АТРИБУТЫ  ОЦЕНКИ  ВОЗМОЖНОГО  УЩЕРБА  ОТ  ВРЕДОНОСНЫХ  ДЕЙСТВИЙ  ИТ  СПЕЦИАЛИСТОВ

Калинина  Надежда  Александровна

магистрант  1  курса,  кафедра  стратегического  менеджмента,  Школа  экономики  и  менеджмента  ДВФУ,  РФ,  г.  Владивосток

E-mail:  kalinina.na@dvfu.ru

Шумский  Алексей  Евгеньевич

научный  руководитель  профессор,  д-р  техн.  наук,  Школа  экономики  и  менеджмента  ДВФУ,  РФ,  г.  Владивосток

E-mail:  shumsky@mail.primorye.ru

Информационных  технологий  они  стали  неотъемлемой  частью  любой  организации.  Информационные  технологии  (далее  —  ИТ)  —  это  широкий  класс  дисциплин  и  областей  деятельности,  относящихся  к  технологиям  создания,  сохранения,  управления  и  обработки  данных,  в  том  числе  с  применением  вычислительной  техники.  В  последнее  время  под  информационными  технологиями  чаще  всего  понимают  компьютерные  технологии  [1].

Для  обеспечения  работоспособности  компьютерных  систем,  необходимы  ИТ  специалисты:  Специалист  технической  поддержки,  Администратор  сети,  Администратор  приложений,  Администратор  базы  данных,  Администратор  по  безопасности  и  другие,  в  круг  задач  которых  входят:

защита  локальных  компьютерных  сетей  от  вирусных  атак  или  взлома  хакеров,

внедрение,  настройка  компьютерных  систем, 

обеспечение  отказоустойчивости  компьютерных  систем, 

организация  и  поддержка  работы  локальных  станций  и  серверов,

организация  и  поддержка  хранилища  данных,

архивирование  баз  данных,

разворачивание  ИТ  приложений,

предотвращение  утечки  информации,  умышленного  нанесение  вреда  данным,  как  собственными  сотрудниками  организации,  так  и  сторонними  для  организации, 

и  другие  задачи.

В  малых  организациях  данные  задачи  может  выполнять  один  человек,  но  обычно  это  группа  людей,  объединенных  в  ИТ-отдел  или  ИТ-департамент. 

Таким  образом  для  выполнения  своих  обязанностей  ИТ  специалист  владеет  доступом  (или  по  крайней  может  получить  доступ)  ко  всей  информации,  которая  находиться  в  организации  и  для  обработки  которой  используются  компьютерных  технологии. 

Надо  отметить,  что  в  отличии  от  других  сотрудников  организации,  ИТ  специалисты  имеют  полный  доступ  к  техническим  и  программным  средствам,  к  тому  же,  они  точно  понимают,  как  функционируют  технические  и  программные  средства  и  как  настроен  к  ним  доступ.

Например,  использование  корпоративной  почты,  сейчас  считается  обязательным  атрибутом  любой  организации  [2].  Преимущества  использования  корпоративной  почты  очевидны:  стабильность  работы,  безопасность  переписки,  имиджевая  составляющая  и  другое.  ИТ  специалисты  мониторят  переписку  пользователей  для  предотвращения  утечки  информации  от  сотрудников,  архивируют  переписку  для  восстановления  случайно  или  специально  удаленных  писем,  поддерживают  работоспособность  технических  средств  и  другое.  Все  это  необходимо  делать  для  выполнения  своих  обязанностей.  Но  что  мешает  ИТ  специалисту  ознакомиться  с  перепиской  в  своих  личных  целях?  Причем  получить  доступ  не  только  из  локальной  сети  организации,  но  из  любого  места,  где  есть  сеть  Интернет.

Любая  организация  сталкивается  с  одной  стороны  необходимостью  иметь  в  штате  ИТ  специалистов,  но  с  другой  стороны  с  возможностью  потерь  от  случайного  или  специального  нанесения  ущерба  предприятию  ИТ  специалистом,  такими  как:

разрушение  информационных  файлов  или  систем  доступа  к  ним;

видоизменение  информации;

нарушение  целостности  информации;

подделка  и  изменение  данных;

отказы  технических  средств;

сбои  программного  обеспечения  в  информационных  системах  и  телекоммуникациях;

нарушения  регламентов  сбора,  обработки,  хранения  и  передачи  информации;

хищение  (кража  секретов,  патентов,  стратегических  планов,  паролей  и  кодов,  номеров  кредитных  карт  и  другое)  [4].

