На одной из встреч, которую я проводил с сотрудниками информационной службы, речь зашла о нашествии компьютерных вирусов, которые терзали нашу организацию на протяжении последних месяцев. Ничего не подозревающие пользователи, проявляя непростительную беспечность, раз за разом открывали присоединенные к электронным письмам файлы, которые зачастую поступали из источников, не внушающих доверия, и запускали деструктивный код в нашу сеть.

К моему немалому удивлению, один из работников спросил: «А откуда я и другие можем знать, файлы каких типов открывать не следует?» При этих словах я просто застыл в изумлении. Ведь у нас уже давно разработана программа обучения и политики безопасности, регламентирующие порядок использования информационных ресурсов.

Тут все посмотрели на меня широко открытыми глазами. Ни один из присутствовавших за столом — а здесь были как ветераны, так и новички — ни разу не принимал участие в обсуждении вопросов безопасности и не имел никакого понятия о политиках, над определениями которых я так упорно трудился. А ведь политики были опубликованы в сети intranet еще полгода тому назад и предполагалось, что соответствующая информация доведена до каждого сотрудника.

Кроме того, я передавал в кадровую службу экземпляр политик безопасности и презентацию в формате PowerPoint, которой можно было воспользоваться для наглядного объяснения основных положений утвержденных политик. Во время ознакомительной беседы кадровики должны были демонстрировать новичкам соответствующее слайд-шоу.

Что же произошло? К сожалению, у нас не было процедуры, которая гарантировала бы изучение сотрудниками политик, и механизма сбора подписей, подтверждающих, что работники прочитали все необходимые документы и поняли их содержание.

Помимо создания презентации для вновь принятых на работу, мои подчиненные разослали всем сотрудникам электронные письма со ссылкой на Web-страницу, на которой были опубликованы все политики, процедуры и руководства, регламентирующие вопросы безопасности. Но на этой странице побывали всего 560 человек из более чем 6000.

Тогда мы запланировали встречу с представителями кадровой службы. Беседовавшую со мной сотрудницу я видел в первый раз. Тот же сотрудник, с которым приходилось иметь дело ранее, уже успел покинуть компанию. Мне было сказано, что кадровой службе известно о существовании презентации, но никто не думал, что именно представители отдела кадров должны заниматься ее демонстрацией. И вообще, встретившаяся со мной сотрудница специализируется на вопросах, связанных с заработной платой и премиями. Впрочем, она пообещала ознакомиться с материалами и организовать их представление.

Понятно, что сотруднице не объяснили всю важность этого мероприятия. Поэтому я рассказал ей о недавнем нашествии вируса, на устранение последствий которого ушло несчетное число рабочих человеко-часов, не говоря уже о массе сил и нервов, потраченных специалистами информационной службы.

Как выяснилось, сотрудница кадровой службы даже помнила, как кто-то предлагал ей удалить вирус из ее компьютера, но она не думала, что данная проблема носит столь масштабный характер.

Конечно, вирусного заражения можно было бы и избежать, если бы пользователи читали политики безопасности и выполняли их требования.

Также я напомнил об инциденте с сотрудником, который был уволен за то, что занимался распространением детской порнографии при помощи средств корпоративной сети. Если бы этого человека своевременно ознакомили с правилами использования технических ресурсов компании и ему было известно, что при желании за его поведением можно проследить, наверное, он дважды подумал бы, прежде чем начинать заниматься на рабочем месте запрещенной и противоправной деятельностью.

Наши дальнейшие действия

В конечном итоге для того, чтобы поставить все под контроль, я согласился принять участие в программе приема на работу новых сотрудников и взять на себя организацию презентации по вопросам безопасности, до тех пор пока отдел кадров не почувствует в себе силы проводить ее самостоятельно. С учетом того что в последнее время мы серьезно страдали от вирусного нашествия, я решил потратить несколько дней на просмотр и редактирование слайдов с целью включения в них дополнительной информации о деструктивном коде. После этого было проведено первое ориентировочное занятие. Не удивительно, что большинство вопросов касалось функционирования электронной почты и обработки подозрительных присоединенных файлов. Кроме того, я разослал сообщения, содержащие ссылку на Web-сайт нашей информационной службы и контактную информацию членов группы обеспечения безопасности.

Я еще раз подчеркнул, что каждый сотрудник обязан периодически просматривать сеть intranet компании и знакомиться с новой информацией, а также изучать политики и руководства. Выполняя требования политик, сотрудники способны помочь компании идентифицировать подозрительные действия и предотвратить тем самым попадание вредоносного кода в сеть.

Впрочем, всего этого недостаточно. Возможно, имеет смысл организовать еще несколько неформальных встреч и попросить сотрудников кадровой службы разослать работникам электронные письма с указанием важности понимания и соблюдения политик безопасности. Кроме того, сейчас я изучаю возможность развертывания новых инструментов, которые помогут обеспечить более четкое выполнение требований политики безопасности.

Мы ощущаем потребность в приложениях на основе Web-технологий, позволяющих проследить за тем, сколько сотрудников уже ознакомились с политиками и внимательно прочитали все пункты, связанные с непосредственным выполнением ими своих служебных обязанностей. В зависимости от конкретных задач некоторые политики применяются чаще других. К примеру, сотруднику отдела маркетинга совсем не обязательно понимать политику удаленного доступа к ОС Unix.

Пропагандистская работа со стороны поставщиков сегодня ведется достаточно активно. Но нам хотелось бы услышать и мнение грамотных пользователей. Если вы имеете опыт работы с подобными приложениями, пишите нам на cio@osp.ru. Что вы думаете по этому поводу? Эта заметка написана реально существующим менеджером по безопасности, имя которого изменено, а работодатель не указан по понятным соображениям конфиденциальности.


Mathias Thurman. Security Policies? What Security Policies? Computerworld (USA), November 24, 2003.