Сетевая бюрократия: разработка пакета регламентирующих документов

Содержание:
1. Шаг первый – создание службы безопасности (Вы читаете данный раздел);
2. Шаг второй – разработка положения о коммерческой тайне;
3. Шаг третий – положение о защите информации;
4. Заключение.

---

Любой администратор сети или it-специалист, отвечающий за вопросы безопасности, рано или поздно сталкивается с организационными проблемами – разработкой нормативных документов, правил и запретов для пользователей. многие специалисты не придают этой стороне вопроса должного внимания, сосредотачиваясь на технических аспектах защиты. однако грамотная подготовка необходимых внутрикорпоративных документов и положений в ряде случаев снимает массу конфликтных ситуаций и существенно облегчает деятельность администраторов и it-специалистов.


Статистика показывает, что количество инцидентов растет год от года, и в них весьма значительной является роль пользователя - по статистике автора 41% всех инцидентов в явном виде связаны с умышленной или неумышленной деятельностью пользователя, причем в большинстве случаев проблема может быть решена за счет его обучения и создания правил и инструкций, регламентирующих его деятельность.


Итак, первый шаг нашего алгоритма – это создание службы безопасности.


Обычно подобная служба называется «служба экономической и информационной безопасности» и в ее штате соответственно предусмотрена должность «специалист по защите информации». В крупных фирмах подобные службы в большинстве случаев существуют, в небольших – нет. Но подобную службу всегда можно организовать (по крайне мере, на бумаге) и ввести в ее штат представителей IT-отдела – обычно, администраторов. В зависимости от ситуации это можно сделать несколькими способами:

• В штат существующей службы безопасности вводятся 1-2 сотрудника IT- подразделения в качестве совместителей. Это идеальное решение, реализованное, к примеру, в ОАО Смоленскэнерго.
• Реально или формально создается служба и в нее включаются IT- специалисты, отвечающие за безопасность и защиту информации.
• Служба безопасности не создается, но издается приказ о том, что указанным IT-сотрудникам официально вменяется в обязанность обеспечение информационной безопасности.

Возникает резонный вопрос – для чего нужна эта бюрократия, если определенные специалисты «де-факто» и так выполняют работы по защите сети и компьютеров? Ответ прост – специалист службы безопасности по должностной инструкции имеет право проводить инспекции и служебные расследования по фактам обнаруженных нарушений, проводить дознание, требовать написание объяснительных записок, осуществлять разработку нормативных документов в области безопасности и осуществлять контроль их исполнения. Обычно же, с точки зрения должностной инструкции администратор по штатному расписанию числится как «инженер-программист» и не имеет права выполнять большинство из перечисленных действий. Как следствие, он не имеет права давать поручения другим сотрудникам или требовать от них что-либо – он может только апеллировать к вышестоящему руководству, что существенно замедляет и усложняет многие мероприятия.

После создания службы безопасности и введения в ее штат IT-специалистов должен быть издан приказ, подписанный генеральным директором и доведенный до всех сотрудников. В этом приказе необходимо указать, что:

• С такого–то числа в фирме создана служба безопасности, и в частности сотрудники назначены специалистами по защите информации;
• Указанным специалистам вменяется в обязанность обеспечивать безопасность компьютерной сети, разрабатывать нормативные документы, проводить инспекции, учения и служебные расследования по факту нарушений;
• Сотрудники фирмы обязаны по первому требованию предоставлять средства вычислительной техники для инспекции, настройки или иных технических мероприятий, производимых указанными сотрудниками.

Издание подобного приказа уже решает ряд проблем. Рассмотрим реальную ситуацию. Администратор сети обнаруживает распространение сетевого червя, идущее с компьютера бухгалтера К. Бухгалтер отказывается предоставить компьютер для лечения, мотивируя это подготовкой срочных отчетов. В данной ситуации обычный администратор сети не имеет права требовать что-либо – он может обратиться к своему руководству, оно, в свою очередь, обратится к руководству бухгалтерии, будет проведено обсуждение надобности и срочности выполнения данной операции, согласование и так далее… В результате работа по ремонту компьютера рано или поздно будет выполнена, но к этому времени эпидемия распространится по всей сети.