В. Андрианов - Обеспечение информационной безопасности бизнеса

Общие подходы к оценкам в ИБ, изложенные в главе 3, могут быть успешно применены и к угрозам ИБ от персонала. Однако необходимо отметить, что в случае угроз от персонала оценки не могут быть очень точными, поскольку многие факторы не наблюдаемы, а для других факторов не существует объективных способов измерения (в том числе способов, которые возможно применять регулярно), но измерения могут дать ориентировочную, верную в первом приближении картину, позволят сравнить ситуации в организации, относящиеся к разным периодам, а также ситуации в разных организационных структурах, например региональных филиалах одной организации.

Оценочную модель для угроз ИБ от персонала можно строить, исходя из предложенной выше факторной модели угроз.

Персонал должен знать о ценности информационных активов организации и потенциальных опасностях, занимать активную позицию в отношении защиты активов организации, не замалчивать проблемы и инциденты, внимательно относиться к подозрительным ситуациям, не стесняться задавать вопросы и информировать ответственную службу организации при необходимости. Обеспечить такие качества социума организации очень непросто, но это позволит в разы снизить вероятность возникновения инцидента при отсутствии грубых упущения по направлениям противодействия, не связанным с обеспечением осведомленности персонала.

М. Комер, автор книги «Расследование корпоративного мошенничества» [53], утверждает: «Один из лучших способов предотвращения внутреннего мошенничества — когда добропорядочные люди задают правильные и своевременные вопросы».

Целью организации должно быть создание и поддержание в коллективе культуры безопасности, атмосферы нетерпимости к нарушениям, когда нарушения не покрываются, а афишируются, наказываются, считаются позорными проявлениями непрофессионализма.

Не углубляясь в аспекты этого способа противодействия угрозам от персонала, отметим, что использование службой ИБ организации информации от персонала организации для выявления потенциальных и фактических злоумышленников может быть весьма эффективным методом защиты. При этом большое значение имеет обеспечение анонимности обращений сотрудников.

Впрочем, массовое и неосторожное использование анонимной информации может иметь потенциальные негативные аспекты в форме нарушения атмосферы доверия в коллективе, а также принятия службой ИБ неверных решений из-за ложных сообщений.

Более подробно с данной категорией защитных мер можно ознакомиться, например, в книге А. И. Доронина «Бизнес-разведка» [54].

Выше была отмечена важность создания культуры безопасности в организации, элементом которой является формирование у сотрудников установки на выявление различных угроз для организации и на информирование ответственных лиц организации о таких угрозах.

Комплексный характер проблемы и организации противодействия демонстрирует, что различные функции противодействия должны быть возложены на различные подразделения организации, компетентные в соответствующих областях, — кадровую службу, юридический отдел, топ-менеджмент и линейных менеджеров, службу информационной безопасности, подразделение экономической безопасности. Только комплексный подход позволит обеспечить максимальный контроль за проблемами ИБ, связанными с персоналом.

Общая координация противодействия угрозам ИБ от персонала может быть возложена на службу безопасности организации, как непосредственно ответственную за противодействие различным умышленным угрозам, или на одного из топ-менеджеров организации, курирующего вопросы внутренней безопасности.

Можно быть уверенным, что внутренний злоумышленник, хорошо информированный о всех возможностях системы защиты, включая слабости и ограничения, будет искать и наверняка найдет способ обхода этой защиты, использовав при необходимости свои полномочия или введя в заблуждение коллег.

Хорошей практикой необходимо считать поддержание информационной неопределенности у персонала относительно характеристик по крайней мере части применяемых защитных мер. Такая неопределенность будет производить несколько эффектов: