27 Января, 2015

Методика оценки персонала (угрозы утечки информации)

Andrey Prozorov
Сегодня гугл услужливо подсказал мне, что на мой блог ссылаются в одном из номеров журнала «Вестник УрФО. Безопасность в информационной сфере» . Ну, я заинтересовался и решил посмотреть. Журнал, кстати, оказался довольно толковым. В нем собраны научные публикации на тему ИБ, некоторые из них я себе пометил для прочтения (архив журнала можно посмотреть тут ), что и вам рекомендую.

Ну, а в том номере, где ссылаются на мой блог в качестве "списка использованной литературы", меня заинтересовала статья "Методика оценки кадровых уязвимостей информационной безопасности организации на этапе приема сотрудника на работу" (Л.В. Астахова, О.О. Землянская), ссылка на журнал .

Дело в том, что пару лет назад, когда мы в InfoWatch разрабатывали базовую модель угроз утечки информации для наших заказчиков, мы, в том числе, рассматривали различные категории пользователей (источник угрозы). В нашей модели представлены 4 типа пользователей информации ограниченного доступа:
  1. Доверенный пользователь
  2. Пользователь 
  3. Пользователь "в зоне риска"
  4. Третьи лица, имеющие доступ к информации ограниченного доступа
И для каждого типа приводятся предложения по отнесению сотрудников к данным категориям, а также рекомендации по предоставлению минимальных прав доступа (к информации, ИТ-сервисам и службам) и по контролю, всего 9 наборов правил. Но, ладно, говорим не про модель InfoWatch.

В статье представлена здравая мысль, что "«человеческий фактор», является зачастую причиной утраты и утечки защищаемой информации", и предлагается модель оценки этого фактора ("в работе смоделирована методика по оценке персонала в контексте информационной безопасности, в которой в качестве критериев для оценки выбраны личностные качества человека"). Получилось довольно интересно, а любителям DLP-систем есть над чем подумать...

Созданная методика предназначена для использования при приеме сотрудника на работу, оценка кандидата совмещается с собеседованием. Авторы предлагают оценить возможных кандидатов по простому опроснику.

Первоначально надо определить степень допуска к информации ограниченного доступа.
Категории сотрудников могут выглядеть следующим образом:
1. Сотрудники постоянно работают с КИ высокой степени важности.
2. Сотрудники периодически работают с КИ высокой степени важности.
3. Сотрудники постоянно работают с КИ средней степени важности.
4. Сотрудники периодически работают с КИ средней степени важности.
5. Сотрудники редко работают с КИ сред- ней степени важности.
6. Сотрудники периодически работают с КИ низкой степени важности.
7. Сотрудники редко работают с КИ низкой степени важности.  
Категории могут быть объединены. Например: I категория включает в себя 1,2,3 позиции; II категория – 4,5 позиции; III категория – 6 и 7 позиции.
Далее во время собеседования необходимо задать ряд вопросов и тестов (таблица 1), а затем оценить сотрудника (таблица 2)
 Таблица 2:

!!! Обратите внимание, что во 2й таблице есть несколько принципиальных ошибок! В вопросах № 4, 6 и 10 и ответы расположены в обратном порядке, что не верно (это довольно логично, да и общие положения в начале статьи говорят об этом).

Далее баллы рекомендуется посчитать по простой формуле:


Интерпретация результата может быть такой: «Если показатель ниже 50%, значит, что кандидат представляет угрозу информационной безопасности организации». 

Пока не заметил ошибку, то мой результат был 44%, в поправленном варианте уже "проходные" 50% (снижено за мои аккаунты в социальных сетях). 

Методология, в целом, довольно интересная, но требует исправление ошибки и дальнейшей доработки. Может быть полезна при оценке угроз утечки информации.