Думай или сиди

О проблеме защиты информации написано много, однако ошибки при создании соответствующих систем совершаются с завидной регулярностью. Ошибки эти связаны как со сложностью современных информационных технологий (эта проблема объективна), так и с беспечностью системных администраторов, в том числе в нетехнических вопросах. Порой эта беспечность может обернуться не только против организаций, в которых работают системные администраторы, но и против них самих.

В процессе защиты информации у нас большинство обязанностей возложено на ИТ-персонал, и, как следствие, задачам безопасности время уделяется по остаточному принципу. Технические дыры стараются закрывать, не думая при этом об организационных мероприятиях и работе с пользователями. К чему это может привести, не сложно предугадать. Даже если вина сотрудника будет безусловно доказана, наказать его, находясь в правовом поле, довольно сложно.

Среди типичных мер, которые предпринимаются для обеспечения информационной безопасности, — мониторинг действий пользователей, мониторинг электронной почты, мониторинг работы в Internet. Как это делается сегодня?

В лучшем случае руководитель организации вызывает администратора и поручает ему отследить действия тех или иных сотрудников, причем указание дается в устной форме. В худшем — администратор начинает делать это по собственной инициативе.

Чем рискует руководитель? В принципе, ничем. А администратор? Он рискует оказаться на скамье подсудимых.

Проводя мониторинг без должных формальных шагов, администратор фактически занимается незаконной оперативной деятельностью и нарушает при этом целый ряд законов. Как этого избежать? Конечно, можно попросить руководителя отдать письменный приказ. Но это фактически означает переложить ответственность на руководителя, и далеко не всегда последний легко на это согласится.

Для решения проблемы нужно принять внутренний документ, согласно которому сотрудники соглашаются на мониторинг их действий. И в процессе входа в корпоративную сеть выдавать предупреждение, что все действия пользователя записываются, причем с его согласия. Сделать это весьма просто, используя настройки параметров политики безопасности (локальной или групповой).

Необходимо также принять политику в области использования электронной почты, дабы исключить пересылку с ее помощью секретных данных, оскорбительных сообщений и т. д. Но ее просмотр нарушает такое конституционное право пользователей, как право на личную переписку.

Большинство проблем можно решить, если организация будет контролировать трафик электронной почты и содержимое посланий, а также архивировать сообщения. При этом сотрудники должны быть предупреждены, что они не получат права на использование электронной почты до тех пор, пока не подпишут соглашение о том, что вся информация, принимаемая и передаваемая с электронного адреса, принадлежащего компании, является ее собственностью, и, следовательно, сообщения не могут быть личной собственностью сотрудников. Естественно, «свою» информацию руководство компании или уполномоченные им сотрудники имеют право просматривать в любой момент времени.

Однако не стоит забывать, что при этом все сообщения должны рассматриваться как конфиденциальные, и получить к ним доступ может только тот сотрудник, которому эти сообщения адресованы. Любое исключение из этого правила возможно лишь при разрешении руководства компании.

С технической точки зрения организовать мониторинг работы в Internet также несложно: анализ логов нынче не делает лишь ленивый. Однако нахождение следов того, что сотрудники используют Сеть не для работы, — это половина дела. Ведь если нет документа, который указывает, как нужно работать, значит, разрешено все. Потому с точки зрения безопасности имеет смысл составить документ, в котором будет четко указано, что разрешено, а все остальное запретить.

Безусловно, это не понравится многим, и разговоры про «полицейское государство» гарантированы. Но что важнее — то, что будут говорить, или безопасность?

У службы безопасности особая функция в организации. Именно поэтому нельзя заставлять заниматься проблемами информационной безопасности системных администраторов, большинство из которых не умеют думать как сотрудники службы безопасности. Сформировать такой способ мышления не так то легко. И, на мой взгляд, в наибольшей степени на роль сотрудника службы информационной безопасности подходит бывший сотрудник правоохранительных органов или военнослужащий. Конечно, идеальным будет случай, если он обладает знаниями системного администратора. Но иногда переделать психологию неорганизованного ИТ-инженера бывает сложнее, чем технически подготовить бывшего военнослужащего.

Необходимо понимать, что мир жесток, особенно к тем, кто не умеет себя защитить. И стоит учитывать, что «безопасность» — это не только безопасность компании, но и ваша личная. Ведь в этой области весьма актуален лозунг «Думай или сиди».