Документ предоставлен КонсультантПлюс
«Делопроизводство», 2026, N 1
Вы можете тщательно продумать политики безопасности, закупить дорогостоящее ПО для защиты данных и предотвращения вторжений, но в конечном итоге информационная система вашей компании будет устойчива ровно настолько, насколько ваши сотрудники соблюдают принятые правила безопасного обращения с данными и поведения в сети.
Многие компании решают этот вопрос через создание многостраничных регламентов, в которых по пунктам описывают политики безопасности: не устанавливать мессенджеры на рабочие ПК, не использовать внешние ИИ-инструменты, не хранить логин и пароль от учетной записи под клавиатурой… Но работают ли эти правила на практике?
Нет смысла вводить правила безопасности, если сотрудники их не соблюдают
Возможно, в вашей компании уже есть регламенты, с согласованными с руководством политиками безопасности. Однако важно не только их записать и оформить в документ, но и грамотно донести до персонала — так, чтобы сотрудники их поняли и действительно соблюдали. Как показывает наш опыт, соблюдают политики не всегда. Почему так?
Проблема 1: сотрудники просто не читают регламенты по информационной безопасности
Иногда рядовые пользователи просто не могут пробиться через сложные канцелярские или технические формулировки. ИТ-специалисты, которым часто поручают составлять регламенты, оформляют их как сложные многостраничные документы. Даже если такие документы приносят сотрудникам на подпись, те часто подписывают их не глядя.
Некоторые специалисты работают удаленно или по гибридному графику и не проходят обучение — хотя представляют не меньшую угрозу для информационной безопасности, чем офисные сотрудники.
Иногда политики безопасности до сотрудников просто не доходят: они тихо «живут» в базах знаний организации. На бумаге они есть, а в процессах — нет.
Как быть? Компаниям стоит уходить от формалистского подхода со сложными техническими регламентами. Цель любого регламента — не продемонстрировать экспертность специалистов ИБ-отдела, а научить всю команду распознавать фишинг, проверять адреса отправителей и соблюдать базовые правила цифровой безопасности.
Информацию нужно подавать в форме, понятной как ИТ-специалисту, так и рядовому сотруднику, далекому от информационных технологий. Можно использовать разные форматы: проводить вебинары, делать рассылки по электронной почте с описанием новых угроз, распространять буклеты и брошюры, читать лекции и даже проводить так называемые киберучения. Если сотрудник не сдал тест, пусть пройдет обучение еще раз.
И важно помнить: образовательный процесс должен быть непрерывным. Киберкриминал изобретает новые схемы каждый день, и отделаться одной общей лекцией о фишинге в год не получится.
Проблема 2: сотрудники знают о правилах безопасности, но игнорируют их
Это распространенная ситуация.
Но здесь важно понимать, что сотрудники часто игнорируют правила безопасности не из злого умысла. Люди всегда будут искать более простые способы решения рабочих задач — так же, как пешеходы прокладывают «народные тропы», чтобы сэкономить пять секунд, игнорируя удобный и чистый тротуар.
Так, если в компании сотрудники привыкли отправлять друг другу документы через мессенджеры, многие продолжат это делать — просто потому, что это удобнее и быстрее, чем пользоваться безопасной и надежной корпоративной почтой.
В моей практике был случай, когда мы внедряли DLP-систему в одной компании. Сотрудники прошли предварительный инструктаж — под подпись — о том, что документы с пометкой «Для служебного пользования» нельзя отправлять через мессенджеры. Они также были уведомлены, что работодатель ведет мониторинг с использованием программно-технических средств. Тем не менее документы все равно отправляли, а собеседников просили удалить сообщения с файлом из переписки. Разумеется, системы мониторинга работают несколько иначе.
К сожалению, не все пользователи понимают, что мессенджер — это «почтальон», а не охранник.
Какой вывод можно сделать? Сам по себе документ с прописанной политикой безопасности не повышает уровень защищенности. Реальный эффект появляется только тогда, когда сотрудники понимают требования, принимают их и действительно следуют им в своей повседневной работе.
