Для того, чтобы парольная политика хороша работала, она должна быть не только грамотно составлена, но и качественно доведена до персонала компании – ведь если о существовании закона никто не осведомлен, то какой от него может быть толк?
Доведение парольной политики (еще раз повторюсь, в рамках общей политики информационной безопасности организации) целесообразно провести в форме инструктажа с последующей сдачей персоналом мини-зачета по темам инструктажа. Как показывает практика, если после инструктажа не проводится проверка доносимых до сотрудников сведений, то эффективность такого мероприятия практически никакая. При этом даже нет особой необходимости сулить какие-то кары тем, кто не сдаст зачет – в большинстве компаний сам факт наличия зачета заставляет сотрудников мобилизоваться и подойти к нему ответственно.
На инструктаже необходимо сконцентрироваться на том, что должен сделать сам сотрудник для реализации политики информационной безопасности, а также на том, что ждет тех сотрудников, которые в этой реализации не пожелают принять участие. Заставлять сотрудников учить политику «от корки до корки» не только бесполезно, но даже и небезопасно, потому что многие из них справедливо воспримут подобное предложение как издевательство, и отдел информационной безопасности наживет врагов в их лице.
«Парольные» инструктажи можно и нужно периодически повторять – опять-таки, с проведением зачетов после них. Периодичность лучше выбирать не очень частую – вполне достаточно повторения раз в полгода.