Книга: Обеспечение информационной безопасности бизнеса
4.3.1. Общий подход к противодействию
4.3.1. Общий подход к противодействию
В предыдущих разделах мы дали общую характеристику угроз ИБ от персонала и привели некоторые модели таких угроз. В данном разделе приводятся рекомендации по организации комплексного противодействия угрозам ИБ от персонала.
Далее сформулированы некоторые тезисы относительно противодействия угрозам ИБ от персонала.
Рисков ИБ от персонала невозможно полностью избежать, поэтому организация должна выявлять, оценивать и снижать соответствующих риски, признавать и принимать остаточный риск.
Установить тотальный контроль за действиями сотрудников невозможно, поэтому защитные меры должны быть избирательными.
Любые защитные меры тратят ресурсы организации в разной форме — человеко-часах, денежных единицах, доверии в коллективе и т. д. Поэтому любая система защитных мер должна быть сбалансирована по стоимости с потерями от возможного инцидента.
Любая система защитных мер не безупречна, в этой связи необходимо проводить контрольные и оценочные мероприятия в отношении применяемых защитных мер.
Как было отмечено в первом разделе главы, природа угроз от персонала не является новой. Поэтому целесообразно применять общеизвестные и проверенные многолетней практикой методы обеспечения доверия к персоналу, основанные прежде всего на информированности организации о сотруднике (принцип «знай своего служащего»).
Работа должна проводиться не только на этапе подбора сотрудника, но и на протяжении всей его работы. Кроме того, необходимо задуматься и о том, что будет после увольнения.
Акценты в выбранном подходе к противодействию угрозам от персонала создают специфику организации (некоторые организации сосредоточены на подборе персонала, другие — на ограничениях и контроле). Скорее всего, компания, занимающаяся розничной торговлей, выберет иные приоритеты, чем исследовательская лаборатория. Более того, в разных подразделениях одной организации тоже может быть целесообразно использовать различные подходы.
Большая часть защитных мер неизбежно связана с установкой различного рода ограничений на выполнение персоналом действий при выполнении служебных обязанностей. В этом случае решается задача о достаточности предоставленных полномочий для эффективного решения сотрудником служебных задач.
Общие подходы к оценкам в ИБ, изложенные в главе 3, могут быть успешно применены и к угрозам ИБ от персонала. Однако необходимо отметить, что в случае угроз от персонала оценки не могут быть очень точными, поскольку многие факторы не наблюдаемы, а для других факторов не существует объективных способов измерения (в том числе способов, которые возможно применять регулярно), но измерения могут дать ориентировочную, верную в первом приближении картину, позволят сравнить ситуации в организации, относящиеся к разным периодам, а также ситуации в разных организационных структурах, например региональных филиалах одной организации.
Оценочную модель для угроз ИБ от персонала можно строить, исходя из предложенной выше факторной модели угроз.
- 4.3.1. Общий подход к противодействию
- 4.3.2. Обеспечение осведомленности персонала в области ИБ
- 4.3.3. Получение информации от сотрудников организации
- 4.3.4. Организационные аспекты
- 4.3.5. Скрытность противодействия
- 4.3.6. Управление системой ролей
- 4.3.7. Программно-технические средства защиты от утечек информации
- 4.3.8. Расследование инцидентов
- 4.3.9. Раскрытие информации об инцидентах
- Глава 1 Компьютер – с какой стороны к нему подходить
- 2.3. Подходы к оценке эффективности рекламы
- 6.2.4. Общий доступ
- Мотивация персонала в рамках подхода «управление по целям»
- Плюсы и минусы различных подходов к разработке бизнес-архитектуры
- Почему традиционный подход не принесет вам большой пользы
- Подходящие типы элементов
- Листинг 8.2. Общий код, используемый во всех приведенных ниже вариантах тестов
- Программирование для Linux. Профессиональный подход
- Сила системного подхода
- Продвинутый (Advanced) подход к сборке мусора
- Приложение Критика логистического подхода