Так речь же не об исключении человека из процесса защиты, а о минимизации ущерба из-за человеческого фактора...на сегодняшний день по вине сотрудника наносится колоссальный ущерб. Исключить этот риск невозможно, но минимизировать вполне реально. Однако это довольно трудоёмкий процесс, где работы по внедрению средств защиты - это третий, а то и четвёртый шаг. В идеале сперва нужно организации для себя определить что есть конфиденциальная информация, коммерческая тайна, информация ограниченного характера и т.д., определить кому к какой инфе разрешить доступ, настроить соответствующим образом сеть, ранжировать и структурировать её, затем описать регламенты работы с сетевыми ресурсами, почтой, интернетом, донести это до сотрудников и только потом внедрять что-то. А у нас все наоборот. Внедрили, а на вопрос «Так что же необходимо защищать» 2/3 ИБэшников не могут конкретно ответить. Ответ обтекаемый - фин. информация, бух.отчетность и т.д. Причём ответ такой из-за того, что собственник бизнеса не может адекватно и внятно поставить задачу, мол, ты безопасник, ты и решай, а безопасник может не видеть ВСЕ бизнес процессы и попросту даже не знать о существовании некоторых «узких» мест. Как-то так...если вкратце
