Вы здесь

Цифровая гигиена. Том 2. Сказки о безопасности: Безнаказанная утечка (Владимир Безмалый)

Сказки о безопасности: Безнаказанная утечка


Директором финансовой компании N было принято решение, что им не нужен отдельный сотрудник, который будет отвечать за информационную безопасность. Есть ИТ-отдел, сотрудники которого могут сами настроить необходимое аппаратно-программное обеспечение. А брать еще кого-то на работу – это лишнее. Тем более что документы по части информационной безопасности уже вроде как были написаны. Несколько лет назад был проведен аудит ИТ и ИБ. Так продолжалось несколько лет. Но ведь все имеет свои границы.

– Шеф, у нас ЧП!

– Что произошло?

– Утечка в финансовом департаменте!

– Известно кто?

– Да!

– Нужно будет его уволить! И даже подать в суд.

– Нельзя! – воскликнул юрист.

– Почему?

– А он не подписывал никаких документов! Более того, формально скомпрометированные документы о договорах даже не являются конфиденциальными.

– Почему?

– Я уже докладывал вам (вот копии моих докладных), что нам нужно пересмотреть перечень конфиденциальных документов и ввести соглашение о неразглашении. Формально наши сотрудники не работают с конфиденциальной информацией, потому что на фирме ее просто нет. А то что он сделал – нельзя за это уволить. Он скопировал документы на флэшку. А где написано, что он не имеет права? Мы можем подать на него в суд, но суд он выиграет, а мы окажемся дураками! Более того, все наши системы слежения и ограничения доступа незаконны. Ведь у нас нет никаких документов и пользователи не ознакомлены с правилами.

– Ну, мы ж им говорим о том, что и как делать.

– Говорим, а где письменное свидетельство, что это сделано? Завтра любой из них сможет сказать, что этого не было! И будет формально прав.

– И что делать?

– Уволить по взаимному согласию и начинать работать в области информационной безопасности. Для начала создать ИБ-подразделение, пройти аудит чтобы понять, что у нас и как. А уж потом – работать! Одни ограничения – это здорово, но это не работает!

А у вас тоже применяются только технические меры или вы уже понимаете, что техника и документы должны взаимно дополнять друг друга?