что надо внедрить для защиты информационной безопасности

Специалист по информационной безопасности. Что делает и сколько зарабатывает

Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.

В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.

Разобрался, чем занимается специалист по ИБ, что должен знать и где может работать

Кто такой специалист по ИБ сейчас

Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.

Но есть и более узкие специальности уже внутри сферы:

Есть ещё один вариант деления специалистов:

Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.

Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.

Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.

Чем занимаются специалисты по информационной безопасности

Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.

Вот типичные задачи специалиста по ИБ:

Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.

Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.

Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.

Как стать специалистом по ИБ

Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.

Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.

Нужен ли технический бэкграунд

Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.

Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.

Нужен ли английский язык

На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.

Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.

Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.

Что нужно знать для старта работы

Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:

Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.

То есть и законам, и настройкам сети, и хакингу, и защите от взломов.

Стек навыков

Вот примерный список того, что нужно знать и уметь для старта:

Источник

Законодательство об информационной безопасности: 5 ФЗ о том, как хранить и защищать информацию

В России действуют законы, где описано, как правильно работать с информацией: кто отвечает за ее сохранность, как ее собирать, обрабатывать, хранить и распространять. Стоит знать их, чтобы случайно что-нибудь не нарушить.

Мы собрали для вас пять основных ФЗ о защите информации и информационной безопасности и кратко рассказали их ключевые моменты.

149-ФЗ «Об информации, информационных технологиях и о защите информации»

149-ФЗ — главный закон об информации в России. Он определяет ключевые термины, например, говорит, что информация — это любые данные, сведения и сообщения, представляемые в любой форме. Также там описано, что такое сайт, электронное сообщение и поисковая система. Именно на этот закон и эти определения нужно ссылаться при составлении документов по информационной безопасности.

В 149-ФЗ сказано, какая информация считается конфиденциальной, а какая — общедоступной, когда и как можно ограничивать доступ к информации, как происходит обмен данными. Также именно здесь прописаны основные требования к защите информации и ответственность за нарушения при работе с ней.

Ключевые моменты закона об информационной безопасности:

152-ФЗ «О персональных данных»

Этот закон регулирует работу с персональными данными — личными данными конкретных людей. Его обязаны соблюдать те, кто собирает и хранит эти данные. Например, компании, которые ведут базу клиентов или сотрудников. Мы подробно рассматривали этот закон в отдельной статье «Как выполнить 152-ФЗ о защите персональных данных и что с вами будет, если его не соблюдать»

Ключевые моменты закона:

При построении гибридной инфраструктуры для хранения персональных данных на платформе VK Cloud Solutions (бывш. MCS) вы получаете облачную инфраструктуру, уже соответствующую всем требованиям законодательства. При этом частный контур нужно аттестовать, в этом могут помочь специалисты VK, что позволит быстрее пройти необходимые процедуры.

98-ФЗ «О коммерческой тайне»

Этот закон определяет, что такое коммерческая тайна, как ее охранять и что будет, если передать ее посторонним. В нем сказано, что коммерческой тайной считается информация, которая помогает компании увеличить доходы, избежать расходов или получить любую коммерческую выгоду.

Ключевые моменты закона о защите информации компании:

63-ФЗ «Об электронной подписи»

Этот закон касается электронной подписи — цифрового аналога физической подписи, который помогает подтвердить подлинность информации и избежать ее искажения и подделки. Закон определяет, что такое электронная подпись, какую юридическую силу она имеет и в каких сферах ее можно использовать.

Ключевые моменты закона:

187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»

Этот закон касается компаний, которые работают в сферах, критически важных для жизни государства — таких, что сбой в их работе отразится на здоровье, безопасности и комфорте граждан России.

К таким сферам относится здравоохранение, наука, транспорт, связь, энергетика, банки, топливная промышленность, атомная энергетика, оборонная промышленность, ракетно-космическая промышленность, горнодобывающая промышленность, металлургическая промышленность и химическая промышленность. Также сюда относят компании, которые обеспечивают работу предприятий из этих сфер, например, предоставляют оборудование в аренду или разрабатывают для них ПО.

Если на предприятии из этой сферы будет простой, это негативно отразится на жизни всего государства. Поэтому к IT-инфраструктуре и безопасности информационных систем на этих предприятиях предъявляют особые требования.

Ключевые моменты закона об информационной безопасности критически важных структур:

Источник

Техническое обеспечение информационной безопасности предприятия

Защита данных
на базе системы

В опросы технического обеспечения информационной безопасности предприятия решают не только ИТ-подразделения. В безопасном использовании информационных ресурсов заинтересовано руководство и другие службы компании.

