Сегодня необходимо, чтобы все сотрудники компаний соблюдали и изучали правила использования информационных ресурсов. Служба информационной безопасности имеет право вести мониторинг действий любого служащего
Обеденный перерыв. Разговор за столом на ничего не значащие темы. И вдруг кто-то из сидевших рядом со мной сотрудников ИТ-отдела посетовал на то, что за последние несколько месяцев просто житья не стало от различных вирусов, буквально обрушившихся на нашу компанию. В ответ я заметил, что слишком часто ничего не подозревающие сотрудники открывают файл, присоединенный к сообщению электронной почты, полученной от неизвестного адресата, и тем самым запускают вредоносный код в нашу сеть.
Что имеем
К моему глубочайшему удивлению, один из моих сотрапезников спросил: «Откуда я и мои коллеги можем знать, что открывать какие-то виды присоединенных файлов нельзя?» Я буквально опешил, но объяснил, что у нас есть специальная программа и правила, которые должен знать любой сотрудник, получающий доступ к ИТ-ресурсам компании.
Они смотрели на меня ничего не понимающими глазами. Никто из сидевших за столом, а здесь были и старые сотрудники, и новички, никогда не видел ни описания политики защиты, ни опубликованных правил безопасности, на разработку которых лично я потратил столько сил. Эти правила появились в нашей корпоративной сети полгода назад, и предполагалось, что их в обязательном порядке изучат все сотрудники компании.
Кроме того, я передал в отдел кадров копию правил безопасности и презентацию в формате PowerPoint, которую можно было бы использовать для инструктажа новых сотрудников. Предполагалось, что представители отдела кадров с помощью слайд-шоу смогут ознакомить с этими правилами всех новичков во время подготовительного тренинга.
Что произошло в действительности? Во-первых, к сожалению, у нас отсутствовала процедура, которая требовала бы, чтобы каждый новый сотрудник изучил правила соблюдения информационной безопасности и подписал документ, что с ними ознакомлен.
Помимо разработки презентации для новичков, мой отдел разослал всем служащим компании по электронной почте несколько сообщений. В них приводилась ссылка на Web-страницу, посвященную защите информации, где опубликованы правила информационной безопасности при работе в компании, процедуры и основные принципы. Эту страницу в итоге посетили лишь 560 человек из более чем 6000 сотрудников.
Но на этом я не остановился и договорился о встрече с представителем отдела кадров. Женщина, с которой я беседовал, недавно пришла в нашу компанию. Человек, с которым я разговаривал раньше, уже уволился. Она сказала, что видела презентацию, посвященную правилам безопасности при работе с ИТ-ресурсами, но не знала, что должна ее использовать. Она сказала, что ее основной задачей является решение вопросов о зарплате и льготах.
Тем не менее я получил обещание, что предложенные материалы будут изучены и все новые сотрудники будут с ними ознакомлены.
Действительно, ей никто не объяснил, насколько это может быть важно. Поэтому я рассказал о том, что из-за последних вирусов нам пришлось потратить бессчетное количество человеко-часов на устранение последствий таких атак, и о том, сколько неприятностей это принесло ИТ-отделу.
В ответ сотрудница отдела кадров вспомнила, что действительно кто-то просил ее выделить время на то, чтобы очистить ее рабочую станцию от вирусов, но она представления не имела о масштабах проблемы. Я объяснил ей, что последствия недавней вирусной атаки можно было минимизировать или вообще ее избежать, если бы пользователи изучили правила безопасности и следовали им.
Я также вспомнил о том, как один из сотрудников компании недавно был уволен за то, что использовал ИТ-ресурсы компании для распространения порнографии. Если бы этот сотрудник знал о правилах использования ресурсов и о том, что мы имеем право вести мониторинг действий любого служащего компании, то, возможно, он не стал бы заниматься недопустимой деятельностью в рабочее время.
Дальнейшие действия
В конце нашей беседы я согласился принять участие в подготовке программы тренинга для новых сотрудников и разработать еще одну презентацию, посвященную вопросам безопасности, сделав ее максимально удобной и понятной для сотрудников отдела кадров.
Я считаю, что каждый сотрудник компании обязан периодически просматривать intranet в поисках новой информации, изучить правила и принципы организации защиты данных. В отделе кадров я объяснил, что, выполняя эти правила, сотрудники помогут компании выявить подозрительную деятельность и предотвратить проникновение вредоносного кода в сеть.
Но это еще не все. Я намерен провести серию неформальных бесед и попросить отдел кадров разослать по электронной почте сообщения, подчеркивающие необходимость соблюдать и изучать правила безопасности. И сейчас я занимаюсь поисками новых инструментов, которые помогут в распространении информации об этих правилах.
Мне нужно Web-приложение, способное проверять, какие сотрудники изучили правила и прочитали ли они все сведения, которые касаются выполнения их служебных обязанностей. В зависимости от того, чем занимается сотрудник, одни правила для него важнее, чем другие. Например, представителю отдела маркетинга необязательно знать о правилах, касающихся удаленного доступа к Unix-серверам.
На самом деле эту статью написал менеджер по информационной безопасности одной из американских компаний. Матиас Турман — это псевдоним, поскольку по очевидным соображениям он не хотел упоминать ни своего имени, ни названия своей компании. Но вы можете связаться с ним по адресу mathias_thurman@yahoo.com