Сетевая бюрократия: положение о защите информации
1. Шаг первый – создание службы безопасности;
2. Шаг второй – разработка положения о коммерческой тайне;
3.
4. Заключение.
Разработка данного документа должна производиться IТ-специалистами совместно со специалистами службы безопасности. Этот документ регламентирует порядок работы пользователей в корпоративной сети, устанавливает их права, обязанности и ответственность. Положение о защите информации обязательно должно опираться на положение о коммерческой тайне. Типовое положение о защите информации состоит из пяти частей:
• Общие положения. В нем описывается назначение документа, расшифровываются специальные термины;
• Требования программистам, выполняющим разработку и внедрение программного обеспечения. Данный пункт имеет смысл только в том случае, если фирма разрабатывает ПО для своих нужд, однако ввести его в положение стоит в любом случае. Данный раздел регламентирует взаимоотношения разработчиков ПО и администраторов, а также описывает требования к программному обеспечению с точки зрения политики информационной безопасности;
• Требования к ПО сторонних разработчиков. Данный раздел аналогичен предыдущему, но основной упор в нем делается на порядок экспертизы ПО, его тестирования и внедрения. В данном разделе должно указываться, кто именно проводит экспертизу (обычно ее выполняют специалисты по защите информации) и в какие сроки она производится;
• Свод правил и обязанностей пользователей по обеспечению режима информационной безопасности при эксплуатации средств вычислительной техники, средств сетевых коммуникаций и программного обеспечения. Это самый важный раздел положения, он, в свою очередь, может состоять из двух подразделов:
- Обязанности пользователей;
- Запреты и правила. Этот подраздел следует проработать особо тщательно, перечислив в нем все действия и программы, которые запрещены для пользователя;
• Порядок и последовательность действий должностных лиц в случае обнаружения нарушения режима информационной безопасности. В идеале это пошаговый алгоритм с набором действий на случай возникновения нештатных ситуаций. В этом же разделе описывается порядок отключения пользователя от предоставленных ему ресурсов сети в случае нарушений, изъятия компьютера для анализа, ведения служебного расследования и наказания за нарушения.
После разработки положение должно быть утверждено генеральным директором и доведено до всех пользователей под роспись.
В положении о защите информации в обязательном порядке следует оговорить правила работы с электронной почтой и Интернет. В идеале формулировка имеет вид «Интернет, электронная почта и иные ресурсы ЛВС предназначены исключительно для решения задач производственного характера». Наличие данного пункта позволяет администратору устанавливать фильтры на почту и Интернет, контролировать при необходимости трафик пользователя и официально наказывать за злоупотребления. Кроме того, в запретительной части рекомендуется отметить, что запрещается:
• Отключать антивирусные программы и иные средства защиты, препятствовать их работе или изменять настройки;
• Подключать к компьютеру постороннее оборудование (в частности модемы и сотовые телефоны), а так же запрещается подключать к локальной сети посторонние компьютеры;
• Устанавливать и использовать средства администрирования и мониторинга сети, в частности снифферы, сканеры, искатели уязвимостей, а также прокси-серверы, почтовые серверы и серверы баз данных, системы удаленного управления и администрирования.
Практическая ценность данного документа очень велика. Без него администраторы в глазах пользователя часто выглядят самодурами и тиранами, которые по только им ведомым причинам закрывают сайты, блокируют почтовые рассылки и чаты, запрещают установку того или иного программного обеспечения или урезают права пользователя.
Пример 1. Один из недавно принятых на работу программистов загружает и запускает сканер сетевой безопасности XSpider и применяет его с максимальными настройками к корпоративному WEB-серверу. Реакция сервера на запросы замедляется, администраторы фиксируют факт атаки и принимают экстренные меры. После обнаружения источника проблемы программист объясняет, что решил сделать это для самообразования и не знал, что выполнять подобные операции в сети нельзя. Причина: отсутствие положения о защите информации – пользователь сети не знает о том, какие операции допустимы или недопустимы, и как следствие его невозможно наказать.
Пример 2. Администраторы отключают пользователя X от Интернет. В ответ пользователь подключает к компьютеру свой сотовый телефон и выходит в Интернет напрямую. В результате на его компьютер проникает вирус, и в сети начинается эпидемия. Причина возникновения подобного инцидента аналогична предыдущей – отсутствует документ, запрещающий подобные операции, и поэтому пользователя невозможно наказать за создание в сети эпидемии вируса.
