ма «Влаштувався в компанію - отримав допуск згідно приналежності до відділу або до всього, що захотів сам або його керівник». У компанії є документований регламент допуску до інформації співробітників, і на певному рівні він відтворений в ІС програмно. При цьому той чи інший допуск визначаться фактом приналежності співробітника до структурному підрозділу, а не його безпосередніми обов'язками в рамках цього підрозділу або ж компетенцією. Тут має місце принцип усного або письмового «канюченням» собі нових повноважень в ІС, якщо раніше дані права не дають робити те ж, що роблять «всі інші» у відділі. Важливим моментом є те, що новий співробітник роботі з ІС в своєму сегменті інформації не навчається зовсім або навчається співробітниками, що працюють з ним разом;
3. Схема «Влаштувався в компанію - пройшов спеціальне навчання - отримав початковий допуск згідно результату навчання». Ідеальний варіант, при якому добре існує документований регламент допуску до інформації, який гнучко реалізований в ІС програмно. Новий співробітник проходить навчання спеціальними людьми та / або всередині свого відділу, але з відповідним документальним оформленням, після чого йому присвоюється доступ, але не раніше ніж навчання буде завершено успішно.
Самою небажаної з усіх є друга схема, тому що якщо в першій такий підхід може бути виправданий дуже скромною бізнес інформацією, а в третьому складна інформаційна структура добре описана і захищена, то саме друга схема, используясь в компанії зі складними ІС, є джерелом серйозних загроз для її бізнес інформації. Очевидно, що для великої компанії краще не економити і використовувати діловодних регламенти та програмні механізми, відповідні найбільш безпечною третьою схемою.
Зрозуміло, що кожна компанія вільна сама вибирати підходящу для себе схему роботи співробітників з ІВ. Однак сьогодні поважаючий себе бізнес вкладає не малі ресурси на впровадження у свою роботу стандартів якості з сімейства ISO або ГОСТ на їх основі. Управління якістю роботи всіх складових компанії в процесі випуску продукції та / або надання послуг, забезпечує «система менеджменту якості» СМК, регламентируемая стандартами лінійки ISO9000/9001 і т.д. Крім цього, область забезпечення ІБ регламентується ще й стандартом ISO27001: 2005 «побудова, документальне оформлення та сертифікація системи менеджменту інформаційної безпеки». Природно, що якщо при впровадженні в роботу компанії філософії норм і практик зазначених стандартів не підходити формально або навіть байдуже, то саме це і дозволить підготувати в компанії ту саму, оптимальну схему взаємодії персоналу і ІС. У цьому випадку також може бути досягнуто максимальне дотримання принципу балансу інтересів безпеки бізнес інформації з одного боку, і прав користувачів (співробітників) цієї інформації з іншого боку.
Але, як же бути якщо в реальності навіть дуже добре продумана схема більше складається з «паперових» етапів або в компанії застосовуються кілька різнорідних ІС, до яких потрібно індивідуально розробляти свої схеми. Рішення може бути в спроби об'єднання всіх схем в єдину політику компанії в цьому питанні і створенням на цій основі окремої інтелектуальної надбудови, яка охопить в собі всю логіку управління інформацією про ІВ і працівниках компанії, а також про їх тренінгах, результатів тестів і рівні наданого доступу .
Система авторизованого навчання, тестування, допуску та контролю Розглянемо роботу схеми, обраної ...
