Думай або сиди, Комерція, Різне, статті

Системному адміністратору важливо пам’ятати, що “безпека” – це не тільки безпека компанії, але і його власна

Про проблему захисту інформації написано багато, однак помилки при створенні відповідних систем відбуваються із завидною регулярністю. Помилки ці пов’язані як зі складністю сучасних інформаційних технологій (Ця проблема об’єктивна), так і з безпечністю системних адміністраторів, у тому числі в нетехнічних питаннях. Часом ця безпечність може обернутися не тільки проти організацій, в яких працюють системні адміністратори, а й проти них самих.


У процесі захисту інформації у нас більшість обов’язків покладено на ІТ-персонал, і, як наслідок, завданням безпеки часом приділяється за залишковим принципом. Технічні діри намагаються закривати, не думаючи при цьому про організаційні заходи та роботи з користувачами. До чого це може призвести, не складно передбачити. Навіть якщо вина співробітника буде безумовно доведено, покарати його, перебуваючи в правовому полі, досить складно.


Серед типових заходів, які вживаються для забезпечення інформаційної безпеки, – моніторинг дій користувачів, моніторинг електронної пошти, моніторинг роботи в Internet. Як це робиться сьогодні?


У кращому випадку керівник організації викликає адміністратора і доручає йому відстежити дії тих чи інших співробітників, причому вказівку дається в усній формі. В гіршому – адміністратор починає робити це з власної ініціативи.


Чим ризикує керівник? В принципі, нічим. А адміністратор? Він ризикує опинитися на лаві підсудних.


Проводячи моніторинг без належних формальних кроків, адміністратор фактично займається незаконною оперативною діяльністю і порушує при цьому цілий ряд законів. Як цього уникнути? Звичайно, можна попросити керівника віддати письмовий наказ. Але це фактично означає перекласти відповідальність на керівника, і далеко не завжди останній легко на це погодиться.


Для вирішення проблеми потрібно прийняти внутрішній документ, згідно з яким співробітники погоджуються на моніторинг їх дій. І в процесі входу в корпоративну мережу видавати попередження, що всі дії користувача записуються, причому з його згоди. Зробити це досить просто, використовуючи налаштування параметрів політики безпеки (локальної або груповий).


Необхідно також прийняти політику в галузі використання електронної пошти, щоб виключити пересилання з її допомогою секретних даних, образливих повідомлень і т. д. Але її перегляд порушує таке конституційне право користувачів, як право на особисту переписку.


Більшість проблем можна вирішити, якщо організація буде контролювати трафік електронної пошти і вміст послань, а також архівувати повідомлення. При цьому співробітники повинні бути попереджені, що вони не отримають права на використання електронної пошти до тих пір, поки не підпишуть угоду про те, що вся інформація, яка приймається і передається з електронної адреси, що належить компанії, є її власністю, і, отже, повідомлення не можуть бути особистою власністю співробітників. Природно, “свою” інформацію керівництво компанії або уповноважені ним співробітники мають право переглядати в будь-який момент часу.


Однак не варто забувати, що при цьому всі повідомлення повинні розглядатися як конфіденційні, і отримати до них доступ може тільки той співробітник, якому ці повідомлення адресовані. Будь-яке виключення з цього правила можливо лише при вирішенні керівництва компанії.


З технічної точки зору організувати моніторинг роботи в Internet також нескладно: аналіз логів нині не робить лише ледачий. Однак знаходження слідів того, що співробітники використовують Мережу не для роботи, – Це половина справи. Адже якщо немає документа, який вказує, як потрібно працювати, значить, дозволено все. Тому з точки зору безпеки має сенс скласти документ, в якому буде чітко вказано, що дозволено, а все інше заборонити.


Безумовно, це не сподобається багатьом, і розмови про “поліцейську державу” гарантовані. Але що важливіше – те, що будуть говорити, чи безпека?


У служби безпеки особлива функція в організації. Саме тому не можна примушувати займатися проблемами інформаційної безпеки системних адміністраторів, більшість з яких не вміють думати як співробітники служби безпеки. Сформувати такий спосіб мислення не так то легко. І, на мій погляд, найбільшою мірою на роль співробітника служби інформаційної безпеки підходить колишній співробітник правоохоронних органів або військовослужбовець. Звичайно, ідеальним буде випадок, якщо він володіє знаннями системного адміністратора. Але іноді переробити психологію неорганізованого ІТ-інженера буває складніше, ніж технічно підготувати колишнього військовослужбовця.


Необхідно розуміти, що світ жорстокий, особливо до тих, хто не вміє себе захистити. І варто враховувати, що “безпека” – це не тільки безпека компанії, але і ваша особиста. Адже в цій області вельми актуальним гасло “Думай або сиди”.


Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*