Политика «Нового сотрудника» или контроль деятельности пользователей в ЛВС

Для специалистов в области информационной безопасности давно уже не секрет, что одной из основных угроз для бизнеса являются инсайдеры, ущерб от деятельности которых может быть достаточно большим.

Представим совершенно обычную для большинства компаний ситуацию наем бухгалтера, экономиста, менеджера по проектам, программиста 1С или WEB разработчика, каждый из них будет иметь доступ к определенной информации, непреднамеренное  разглашение которой или ее утечка может повлечь финансовые или репутационные потери для компании.  

Бизнес, борется с инсайдерами различными средствами, начиная от простого блокирования доступа к съемным носителям средствами ОС (операционной системы), перлюстрации почты, ограничения доступа к ресурсам интернета и заканчивая проверками ключевых сотрудников  на полиграфе, как при найме на работу, так и периодически в процессе работы.

Итак, вы лицо ответственное за информационную безопасность в компании, перед которым поставили или в скором будущем поставят задачу по снижению вероятности ущерба от деятельности инсайдеров.

Начните свою деятельность на этом поприще с контроля «новых» (нанимаемых) сотрудников. Для этого, необходимо заручится поддержкой руководства, донести до руководства свою мысль вы можете в виде служебной записки. Далее, вам необходимо найти взаимопонимание с руководителями отдела Кадров (сделать это важно, поскольку отдел Кадров первоисточник всех сведений относительно сотрудников в компании) и отдела ИТ (необходимо распределить обязанности между ИТ и ИБ подразделениями по управлению и обслуживанию ПО), а так же со всеми руководителями остальных подразделений  в компании (поскольку вы не можете подробно знать, кто и что выполняет в настоящий момент времени в компании, то целесообразно определить круг лиц который вам в этом будет помогать при решении возникающих вопросов), что в принципе не трудно имея за плечами поддержку руководства.

Дальнейшая ваша деятельность будет носить постоянный характер. Для организации политики «нового сотрудника» вам необходимо получать информацию следующего характера:

• от отдела Кадров: кто, на какую должность, в какое подразделение, и с какого числа выходит работать
• от отдела ИТ: имя учетной записи «нового сотрудника», ip-адрес ПК на котором «новый сотрудник» будет работать
• от структурного подразделения, в котором «новый сотрудник» будет работать: перечень данных к которым ему будет предоставлен доступ, список задач на испытательный срок.

Вышеперечисленные действия, позволят вам очертить круг деятельности, информационные активы и сервисы, необходимые «новому сотруднику», для выполнения своих должностных обязанностей.

Далее вам необходимо разработать схему взаимодействия между вами и вышеупомянутыми подразделениями и утвердить ее официально (приказом, распоряжением и т.д.). В схеме взаимодействия должен быть описан:

• порядок взаимодействия между вами и вышеупомянутыми подразделениями
• обязанности каждого из участников
• последовательность действий по анализу деятельности «нового сотрудника»
• ответственного (группу ответственных) за этот анализ (служба безопасности компании, непосредственный руководитель и т.д.)
• способ фиксации инцидентов ИБ     

На следующем этапе, необходимо реализовать разработанную политику технически. Для этого, целесообразно использовать ПО класса SpyWare, которое так же называют ПО контроля деятельности пользователя на ПК. На рынке в настоящее время много, как клиент-серверных, так и автономных решений, данного класса,  на пример это ПО Spector 360, Staff Cop, Y3K, Agent Spy, Ghost Spy и т.п.

Обладая информацией об IP-адресе ПК и имени учетной записи «нового сотрудника», вам всего лишь останется установить ПО и настроить контроль основных каналов утечки информации, как правило, это контроль:

• Доступа в Интернет
• Отправки почтовых сообщений
• Копирования информации на съемные носители и локальные диски.
• Сетевого доступа
• Операций с файлами (архивирование, переименование)
• Печати документов

Немаловажно будет объяснить политику «нового сотрудника» самому сотруднику и получить от него письменное согласие.

Все вышесказанное имеет следующие плюсы: эффективность, простота в реализации, низкая стоимость (сопоставимая с внедрением антивирусного ПО).

Однако есть и минусы. Политика «нового сотрудника» сама по себе, может негативно повлиять на отношение сотрудников к компании, к подразделению обеспечивающему ИБ, и к вам в частности, как к идеологу всей затеи,  поэтому,  так как политика «нового сотрудника» является «контролирующей», то целесообразно, чтобы в компании имелись работающие «регламентирующие» политики такие, как политика использования корпоративной электронной почты, политика использования Интернета  и т.д.

30-07-2010  | Permalink |  Comments (0)