Журнал "Information Security/ Информационная безопасность" #2, 2021

Все запретить или все разрешить, но контролировать? Александр Хрусталев Изначально запретить, при необходимости раз- решить, а что разреше- но – контролировать. Михаил Терешков До недавнего времени я придерживался правила "чем меньше прав, тем меньше риск". Но каран- тин показал, что бизнесу сейчас важно, чтобы функция выполнялась, но при этом соблюдалась конфиденциаль- ность. Подходы нужно пересматривать, чем мы, собственно, сейчас и занимаемся. Андрей Корабельников Мне лично ближе "разре- шить и контролировать", но у нас строгие регла- менты, и так получается не всегда, поэтому неко- торые вещи приходится жестко запрещать. Вячеслав Касимов Я бы скорее сказал, что "все разрешить и конт- ролировать". Но, к сожа- лению, на практике часть приходится запре- щать. Вы увидели, что сотрудник среднего звена начал рассылать резюме. Что делать? Александр Хрусталев: Необхо- димо разобраться в причинах, и только после принять решение. Михаил Терешков: Всегда лучше поговорить и выяснить, что не устраивает сотрудника, возможно, есть объективные причины, которые можно устранить. Андрей Корабельников: Следу- ет попытаться разобраться с руководи- телем сотрудника. Сотрудник создал фирму-боковик, но приносит достаточно много прибыли компании. Михаил Терешков: Данные дей- ствия по нашей комплаенс-политике попадают под конфликт интересов, поэтому должны быть рассмотрены в комплаенс-комитете. Александр Хрусталев: На мой взгляд, в компании нет места конфликту интересов, поэтому сотрудника следует уволить. Вячеслав Касимов: Если боко- вичок приносит прибыль, нужно рас- смотреть вариант сотрудничества с ним, но в официальном поле, например выдать ему кредит. Сотрудник пишет негатив в Интернете о компании, что делать? Михаил Терешков: Это противо- речит нашему кодексу этики. В любом случае необходимо разобраться, воз- можно существует какая-то общеси- стемная проблема. Всегда лучше снача- ла поговорить. Как поступить с нарушителем, который что-то сливает, возможно, за деньги: уволить сразу или попытаться сделать информатором? Андрей Корабельников: Личное мнение – уволить сразу. Вячеслав Касимов: Не мой метод делать информаторов, так любят посту- пать выходцы из силовых органов. Поэтому мое решение такое: вор должен сидеть в тюрьме, а нарушитель – уво- лен. Каков основной драйв от профессии, что доставляет наибольшее моральное удовлетворение? Андрей Корабельников: Когда случается настоящий инцидент и при- ходится постараться для того, чтобы реально предотвратить угрозу. Это заводит. Сергей Матвеев Для меня главный драйв от работы шефом безопасности – видеть, как работа ладится, как мы строим гипотезы, собираем по ним информацию, находим проблему. Когда чувствуешь, что идешь в правильном направлении. Сотрудники кайфуют от того, что делают правильные вещи правильны- ми инструментами. А руководитель – от того, что команда работает сла- женно и каждый в ней делает свое дело. Вячеслав Касимов: Многообра- зие задач и свежесть этих задач, которые позволяют всегда быть в тренде. 46 • ПРОФЕССИЯ Все запретить или все разрешить, но контролировать? Лев Матвеев, председатель совета директоров “СёрчИнформ”, задал блиц-вопросы о профессии руководителям отделов информационной безопасности известных компаний. Участники: Михаил Терешков, руководитель направления информационной безопасности АО “Эр-Телеком Холдинг” Андрей Корабельников, руководитель службы информационной безопасности аэропорта Шереметьево Александр Хрусталев, директор департамента информационной безопасности ПАО МГТС Сергей Матвеев, директор по безопасности ПАО ЧТПЗ, доцент департамента анализа рисков экономической безопасности Финансового университета при Правительстве РФ Вячеслав Касимов, директор департамента информационной безопасности ПАО “Московский кредитный банк” Ваше мнение и вопросы присылайте по адресу is@groteck.ru