Главная » Думай или сиди
Системному администратору важно помнить, что «безопасность» — это не только безопасность компании, но и его собственная Опроблеме защиты информации написано много, однако ошибки при созданиисоответствующих систем совершаются с завидной регулярностью. Ошибки этисвязаны как со сложностью современных информационных технологий (этапроблема объективна), так и с беспечностью системных администраторов, втом числе в нетехнических вопросах. Порой эта беспечность можетобернуться не только против организаций, в которых работают системныеадминистраторы, но и против них самих. В процессе защитыинформации у нас большинство обязанностей возложено на ИТ-персонал, и,как следствие, задачам безопасности время уделяется по остаточномупринципу. Технические дыры стараются закрывать, не думая при этом оборганизационных мероприятиях и работе с пользователями. К чему этоможет привести, не сложно предугадать. Даже если вина сотрудника будетбезусловно доказана, наказать его, находясь в правовом поле, довольносложно. Среди типичных мер, которые предпринимаются дляобеспечения информационной безопасности, — мониторинг действийпользователей, мониторинг электронной почты, мониторинг работы вInternet. Как это делается сегодня? В лучшем случае руководительорганизации вызывает администратора и поручает ему отследить действиятех или иных сотрудников, причем указание дается в устной форме. Вхудшем — администратор начинает делать это по собственной инициативе. Чем рискует руководитель? В принципе, ничем. А администратор? Он рискует оказаться на скамье подсудимых. Проводямониторинг без должных формальных шагов, администратор фактическизанимается незаконной оперативной деятельностью и нарушает при этомцелый ряд законов. Как этого избежать? Конечно, можно попроситьруководителя отдать письменный приказ. Но это фактически означаетпереложить ответственность на руководителя, и далеко не всегдапоследний легко на это согласится. Для решения проблемы нужнопринять внутренний документ, согласно которому сотрудники соглашаютсяна мониторинг их действий. И в процессе входа в корпоративную сетьвыдавать предупреждение, что все действия пользователя записываются,причем с его согласия. Сделать это весьма просто, используя настройкипараметров политики безопасности (локальной или групповой). Необходимотакже принять политику в области использования электронной почты, дабыисключить пересылку с ее помощью секретных данных, оскорбительныхсообщений и т. д. Но ее просмотр нарушает такое конституционное правопользователей, как право на личную переписку. Большинствопроблем можно решить, если организация будет контролировать трафикэлектронной почты и содержимое посланий, а также архивироватьсообщения. При этом сотрудники должны быть предупреждены, что они неполучат права на использование электронной почты до тех пор, пока неподпишут соглашение о том, что вся информация, принимаемая ипередаваемая с электронного адреса, принадлежащего компании, являетсяее собственностью, и, следовательно, сообщения не могут быть личнойсобственностью сотрудников. Естественно, «свою» информацию руководствокомпании или уполномоченные им сотрудники имеют право просматривать влюбой момент времени. Однако не стоит забывать, что при этом всесообщения должны рассматриваться как конфиденциальные, и получить к нимдоступ может только тот сотрудник, которому эти сообщения адресованы.Любое исключение из этого правила возможно лишь при разрешениируководства компании. С технической точки зрения организоватьмониторинг работы в Internet также несложно: анализ логов нынче неделает лишь ленивый. Однако нахождение следов того, что сотрудникииспользуют Сеть не для работы, — это половина дела. Ведь если нетдокумента, который указывает, как нужно работать, значит, разрешеновсе. Потому с точки зрения безопасности имеет смысл составить документ,в котором будет четко указано, что разрешено, а все остальное запретить. Безусловно,это не понравится многим, и разговоры про «полицейское государство»гарантированы. Но что важнее — то, что будут говорить, или безопасность? Услужбы безопасности особая функция в организации. Именно поэтому нельзязаставлять заниматься проблемами информационной безопасности системныхадминистраторов, большинство из которых не умеют думать как сотрудникислужбы безопасности. Сформировать такой способ мышления не так толегко. И, на мой взгляд, в наибольшей степени на роль сотрудника службыинформационной безопасности подходит бывший сотрудникправоохранительных органов или военнослужащий. Конечно, идеальным будетслучай, если он обладает знаниями системного администратора. Но иногдапеределать психологию неорганизованного ИТ-инженера бывает сложнее, чемтехнически подготовить бывшего военнослужащего. Необходимопонимать, что мир жесток, особенно к тем, кто не умеет себя защитить. Истоит учитывать, что «безопасность» — это не только безопасностькомпании, но и ваша личная. Ведь в этой области весьма актуален лозунг«Думай или сиди».
Категория: Обеспечение безопасности | Просмотров: 137