Введение Грамотное управление социальной подсистемой (персоналом) любой организации, бесспорно, имеет большую значимость: деятельность персонала может как укрепить, так и полностью нивелировать результаты усилий руководства по повышению эффективности работы предприятия. Носителями наиболее ценной информации являются работники, и каждый день примерно 65 % этой информации покидает предприятие, а следовательно, и контролируемую зону. При этом всегда присутствует риск утечки персонала, обладающего важной закрытой информацией [1]. Таким образом, особое значение вопросы управления персоналом приобретают при решении проблем обеспечения информационной безопасности (ИБ). Так, согласно исследованиям компании «InfoWatch», специализирующейся на ИБ, случаи утечки конфиденциальной информации по вине работников составляют более 50 % от общего количества (рис. 1). Рис. 1. Число утечек информации в 2006-2017 гг. [2] Таким образом, проблема поиска и применения методов и механизмов, направленных на изменение состояния социальной подсистемы организации в необходимом для лица, принимающего решения (ЛПР), направлении (в частности, для достижения и поддержания определенного уровня ИБ), является весьма актуальной. О подборе оптимального уровня институциональных мер воздействия на персонал с целью повышения уровня информационной безопасности На рис. 2 приведена схема социальной подсистемы организации как объекта управления. Рис. 2. Социальная подсистема организации как объект управления Следует учесть, что проблема управления персоналом является комплексной, поскольку содержит множество различных методов работы со штатным составом работников организации. Указанная проблема достаточно полно освещена в трудах российских и зарубежных ученых [3-7]. Однако специфика кадровых ресурсов состоит в том, что поведение людей изначально характеризуется неопределенностью. Поэтому «моделирование процессов, происходящих в системах с антропогенными элементами, превращается в слабо формализуемую проблему» [8, с. 179]. При этом, несмотря на немалое количество трудов, посвященных изучению поведения человека и способов управления им, фактически отсутствуют формализованные методики поиска оптимальных управленческих решений в этой сфере. Эффективность работы сотрудника в целом и соблюдение им политики ИБ, принятой в организации, определяется, в частности, степенью его лояльности. Лояльностью в указанном контексте будем называть желание работника соблюдать предписанные положения, должностные инструкции и нормы поведения. Лояльность сотрудника формируется на основе его эмоциональной привязанности, положительного отношения, влияющих на процессы принятия «рабочих» решений. В свою очередь, значение указанных концептов зависит от интенсивности применения управляющих воздействий, которые, согласно [9, 10], подразделяются на меры, связанные с управлением структурой социальной подсистемы, а также на меры мотивационного, институционального и информационного воздействия. Институциональное воздействие подразумевает упорядочение работы в целом путем регламентации поведения субъекта с помощью установления норм, введения правил и ограничений (различные правила внутреннего распорядка, инструкции, положения политики безопасности и т. п.). Методы институционального управления нацелены на снижение общей неопределенности в системе, они делают взаимодействие между работниками организации более точными, корректными и прогнозируемыми. Однако в подавляющем большинстве случаев чрезмерная регламентация приводит к значительному снижению лояльности отдельных субъектов штата сотрудников организации, а это, в свою очередь, чревато резким повышением риска нарушений правил и регламентов ИБ. В итоге наблюдается общее снижение степени ИБ организации из-за действий человеческого фактора при общем штатном функционировании программно-аппаратных, технических и иных составляющих системы защиты информации. Также негативное воздействие оказывает то, что сотрудники организации физически не в состоянии помнить все пункты требований, регламентирующих их деятельность. А частое обращение к текстам инструкций и предписаний значительно увеличивает время, затрачиваемое на выполнение операций и, соответственно, негативно сказывается на эффективности работы в целом. Зависимость лояльности персонала и степени упорядоченности деятельности от интенсивности регламентации в [11] было предложено описывать следующими формулами: (1) (2) где R - интенсивность регламентации (мер институционального воздействия); - степень упорядоченности работы персонала при максимальной (полной) регламентации деятельности; - уровень лояльности персонала при отсутствии институциональных мер; аU и аL - числовые параметры функций упорядоченности и лояльности, влияющие на «крутизну» возрастания упорядоченности и убывания лояльности, соответственно. Коэффициент bU отражает степень самоорганизованности антропогенной подсистемы и соответствует такой интенсивности институциональных мер воздействия, при которой достигается половина максимальной величины упорядоченности; bL отражает интенсивность снижения лояльности персонала организации