Директором финансовой компании N было принято решение, что им не нужен отдельный сотрудник, который будет отвечать за информационную безопасность. Есть ИТ-отдел, сотрудники которого могут сами настроить необходимое аппаратно-программное обеспечение. А брать еще кого-то на работу — это лишнее. Тем более что документы по части информационной безопасности уже вроде как были написаны. Несколько лет назад был проведен аудит ИТ и ИБ. Так продолжалось несколько лет. Но ведь все имеет свои границы.
— Шеф, у нас ЧП!
— Что произошло?
— Утечка в финансовом департаменте!
— Известно кто?
— Да!
— Нужно будет его уволить! И даже подать в суд.
— Нельзя! — воскликнул юрист.
— Почему?
— А он не подписывал никаких документов! Более того, формально скомпрометированные документы о договорах даже не являются конфиденциальными.
— Почему?
— Я уже докладывал вам (вот копии моих докладных), что нам нужно пересмотреть перечень конфиденциальных документов и ввести соглашение о неразглашении. Формально наши сотрудники не работают с конфиденциальной информацией, потому что на фирме ее просто нет. А то что он сделал — нельзя за это уволить. Он скопировал документы на флэшку. А где написано, что он не имеет права? Мы можем подать на него в суд, но суд он выиграет, а мы окажемся дураками! Более того, все наши системы слежения и ограничения доступа незаконны. Ведь у нас нет никаких документов и пользователи не ознакомлены с правилами.
— Ну, мы ж им говорим о том, что и как делать.
— Говорим, а где письменное свидетельство, что это сделано? Завтра любой из них сможет сказать, что этого не было! И будет формально прав.
— И что делать?
— Уволить по взаимному согласию и начинать работать в области информационной безопасности. Для начала создать ИБ-подразделение, пройти аудит чтобы понять, что у нас и как. А уж потом — работать! Одни ограничения — это здорово, но это не работает!
А у вас тоже применяются только технические меры или вы уже понимаете, что техника и документы должны взаимно дополнять друг друга?
