Работа по обеспечению безопасности требует в первую очередь взвешенных управленческих действий в различных направлениях, согласованных по времени, продолжительности и объему затрат ресурсов. Чтобы такая деятельность была целеустремленным движением вперед, а не представляла собой хаотические порывы без смысла и понятной цели, необходим общий фундамент. Важно преподнести работу по повышению безопасности не как личный произвол начальника, вызванный внезапным "озарением", а как обоснованные и направленные действия на основе четко проработанной нормативной базы. Начальственный произвол от нормальной управленческой деятельности отличается тем, что первый основывается на волевом решении руководителя, а вторая имеет в качестве базы определенный свод правил, по которым живут все без исключения сотрудники и руководители организации. Создание системы безопасности или даже попытки повлиять на ее развитие требуют минимальных знаний о сути обсуждаемых вопросов. Эта область деятельности сама по себе очень логична и структурирована, поэтому при усвоении базовых принципов ориентироваться в проблеме вам будет гораздо проще. Рассмотрим основу основ системы безопасности - ее нормативную базу, а по ходу изложения приведем примеры, которые пояснят суть некоторых вопросов, непосредственно касающихся работы с персоналом.
Нормативная база должна быть представлена пакетом из нескольких основных документов. Взгляды на этот счет у различных авторов различаются. Как первоочередные чаще всего упоминаются следующие документы.
Концепция безопасности, описывающая общие принципы и подходы к организации системы безопасности. Этот документ должен быть основательно проработан и обязательно утвержден руководством организации.
Стандарты безопасности, в которых разъясняются основные понятия, определения, термины, строятся модели систем организации, дается набор признаков и показателей безопасного состояния объектов и систем. Например, транспортное средство обеспечивает безопасную перевозку грузов, если эксплуатируется в соответствии с рядом требований, в соответствующем порядке проходит техобслуживание и имеет свидетельство о прохождении техосмотра. Подобные описания должны быть составлены для основных объектов и подсистем организации.
Процедуры безопасности. В этом документе указывается, что следует делать в данной организации для того, чтобы уровень информационной безопасности соответствовал определенному принятому стандарту.
Методы безопасности. Этим понятием обозначают документы для конечных пользователей и рядовых сотрудников, подробные инструкции к действиям. Например, инструкцию по резервному копированию личных данных в выделенную для каждого сотрудника папку на сервере.
Аварийный план. Документ, который описывает действия в случае нанесения какого-либо существенного ущерба организации, а также действия по восстановлению ее нормальной деятельности. Подробно и развернуто суть этого понятия описывается в специальной литературе и статьях по обеспечению непрерывности бизнеса. Если попытаться изложить смысл этого понятия упрощенно, то в аварийном плане должен быть представлен подробный ответ на вопрос: "Что делать, если...". Например, что делать, если вышла из строя офисная мини-АТС? Что делать, если случился пожар? Кто отвечает за восстановление работоспособности локальной сети и какими именно ресурсами обеспечен этот сотрудник? В качестве примера можно привести одну из российских компаний. В результате пожара ее помещения выгорели полностью, но спустя несколько дней работа возобновилась, причем в нормальном режиме. Мало того, этот случай стал своеобразной рекламой самой фирме, показав надежность ее работы партнерам и заказчикам.
Остановимся более подробно на концепции безопасности. Если описать ее суть коротко, то она определяет следующие моменты:
Целью обеспечения безопасности может быть, например, обеспечение устойчивого круглосуточного сервиса для пользователей услугами компании, а задачей - учет ресурсов компании, позволяющих достичь этой цели, внедрение технологий гибкого управления этими ресурсами.
К объектам защиты относят:
Обратите внимание на выделенные пункты. К защищаемым объектам относят информацию в различном виде, средства ее обработки, а также саму систему защиты. Далее исходя из фактора уязвимости, степени возможного ущерба и важности все объекты, в отношении которых могут быть осуществлены угрозы безопасности (посягательства физических или юридических лиц, стихийные бедствия), должны быть разделены по уровням уязвимости и степени риска. Также необходимо описать угрозы и их источники, соответствующие объектам.
Например, для фермерского хозяйства объектом защиты будут посевы, а источниками угрозы - климатические отклонения и их проявления (засуха, паводок). Для промышленной компании это, скорее, оборудование, дорогостоящее сырье, продукция на стадии транспортировки, а источники угрозы - криминальные группировки, политическая нестабильность в стране, поставляющей редкое сырье, и т.д.
