Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен “свести на нет” любые даже самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связаны с деяйствиями сотрудников организации. Неудивительно, что работа с персоналом – один из главных механизмов защиты.
Основные условия эффективности работы с персоналом – согласованность деятельности службы безопасности (СБ) в разных направлениях: внутренняя безопасность, информационная безопасность, правовая безопасность, техническая защита и т.д.; а также тесное взаимодействие с другими структурными подразделениями (с отделом HR, IT-департаментом, юридическим отделом и т.п.).
Задача СБ – с одной стороны, выявлять лиц, склонных к мошенничеству, хищениям, недобросовестному выполнению служебных обязанностей и т.п., с другой – способствовать созданию единой команды проверенных добросовестных сотрудников. Для этого проводятся организационные и организационно-технические мероприятия, используются личные наблюдения и беседы, а также результаты информационно-аналитической работы.
Организационные мероприятия, проводимые в организации, включают:
- регламентацию внутрикорпоративных процедур, в том числе разработку нормативных документов;
- организацию контроля за деятельностью компании и ее сотрудников;
- разъяснительно-учебную работу с сотрудниками;
- профилактическую работу с сотрудниками (выявление лиц, склонных к различным правонарушениям, донесение последствий правонарушений и т. п.).
К основным требованиям безопасности, которые необходимо соблюдать при работе с персоналом относятся:
- ответственность за информационную безопасность, которая должна быть включена в должностные инструкции сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и меры по обеспечению безопасности;
- проведение соответствующих проверок сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность;
- подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу;
- требования информационной безопасности, предъявляемые к сотруднику, должны быть записаны в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение установленных требований.
Сведения, полученные в ходе изучения работников компании, формализуют: составляют аналитическую справку (отчет), которую подшивают к личному делу сотрудника. Это позволяет систематизировать работу с данными.
В таком документе фиксируется, проявляет ли сотрудник халатность при исполнении должностных обязанностей, принимает ли непрофессиональные решения, нарушает ли дисциплину, пойман ли на лжи или наоборот показывает высокие результаты в работе, добросовестно выполняет свои обязанности, отличается высоким уровнем личных качеств (порядочность, честность, готовность помогать коллегам и др.). Аналитическая информация должна содержать выводы, полученные в результате оценки текущих событий.
Обучение и контроль знаний сотрудников необходимо проводить по следующим вопросам:
- правила политики безопасности организации;
- правила обращения с конфиденциальной информацией;
- правила доступа к ресурсам информационной системы;
- правила выбора, изменения и использования паролей;
- процедуры информирования об инцидентах, ошибках и сбоях программного и аппаратного обеспечения, угрозы и уязвимости и др.
В организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности, предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры.
Организация защиты информации от утечки – это реальная проблема, и от ее успешного решения зависит конкурентоспособность организации. Следует подчеркнуть, что успешная реализация намеченных подходов к предотвращению утечки информации возможна при наличии в организации действующей системы управления информационной безопасностью соответствующей стандарту, например ISO/IEC 27001, которая характеризуется, прежде всего, наличием работающей политики безопасности и организационной структуры, построенной в соответствии с этой политикой, а также наличия процессов, процедур и механизмов контроля.