Система менеджмента информационной безопасности (СМИБ) является частью общей системы менеджмента и основана на управлении любыми бизнес-рисками для внедрения, создания, эксплуатации, анализа, мониторинга, улучшения и поддержания информационной безопасности. Данная трактовка сформулирована в стандарте ISO 27001.

При внедрении СМИБ основным этапом является подготовительная интерактивная работа с персоналом, именно она даст возможность наиболее эффективно использовать методы защиты информации. Использование в этих целях опросников и анкет поможет:

  • проанализировать мотивационные аспекты личности;
  • оценить психологическую устойчивость личности;
  • оценить уровень познавательных способностей, что позволит ответить на вопрос, сможет ли тот или иной работник успешно освоить знания, навыки, способен ли он будет их применить на практике;
  • проанализировать активность личности в достижении поставленных целей, определить умение оценивать людей и ситуации объективно, а также умение вырабатывать наиболее оптимальную стратегию поведения.

Очень часто причиной незаконного проникновения в информационные системы становится так называемый «человеческий фактор». С помощью анкеты или опросника можно выявить тех работников, которые:

  1. не способны адекватно оценивать опасность;
  2. имеют притупленное внимание;
  3. являются излишне доверчивыми или часто полагаются на всевозможные средства автоматизации;
  4. подвержены манипулированию, которое может быть основано, например, на навязчивом желании помогать людям;
  5. привыкли доверять людям, одетым в униформу.

Такой анализ необходимо проводить не только в отношении тех, кто будет заниматься непосредственно защитой информации, но и тех, кому предстоит работать с данной информацией. Для того чтобы оценка личности посредством анкетирования либо использования опросников была наиболее точной и корректной, необходимо, во-первых, четко формулировать вопросы и не допускать двусмысленности, а, во-вторых, для обработки результатов необходимо привлекать профессионалов-психологов, которые связаны непосредственно со сферой информационной безопасности.

Не следует забывать, что огромную значимость в деле защиты информации будет играть не только подготовка работников при внедрении СМИБ, но и последующее их обучение, то есть повседневная работа с персоналом. Внедрение систмы менеджмента ИСО 27001 позволяет более эффективно регулировать деятельность компании в отношении вопросов информационной безопасности.