ISO, менеджмент, консалтингпользователи сайтаRSSФОРУМСТАНДАРТЫГОСТ РСЛОВАРЬНАВИГАТОРКОНСУЛЬТАНТЫ 
Логин : Пароль:   
       [регистрация] [напомнить пароль]
 

ФОРУМ
• Re: методики описания БП 
 23. Окт 08:43 от PrilipkoAI
• ISO 22000:2018 
 10. Сент 23:29 от GurbanovR
• HACCP vs FSMS 
 23. Авг 10:52 от PrilipkoAI
• Re: план контроля качества 
 13. Авг 12:07 от Facebook



Правила безопасности? Какие правила?

Автор Матиас Турман
см. тематический раздел: обзоры и интервью / Интернет и маркетинг



Сегодня необходимо, чтобы все сотрудники компаний соблюдали и изучали правила использования информационных ресурсов. Служба информационной безопасности имеет право вести мониторинг действий любого служащего

Обеденный перерыв. Разговор за столом на ничего не значащие темы. И вдруг кто-то из сидевших рядом со мной сотрудников ИТ-отдела посетовал на то, что за последние несколько месяцев просто житья не стало от различных вирусов, буквально обрушившихся на нашу компанию. В ответ я заметил, что слишком часто ничего не подозревающие сотрудники открывают файл, присоединенный к сообщению электронной почты, полученной от неизвестного адресата, и тем самым запускают вредоносный код в нашу сеть.

Что имеем

К моему глубочайшему удивлению, один из моих сотрапезников спросил: «Откуда я и мои коллеги можем знать, что открывать какие-то виды присоединенных файлов нельзя?» Я буквально опешил, но объяснил, что у нас есть специальная программа и правила, которые должен знать любой сотрудник, получающий доступ к ИТ-ресурсам компании.

Они смотрели на меня ничего не понимающими глазами. Никто из сидевших за столом, а здесь были и старые сотрудники, и новички, никогда не видел ни описания политики защиты, ни опубликованных правил безопасности, на разработку которых лично я потратил столько сил. Эти правила появились в нашей корпоративной сети полгода назад, и предполагалось, что их в обязательном порядке изучат все сотрудники компании.

Кроме того, я передал в отдел кадров копию правил безопасности и презентацию в формате PowerPoint, которую можно было бы использовать для инструктажа новых сотрудников. Предполагалось, что представители отдела кадров с помощью слайд-шоу смогут ознакомить с этими правилами всех новичков во время подготовительного тренинга.

Что произошло в действительности? Во-первых, к сожалению, у нас отсутствовала процедура, которая требовала бы, чтобы каждый новый сотрудник изучил правила соблюдения информационной безопасности и подписал документ, что с ними ознакомлен.

Помимо, как разработка презентаций для новичков, мой отдел разослал всем служащим компании по электронной почте несколько сообщений. В них приводилась ссылка на Web-страницу, посвященную защите информации, где опубликованы правила информационной безопасности при работе в компании, процедуры и основные принципы. Эту страницу в итоге посетили лишь 560 человек из более чем 6000 сотрудников.

Но на этом я не остановился и договорился о встрече с представителем отдела кадров. Женщина, с которой я беседовал, недавно пришла в нашу компанию. Человек, с которым я разговаривал раньше, уже уволился. Она сказала, что видела презентацию, посвященную правилам безопасности при работе с ИТ-ресурсами, но не знала, что должна ее использовать. Она сказала, что ее основной задачей является решение вопросов о зарплате и льготах.

Тем не менее я получил обещание, что предложенные материалы будут изучены и все новые сотрудники будут с ними ознакомлены.

Действительно, ей никто не объяснил, насколько это может быть важно. Поэтому я рассказал о том, что из-за последних вирусов нам пришлось потратить бессчетное количество человеко-часов на устранение последствий таких атак, и о том, сколько неприятностей это принесло ИТ-отделу.

В ответ сотрудница отдела кадров вспомнила, что действительно кто-то просил ее выделить время на то, чтобы очистить ее рабочую станцию от вирусов, но она представления не имела о масштабах проблемы. Я объяснил ей, что последствия недавней вирусной атаки можно было минимизировать или вообще ее избежать, если бы пользователи изучили правила безопасности и следовали им.

Я также вспомнил о том, как один из сотрудников компании недавно был уволен за то, что использовал ИТ-ресурсы компании для распространения порнографии. Если бы этот сотрудник знал о правилах использования ресурсов и о том, что мы имеем право вести мониторинг действий любого служащего компании, то, возможно, он не стал бы заниматься недопустимой деятельностью в рабочее время.

Дальнейшие действия

В конце нашей беседы я согласился принять участие в подготовке программы тренинга для новых сотрудников и разработать еще одну презентацию, посвященную вопросам безопасности, сделав ее максимально удобной и понятной для сотрудников отдела кадров.

Я считаю, что каждый сотрудник компании обязан периодически просматривать intranet в поисках новой информации, изучить правила и принципы организации защиты данных. В отделе кадров я объяснил, что, выполняя эти правила, сотрудники помогут компании выявить подозрительную деятельность и предотвратить проникновение вредоносного кода в сеть.

Но это еще не все. Я намерен провести серию неформальных бесед и попросить отдел кадров разослать по электронной почте сообщения, подчеркивающие необходимость соблюдать и изучать правила безопасности. И сейчас я занимаюсь поисками новых инструментов, которые помогут в распространении информации об этих правилах.

Мне нужно Web-приложение, способное проверять, какие сотрудники изучили правила и прочитали ли они все сведения, которые касаются выполнения их служебных обязанностей. В зависимости от того, чем занимается сотрудник, одни правила для него важнее, чем другие. Например, представителю отдела маркетинга необязательно знать о правилах, касающихся удаленного доступа к Unix-серверам.

На самом деле эту статью написал менеджер по информационной безопасности одной из американских компаний. Матиас Турман — это псевдоним, поскольку по очевидным соображениям он не хотел упоминать ни своего имени, ни названия своей компании. Но вы можете связаться с ним по адресу mathias_thurman@yahoo.com


Добавлено:  29 Января 2004 г.
хиты: 4589   

оценка читателей: 254 из 506 считают этот обзор полезным
А вы считаете его полезным?
да  нет
[ оглавление ]


менеджмент качества ( процессы | школа качества | нормирование | управление качеством | хассп)
книги: стандарты | качество | ХАССП | маркетинг | торговля
управленческий консалтинг ( планирование и контроль | конфликтменеджмент)
новости и события: пресс-релизы | новые стандарты | новости партнеров | новости | архив новостей, статей
новая торговля (автоматизация | магазиностроение | маркетинг и экономика)
интернет-маркетинг (создание сайта | интернет - бизнес)
финансы & страхование (страхование | бизнес-школа)
обзоры и интервью: маркетинг | консалтинг | торговля | управление качеством )
энциклопедия: это интересно | глоссарий | о семье | менеджмент семьи | каталог ресурсов