Концепция защиты

Реализация стратегии защиты начинается с разработки Концепции информационной безопасности, которая включает:

Концепция принимается на уровне высшего руководства предприятия и должна пересматриваться по мере эволюции информационной инфраструктуры и изменения модели угроз. На первом этапе для ее разработки собираются мнения всех подразделений, заинтересованных в системном решении задачи технического обеспечения информационной безопасности. В дальнейшем задача ее доработки по итогам контроля работоспособности может быть возложена на курирующее ИТ-подразделение.

Объекты защиты

Неожиданным для сотрудников ИТ-подразделений, но важным для экономической безопасности предприятия становится такой объект защиты, как вложенные в создание технической инфраструктуры инвестиции. Их окупаемость должна стать одной из важных задач предприятия, недопустима избыточность, при которой ИБ становится самоцелью, отнимая ресурсы у бизнес-процессов.

Экономический эффект от внедрения системы технической защиты конфиденциальных данных проявляется в:

Традиционно объектами защиты становятся:

Часто объекты разнесены в пространстве, на промышленных предприятиях многие из них могут находиться в труднодоступных местах. Каждый объект защиты должен быть описан в концепции обеспечения безопасности с учетом его относительной ценности и возможности замены.

Классификация пользователей

Часто выбор технического обеспечения информационной безопасности предприятия зависит от типов пользователя и количества групп пользователей на предприятии. В общем значении под пользователем подразумевается сотрудник, идентифицируемый в системе под собственным логином и паролем и имеющий доступ к данным в соответствии со своими служебными обязанностями. Технические и программные средства защиты информации должны давать возможность не только идентифицировать пользователей, но и разграничивать их доступ к данным разной категории.

В обычной компании достаточно выделить лица с правами пользователей и с правами администраторов. На производственном предприятии выделяют следующие группы пользователей:

Для всех необходимо установить правила допуска, а также регламент их изменения. Права предоставляются по принципу минимально необходимых для решения служебных задач. Наиболее простое решение – открыть доступ пользователям к ресурсам исходя из типа программных модулей. К специализированным модулям относятся АСУ, банковские программы, системы управления безопасностью, к общедоступным – программы электронного документооборота (ЭДО), CRM-системы, корпоративная электронная почта.

Группа администраторов в ИТ-подразделении также не едина, в зависимости от сложности задач, стоящих перед службой, внутри нее могут выделяться отделы:

Также в отдельную группу выделяют сотрудников филиалов и удаленных рабочих мест.

Функционал каждого подразделения в части технического обеспечения информационной безопасности предприятия прописывается в общем положении и должностных инструкциях сотрудников.

Корпоративная сеть предприятия

ИС выступает самостоятельным объектом защиты, так как необходимо обеспечить ее целостность на основе сетевого протокола TCP/IP.

При формировании архитектуры выделяются адресные пространства:

Такая сегментация позволяет разделять группы пользователей межсетевыми экранами и обеспечить самостоятельный запуск отдельных приложений.

Технологические элементы сетей

Верные технологические решения обеспечивают работоспособность сети в целом, четкость бизнес-процессов, устойчивое качество работы приложений и сохранность информации.

Базовые структурные единицы ИС, общие для всех типов компаний:

Для обеспечения работоспособности технологических элементов системы ответственному за это сотруднику требуются навыки инженера и работающая модель мониторинга, сканеры которой будут выявлять отклонения от заданных параметров работы. Информационные ресурсы требуют иного подхода к защите.

Информационные ресурсы предприятия

Ценность данных, обрабатываемых в локальной сети, каждая компания, разрабатывающая систему ИБ, определяет исходя из бизнес-целей.

Часто выделяются следующие группы информационных ресурсов:

Объекты защиты могут структурироваться и храниться в базах данных, управляемых СУБД, а могут находиться в разрозненном виде на компьютерах сотрудников. Аудит информационных ресурсов поможет составить представление об объекте охраны и выработать оптимальный механизм защиты. Большие объемы данных, относящихся к общедоступным, не требуют дополнительной защиты и отвлечения ресурсов на эти задачи.

Выстраивая модель защиты информации, необходимо обратить внимание на структуру информационных потоков, циркулирующих внутри предприятия и поступающих из внешних источников.

Отслеживать необходимо следующие внутренние потоки:

В рамках внешних потоков информации, подлежащих особенной защите, выделяют:

Эти виды коммуникации содержат большие объемы конфиденциальной информации, которую необходимо защищать от утечек.