и соответствует такой интенсивности институциональных мер воздействия, при которой лояльность персонала сокращается вдвойне от исходного уровня. Итоговое влияние мер институционального воздействия описывается произведением U на L: (3) Для учета приоритетности выполнения конкретного вида работы, регламентируемой соответствующей инструкцией, необходимо ввести в рассмотрение веса (определяются экспертным путем). При этом следует учесть, что качественные («мягкие») измерения: сравнение, отнесение к классу, упорядочение - гораздо надежнее, чем назначение количественных оценок важности критериев, субъективных вероятностей, «весов» полезностей и т. п. [12, 13]. В случаях затруднений получения однозначных численных оценок экспертом предпочтительнее применять ранговые методы, при использовании которых требуется лишь упорядочить концепты по степени их влияния. Одним из наиболее эффективных является метод нестрогого ранжирования: эксперт производит последовательную нумерацию концептов по возрастанию их влияния, проранжированным номерам концептов ставятся в соответствие их «веса». При сомнениях в определении степени важности некоторых концептов в процессе ранжирования эксперт помещает их на одну позицию в произвольном порядке. Если на одной позиции оказались несколько равнозначных по степени влияния концептов, то обычно их вес принимается равным среднему арифметическому номеров. В [14] предложено модифицировать данный метод, приняв за вес каждого из равнозначных концептов номер группы, которую они образуют, как одного объекта, участвующего в упорядочении. Например, пусть концепты Ki (i = 1, …, 5) упорядочены экспертом по степени их влияния на K следующим образом: K3; (K1, K4); K5; K2. Т. к. концепты 1 и 4 равнозначны по степени влияния, они оба занимают вторую позицию. Сумма всех номеров равна: 1 + 2 + 2 + 3 + 4 = 12. Следовательно, вес концепта K3 составляет 1/12, концептов K1 и K4 - по 2/12, концепта K5 - 3/12, K2 - 4/12. Сумма весов составляет единицу. Рассмотренный способ оценки весов влияния - это обобщение процедуры вычисления весов Фишберна [15] на случай, когда вместе с предпочтениями в систему входят и отношения безразличия. Веса Фишберна при этом отражают тот факт, что «системе возрастающего предпочтения альтернатив наилучшим образом отвечает система увеличивающихся по правилу арифметической прогрессии весов» [16, с. 51]. После нахождения весов общий (суммарный) вклад в упорядоченность (а следовательно, и в качество выполнения) работ различных регламентов может быть найден как аддитивная свертка: (4) где U - общая упорядоченность деятельности; N - количество видов деятельности; Si - вес i-го вида деятельности, степень регламентированности которого равна Ri: . Формула (4) позволяет найти интегральную оценку степени общей упорядоченности подпроцессов, выполняемых в организации. Для расчета среднего уровня лояльности L по отношению к вводимым регламентным мерам предлагается использовать формулу (5) где M - число регламентирующих деятельность инструкций; Lj - средняя лояльность сотрудников по отношению к j-й инструкции. Значение Lj, в свою очередь, определяется как (6) где K - количество сотрудников, деятельность которых регламентирована j-й инструкцией; Lkj - лояльность k-го сотрудника по отношению к j-й инструкции. Уровень Lkj оценивается вербально, значениями из терм-множества{Высокий отрицательный (В-); Выше среднего отрицательный (ВС-); Средний отрицательный (С-); Ниже среднего отрицательный (НС-); Нейтральный (низкий) (Н); Ниже среднего положительный (НС+); Средний положительный (С+); Выше среднего положительный (ВС+); Высокий положительный (В+)}. Полученным вербальным оценкам ставятся в соответствие числовые значения согласно шкале Харрингтона: «Н» - 0; «НС±» - ±0,29; «С±» - ±0,51; «ВС±» - ±0,72; «В±» - ±1. Таким образом, предлагается следующая методика подбора оптимального уровня институциональных мер воздействия на персонал с целью повышения уровня ИБ организации: 1. Выделить весь ряд видов деятельности, влияющих на уровень ИБ и требующих регламентации. 2. Для выделенных видов деятельности получить значения весов Si (например, методом нестрогого ранжирования). 3. Найти совокупность {Ri} и таким образом установить степень упорядочивания каждого из регламентов соответствующего вида деятельности. 4. По формуле (4) определить совокупную упорядоченность деятельности социальной подсистемы организации U. 5. Определить отношение персонала к вводимым мерам институционального воздействия: 5.1. Получить вербальные оценки сотрудников. 5.2. Поставить в соответствие полученным оценкам числовые значения (пользуясь шкалой Харрингтона). 5.3. Рассчитать средний уровень лояльности персонала L по формулам (5), (6). 6. Оценить потенциальную эффективность ER вводимых институциональных мер {Ri}. 