Читать «Актуальные уголовно-правовые проблемы борьбы с финансовым мошенничеством» онлайн - страница 215

7. Определение группы риска среди сотрудников компании.

Внешние угрозы информационной безопасности уже не являются первоочередными для большинства компаний. Внутренняя угроза — вот откуда исходит главная опасность, с которой и нужно бороться. Нелояльность сотрудников часто становится причиной утечек информации и последующих скандалов. Поэтому основным методом борьбы с такими угрозами являются меры, повышающие лояльность персонала.

Не секрет, что в России разница в доходах владельцев компаний и наемных сотрудников намного выше европейского уровня. Следовательно, внедрение правильной системы мотивации менеджеров и сотрудников позволит избежать многих неприятностей, в том числе и в области информационной безопасности.

8. Обеспечение учета нарушений информационной безопасности.

Учет инцидентов обеспечивает статистический материал для налаживания обратной связи, которая необходима в процессе управления информационной безопасностью.

Регистрация нарушений информационной безопасности должна вестись на регулярной основе. По сути, необходимо наладить учет всех произошедших инцидентов, что позволит оценить убытки, вызванные нарушениями информационной защиты. С целью стимулирования сотрудников неплохо внедрить систему премий за выявление нарушений информационной безопасности.

9. Организация процесса тестирования уровня информационной безопасности.

Необходимо регулярно осуществлять тестирование текущего уровня информационной безопасности. Под тестированием информационной безопасности понимается аудит правильности выполне-264 ния всех процедур по предотвращению рисков, их регистрации, предоставления доступа и т.д. Такое тестирование позволит проверить результативность существующих превентивных контрольных процедур и наметить направления их совершенствования. Например, всякий документ, исходящий из компании, должен быть создан с участием как минимум двух человек, или доступ к материалам должны подтвердить два человека из разных функциональных подразделений и т.д.

10. Оценка эффективности системы управления информационной защитой с помощью регулярной экспертной оценки ущерба от рисков и затрат на информационную безопасность.

Результаты работы сотрудников, отвечающих за информационную безопасность, нужно оценивать по следующим показателям: число зарегистрированных случаев нарушения информационной безопасности; оценка фактического ущерба, нанесенного нарушениями информационной безопасности; среднее время выполнения процедур, связанных с защитой информации; процент выполнения утвержденного плана мероприятий по информационной защите; соотношение экспертных оценок ущерба от рисков информационной безопасности и затрат на обеспечение информационной защиты.

Банки постоянно сталкиваются с различного рода мошенниками и недобросовестными лицами. Это фирмы, граждане и другие банки, не вернувшие кредит; сотрудники, допустившие различные служебные нарушения, а также недобросовестные страховщики.