Взаимодействие организуется по трем каналам:

Совмещение этих трех защищенных каналов позволяет уберечь информацию, представляющую наибольший интерес для злоумышленников. Из средств технического обеспечения информационной безопасности предприятия дополнительно используются магистральные роутеры и межсетевые экраны. Задача регламентированного подключения пользователей к Интернету решается на основе системных политик компании.

Факторы, учитываемые при разработке стратегии ИБ

Меняющаяся реальность и увеличивающийся объем угроз побуждают организации постоянно видоизменять концепцию защиты информационных активов.

Среди факторов внешней и внутренней среды, учет которых необходим:

Эти факторы при работе над архитектурой сети и ее техническим обеспечением требуют от ИТ-подразделения компании и подрядчиков соблюдения следующих принципов:

Соблюдению этих принципов, в большей степени минимизирующих затраты, особое внимание должна уделять служба внутреннего аудита предприятия при оценке концепции.

Организация работы по созданию и внедрению Концепции

Внутренний аудит подключается к задаче оценки Концепции на одном из завершающих этапов, а его подготовка ведется департаментами ИТ и безопасности под руководством одного из заместителей директора или членов правления. Он должен отличаться достаточным уровнем компетенции и властных полномочий. Существуют государственные стандарты, описывающие подготовку технического задания при создании Концепции. Следование им сократит срок работы, так как большинство регламентов уже создано.

Руководитель проекта при подготовке основополагающего документа, содержащего основные принципы технического обеспечения информационной безопасности предприятия, определяет исполнителей, сроки и бюджет проведения мероприятий:

Реализация процесса по четырехзвенному механизму – разработка, внедрение, анализ, доработка, помогает повысить работоспособность системы защиты уже на ранних этапах. Частные компании могут обойтись без официальных приемочных испытаний, а вот для ГИС они необходимы.

Техническое обеспечение информационной безопасности предприятия после его внедрения призвано решить следующие задачи:

Аудит должен проверить выполнение всех требований и подготовить доклад с рекомендациями по дальнейшему улучшению системы.

Организационные, технические и программные средства защиты

Для любой компании реализация системы технической безопасности инфраструктуры начинается с принятия пакета прикладных организационных мер. Основным документом окажется Политика информационной безопасности, многие внутренние регламенты могут быть разработаны в качестве приложений к ней. Не рекомендуется оформлять в качестве приложений документы, разработка которых регламентирована необходимостью защиты персональных данных и выполнений требований регулятора.

Проверяющие организации запрашивают отдельными документами:

Их отсутствие может привести к штрафам. Помимо документов, относящихся к персональным данным, необходимо разработать и внедрить:

Персонал должен быть ознакомлен с документами. Они должны храниться в доступном для ознакомления месте, например, на сервере компании.

Процедурные задачи

Кроме документального, решение задачи технического обеспечения информационной безопасности предприятия внедряется на процедурном уровне. Требуется:

На программном уровне реализуются следующие шаги:

Если реализация мероприятий по созданию системы технического обеспечения информационной безопасности предприятия осуществляется организацией-подрядчиком, она должна иметь лицензии. Выполнение комплекса мер позволит обеспечить защиту интересов фирмы на высшем уровне.

Источник

Правила информационной безопасности на предприятии

Защита данных
на базе системы

К омпания, понимающая ценность информации как актива, должна прилагать все усилия для обеспечения конфиденциальности данных. Ключевым звеном каждого процесса становятся участвующие в нем люди, сотрудники организации. Деятельность персонала по защите ИБ должны обеспечивать правила информационной безопасности на предприятии. Они различаются в зависимости от того, идет речь об офисе или о производстве. Специальные правила требуется вводить для обеспечения безопасности при работе на удаленном доступе.

Необходимость внедрения правил информационной безопасности

Киберугрозы стали привычной частью окружающего мира, каждый день СМИ приносят сообщения о хакерских атаках и сбоях в работе банков или почтовых серверов. Степень реальной опасности отдельный сотрудник компании мало представляет, пока не столкнется с тем, что утекли охраняемые персональные данные или конкуренты при помощи DDoS-атаки остановили работу прибыльного интернет-магазина. Данные утекают у таких мировых гигантов информационной индустрии, как IBM, Yahoo!, Uber, Amazon, Equifax вне зависимости от уровня защищенности их информационных систем. Часто в этом виноваты китайские хакеры или транснациональные хакерские группировки. Российскому бизнесу, чьи объекты не относятся к критически важным для информационной инфраструктуры страны, не стоит опасаться именно их, но и национальные группировки способны доставить немало неприятностей. Но наибольший риск несет несанкционированный доступ к данным со стороны сотрудников, часто не представляющих реальной ценности сознательно передаваемой или случайно уничтожаемой ими информации.