7. При удовлетворении ЛПР результатом, полученным в п. 6, реализовать предложенные меры {Ri}, в противном случае необходимо предпринять меры по улучшению степени упорядоченности деятельности, обеспечиваемой совокупностью {Ri}, и/или увеличить лояльность персонала по отношению к предлагаемым мерам институционального воздействия. Поскольку часто на практике дальнейшее улучшение степени упорядоченности деятельности невозможно , единственным способом достичь необходимого значения уровня ИБ оказывается увеличение лояльности персонала. Экспериментальное исследование В качестве объекта экспериментального исследования рассмотрим отдел по работе с задолженностью юридических лиц коллекторского агентства «Кредитэкспресс Финанс». Работа вышеуказанного отдела регламентировалась пятью основными документами, которые, по мнению работников и руководства агентства, охватывали приблизительно 95 % деятельности отдела. Было предложено ввести три дополнительные инструкции, связанные с обеспечением ИБ. Однако сотрудникам не была предоставлена в необходимой мере информация о важности вводимых регламентов, а также о санкциях за несоблюдение указанных в них требований. Стоит отметить, что не предусматривались никакие меры стимулирования за соблюдение или дисциплинарные взыскания за нарушение вновь вводимых инструкций. Работникам отдела на заседании было предложено по шкале от 0 до 1 оценить, насколько, по их мнению, соблюдаются действующие и насколько будут соблюдаться вновь вводимые инструкции. Значения, полученные в процессе обсуждения, приведены в таблице. Результаты оценки эффективности применения институциональных мер Количество инструкций, регламентирующих деятельность отдела Степень упорядоченности работы отдела, U Степень соблюдения требований всех инструкций, L Эффективность мер институционального управления, E = UL Инструкция №1 0,30 1,00 0,30 Инструкции {1; 2} 0,50 1,00 0,50 Инструкции {1-2; 3} 0,65 1,00 0,65 Инструкции {1-3; 4} 0,92 0,97 0,90 Инструкции {1-4; 5} 0,95 0,93 0,88 Инструкции {1-5; 6} 0,97 0,70 0,68 Инструкции {1-6; 7} 0,98 0,40 0,39 Инструкции {1-7; 8} 0,99 0,20 0,20 На рис. 3 графически представлены полученные экспертные оценки (точки) и теоретически рассчитанные по формулам (1)-(3) значения (сплошная линия). Для расчета теоретических значений было принято: == 1; аU = 0,8; bU = 2; аL = 1; bL = 8,7. Рис. 3. Эффективность применения институциональных мер Коэффициент корреляции между теоретическими и экспериментальными данными составил kкор = 0,96. Высокое значение коэффициента корреляции подтверждает корректность выбора способа описания зависимости между регламентацией деятельности и эффективностью работы сотрудников. Пусть количество видов деятельности персонала N = 8, и эксперты проранжировали их по степени увеличения значимости следующим образом: {1, 3, 4, 6}; 5; 7; {2, 8}. Исходя из этого, получим: S1 = S3 = S4 = S6 = 1/25; S5 = 2/25; S7 = 3/25; S2 = S8 = 8/25. Допустим, что работы с номерами {1; 2; 3; 5; 6; 8} полностью регламентированы с помощью инструкций, т. е. R1 = R2 = R3 = R5 = R6 = R8 = 1, а работы {4; 7} выполняются произвольно, т. е. R4 = R7 = 0. Тогда интегральная оценка степени упорядоченности деятельности, согласно (4), будет равна Пусть опрос сотрудников показал следующее усредненное отношение к введению новых регламентов {5; 8} - «В+» (соответственно L5 = L8 = 1,00); {3} - «ВС+» (L3 = + 0,72); {1; 2} - «С+» (L1 = L2 = + 0,51); {6} - «С-» (L6 = -0,51). Исходя из этих данных, средний уровень лояльности по отношению ко вновь вводимым регламентным мерам, рассчитанный по формуле (5), будет равен Применяя формулу (3) для оценки эффективности институциональных мер, получим: ER = UL= 0,84·0,54 = 0,45. Допустим, намечено ввести в действие еще две инструкции, регламентирующие работы 4 и 7, причем инструкции обеспечивают регламентацию соответствующих работ лишь на 80 %, т. е. R4 = R7 = 0,8. При этом, по данным предварительного опроса, усредненное отношение сотрудников к предлагаемым инструкциям оценено как «Н», т. е. L4 = L7 = 0. Произведя аналогичные вычисления, получим: U = 0,85; L = 0,4; ER = 0,34. Таким образом, упорядоченность деятельности персонала повысилась всего на 1 %, но при этом средняя эффективность институциональных мер снизилась по причине уменьшения средней лояльности персонала (с 0,54 до 0,4). Следовательно, в условиях рассматриваемого расчетного примера вводить дополнительные инструкции без осуществления мероприятий по повышению лояльности нецелесообразно и опасно для системы ИБ организации. Выводы Характер зависимости между регламентацией деятельности и эффективностью функционирования сотрудников, в том числе соблюдения ими мер по защите информации, позволяет сделать вывод, что существует некоторое критическое значение, при достижении которого усиление институциональных мер не только перестает быть эффективным, но и приводит к уменьшению результативности работы и снижению уровня ИБ в организации за счет угроз, источником которых является персонал. Принудительное повышение уровня регламентации выше критического значения ведет к резкому снижению лояльности сотрудников и, как следствие, повышению вероятности реализации потенциальных угроз целенаправленного и/или неумышленного негативного воздействия персонала на систему - так называемые «инсайдерские» угрозы. Предлагаемая в работе методика позволяет определить указанное критическое значение институциональных мер воздействия на сотрудников со стороны ЛПР.