УДК 004.056.52

ФОРМИРОВАНИЕ КОРПОРАТИВНОЙ КУЛЬТУРЫ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Архипова Ирина Сергеевна1, Пантелеймонова Дарья Юрьевна1
1Национальный исследовательский университет «Московский институт электронной техники»

Аннотация
Корпоративная культура – неотъемлемая часть развития любой организации. Важную роль при работе с данными и сведениями играют сами сотрудники, обрабатывающие или имеющие доступ к конфиденциальной информации.
Поскольку современный мир наполнен информационными технологиями, то многие компании, подвержены угрозам безопасности информационных ресурсов. Угрозы могут быть внутренними и внешними, но большая часть из них исходит от самих сотрудников. Для того, чтобы устранить угрозы утечки информации требуется повысить эффективность работы организации. А для сохранения информационных и физических активов предприятия требуется реализовать корпоративную культуру.
Данная статья посвящена изучению этапов формирования корпоративной культуры в области информационной безопасности. Они включают в себя: информирование, обучение, контроль сотрудников, а также выявление, проверку и расследование нарушений.

Ключевые слова: информационная безопасность, информация, конфиденциальная информация, корпоративная культура, организация, угрозы, утечка информации, ущерб


FORMATION OF CORPORATE CULTURE IN THE FIELD OF INFORMATION SECURITY

Arkhipova Irina Sergeevna1, Panteleimonova Darya Yurievna1
1National Research University «Moscow Institute of Electronic Technology»

Abstract
Corporate culture is an integral part of the development of any organization. An important role in working with data and information is played by employees who process or have access to confidential information.
Since the modern world is filled with information technology, many companies are subject to threats to the security of information resources. Threats can be internal and external, but most of them come from the employees themselves. In order to eliminate the threats of information leakage, it is necessary to improve the efficiency of the organization. And to preserve the information and physical assets of the enterprise it is required to realize corporate culture.
This article is devoted to the study of the stages of the formation of corporate culture in the field of information security. They include: informing, training, monitoring employees, as well as identifying, checking and investigating violations.

Рубрика: 05.00.00 ТЕХНИЧЕСКИЕ НАУКИ

Библиографическая ссылка на статью:
Архипова И.С., Пантелеймонова Д.Ю. Формирование корпоративной культуры в области информационной безопасности // Современные научные исследования и инновации. 2017. № 4 [Электронный ресурс]. URL: http://web.snauka.ru/issues/2017/04/81794 (дата обращения: 02.06.2017).

Многие компании, в век развитий информационных технологий и внедрения инноваций, подвержены угрозам безопасности информационных ресурсов. И физические, и информационные активы должны быть защищены от внутренних и внешних угроз. Под угрозой информационной безопасности организации понимается совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации. [1] Результатом таких угроз могут стать как материальные убытки, так и в целом испорченная репутация компании. Угрозы, которым подвержены предприятия могут быть, как преднамеренными, так и непреднамеренными.

К преднамеренным угрозам относятся: разговор с посторонними лицами по закрытой тематике, ознакомление посторонних лиц с информацией ограниченного доступа, передача носителя информации содержащего сведения ограниченного доступа постороннему лицу, публичное выступление, опубликование информации.

К непреднамеренным можно отнести: утрата носителя информации, содержащего сведения ограниченного доступа; копирование информации на незарегистрированный носитель информации; разговор по закрытой тематике вне выделенного (защищаемого) помещения, при котором возможно непреднамеренное прослушивание речи посторонними лицами; обработка информации ограниченного доступа на незащищённых технических средствах или автоматизированных системах; обработка информации ограниченного доступа (ведение конфиденциальных переговоров) при выключенных (отключенных) или неисправных технических средствах защиты или невыполнении организационных мероприятий по защите информации; передача информации ограниченного доступа по незащищённым каналам связи. [2]

Причинами таких угроз на предприятиях могут стать сами сотрудники, халатно относящиеся к работе и своим обязанностям, а также желающие извлечь выгоду в личных интересах. Приведем пример. В компании А обрабатываются сведения, содержащие государственную тайну. Один из сотрудников компании, допущенный к государственной тайне, сфотографировал секретные сведения на телефон, чтобы продолжить работу дома и выполнить задание в срок. По дороге домой телефон был утерян, а сведения, содержащиеся на нем, оказались в руках злоумышленника. Или же другой пример, когда сотрудник фирмы продает секретную технологию производства товар конкурентам. Такие ситуации в большинстве случаев могут остаться и незамеченными, но если факт нарушения будет выявлен, то последствия будет тяжело исправить и предприятию нанесется серьезный ущерб.

Избежать утечки информации с предприятия можно. Для этого необходимо построить корпоративную культуру, либо изменить уже сформированную культуру в организации. Корпоративная культура – это совокупность выработанных на предприятии социальных норм, установок, стереотипов поведения. Она обеспечивает повышение эффективности работы организации.

Независимо от отрасли, в которой работает предприятие формирование корпоративной культуры является неотъемлемым этапом в развитии организации. На предприятии могут обрабатываться сведения содержащие коммерческую тайну, персональные данные и информацию, составляющую государственную тайну. При работе с данной информацией сотрудники должны быть осторожны и внимательны. Каждый сотрудник должен:

  • нести ответственность за сохранность информации доступ, к которой он получил в соответствии с должностными обязанностями;
  • периодически проходить тестирование на знание нормативных требований при работе с информацией ограниченного доступа,
  • быть психологически устойчив со стороны общества (коррупция, превышение должностных полномочий)

Цикл формирования культуры информационной безопасности в организации содержит: [4]

 

Рисунок 1. Цикл формирования культуры ИБ

Информирование сотрудников предполагает:

  • ряд инструктажей по вопросам информационной безопасности,
  • ознакомление с внутренними и внешними документами в области ИБ.

Обучение персонала:

  • изучение материалов, касающихся обеспечения информационной безопасности на предприятии
  • тестирование на основе изученных материалов

Контроль за действиями сотрудников:

  • регулирование действий сотрудников на рабочем месте во время работы с ограниченной информацией.

Выявления нарушений:

  • обнаружение неправомерных действий со стороны сотрудников,
  • проведение внеплановых проверок, инсценирование инцидента ИБ для проверки реакции и действий сотрудников предприятия.

Проверки и расследования:

  • в случае обнаружения угрозы, проводится расследование и выявляется нарушитель, к которому применятся дисциплинарное наказание.

Библиографический список
  1.  ГОСТ Р 53114-2008 Защита информации обеспечение информационной безопасности в организации Основные термины и определения
  2. Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Т. 1. Технические каналы утечки информации. – М.: НПЦ «Аналитика», 2008. – 436 с.
  3. 1. Абрамова С.Г., Костенчук И.А. О понятии «корпоративная культура». – М., 1999.
  4. Журнал “Information Security/ Информационная безопасность” #4, 2016


Все статьи автора «irinkarhipova»


© Если вы обнаружили нарушение авторских или смежных прав, пожалуйста, незамедлительно сообщите нам об этом по электронной почте или через форму обратной связи.

Связь с автором (комментарии/рецензии к статье)

Оставить комментарий

Вы должны авторизоваться, чтобы оставить комментарий.

Если Вы еще не зарегистрированы на сайте, то Вам необходимо зарегистрироваться: