Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь
Методика минимизации информационных рисков при увольнении сотрудников коммерческих компаний
Спиридонова С.В.
выпускница группы ITM-14
Школа IT-менеджмента
АНХ при Правительстве РФ
Практически каждый сотрудник компании обладает важной информацией (конфиденциальные документы, правила работы с ними, договоры, базы данных клиентов и т.д.). Что же может случиться в случае увольнения сотрудника?
При увольнении сотрудник может вынести важную для компании информацию или, например, организовать канал утечки информации, предполагая, что это пригодится ему по месту будущей работы, для нанесения ущерба работодателю или еще для каких-либо целей. Так же нельзя исключать акты саботажа в качестве мести со стороны увольняемых сотрудников, связанные с уничтожением или модификацией важной информации.
Тем не менее, до сих пор, в большинстве компаний, обычно увольнение сотрудника сопровождается только изъятием у него пропуска и все. Во всех компьютерных базах запись о нем, как правило, остается, и он по-прежнему может использовать информационные ресурсы компании в своих целях.
Эта проблема встает остро особенно сейчас, так как в связи с тяжелым финансовым положением компании вынуждены прибегать к сокращению персонала.
Какие же меры необходимо предпринять, чтобы защитить информационные ресурсы компании?
Прежде всего, мы должны определить жизненно важные информационные ресурсы, на защите которых и необходимо сосредоточиться. Для этого необходимо понять, какая информация обрабатывается в компании и где выполняется ее обработка, т.е. провести идентификацию всех информационных ресурсов.
После того как все информационные ресурсы компании идентифицированы, необходимо определить их ценность и провести их категорирование по степени важности и критичности.
В отношении каждого защищаемого информационного ресурса необходимо провести анализ угроз безопасности и разработать модели нарушителей по видам угроз, риски по которым признаны неприемлемыми.
После того как определены информационные ресурсы, подлежащие защите (объекты защиты), определены угрозы, которым они могут быть подвергнуты и разработаны модели нарушителей, необходимо в отношении каждого информационного ресурса определить, что мы должны сделать для предотвращения и пресечения несанкционированных действий увольняющихся сотрудников компаний.
Наши действия должны состоять из двух направлений:
I. Меры, предпринимаемые непосредственно при увольнении сотрудника.
II. Меры, направленные на создание системы защиты информационных ресурсов компании.
Меры обязательно должны быть привязаны к технологии и способам обработки информации, только тогда они будут эффективны, однако, целесообразно предусмотреть и следующие общие меры защиты информации:
- резервное копирование всей важной информации;
- управление доступом к информационным ресурсам;
- распространение информации только через контролируемые каналы;
- назначение лиц, ответственных за контроль документации;
- обязательное уничтожение неиспользованных копий документов и записей;
- четкое определение конфиденциальной информации для персонала;
- составление, регулярная оценка и обновление перечня информации, являющейся конфиденциальной;
- включение пункта о неразглашении конфиденциальной информации в трудовой договор, правила внутреннего распорядка и должностные инструкции;
- патентование или получение авторского права на разработанные технологии, устройства, программные комплексы.
После внедрения необходимых мер нужно посмотреть, что получилось (мониторинг и аудит) и опять начать все с начала, постепенно раскручивая спираль развития. Таким образом, чтобы обеспечить эффективность работы с рисками, она должна вестись в соответствии с циклом Э. Деминга PDCA.
Подводя итог, хотелось бы отметить, что использование этой методики позволяет комплексно подходить к оценке информационных рисков при увольнении сотрудников компании, да и информации в целом. Последовательная реализация этапов работ позволит сократить финансовые расходы на обеспечение информационной безопасности компании, т.к. меры и средства защиты будут предприниматься только в отношении тех информационных ресурсов, которые действительно являются жизненно важными и, зная какие угрозы могут быть реализованы, мы можем точно знать, как защищать наши информационные ресурсы.
Copyright © 2009 Спиридонова С.В.