Книга: Обеспечение информационной безопасности бизнеса
4.3. Противодействие угрозам ИБ от персонала
4.3.1. Общий подход к противодействию
В предыдущих разделах мы дали общую характеристику угроз ИБ от персонала и привели некоторые модели таких угроз. В данном разделе приводятся рекомендации по организации комплексного противодействия угрозам ИБ от персонала.
Далее сформулированы некоторые тезисы относительно противодействия угрозам ИБ от персонала.
Рисков ИБ от персонала невозможно полностью избежать, поэтому организация должна выявлять, оценивать и снижать соответствующих риски, признавать и принимать остаточный риск.
Установить тотальный контроль за действиями сотрудников невозможно, поэтому защитные меры должны быть избирательными.
Любые защитные меры тратят ресурсы организации в разной форме — человеко-часах, денежных единицах, доверии в коллективе и т. д. Поэтому любая система защитных мер должна быть сбалансирована по стоимости с потерями от возможного инцидента.
Любая система защитных мер не безупречна, в этой связи необходимо проводить контрольные и оценочные мероприятия в отношении применяемых защитных мер.
Как было отмечено в первом разделе главы, природа угроз от персонала не является новой. Поэтому целесообразно применять общеизвестные и проверенные многолетней практикой методы обеспечения доверия к персоналу, основанные прежде всего на информированности организации о сотруднике (принцип «знай своего служащего»).
Работа должна проводиться не только на этапе подбора сотрудника, но и на протяжении всей его работы. Кроме того, необходимо задуматься и о том, что будет после увольнения.
Акценты в выбранном подходе к противодействию угрозам от персонала создают специфику организации (некоторые организации сосредоточены на подборе персонала, другие — на ограничениях и контроле). Скорее всего, компания, занимающаяся розничной торговлей, выберет иные приоритеты, чем исследовательская лаборатория. Более того, в разных подразделениях одной организации тоже может быть целесообразно использовать различные подходы.
Большая часть защитных мер неизбежно связана с установкой различного рода ограничений на выполнение персоналом действий при выполнении служебных обязанностей. В этом случае решается задача о достаточности предоставленных полномочий для эффективного решения сотрудником служебных задач.
Общие подходы к оценкам в ИБ, изложенные в главе 3, могут быть успешно применены и к угрозам ИБ от персонала. Однако необходимо отметить, что в случае угроз от персонала оценки не могут быть очень точными, поскольку многие факторы не наблюдаемы, а для других факторов не существует объективных способов измерения (в том числе способов, которые возможно применять регулярно), но измерения могут дать ориентировочную, верную в первом приближении картину, позволят сравнить ситуации в организации, относящиеся к разным периодам, а также ситуации в разных организационных структурах, например региональных филиалах одной организации.
Оценочную модель для угроз ИБ от персонала можно строить, исходя из предложенной выше факторной модели угроз.
Оглавление книги
- 4.3.1. Общий подход к противодействию
- 4.3.2. Обеспечение осведомленности персонала в области ИБ
- 4.3.3. Получение информации от сотрудников организации
- 4.3.4. Организационные аспекты
- 4.3.5. Скрытность противодействия
- 4.3.6. Управление системой ролей
- 4.3.7. Программно-технические средства защиты от утечек информации
- 4.3.8. Расследование инцидентов
- 4.3.9. Раскрытие информации об инцидентах
- 4. Проблема персонала в задачах обеспечения информационной безопасности бизнеса
- 4.2. Формализованное представление угроз ИБ от персонала
- Влияние ритейл-среды на восприятие персонала
- Мотивация персонала в рамках подхода «управление по целям»
- Подбор персонала. Программы стажировки и адаптации
- Система обучения торгового персонала
- Глава 2 Регламенты и инструкции для персонала
- Мотивация персонала или ориентир на результат
- Глава 6. Мотивация торгового персонала
- Глава 7. Вовлечение торгового персонала
- Набор персонала
- Универсальные инструменты вовлечения персонала