По статистике, более 80% инцидентов кибербезопасности происходят по вине рядовых сотрудников, а не из-за уязвимостей программного обеспечения. Слабые пароли, открытие фишинговых писем, использование личных флешек, обсуждение рабочих вопросов в незащищенных мессенджерах — это ежедневная реальность. Дорогие фаерволы бессильны против человеческой неосторожности. Единственный способ минимизировать этот риск — внедрение жесткого, но понятного нормативного акта. Качественная инструкция по информационной безопасности для персонала — это не формальный документ «для галочки», а свод правил выживания компании в агрессивной цифровой среде.
Инструкция имеет юридическую силу только в том случае, если она введена в действие приказом руководителя, а сотрудник ознакомлен с ней под личную подпись (или КЭП). В противном случае, увольнение работника за то, что он открыл письмо с вирусом-шифровальщиком и парализовал работу офиса, будет признано судом незаконным.
Структура эффективной инструкции
Юристы Ви Эф Эс Консалтинг отходят от практики написания многостраничных талмудов, написанных сложным техническим языком, которые никто не читает. Мы создаем документы, адаптированные для восприятия обычными людьми (бухгалтерами, менеджерами, HR), но при этом юридически безупречные. Эффективная инструкция должна охватывать следующие домены:
1. Парольная политика и аутентификация
Запрет на использование простых паролей (123456), требование их регулярной смены и, самое главное, категорический запрет на передачу паролей коллегам («дай пароль, мне только отчет распечатать»). Мы прописываем ответственность за действия, совершенные под учетной записью сотрудника, что дисциплинирует персонал.
2. Работа с электронной почтой и Интернет
Детальный алгоритм действий при получении подозрительных писем (Anti-Phishing). Запрет на использование корпоративной почты для регистрации на развлекательных ресурсах. Ограничение на скачивание файлов из непроверенных источников. Важно прописать, что система мониторинга трафика (DLP) работает легально, и сотрудник уведомлен о контроле.
3. Политика чистого стола и экрана
Требование блокировать компьютер (Win+L) при каждом отлучнии от рабочего места. Запрет на оставление конфиденциальных документов на столах без присмотра. Эти простые правила часто игнорируются, но именно они закрывают риск инсайдерского подглядывания.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
4. Мобильные устройства и BYOD
Если сотрудники используют личные телефоны для работы (Bring Your Own Device), инструкция по информационной безопасности для персонала должна регламентировать этот процесс. Обязательное использование PIN-кода на телефоне, запрет на хранение корпоративных файлов в публичных облаках (Google Drive, iCloud) без шифрования.
Юридическая значимость и внедрение
Написать инструкцию — полдела. Главное — правильно ее внедрить. В нашей практике были случаи, когда суд восстанавливал уволенного за нарушение ИБ работника только потому, что в листе ознакомления стояла подпись напротив старой версии инструкции. Процесс внедрения включает:
- Утверждение инструкции приказом с присвоением версии и даты.
- Проведение очного или дистанционного инструктажа с разъяснением ключевых рисков.
- Подписание Листа ознакомления (или использование системы ЭДО).
- Внесение пункта в Трудовой договор: «Соблюдение Инструкции по ИБ является существенным условием труда».
Действия при инцидентах
Инструкция должна не только запрещать, но и помогать. Обязательно наличие раздела «Что делать, если…». Если сотрудник понял, что перешел по фишинговой ссылке, он должен знать, кому звонить. Мы рекомендуем внедрять принцип «Safe Harbor» (Безопасная гавань): если сотрудник сам оперативно сообщил об ошибке, дисциплинарное взыскание к нему не применяется или смягчается. Это мотивирует не скрывать инциденты, а решать их.
Контроль исполнения
Документ должен содержать раздел о контрольных мероприятиях. Работодатель имеет право проводить учебные фишинговые рассылки («Penetration testing» персонала) для проверки бдительности. Результаты таких проверок могут стать основанием для направления на переобучение или депремирования, если это предусмотрено системой оплаты труда и зафиксировано в инструкции.
Эксперты Ви Эф Эс Консалтинг помогут превратить хаотичные знания сотрудников о безопасности в стройную систему юридически обязывающих правил, снизив риск человеческого фактора до минимума.