Читаем Обеспечение информационной безопасности бизнеса полностью

Как было отмечено в первом разделе главы, природа угроз от персонала не является новой. Поэтому целесообразно применять общеизвестные и проверенные многолетней практикой методы обеспечения доверия к персоналу, основанные прежде всего на информированности организации о сотруднике (принцип «знай своего служащего»).

Работа должна проводиться не только на этапе подбора сотрудника, но и на протяжении всей его работы. Кроме того, необходимо задуматься и о том, что будет после увольнения.

Акценты в выбранном подходе к противодействию угрозам от персонала создают специфику организации (некоторые организации сосредоточены на подборе персонала, другие — на ограничениях и контроле). Скорее всего, компания, занимающаяся розничной торговлей, выберет иные приоритеты, чем исследовательская лаборатория. Более того, в разных подразделениях одной организации тоже может быть целесообразно использовать различные подходы.

Большая часть защитных мер неизбежно связана с установкой различного рода ограничений на выполнение персоналом действий при выполнении служебных обязанностей. В этом случае решается задача о достаточности предоставленных полномочий для эффективного решения сотрудником служебных задач.

Общие подходы к оценкам в ИБ, изложенные в главе 3, могут быть успешно применены и к угрозам ИБ от персонала. Однако необходимо отметить, что в случае угроз от персонала оценки не могут быть очень точными, поскольку многие факторы не наблюдаемы, а для других факторов не существует объективных способов измерения (в том числе способов, которые возможно применять регулярно), но измерения могут дать ориентировочную, верную в первом приближении картину, позволят сравнить ситуации в организации, относящиеся к разным периодам, а также ситуации в разных организационных структурах, например региональных филиалах одной организации.

Оценочную модель для угроз ИБ от персонала можно строить, исходя из предложенной выше факторной модели угроз.

Персонал должен знать о ценности информационных активов организации и потенциальных опасностях, занимать активную позицию в отношении защиты активов организации, не замалчивать проблемы и инциденты, внимательно относиться к подозрительным ситуациям, не стесняться задавать вопросы и информировать ответственную службу организации при необходимости. Обеспечить такие качества социума организации очень непросто, но это позволит в разы снизить вероятность возникновения инцидента при отсутствии грубых упущения по направлениям противодействия, не связанным с обеспечением осведомленности персонала.

М. Комер, автор книги «Расследование корпоративного мошенничества» [53], утверждает: «Один из лучших способов предотвращения внутреннего мошенничества — когда добропорядочные люди задают правильные и своевременные вопросы».

Целью организации должно быть создание и поддержание в коллективе культуры безопасности, атмосферы нетерпимости к нарушениям, когда нарушения не покрываются, а афишируются, наказываются, считаются позорными проявлениями непрофессионализма.

Не углубляясь в аспекты этого способа противодействия угрозам от персонала, отметим, что использование службой ИБ организации информации от персонала организации для выявления потенциальных и фактических злоумышленников может быть весьма эффективным методом защиты. При этом большое значение имеет обеспечение анонимности обращений сотрудников.

Впрочем, массовое и неосторожное использование анонимной информации может иметь потенциальные негативные аспекты в форме нарушения атмосферы доверия в коллективе, а также принятия службой ИБ неверных решений из-за ложных сообщений.

Более подробно с данной категорией защитных мер можно ознакомиться, например, в книге А. И. Доронина «Бизнес-разведка» [54].

Выше была отмечена важность создания культуры безопасности в организации, элементом которой является формирование у сотрудников установки на выявление различных угроз для организации и на информирование ответственных лиц организации о таких угрозах.

Комплексный характер проблемы и организации противодействия демонстрирует, что различные функции противодействия должны быть возложены на различные подразделения организации, компетентные в соответствующих областях, — кадровую службу, юридический отдел, топ-менеджмент и линейных менеджеров, службу информационной безопасности, подразделение экономической безопасности. Только комплексный подход позволит обеспечить максимальный контроль за проблемами ИБ, связанными с персоналом.

Общая координация противодействия угрозам ИБ от персонала может быть возложена на службу безопасности организации, как непосредственно ответственную за противодействие различным умышленным угрозам, или на одного из топ-менеджеров организации, курирующего вопросы внутренней безопасности.