The article addresses the problem of information security risk assessment in the context of the human factor and the specifics of restricting employees’ access to corporate resources. The aim of the study is to improve approaches to assessing information security risks for company personnel during the segregation of access to corporate information resources by developing and implementing a modified sequence of processes that considers the specifics of the human factor and helps minimize threats arising from employees’ mistakes and malicious actions. The object of the research is the process of ensuring information security while managing personnel access to corporate resources. The subject of the research consists in the methods and procedures of information security risk assessment related to personnel activities, as well as the technological sequence of their implementation to minimize threats. The authors emphasize that, on the one hand, company personnel are among its most valuable assets, and on the other hand, they can also be a potential source of threats to information security. Modern approaches to risk assessment are analyzed, including international standards that can serve as a foundation for implementing a comprehensive protection system. It is demonstrated that the key task in protecting information resources is the appropriate definition of roles and categories of personnel, considering their responsibilities and level of accountability. A nine-step sequence is proposed to optimize access segregation, encompassing resource identification and classification, auditing the current security system, proactive risk assessment, formulating recommendations, and implementing new measures. Methods of profiling employees are described, taking into consideration their competencies, behavioral characteristics, and opportunities to access confidential data. Special attention is paid to Role-Based Access Control policies and authentication methods, including password systems and more advanced technologies. The importance of regular auditing and monitoring for timely detection of new threats and vulnerabilities is highlighted. Thus, the application of the developed risk assessment model makes it possible to reduce the number of human errors, enhance the level of business process security, and optimize the management of access to critical resources. The results obtained can be integrated into the company’s information security system to ensure the continuous improvement of protective mechanisms, which positively affects the enterprise’s reputation and minimizes potential financial losses.

Висвітлено проблематику оцінювання ризиків інформаційної безпеки в контексті людського чинника та особливостей розмежування доступу персоналу до корпоративних ресурсів. Мета дослідження – вдосконалення підходів до оцінювання ризиків інформаційної безпеки для персоналу компанії під час розмежування доступу до корпоративних інформаційних ресурсів за рахунок розроблення та впровадження модифікованої послідовності процесів, яка враховує специфіку людського чинника і сприяє мінімізації загроз, що виникають через помилки та зловмисні дії персоналу. Об’єкт дослідження – процес забезпечення інформаційної безпеки під час керування доступом персоналу до корпоративних ресурсів. Предмет дослідження – методи та процедури оцінювання ризиків інформаційної безпеки, пов’язані з діяльністю персоналу, а також технологічна послідовність їх впровадження для мінімізації загроз. Автори наголошують, що персонал компанії, з одного боку, є одним із найважливіших активів, а з іншого – потенційним джерелом загроз для інформаційної безпеки. Проаналізовано сучасні підходи до оцінювання ризиків, зокрема розглянуто міжнародні стандарти, які можуть слугувати базою для впровадження комплексної системи захисту. Доведено, що ключовим завданням у захисті інформаційних ресурсів є належне визначення ролей та категорій персоналу з урахуванням їхніх обов’язків і рівня відповідальності. Для оптимізації розмежування доступів запропоновано послідовність із дев’яти етапів, що охоплюють ідентифікацію та класифікацію ресурсів, аудит чинної системи безпеки, проактивне оцінювання ризиків, створення рекомендацій і впровадження нових заходів. Описано методи профілювання працівників з урахуванням їхніх компетенцій, поведінкових особливостей і можливостей доступу до конфіденційних даних. Особливу увагу приділено політикам Role-Based Access Control та методам автентифікації, включно з парольними системами та сучаснішими технологіями. Підкреслено важливість регулярного аудиту й моніторингу задля своєчасного виявлення нових загроз і вразливостей. Таким чином, застосування розробленої моделі оцінювання ризиків дозволяє зменшити кількість людських помилок, сприяє підвищенню рівня захищеності бізнес-процесів та оптимізації керування доступом до критичних ресурсів. Отримані результати можуть бути інтегровані в систему інформаційної безпеки компанії задля забезпечення безперервного вдосконалення захисних механізмів, що позитивно вплине на репутацію підприємства й мінімізує потенційні фінансові втрати.