социальная роль, то есть роль, в которой человек чаще всего выступает при соприкосновении с внешними реалиями жизни. Сумма всех социальных ролей человека соответствует тому компоненту личности, который в психологии Юнга называется персона. Жизненная позиция, соответствующая каждой конкретной персоне, являются той постоянной неизменяемой формой, на которой строятся социальные роли и которая в максимальной степени влияет на безопасность фирмы («Если есть деньги, остальное неважно», «Я человек не злопамятный — отомщу и забуду».

Зная жизненную позицию человека, нетрудно предсказать, как он себя поведет в определенной ситуации.