Тщательная разработка правил информационной безопасности для офиса и производства частично способны снизить степень риска. Обучение сотрудников основам ИБ проводят даже на АЭС, где персонал априори должен быть подготовлен к неожиданностям. Все это говорит о первоочередной необходимости информирования сотрудников и регламентации их поведения при работе с защищаемыми информационными массивами и объектами сетевой инфраструктуры.

Правила ИБ в офисе

Правила информационной безопасности для офиса не самые сложные, но степень ответственности сотрудников не всегда гарантирует их безусловное выполнение. Это значит, что внедрение правил должно сопровождаться мотивационными мерами, стимулирующими их выполнение, и депремированием, дисциплинарной ответственностью в случае невыполнения.

Информирование

Первым правилом ИБ в офисе должно стать информирование сотрудников. Инсайдерские утечки данных не менее опасны, чем внешние нападения. Менеджеры по продажам, увольняясь, уносят с собой базы данных клиентов, а сотрудники мобильных операторов с легкостью торгуют детализацией телефонных разговоров абонентов. О размере риска говорит объем рынка даркнета, измеряемый сотнями миллионов долларов в год только для российских ресурсов. Известный российский рынок торговли краденой информацией, Hydra, даже собирался провести ICO.

Всем пользователям корпоративной системы должны быть известны простые правила безопасности:

Тестирование в игровой форме на знание правил информационной безопасности на предприятии позволит превратить теоретические сведения в сложившиеся навыки. Вторым важным способом поддержания необходимого уровня информационной безопасности в офисе станет контроль доступа.

Контроль доступа

Это решение реализуется на физическом, аппаратном и программном уровнях. Действует правило: никто не должен иметь больше привилегий, чем допускается его должностной инструкцией. Юристу не нужен доступ к бухгалтерским программам, а программисту – к чату руководства. Системные администраторы должны реализовать дифференцированную модель доступа, назначив каждому пользователю и группе пользователей роль, при которой доступными ему окажутся только определенные файлы и ресурсы. То же относится к правам администраторов.

Комплексный подход

Это правило должно стать незыблемым для системных администраторов и разработчиков структур информационной безопасности. Невозможно устранять уязвимости и недочеты частичными решениями, латая прорехи одну за другой до тех пор, пока администрирование системы станет невозможным. Необходимо с самого начала выстраивать ИБ как единую с систему с учетом возможностей ее роста и прогнозированием направлений дальнейшего развития. Система должна включать единый комплекс организационных, технических и программных средств и контролироваться как единое целое.

Правила ИБ при работе на удаленном доступе к сети

Самостоятельной проблемой становится регламентация работы сотрудников на удаленном доступе. Современному бизнесу присуще стремление к минимизации затрат, на компанию могут работать сотни разработчиков и программистов, находящихся в разных странах и на одной виртуальной площадке занимающихся разработкой программного обеспечения. Такое размывание периметра информационной безопасности очень опасно, так как конкуренты всерьез заинтересованы в несанкционированном доступе к новым разработкам.

В 2016 году на выставке Mobile World Congress разработчик антивируса с открытым кодом Avast провела небольшой эксперимент, создав три открытые точки подключения Wi-Fi со знакомыми именами Starbucks, MWC Free WiFi и Airport_Free_Wifi_AENA. К ним подключилось 2 000 человек, декларирующих себя профессионалами в сфере информационных технологий. По завершении выставки был проведен доклад, из которого следовало, что авторам схемы удалось получить данные о трафике всех подключившихся, а 63 % раскрыли свои логины, пароли, адреса электронной почты. Это говорит о том, что удаленное подключение через общедоступную Сеть редко бывает безопасным.

Во многих компаниях даже штатные сотрудники зачастую работают на удаленном доступе, находясь в командировке или в отпуске.

Существуют правила, позволяющие сделать такие удаленные рабочие отношения максимально безопасными:

Эти правила необходимо оговаривать с каждым работником на удаленном доступе на первом этапе сотрудничества. От компании требуется организовать собственную систему мер, позволяющую обезопасить работу с любым сотрудником на удаленном доступе, штатным или внештатным:

Программа защиты удаленного доступа актуальна и для информационной безопасности на производстве, где многие объекты управляются по каналам беспроводной связи.

