В этом случае на выручку приходит администратор безопасности. Сам он не должен иметь доступа к данным, так же как и не должен иметь возможности что-либо менять в настройках программного, аппаратного обеспечения или в содержимом баз данных. Но у него должен быть доступ на просмотр всех "бюджетов" пользователей, протоколов работы оборудования и программного обеспечения, а также на просмотр файловой структуры.
Он контролирует регулярность проведения положенных процедур (например, резервного копирования), соблюдение парольных политик, а также действия пользователей.
Аналогичным образом следует организовать работу и в других случаях. Например, чтобы затруднить кражу информации, можно поступить следующим образом. Закрытая база данных в зашифрованном виде хранится на съемном жестком диске. Утром, перед началом работы, один сотрудник подключает диск, второй, пользуясь аппаратным электронным ключом, начинает процедуру работы с диском, третий набирает пароль для доступа к информации. Существующие программы шифрования позволяют организовать такой режим работы. В результате ни один сотрудник по отдельности не сможет воспользоваться содержимым диска, а сговориться об этом втроем гораздо сложнее. Получается, что организация застрахована и от сговора сотрудников, и от последствий давления криминальных структур на одного из них, и от кражи техники из офиса накануне сдачи годового баланса.
Вопрос управления службой безопасности достаточно объемен и включает в себя несколько составляющих. Здесь стоит упомянуть о том, что главными принципами управления системой безопасности являются принципы единоначалия и неукоснительного подчинения всех принятым правилам. Что касается общей схемы работы, то она циклична и в упрощенном виде представляет собой цепочку. Принцип единоначалия подразумевает четкую иерархию управления в различных ситуациях. Второй принцип гласит о том, что принятым правилам должны следовать как рядовые сотрудники, так и руководители организации.
Кроме того, служба безопасности должна быть подчинена непосредственно высшему руководству. Переподчинение ее какому-либо из заместителей высшего руководителя (например, по юридическим вопросам) недопустимо. Залог успешной деятельности службы безопасности - максимально возможная независимость от должностных лиц. Мало кто задумывается, что опасность для организации, исходящая от сотрудника, прямо пропорциональна занимаемому им положению.
Очень важен вопрос взаимодействия с другими службами или подразделениями. Для того чтобы снять вопросы полномочий при совместной работе над решением задач в смежных областях, необходимо описать, кто, кому и в каких случаях подчинен.
Вопрос достаточно сложный и субъективный. Сложен он потому, что необходимо количественно оценить качественные изменения, а необъективен в силу изначальной субъективности оценки важности активов организации - материальных и нематериальных. Как, например, можно оценить тот факт, что сотрудники стали втрое реже терять служебные документы? Количественно - трудно. Качественно - оценка не так наглядна. Тем не менее выводы, имеющие сравнительный характер, сделать можно. Например, подсчитав время простоя серверов за 2-3 месяца или попытавшись сопоставить какие-то действия службы безопасности с ростом прибыли. Чего уж точно не следует делать, так это требовать сиюминутных результатов в виде пойманных за руку сотрудников-вредителей. Наоборот, в случае "роста показателей" необходимо задуматься, откуда берутся злоумышленники и что их толкает на вредоносные действия.
Оценивать стоит скорее тенденции, которые развиваются в организации. И только в отдельных случаях можно оценивать сумму предотвращенного ущерба. Это возможно, если оценены все активы предприятия и определен хотя бы порядок сумм возможного ущерба. Исходя из этих цифр можно принимать решения об увеличении или уменьшении бюджета или судить об эффективности службы безопасности.
Работа по обеспечению безопасности требует взвешенных, обоснованных управленческих действий, поэтому она должна строиться с соблюдением определенных базовых принципов. Продолжением базовых принципов обеспечения безопасности деятельности должен быть пакет документов, четко определяющий все организационные связи и полномочия лиц, а также понятия безопасного и небезопасного состояния и требования безопасности. Этот пакет документации индивидуален для каждого предприятия или организации из-за их различий в структуре, размерах, целях и т.д.
Не имеет смысла возлагать на службу безопасности абсолютно все задачи по защите предприятия. Функция службы безопасности скорее методическая, контрольная и консультирующая, а не исполнительская. Ее стратегические решения принимаются коллегиально с привлечением сотрудников соответствующих служб и отделов.
Любые шаги по созданию системы безопасности следует начинать одновременно с формированием постоянного коллектива ответственных сотрудников (как минимум на уровне постоянной рабочей группы).
