Система менеджмента информационной безопасности (СМИБ) является частью общей системы менеджмента и основана на управлении любыми бизнес-рисками для внедрения, создания, эксплуатации, анализа, мониторинга, улучшения и поддержания информационной безопасности. Данная трактовка сформулирована в стандарте ISO 27001.
При внедрении СМИБ основным этапом является подготовительная интерактивная работа с персоналом, именно она даст возможность наиболее эффективно использовать методы защиты информации. Использование в этих целях опросников и анкет поможет:
- проанализировать мотивационные аспекты личности;
- оценить психологическую устойчивость личности;
- оценить уровень познавательных способностей, что позволит ответить на вопрос, сможет ли тот или иной работник успешно освоить знания, навыки, способен ли он будет их применить на практике;
- проанализировать активность личности в достижении поставленных целей, определить умение оценивать людей и ситуации объективно, а также умение вырабатывать наиболее оптимальную стратегию поведения.
Очень часто причиной незаконного проникновения в информационные системы становится так называемый «человеческий фактор». С помощью анкеты или опросника можно выявить тех работников, которые:
- не способны адекватно оценивать опасность;
- имеют притупленное внимание;
- являются излишне доверчивыми или часто полагаются на всевозможные средства автоматизации;
- подвержены манипулированию, которое может быть основано, например, на навязчивом желании помогать людям;
- привыкли доверять людям, одетым в униформу.
Такой анализ необходимо проводить не только в отношении тех, кто будет заниматься непосредственно защитой информации, но и тех, кому предстоит работать с данной информацией. Для того чтобы оценка личности посредством анкетирования либо использования опросников была наиболее точной и корректной, необходимо, во-первых, четко формулировать вопросы и не допускать двусмысленности, а, во-вторых, для обработки результатов необходимо привлекать профессионалов-психологов, которые связаны непосредственно со сферой информационной безопасности.
Не следует забывать, что огромную значимость в деле защиты информации будет играть не только подготовка работников при внедрении СМИБ, но и последующее их обучение, то есть повседневная работа с персоналом. Внедрение систмы менеджмента ИСО 27001 позволяет более эффективно регулировать деятельность компании в отношении вопросов информационной безопасности.