Человеческий фактор в ИБ — это константа
Если в компании работают живые люди (а чаще всего это так и есть), нельзя списывать со счетов пресловутый человеческий фактор. Сотрудники ошибаются: отправляют конфиденциальные документы не тем адресатам, загружают базы с персональными данными клиентов во внешние ИИ-инструменты, посещают небезопасные сайты… И совершают много других действий, которые могут привести к несанкционированному распространению конфиденциальных данных.
За 16 лет практики мы сталкивались с инцидентами, когда даже уполномоченные сотрудники по невнимательности или из-за спешки отправляли зарплатные ведомости рядовым сотрудникам, данные рекламной кампании клиента — конкурентам. Увы, от такого не застрахован никто.
Не стоит забывать и о том, что киберкриминал не дремлет. По статистике, около 7% пользователей — вне зависимости от должности, образования, возраста и социального статуса — совершают целевое действие злоумышленников: переходят по фишинговой ссылке, скачивают вредоносный файл или устанавливают опасный плагин. Причем такие ситуации выпадают и на рабочее время, когда специалист работает с офисного компьютера, подключенного к корпоративной информационной сети.
Важно помнить, что сотрудники — это живые люди со своими сложностями, проблемами, невзгодами и банальной усталостью. Даже опытный ИТ-специалист может не проверить адрес отправителя письма, если находится в состоянии сильного стресса или работает в условиях перегрузки.
Мониторинг соблюдения правил безопасности сегодня — базовый минимум, а не роскошный максимум
Правила информационной безопасности, которые вводит работодатель, не должны жить только «на бумаге». Их задача вполне практическая: защитить данные, с которыми работает организация, снизить регуляторные риски и сохранить безопасность корпоративной инфраструктуры.
Но на практике внутренние пользователи не всегда понимают, зачем именно вводятся те или иные ограничения. Для них переписка в личном мессенджере, использование привычного сервиса или загрузка персональных данных клиентов во внешний ИИ-инструмент выглядят просто удобным способом побыстрее решить рабочую задачу. Запрет на личные аккаунты, сторонние сайты или мессенджеры может восприниматься как излишняя строгость, хотя с точки зрения безопасности это дополнительные точки входа в корпоративную систему.
Поэтому правила безопасности важно не только закрепить в регламентах, но и понимать, как они выполняются на практике. Контроль помогает увидеть, из каких действий сотрудников складываются реальные риски и как именно возникают инциденты информационной безопасности в вашей компании, с ее особенностями, спецификой бизнес-процессов и иерархией.
Именно поэтому контроль соблюдения принятых правил с использованием систем мониторинга — важная часть системы информационной безопасности, особенно для компаний среднего и крупного размера. Сегодня такой подход уже не роскошный максимум, а базовый минимум, позволяющий убедиться, что правила безопасности действительно работают, а не существуют только на бумаге.
Контроль или безопасность? Почему сегодня компании меняют отношение к мониторингу сотрудников
Сегодня кибербезопасность компании напрямую зависит от того, насколько ее персонал соблюдает правила информационной безопасности в рутинных рабочих задачах.
Однако практика показывает, что сотрудники не всегда осознают, что нарушают эти правила — или просто не видят в этом серьезной проблемы. В этой ситуации мониторинг активности персонала помогает не только выявлять нарушителей и инсайдеров, но и контролировать соблюдение требований безопасности в целом.
При этом можно наблюдать, как среди компаний меняется отношение к мониторингу. Компании все реже воспринимают его как инструмент недоверия. Когда руководство понимает, как рождаются инциденты, оно получает возможность выстраивать безопасную и комфортную среду работы всей команды: искать удобные для всех каналы коммуникации, находить узкие места в бизнес-процессах и оптимизировать работу компании так, чтобы процессы были понятны сотрудникам, а информационная безопасность оставалась под контролем.
А. Завадская Менеджер по развитию бизнеса Falcongaze