В компании ООО «Триалта» существует разработанная политика информационной безопасности, все положения которой на практике внедрены в информационную систему. При этом все её сотрудники ознакомлены с принятой политикой безопасности в компании ООО «Триалта». Анализ позволил заметить, что при внесении изменений в информационную систему, она пересматривалась не регулярно, хотя в случае введения в эксплуатацию новой информационной системы или подсистемы существует необходимость в обязательном проведении её проверки на соответствие существующей политике безопасности.
Из проанализированных организационных мер стоит отметить, что не назначена ответственность за обеспечение безопасности ценных информационных ресурсов компании ООО «Триалта». При этом в должностных обязанностях руководителей отсутствует ответственности за обеспечение информационной безопасности, а регулярная рассылка всем сотрудник компании информации об инцидентах и вирусах не производится.
Рассматривая безопасность персонала, можно определить, что все сотрудники компании ООО «Триалта» раз в год проходят тренинг по вопросам информационной безопасности, а сотрудники IT-службы раз в два года посещают курсы по вопросам информационной безопасности. Однако в должностных обязанностях всех сотрудников отсутствует задача обеспечения безопасности информации, и нет проверки IT-службой персонала принимаемого на работу. При приёме на работу сотрудники подписывают соглашение о возможной перлюстрации всей служебной корреспонденции, об отчуждении всей интеллектуальной собственности созданной ими за время работы согласно должностным обязанностям, а также соглашение о соблюдении режима коммерческой тайны. Также в компании существуют типовые процедуры расследования инцидентов в области информационной безопасности, т.к. уничтожение, искажение и раскрытие информации может принести существенную финансовую или иную выгоду, как сотрудникам компании, так и посторонним лицам, заинтересованным компаниям, но они об этом не осведомлены. Использование временно нанятых или работающих по контракту сотрудников в компании не практикуется. В результате предполагается, что сотрудники компании не обладают достаточными знаниями для осуществления несанкционированного доступа к информации при имеющейся у них возможности. Дальнейший анализ ИБ показал, что у сотрудников есть основания полагать, что осуществление ими несанкционированного доступа останется незамеченным, они могут получить пользовательский доступ к критичным с точки зрения функционирования информационной системы программам и устройствам. При этом за время существования компании ООО «Триалта» никто из сотрудников не подвергался наказаниям или дисциплинарным взысканиям за нарушение нормативных актов, определяющих правила использования компьютера.
