iBusiness.ru публикует комментарий Сергея Середы, размещенный на IKSmedia.ru в рамках дискуссионного клуба темы номера «ИКС» №6 – 7’2014 «Будь инфобдителен!».
«Роль высшего руководства компании в вопросах борьбы с утечками является, по нашему мнению, определяющей. От отношения к этому вопросу топ-менеджмента зависит эффективность (и само существование) организационной и технической инфраструктуры, обеспечивающей информационную безопасность предприятия. В сферу его компетенции входит подтверждение важности обеспечения информационной безопасности для бизнеса, утверждение общей концепции ИБ, формирование необходимой оргструктуры, а также контроль эффективности деятельности отвечающих за ИБ подразделений.
Служба ИТ, ответственная за информатизацию предприятия, несомненно, должна учитывать вопросы защиты информации при проектировании, реализации и внедрении информационных систем. В то же время, так как обеспечение информационной безопасности выходит за рамки управления ИТ-инфраструктурой предприятия, им должна заниматься отдельная служба. В противном случае защита информации с высокой вероятностью «замкнётся» на информационные системы.
Роль службы ИБ заключается в обеспечении комплексного подхода к защите информации во взаимодействии не только со службой ИТ, но и со службой внутренней безопасности, службой экономической безопасности, службой управления персоналом. Отдельными важными функциями службы ИБ являются:
Роль HR-службы в вопросах борьбы с утечками заключается во взаимодействии со службой ИБ и обеспечении лояльности персонала компании. При этом, как представляется, совсем не обязательно концентрироваться именно на борьбе с утечками информации – достаточно эффективного использования собственных инструментов управления человеческими ресурсами, которыми пользуются специалисты в области HR. Планирование карьеры, социальные пакеты, talent management и, тем более, «пожизненный найм» являются весьма весомым «пряником», который вкупе с техническими и организационными мерами по защите информации станет серьёзным препятствием для, например, коммерческого подкупа или злоупотребления служебным положением, направленного на организацию утечки.
Что же касается рядовых пользователей, то их роль заключается в посильном соблюдении принятых в компании регламентов обработки информации ограниченного доступа и, по возможности, в информировании ответственных лиц об обнаруженных нарушениях.
Не следует требовать от пользователей быть «святее Папы Римского» и, вместо исполнения своих непосредственных обязанностей, днями и ночами думать о соблюдении конфиденциальности корпоративных данных. Представляется, что необходимые и достаточные (т.е. не вредящие повседневной работе) правила по защите информации ограниченного доступа, при наличии всего, описанного выше, добросовестные работники будут соблюдать без излишнего принуждения. Недобросовестными же работниками по большей части должны заниматься службы, в сферу ответственности которых это входит, а не служба ИБ. При таком распределении обязанностей, как мы полагаем, меры по обеспечению информационной безопасности будут адекватны стоящим задачам, а риск саботажа со стороны пользователей – минимальным.
Хочется добавить также, что при организации сопровождения ИТ-систем в небольших компаниях зачастую привлекаются приходящие сотрудники. Их деятельность, как правило, не регламентируется, а потому плохо контролируется с точки зрения информационной безопасности. Как результат, никто в компании не застрахован от копирования «внешним злоумышленником» корпоративных документов (вплоть до критически важных) и их последующего использования».
