Многие компании, в век развитий информационных технологий и внедрения инноваций, подвержены угрозам безопасности информационных ресурсов. И физические, и информационные активы должны быть защищены от внутренних и внешних угроз. Под угрозой информационной безопасности организации понимается совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации. [1] Результатом таких угроз могут стать как материальные убытки, так и в целом испорченная репутация компании. Угрозы, которым подвержены предприятия могут быть, как преднамеренными, так и непреднамеренными.
К преднамеренным угрозам относятся: разговор с посторонними лицами по закрытой тематике, ознакомление посторонних лиц с информацией ограниченного доступа, передача носителя информации содержащего сведения ограниченного доступа постороннему лицу, публичное выступление, опубликование информации.
К непреднамеренным можно отнести: утрата носителя информации, содержащего сведения ограниченного доступа; копирование информации на незарегистрированный носитель информации; разговор по закрытой тематике вне выделенного (защищаемого) помещения, при котором возможно непреднамеренное прослушивание речи посторонними лицами; обработка информации ограниченного доступа на незащищённых технических средствах или автоматизированных системах; обработка информации ограниченного доступа (ведение конфиденциальных переговоров) при выключенных (отключенных) или неисправных технических средствах защиты или невыполнении организационных мероприятий по защите информации; передача информации ограниченного доступа по незащищённым каналам связи. [2]
Причинами таких угроз на предприятиях могут стать сами сотрудники, халатно относящиеся к работе и своим обязанностям, а также желающие извлечь выгоду в личных интересах. Приведем пример. В компании А обрабатываются сведения, содержащие государственную тайну. Один из сотрудников компании, допущенный к государственной тайне, сфотографировал секретные сведения на телефон, чтобы продолжить работу дома и выполнить задание в срок. По дороге домой телефон был утерян, а сведения, содержащиеся на нем, оказались в руках злоумышленника. Или же другой пример, когда сотрудник фирмы продает секретную технологию производства товар конкурентам. Такие ситуации в большинстве случаев могут остаться и незамеченными, но если факт нарушения будет выявлен, то последствия будет тяжело исправить и предприятию нанесется серьезный ущерб.
Избежать утечки информации с предприятия можно. Для этого необходимо построить корпоративную культуру, либо изменить уже сформированную культуру в организации. Корпоративная культура – это совокупность выработанных на предприятии социальных норм, установок, стереотипов поведения. Она обеспечивает повышение эффективности работы организации.
Независимо от отрасли, в которой работает предприятие формирование корпоративной культуры является неотъемлемым этапом в развитии организации. На предприятии могут обрабатываться сведения содержащие коммерческую тайну, персональные данные и информацию, составляющую государственную тайну. При работе с данной информацией сотрудники должны быть осторожны и внимательны. Каждый сотрудник должен:
- нести ответственность за сохранность информации доступ, к которой он получил в соответствии с должностными обязанностями;
- периодически проходить тестирование на знание нормативных требований при работе с информацией ограниченного доступа,
- быть психологически устойчив со стороны общества (коррупция, превышение должностных полномочий)
Цикл формирования культуры информационной безопасности в организации содержит: [4]
Рисунок 1. Цикл формирования культуры ИБ
Информирование сотрудников предполагает:
- ряд инструктажей по вопросам информационной безопасности,
- ознакомление с внутренними и внешними документами в области ИБ.
Обучение персонала:
- изучение материалов, касающихся обеспечения информационной безопасности на предприятии
- тестирование на основе изученных материалов
Контроль за действиями сотрудников:
- регулирование действий сотрудников на рабочем месте во время работы с ограниченной информацией.
Выявления нарушений:
- обнаружение неправомерных действий со стороны сотрудников,
- проведение внеплановых проверок, инсценирование инцидента ИБ для проверки реакции и действий сотрудников предприятия.
Проверки и расследования:
- в случае обнаружения угрозы, проводится расследование и выявляется нарушитель, к которому применятся дисциплинарное наказание.
Библиографический список
- ГОСТ Р 53114-2008 Защита информации обеспечение информационной безопасности в организации Основные термины и определения
- Хорев А.А. Техническая защита информации: учеб. пособие для студентов вузов. В 3 т. Т. 1. Технические каналы утечки информации. – М.: НПЦ «Аналитика», 2008. – 436 с.
- 1. Абрамова С.Г., Костенчук И.А. О понятии «корпоративная культура». – М., 1999.
- Журнал “Information Security/ Информационная безопасность” #4, 2016