  На  текущий  момент  принимаются  определенные  меры  для  контролирования  действий  ИТ  специалистов:

разработаны  технологии  позволяющие  отлеживать  действия  администратора  [5],

исследуются  и  внедряются  сценарии  мотивации,  основываясь  на  теории  Маслоу,  теория  ожиданий,  теория  справедливости,  модель  Портера-Лоулера  [6]

создаются  отдела  безопасности,  которые  отслеживают  и  действия  ИТ  специалистов,

разрабатываются  политики  безопасности  информации  и  принципы  организации  доступа  к  ней,  разделяя  информацию  на  информацию:

  для  открытого  пользования  любым  потребителем  в  любой  форме;

  информация  ограниченного  доступа  —  только  для  органов,  имеющих  соответствующие  законодательно  установленные  права  (милиция,  налоговая  полиция,  прокуратура); 

информация  только  для  работников  (либо  руководителей)  фирмы;

информацию  представляющую  коммерческую  тайну  [3].

Но  данные  меры  достаточно  дороги  и  ресурсоемки,  к  тому  же  носят  обычно  не  предупреждающий  характер,  а  корректирующий,  относительно  действий  ИТ  специалистов.

Учитывая,  что  на  данный  момент  нет  решения,  позволяющего  оценить  действия  ИТ  специалиста  в  реальном  времени,  удобно  было  бы  оценить,  какой  ущерб  может  нанести  ИТ  специалист  и  основываясь  на  этих  данных  принять  решение  об  использования  перечисленного  выше  комплекса  мер.

Учитывая  все  вышесказанное,  хочу  предложить  атрибуты,  на  основании  которых  можно  будет  оценить  возможный  ущерб  от  действий  ИТ  специалистов: 

Название  ИТ  сервиса;

Критичность  данного  ИТ  сервиса;

Какие  угрозы  от  ИТ  специалиста,  согласно  приведенному  выше  списку,  возможны;

Стоимость  замены  ИТ  специалиста;

Временные  характеристики  функционирования  ИТ  сервиса;

Характеристики  надежности  функционирования  ИТ  сервиса;

Срок  устаревание  информации  использующее  в  ИТ  сервисе;

Размер  ущерба  в  случае  возникновения  вредоносных  действий  ИТ  специалиста;

Стоимость  программы  мониторинга  действия  ИТ  специалиста,  в  случае  если  она  существует;

Лицо  ответственное  за  действия  ИТ  специалиста;

Лицо  отслеживающее  действия  ИТ  специалиста;

Наказание  предусмотренное  ИТ  специалисту,  за  его  вредоносных  действия;

Общая  стоимость  ИТ  сервиса,  включая  стоимость  программного  и  технического  обеспечения,  стоимость  ИТ  специалистов,  стоимость  других  средств  задействованных  для  обеспечения  работоспособности  и  безопасности  использования  данного  ИТ  сервиса  для  предприятия).

Список  литературы:

1. Информационные  технологии  //  Материал  из  Википедии  —  свободной  энциклопедии  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://ru.wikipedia.org/wiki/%C8%ED%F4%EE%F0%EC%E0%F6%E8%EE%ED%ED%FB%E5_%F2%E5%F5%ED%EE%EB%EE%E3%E8%E8  (дата  обращения  10.07.2014).
2. Корпоративная  почта  //  Официальный  сайт  компании  IspTelecom  www.Grandars.ru  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://isptelecom.ru/corporate_mail  (дата  обращения  01.07.2014).
3. Коммерческая  тайна  и  конфиденциальная  информация  //  Энциклопедия  Экономиста  www.Grandars.ru  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.grandars.ru/college/biznes/kommercheskaya-informaciya.html  (дата  обращения  07.07.2014).
4. Мельников  В.П.  Информационная  безопасность  и  защита  информации:  учебное  пособие,  М.  2008.  —  332  с.
5. Михаил  Башлыков:  Управление  привилегированным  доступом  имеет  особое  значение  для  бизнеса  //  Аналитический  центр  Anti-Malware.ru  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://www.anti-malware.ru/node/14183  (дата  обращения  7.07.2014).
6. МОТИВАЦИЯ:  ОТ  ТЕОРИИ  К  ПРАКТИКЕ  //  Научная  электронная  библиотека  «КИБЕРЛЕНИНКА»  —  [Электронный  ресурс]  —  Режим  доступа.  —  URL:  http://cyberleninka.ru/article/n/motivatsiya-ot-teorii-k-praktike  (дата  обращения  01.07.2014).