Конференция по вопросам информационной безопасности Пятница, 29.03.2024, 10:40
| Forum RSS
Меню сайта

Скачать

Поиск

[ Новые сообщения · Участники · Правила форума · Поиск · Forum RSS ]
  • Страница 1 из 1
  • 1
Модератор форума: Kostik, anvolkov  
Форум » Вопросы по информационной безопасности » Общие вопросы » Тотальный контроль (Контроль над сотрудниками "за" и "против")
Тотальный контроль
Kostik (Иванов Константин)Дата: Среда, 07.04.2010, 15:26 | Сообщение # 1
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Согласно данным аналитического центра InfoWatch, большая часть утечек конфиденциальной информации из организаций произошла по вине сотрудников данных компаний. Причем здесь имеется ввиду не только инсайдинг (как намеренная кража сведений с целью последующего получения выгоды из этого), но и халатность и недостаточная грамотность сотрудников.

Для предотвращения подобного рода инцидентов необходимо повышать грамотность работников, контролировать уровень их доступа и их деятельность в рамках информационной системы, для этого существуют различные программно-аппаратные комплексы, собирающие информацию такого рода. Но служба безопасности может столкнуться с различного рода трудностями, к которым можно отнести тонкую грань между мониторингом действий и нарушением конституционных прав сотрудников, а так же риском возникновения психологического противодействия, возникающего при ограничении возможностей работника.

Давайте обсудим, как контролировать сотрудников, в какой мере и при помощи каких средств, чтобы не ущемлять их прав и обеспечить безопасность конфиденциальной информации организации.

 
Runner (Кузнецов Александр)Дата: Среда, 07.04.2010, 16:02 | Сообщение # 2
Рядовой
Группа: Пользователи
Сообщений: 4
Репутация: 0
Статус: Offline
В последнее время прихожу к мнению, что особенно для средних и малых предприятий не нужно прибегать к серьезным програмно-аппаратным комплексам, во чтобы ни стало отслеживать нарушения и наказывать сотрудников, надо граммотно наладить рабочий распорядок дня сотрудников (нужен хороший менеджер), организовать хороший подбор персонала и платить достойно (сотрудник должен быть заинтересован в развитии предприятия), наладить бизнеспотоки информации (должна быть четкая инструкция работы с конфиденциальной информацией и любой другой).
А так есть интересная статья: Будни отдела информационной безопасности: злоумышленники и разгильдяи
 
Kostik (Иванов Константин)Дата: Среда, 07.04.2010, 16:17 | Сообщение # 3
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
В общем согласен, но по поводу зарплаты - известен тот факт, что денег много не бывает wink и для многих из нас понятие "достойной зарплаты" достаточно разное. А обидеть человека даже в малой организации достаточно просто (что может привести к "маленькой мести")
 
anvolkov (Алексей Волков)Дата: Среда, 07.04.2010, 16:49 | Сообщение # 4
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Чем лучше организация, чем эффективнее она работает и чем больше денег зарабатывает, тем больше желающих "оттяпать" кусок пирога. Поэтому пренебрегать средствами защиты не стоит, но и применять их бездумно тоже смысла не имеет. Во всем необходим баланс. Затраты на систему защиты не должны превышать стоимости рисков от ее отсутствия.
 
Kostik (Иванов Константин)Дата: Среда, 07.04.2010, 16:54 | Сообщение # 5
Генералиссимус
Группа: Администраторы
Сообщений: 130
Репутация: 104
Статус: Offline
Ну а что вы думаете по поводу таких средств, которые контролируют все действия пользователя (почта, службы мгновенных сообщений, форумы, печать на принтере, запись на отчуждаемые носители и т.п.) Вообще законно ли внедрение таких средств?
 
anvolkov (Алексей Волков)Дата: Среда, 07.04.2010, 17:01 | Сообщение # 6
Генерал-майор
Группа: Модераторы
Сообщений: 143
Репутация: 102
Статус: Offline
Почта, средства связи и обмена мгновенными сообщениями - нет, если сообщения читаются кем-то без разрешения сотрудника. Адекватные системы должны контролировать перечень адресатов, автоматически (!) анализировать содержание по заданным правилам и "складывать" подозрительные сообщения в архив. А вот если возникнет подозрение на то, что в сообщении есть нечто, содержащее конфиденциалку, то должен приглашаться сотрудник, отправивший его, с него берется письменное заявление и сообщение "вскрывается". Правда, если сотрудник согласия не даст, ему за это ничего не будет - так как "вскрывать" без согласия имеют право только органы и только по решению суда. При этом, до установки такой системы, все сотрудники должны быть ознакомлены под роспись с соответствующим регламентом контроля технических средств связи и дать свое согласие на то, что они не возражают против такого контроля.

Все остальное - можно спокойно контролировать. При этом необходимо сотруднику под роспись довести запрет на использование всех средств не для выполнения служебных обязанностей.

 
Форум » Вопросы по информационной безопасности » Общие вопросы » Тотальный контроль (Контроль над сотрудниками "за" и "против")
  • Страница 1 из 1
  • 1
Поиск:

Copyright Ivanov Konstantin © 2024Используются технологии uCoz