Политика безопасности предприятия: как минимизировать риски?

Политика корпоративной безопасности строится на основе анализа рисков и включает в себя экономическую, информационную, техническую, кадровую, юридическую безопасность предприятия.

Озаботиться проблемами безопасности необходимо каждому предприятию независимо от сферы деятельности (оказание услуг, финансы, торговля).

Источники угроз для корпоративной безопасности

Эксперты призывают обратить внимание на главные опасности, которые грозят предприятию. Среди них:

• Не имеющие отношения к человеческому фактору и связанные с техническими неполадками, авариями, катастрофами, перебоями в снабжении энергией.
• Связанные с действиями людей угрозы внешнего характера. В частности, проникновение в защищённый информационный участок лиц, заинтересованных в утечке информации. Они могут установить подслушивающие устройства либо заразить компьютеры вирусами.
• Связанные с действиями людей угрозы внутреннего характера. Утечки информации могут происходить по вине персонала предприятия. Мотивы людей в этом случае - корысть или враждебное отношение к компании, желание отомстить.

Множество острых эксцессов связано именно с поступками персонала, который легко подкупается конкурентами. Свести риски подобного рода к минимуму - дело политики информационной безопасности, защищающей кладезь данных. Информационная безопасность компании подразумевает сертификацию оборудования и ПО, а также наблюдение за допуском к информации даже тех сотрудников, кому это вменяется в обязанность.

Эффективность защиты определяется чётким и продуманным планом управления экономической безопасностью предприятия, созданием пакета мер организационного и технического характера и жёстким контролем над их претворением в жизнь.

Политика корпоративной безопасности: что нужно учесть

В документе политики безопасности предприятия должны быть указаны следующие пункты:

• данные лиц, несущих ответственность за безопасность работы предприятия;
• компетенция всех подразделений и служб компании в том, что касается безопасности;
• правила приёма новых кадров и их увольнения;
• все детали доступа сотрудников к хранилищам информации;
• учёт регистрации персонала, сотрудников аутсорсинга, посетителей;
• правила пропускного режима;
• правильная эксплуатация информационно-технических средств безопасности;
• иные общие требования.

Документ политики безопасности предприятия включает организационно-правовой и технический пункты. Главное - не забывать при его составлении о здравом смысле и принципе разумной достаточности.

Как создать безопасное информационное пространство внутри компании?

Уделите внимание разграничению зоны ответственности между IT-службой и службой безопасности компании. Оптимальное решение здесь – ввести должность CEO по информационной безопасности, которому бы подчинялись обе службы.

Меры защиты необходимо применить в отношении серверов, маршрутизаторов и других устройств сети; разработать порядок использования сменных информационных носителей, их маркировки, хранения и порядок внесения изменений в программное обеспечение. Примите к сведению 7 рекомендаций:

1. В системе должен быть администратор безопасности.
2. За каждое устройство должен быть назначен ответственный за эксплуатацию.
3. Системный блок компьютера следует маркировать печатями ответственного и работника IT-службы.
4. По возможности используйте съёмные жёсткие диски, а по окончании рабочего дня убирайте их в сейф.
5. Установку любого программного обеспечения должен производить только работник IT-службы.
6. Доступ сотрудников следует разграничить. Для этого можно использовать сочетание паролей и смарт-карт (токенов).
7. Следует запретить использование сотрудниками неучтённых носителей информации, а на учтённых нужно нанести маркировку (гриф, номер, должность и фамилия сотрудника).

Как выстроить безопасную работу с кадрами?

Первоначальная проверка новых кадров при приеме на работу нужна для того, чтобы в дальнейшем не возникало связанных с ними проблем с законом. Также эта мера необходима, чтобы:

• удостовериться в соответствии квалификации соискателя той должности, на которую он претендует;
• проверить умение соискателя находить общий язык с коллективом;
• не допустить в компанию аферистов, нечестных работников и т. п.;
• пресекать любую утечку важной информации, особенно если это коммерческая тайна или новые разработки.

На каждом предприятии система корпоративной безопасности подразумевает определённую процедуру приёма кандидатов на вакансии, зависящую от размеров компании и количества необходимых специалистов в штате. Профессионально такой вопрос решают два подразделения: отдел кадров и служба безопасности, осуществляющая управление экономической безопасностью предприятия.