Наконец, чем более интегрированы элементы системы безопасности в существующую структуру организации, тем эффективнее вся система в целом. Если мы говорим о нормативной базе в общем, то важнейшими моментами будут ее поддержка в актуальном состоянии и подробная проработка.
Можно с одинаковым успехом разработать и совершенно глупые, и абсолютно гениальные методики, планы и правила, но без поддержки рядовых сотрудников результат (а точнее, его отсутствие) будет одинаков. В конце концов именно за счет реализации способностей сотрудника на рабочем месте и развивается организация. При заключении трудового соглашения обе стороны - и сотрудник, и наниматель - налагают на себя массу сложных и взаимосвязанных обязательств, как формальных и подзаконных, так и лежащих в области морали. Поэтому целесообразно четко определить права и обязанности сторон в процессе трудовой деятельности.
Очень часто руководители не знают или забывают об одном из базовых принципов системы безопасности "защита всех от всех". Это означает, что система безопасности должна гарантировать определенные права и уровень безопасности не только организации по отношению к внешним или внутренним источникам угрозы, но и обеспечивать ее защиту от проблем, возникших из-за некомпетентности руководителя. На самом же деле угроза организации часто пропорциональна статусу, "весу" и полномочиям лица, являющегося ее источником.
По данным опросов, в частных компаниях утечка информации часто происходит в результате небрежности первых лиц организации. Более 75% менеджеров не считают нужным убирать конфиденциальные документы со стола или выключать монитор своего компьютера при приеме посетителей. Это приводит примерно к 30% случаев утечки информации. Если посчитать, на какое количество (а это считанные единицы в организации) таких лиц приходится 30% утечек, то наличие угрозы со стороны руководства будет доказано без труда. Следует учесть, что речь пока идет только об информационной безопасности.
По наиболее распространенному мнению, самый дешевый и эффективный способ повысить общий уровень информационной безопасности - это развивать и поддерживать высокий уровень информационной культуры и общей культуры делопроизводства. Всем известно, что чаще крадут (деньги или информацию - не столь важно) там, где царит безалаберность, необязательность и неразбериха. В этом случае труднее понять, что на самом деле произошло, труднее собрать фактический материал для внутреннего расследования. А злоумышленнику легче скрыть следы.
Поэтому необходимо добиваться от сотрудников понимания и четкой установки на совершенствование деловых качеств - аккуратности, пунктуальности, обязательности, методичности, дисциплинированности. В этом случае коллективу легче привить писаные и неписаные правила, которые непосредственно касаются защиты информации.
В большинстве западных компаний действует двухуровневая система внутренней безопасности. Первый уровень обеспечивается штатной службой безопасности. Второй обеспечивают сами сотрудники. Взаимодействие службы безопасности с коллективом обеспечивают координаторы из числа сотрудников промежуточного уровня.
Эффективность такой схемы в наших условиях вполне реальна. Однако необходимо создать определенную "прослойку" имеющих одинаковые принципы и этические нормы людей. В том случае, если численность этой группы окажется достаточно большой, вновь прибывшие сотрудники окажутся под давлением общепринятых в коллективе взглядов. Часто моральный аспект проблемы внутрифирменного мошенничества, хищений и т.д. недооценивается. Но идеологической работой заниматься необходимо, так как идеологическое поле не терпит пустоты. Если в организации не уделяется внимание формированию системы ценностей, их место может занять стихийная, суррогатная система.
Если все знают, что путь документа можно проследить в любой момент времени, что постоянно ведется выборочный контроль деловой переписки, что при совместной работе с информацией четко определены права и обязанности, желание мошенничать быстро сходит на нет. Рекомендуется объяснить сотрудникам, что такого рода контроль преследует своей целью процветание и стабильность фирмы, предупреждение ошибок в работе, формирование "чувства локтя".
По возможности, следует построить профили сотрудников. Для психологического профиля это совокупность показателей, описывающих личностные качества, тип поведения, ценностные приоритеты. Также можно составить профиль работы в информационной системе (порядок работы с приложениями и сетевыми ресурсами, Интернетом). В том случае, если имеется информация о существенном изменении каких-либо параметров поведения сотрудника, есть смысл как минимум побеседовать с ним или обратить на этого человека пристальное внимание. Для того чтобы не возникало возмущения со стороны работников, рекомендуется в один из подписываемых документов вписать пункт с формулировкой, похожей на приведенную (пример взят из книги И. Конеева и А. Белова "Информационная безопасность предприятия"): "Средства вычислительной техники, объекты информационного пространства и сама информационная сеть, включая программное, сетевое, организационное, нормативное обеспечение, являются собственностью организации и переданы сотрудникам организации во временное пользование для выполнения служебных обязанностей".