1.Выполнение сотрудниками установленных требований безопасности
-специальная проверка кандидата на замещение рабочего места, предполагающего допуск к конфиденциальной информации;
-подписание кандидатом соглашения о неразглашении конфиденциальной ин формации;
-в трудовом договоре и должностной инструкции работника должны отражаться его обязательства и ответственность за строгое соблюдение требований работодателя в области обеспечения информационной безопасности.
2. Повышение осведомленности сотрудников
Обучение по основным вопросам:
•правила политики безопасности организации;
•правила выбора, смены и использования паролей;
•правила получения прав доступа к ресурсам автоматизированной системы, в том числе – к закрытым базам данных;
•правила обращения с конфиденциальной информацией;
•процедура уведомления вышестоящих инстанций об инцидентах, сбоях, уязвимостях и ошибках программного обеспечения.
Меры пресечения к нарушителям
•дисциплинарные взыскания в форме замечания, выговора и увольнения за неоднократные грубые нарушения дисциплины;
•сотрудники несут персональную (в том числе – материальную) ответственность за прямой действительный ущерб, причиненный работодателю в результате нарушения правил политики безопасности;
•сотрудники несут административно правовую или уголовную ответственность за умышленное разглашение сведений, составляющих охраняемую законом тайну (государственную, коммерческую или иную), в случаях, предусмотренных федеральными законами.
Практико ориентированные мероприятия в СУП по обеспечению ИНБ.
1. Ранжирование сотрудников по группам потенциального риска
Пример - Ранжирование IT- специалистов по группам потенциального риска
Практико ориентированные мероприятия в СУП по обеспечению ИНБ.
2. Разработка новых (или актуализацией уже имеющихся) должностных инструкций секретоносителей
Дополнения в должностные инструкции сотрудников секретоносителей
Практико ориентированные мероприятия в СУП по обеспечению ИНБ.
3.Подписание сотрудником специального документа, в котором он подтверждает факт ознакомления его как с соответствующими корпоративными правилами, так и с возможной персональной ответственностью за их нарушение
4.Прохождение испытательного срока
5.Обучение сотрудников организации правилам обеспечения информационной безопасности
-для новых сотрудников организации – изучение только специфических требований конкретного работодателя к обеспечению информационной безопасности и аналогичных требований, но уже по конкретному, замещаемому ими рабочему месту;
-для штатных сотрудников организации, переведенных на новое рабочее место и впервые получающих в связи с этим статус секретоносителя – изучение специфических правил обеспечения информационной безопасности в рамках исполняемых на этом месте новых служебных обязанностей.
Обучение информационной безопасности разных категорий сотрудников
•Топ-менеджмент - информационно аналитические бюллетени за подписью руководителя службы безопасности с описанием новых и реализуемых угроз;
•Руководители подразделений –обучение в формате ежеквартальных встреч с руководителем службы безопасности (совещание – об уровне лояльности в подразделениях, о конкретных нарушениях информационной безопасности).
•Остальной персонал - специальный инструктаж силами сотрудников как службы безопасности, так и службы IT не реже 1 раза в год.
Практико ориентированные мероприятия в СУП по обеспечению ИНБ.
6. Контроль над сотрудниками организации:
• визуальный контроль со стороны руководителей всех уровней за соответствующим направлением деятельности своих подчиненных;
• использование доверенных лиц из числа рядовых сотрудников
7. Мотивация сотрудников организации для обеспечения ее информационной безопасности - создание прямой материальной заинтересованности:
А) в максимально эффективном выполнении соответствующих должностных функций;
Б) в оказании службе безопасности помощи в формате, выходящем за рамки установленных служебных обязанностей.
Инструменты мотивации
•доплаты за «секретность»;
•специальные премии из фонда службы безопасности или организации в целом;
•социально экономические льготы группового характера, устанавливаемые коллективам подразделений;
•письменные благодарности за подписью первого руководителя организации или его заместителя по безопасности.
|
Санкции |
|
правовые |
|
психологические |
|
|
|
|
административно- |
экономические |
|
дисциплинарные |
|
|
|
3. HR-технологии, обеспечивающие имущественную безопасность организации
Практико ориентированные мероприятия в СУП по обеспечению ИМБ
1. Ранжирование сотрудников по группам потенциального риска
1 группа риска – сотрудники, имеющие доступ к документам , подтверждающим имущественные права организации – земельные участки, здания, сооружения.
2 группа риска - сотрудники, допущенные к управлению финансовыми и хозяйственными операциями.
3 группа риска - сотрудники, допущенные к эксплуатации наиболее ценного для работодателя производственного и иного оборудования, а также транспортных средств.
4 группа риска - все оставшиеся работники