ИБ на производстве

Правила информационной безопасности приобретают особую актуальность, когда касаются производства и автоматизированных систем управления (АСУ ТП). Системы управления отвечают за работу таких объектов, как домны, прокатные станы, гидроэлектростанции. Любое внешнее вмешательство в их информационную инфраструктуру способно вызвать аварии и человеческие жертвы. Поэтому требования к ИБ АСУ строятся на собственных принципах, отличных от принципов управления информационными системами в общем. Угрозы таким системам могут исходить от террористических группировок, в том числе исламской направленности. Прямого корыстного интереса у обычных хакеров к ним не возникает. Такие системы часто поражаются специально созданными вирусами, направленными на вывод из строя объектов промышленной инфраструктуры и использующих уязвимости в классических информационных системах.

АСУ ТП требует наивысшей степени защиты в тех отраслях, аварии в которых способны причинить ущерб наибольшему количеству людей и имущества:

Основной проблемой создания системы ИБ становится то, что использование современных программных решений может навредить общей надежности системы, поэтому часто основной задачей становится максимальное ограждение АСУ от контактов с внешним миром по любым типам подключений, в том числе установка межсетевых экранов и создание демилитаризованных зон на границах с офисными сетями.

В 2015 году в Германии было совершено нападение на систему управления сталелитейным бизнесом. Доменная печь была выведена из строя, компания надолго встало из-за того, что хакерам удалось заразить вредоносным ПО офисную сеть. На Украине хакеры проникли в локальную сеть и удалили данные с жестких дисков на рабочих станциях и SCADA-серверах и изменили настройки источников бесперебойного питания, что оставило без электроэнергии более 200 000 человек.

Регламенты создания системы информационной безопасности АСУ ИП утверждены в виде международных стандартов и российских ГОСТов. В качестве одного из основополагающих документов эту сферу регулирует Приказ ФСТЭК РФ № 31.

При разработке правил информационной безопасности промышленного производства применительно к АСУ надо учитывать, что система имеет три уровня управления:

Объектами защиты для АСУ, согласно нормам Приказа № 31, являются:

Защита этих объектов возможна только на основе комплексного подхода, предусматривающего:

Стандартная архитектура АСУ ТП обычно не предполагает наличия большого количества ресурсов для размещения программ, отвечающих за безопасность. Предполагается использование только двух типов – систем мониторинга активности и обнаружения угроз и систем предотвращения угроз, подразумевающих управление доступом.

Системы мониторинга активности и обнаружения угроз

Наибольшие риски для АСУ ТП несут сотрудники-инсайдеры, допущенные к управлению и использующие съемные устройства, которые могут быть заражены вирусом. Но если система подключена к офисной, возможны внешние риски. Системы мониторинга ограничены в функционале, они не допущены к процессам управления АСУ ТП и не могут блокировать действия пользователей. Они способны только отслеживать всплески подозрительной активности и уведомлять о них по заданному алгоритму. Их функции:

Системы анализируют сетевые потоки, выявляют аномалии и неизвестные IP-адреса, атаки на не запротоколированные ранее уязвимости.

Системы предотвращения угроз

Эти программные средства носят проактивный характер: они не только информируют, но и действуют. В основном они управляют доступом пользователей, имея полномочия на блокировку неавторизованных действий. В случае неопределенной трансакции они вправе запросить ее авторизацию у руководителя более высокого уровня и в его отсутствие блокируют операцию.

Ответственность за нарушение правил ИБ

Компания может применять к сотруднику за нарушение правил информационной безопасности меры дисциплинарной ответственности. Это замечание, выговор, иногда увольнение. Серьезным стимулом скрупулезно выполнять правила является депремирование. Решение о привлечении к ответственности принимает руководитель организации по представлению непосредственного начальника виновника. При выборе меры ответственности нужно предполагать, что нарушения правил информационной безопасности могут носить пассивный и активный характер.

Активные нарушения несут больше опасности для бизнеса и говорят о более высокой степени вины нарушителя, они должны наказываться строже. Иногда от мер корпоративной ответственности приходится переходить к гражданско-правовой, подав на нарушителя в суд с требованием о возмещении ущерба или заявление в правоохранительные органы о возбуждении уголовного дела. Утрата или намеренное разглашение конфиденциальной информации могут стать основанием для взыскания с виновника ущерба, и его размер может достигать миллионов рублей.

Целесообразным решением становится периодическое проведение проверок подразделений компании с целью определения степени выполнения правил безопасности всеми пользователями – от наладчика оборудования до генерального директора. Менеджеры чаще пренебрегают правилами, именно поэтому они являются основными источниками угроз. Результаты проверки могут стать основой для служебных расследований или переаттестации по профессиональной пригодности, поэтому они имеют дополнительный дисциплинирующий характер.

Вне зависимости от того, в каких условиях работают правила информационной безопасности предприятия, они должны соблюдаться неукоснительно. Только это приведет к тому уровню ИБ, который позволит избежать ущерба и аварий.

Источник