Нужна помощь специалистов в ИБ
Взываю к пикабушникам, потому как хоть и понимаю, что вопрос из сферы ИБ, но кому идти его задавать, и что делать, совершенно не знаю.
Вводная: имеется сотрудник, работает с людьми, в т.ч. оформляет документы. Поэтому на рабочем месте у него есть компьютер, через который имеется полный доступ к персональной информации. До недавнего времени аутентификация осуществлялась с помощью усиленной ЭЦП и пароля (как я понимаю), этой же ЭЦП подписывались документы.
С недавнего времени ЭЦП и пароль больше не требуются: включил компьютер - рабочее место готово! Хочешь - пиши, что вздумается. Хочешь - качай персональную информацию. Как при этом определяется авторство документа - вообще не ведаю. Вроде бы привязка идёт по принципу "кабинет+расписание".
Проблема: Как в такой ситуации застраховаться сотруднику? Как отбояриться, что документ был создан не им, ведь тот создан на его компьютере в рабочее время. Руководство или некомпетентно и не понимает ситуации, или ему плевать. Остальные сотрудники, наверное, тоже невдупляют в перспективы и последствия. А прецедент, когда один из сотрудников (А) на рабочем месте другого сотрудника (Б) написал писульку, уже был. По крайней мере Б уже получил втык, что документ оформлен с ошибками, хотя Б не признаёт своё авторство.
При этом усиленную ЭЦП сотрудники ежегодно оплачивают из собственного кармана. Потом эти траты обещают возместить, но возмещение последние годы очень сильно затягивается.
Собственно, ещё раз, как застраховаться? Кому и что писать, чтобы вернуть всё в зад?
Кто вообще должен занимать защитой данных в организации, и кто в стране это регулирует и за этим следит?