Предотвращение утечки информации через сотрудников предприятия

Основным источником утечки информации из организации является ее персонал. Человеческий фактор способен “свести на нет” любые даже самые изощренные механизмы безопасности. Это подтверждается многочисленными статистическими данными, свидетельствующими о том, что подавляющее большинство инцидентов безопасности связаны с деяйствиями сотрудников организации. Неудивительно, что работа с персоналом – один из главных механизмов защиты.

Основные условия эффективности работы с персоналом – согласованность деятельности службы безопасности (СБ) в разных направлениях: внутренняя безопасность, информационная безопасность, правовая безопасность, техническая защита и т.д.; а также тесное взаимодействие с другими структурными подразделениями (с отделом HR, IT-департаментом, юридическим отделом и т.п.).

Задача СБ – с одной стороны, выявлять лиц, склонных к мошенничеству, хищениям, недобросовестному выполнению служебных обязанностей и т.п., с другой – способствовать созданию единой команды проверенных добросовестных сотрудников. Для этого проводятся организационные и организационно-технические мероприятия, используются личные наблюдения и беседы, а также результаты информационно-аналитической работы.

Zobacz podobne  Сколько стоит сертификат ISO - что влияет на цену ISO

Организационные мероприятия, проводимые в организации, включают:

  • регламентацию внутрикорпоративных процедур, в том числе разработку нормативных документов;
  • организацию контроля за деятельностью компании и ее сотрудников;
  • разъяснительно-учебную работу с сотрудниками;
  • профилактическую работу с сотрудниками (выявление лиц, склонных к различным правонарушениям, донесение последствий правонарушений и т. п.).

К основным требованиям безопасности, которые необходимо соблюдать при работе с персоналом относятся:

  • ответственность за информационную безопасность, которая должна быть включена в должностные инструкции сотрудников, включая ответственность за выполнение требований политики безопасности, за ресурсы, процессы и меры по обеспечению безопасности;
  • проведение соответствующих проверок сотрудников при приеме на работу, включая характеристики и рекомендации, полноту и точность резюме, образование и квалификацию, а также документы, удостоверяющие личность;
  • подписание соглашения о неразглашении конфиденциальной информации кандидатом должно быть обязательным условием приема на работу;
  • требования информационной безопасности, предъявляемые к сотруднику, должны быть записаны в трудовых соглашениях. Там же должна быть прописана ответственность за нарушение установленных требований.
Zobacz podobne  Стандарты серии ISO 27000

Сведения, полученные в ходе изучения работников компании, формализуют: составляют аналитическую справку (отчет), которую подшивают к личному делу сотрудника. Это позволяет систематизировать работу с данными.
В таком документе фиксируется, проявляет ли сотрудник халатность при исполнении должностных обязанностей, принимает ли непрофессиональные решения, нарушает ли дисциплину, пойман ли на лжи  или наоборот показывает высокие результаты в работе, добросовестно выполняет свои обязанности, отличается высоким уровнем личных качеств (порядочность, честность, готовность помогать коллегам и др.). Аналитическая информация должна содержать выводы, полученные в результате оценки текущих событий.

Обучение и контроль знаний сотрудников необходимо проводить по следующим вопросам:

  • правила политики безопасности организации;
  • правила обращения с конфиденциальной информацией;
  • правила доступа к ресурсам информационной системы;
  • правила выбора, изменения и использования паролей;
  • процедуры информирования об инцидентах, ошибках и сбоях программного и аппаратного обеспечения, угрозы и уязвимости и др.
Zobacz podobne  Как перейти на новый стандарт ISO 27001:2022

В организации должен быть разработан соответствующий дисциплинарный процесс, проводимый в отношении нарушителей безопасности, предусматривающий расследование, ликвидацию последствий инцидентов и адекватные меры.

Организация защиты информации от утечки – это реальная проблема, и от ее успешного решения зависит конкурентоспособность организации. Следует подчеркнуть, что успешная реализация намеченных подходов к предотвращению утечки информации возможна при наличии в организации действующей системы управления информационной безопасностью соответствующей стандарту, например ISO/IEC 27001, которая характеризуется, прежде всего, наличием работающей политики безопасности и организационной структуры, построенной в соответствии с этой политикой, а также наличия процессов, процедур и механизмов контроля.

Прокрутить вверх