Для банка уязвимость могут представлять финансовые средства (особенно в процессе транспортировки), информационные ресурсы и люди, занимающие руководящие должности, как объекты посягательств со стороны злоумышленников.
Вообще, к источникам угроз может относиться все, начиная от падения покупательской способности до эпидемии гриппа в офисе.
В статье Анатолия Брединского "Концепция безопасности коммерческого банка" приводится список угроз для сотрудников банка:
Финансовой деятельности организации могут угрожать:
Для информационной безопасности представляют угрозу:
Зданиям, сооружениям, имуществу организации могут угрожать:
Набор "фирменных" источников угроз для каждого предприятия уникален.
Чем защищается организация?
Здесь нужно определить меры обеспечения требуемого уровня безопасности, например:
1. Правовые.
2. Организационные (административные).
3. Инженерно-технические и программно-технические.
Любые действия, в том числе по собственной защите, ведутся в правовом поле. Далее, на административном уровне, определяется, что будет защищаться и каким именно образом. Технические меры принимаются уже на последнем этапе и на основании правовой базы, определения угроз и их источников, объектов защиты, политики безопасности организации.
Бытует мнение, что этим занимается исключительно соответствующая служба. Отчасти, конечно, это так. Но выше мы привели список угроз, в который входит масса явлений, находящихся в компетенции различных специалистов. Кроме того, есть вероятность появления новых угроз, ранее не предусмотренных. Специалист по безопасности не волшебник и во всех вопросах ориентироваться не может, поэтому не стоит ждать от него чуда. Наоборот, необходимо помочь ему силами всего коллектива. Решение целого ряда рутинных вопросов в своих узких областях могут взять на себя сотрудники и начальники отделов. Это целесообразно по следующим причинам:
Роль службы безопасности во взаимодействии с персоналом заключается в том, что она обеспечивает общее регулирование деятельности в своем направлении, консультирует и обучает персонал определенной системе работы, а также контролирует выполнение положений и требований внутренней нормативной базы.
Отсюда вытекает необходимость интегрирования правил безопасной работы в описание процедур, регламенты, правила внутреннего распорядка, должностные обязанности и т.д.
Например, инструкции PR-менеджера могут содержать:
В пакете документов, определяющих работу отдела автоматизации, могут быть документы, описывающие:
Безусловно, достаточно стабильная работа по защите компании возможна только тогда, когда есть структура, которая эту работу обеспечивает. Практика показывает, что до того момента, пока такая структура или группа ответственных сотрудников не создана, все работы по обеспечению безопасности неизбежно заканчиваются на этапе обследования текущей ситуации.
В том случае, когда нет возможности обеспечить выделение нескольких сотрудников для нужд безопасности, можно создать рабочую группу из наиболее компетентных в своих областях штатных сотрудников других отделов.
Возможно, им потребуется пройти отдельное обучение или хотя бы прослушать краткий курс, чтобы ориентироваться в вопросах безопасности. Каждый из них будет курировать вопросы, относящиеся к его кругу обязанностей, под общим руководством и контролем единственного сотрудника службы безопасности.
Как и любая деятельность, работа по созданию, развитию и поддержке системы безопасности требует планирования и выделения средств. Это условие самое важное. Если оно не соблюдается, об эффективной службе и системе безопасности можно забыть. Все приложенные усилия окажутся простой тратой денег и времени. Что касается человеческого фактора, то при распределении обязанностей между сотрудниками стоит придерживаться определенных правил и "не складывать все яйца в одну корзину". Например, администратор сети не может и не должен выполнять обязанности администратора безопасности. Причины просты, но редко принимаются в расчет руководителями.
Причина первая. У администратора сети и администратора безопасности противоположные задачи. Задача одного - обеспечить комфортную и прозрачную среду для работы и предоставить все необходимые сервисы пользователям. Задача второго - ограничить доступ к сети так, чтобы пользователи не имели доступа к ресурсам, которые им не нужны для выполнения производственных обязанностей.
Причина вторая. Вспомните известное изречение: "Кто будет сторожить сторожей?". В самом деле в организации системный администратор - царь и бог всех электронных ресурсов. Реально он имеет доступ ко всем ресурсам сети и всей информации. Контролировать его действия руководству практически невозможно.