О необходимости защищать собственные информационные ресурсы от внутренних угроз говорится уже не один год, и руководство большинства организаций осознало важность построения собственной системы информационной безопасности. Однако многие до сих пор уповают лишь на технические решения, между тем, как справедливо предупреждает легендарный Брюс Шнайер, «если вы думаете, что технология может решить проблемы безопасности, то вы не понимаете ни проблем безопасности, ни технологии».
Популярность современных информационных и коммуникационных технологий обусловлена, в частности, простотой применения, но, с другой стороны, как это ни парадоксально, та же простота применения порождает недостаточно серьезное отношение к последствиям их использования. Поэтому руководителям всех уровней и рангов следует осознать тот факт, что использование современных технологий обработки данных требует соответствующей квалификации от сотрудников. Кроме того, новые технологии несут с собой и новые угрозы, что также требует от всех сотрудников осознанного и ответственного отношения к вопросам информационной безопасности.
Недавно аналитическим центром InfoWatch был опубликован очередной обзор «Глобальное исследование утечек 2008», в котором отмечалось, что количество намеренных и случайных утечек разделилось примерно поровну, а основными каналами утечек стали мобильные устройства. Подавляющее большинство утечек (97%) приходится на персональные данные. По большей части это связано с беспечностью сотрудников и их пренебрежительным отношением к правилам, прописанным в политиках информационной безопасности. Во многих организациях, в которых данный документ был разработан и принят, зачастую отсутствует контроль исполнения указанных в нем требований.
Борьба с внутренними угрозами должна войти в число приоритетных направлений деятельности предприятий и организаций различного уровня и масштаба, и особую важность данному вопросу в нашей стране придает тот факт, что 1 января 2010 года все информационные системы персональных данных должны быть приведены в соответствие с требованиями закона «О персональных данных». Для выполнения этих требований необходимо сосредоточить усилия в первую очередь на организационных мерах.
К сожалению, многие руководители до сих пор считают, что стоит закупить, установить и настроить то или иное программно-техническое решение, как все проблемы с защитой внутренних информационных ресурсов, в том числе от утечек, будут раз и навсегда решены. Разумеется, при обработке данных в автоматизированных системах без использования программных и аппаратных решений по безопасности не обойтись, но никакие программные и технические средства не смогут защитить данные от сотрудника, имеющего санкционированный доступ к ресурсам.
Ошибки персонала могут обойтись дороже, чем спланированные действия целой группы злоумышленников, однако в качестве оправдания незнания, неумения и нежелания сотрудника грамотно использовать предоставленные в его распоряжение средства во многих случаях указывают на то, что исполняемые им обязанности никак не связаны с ИТ и за все, мол, должны отвечать сотрудники ИТ-отделов. Никому не приходит в голову оспаривать необходимость обучения в автошколе и сдачи экзаменов для получения водительского удостоверения на управление транспортными средствами. К сожалению, в области использования информационных технологий такой практики не существует, и каждой организации приходится самостоятельно решать эти вопросы.
Построение полноценной системы информационной безопасности невозможно без грамотной кадровой политики – уже с момента приема сотрудника на работу следует: составить перечень информационных ресурсов, к которым будет иметь доступ сотрудник для выполнения своих служебных обязанностей; определить уровень конфиденциальности ресурсов и необходимые меры по обеспечению безопасности при работе с ними; описать принятые решения в политиках информационной безопасности и разработать на их основе должностные инструкции и правила внутреннего распорядка, в которых четко и конкретно указать порядок выполнения требований политик, а также дисциплинарные меры, которые будут применены к нарушителям этих требований; сформулировать требования к уровню знаний и навыков сотрудников в области информационной безопасности, соответствующих занимаемой должности.
Проведение перечисленных мероприятий может потребовать пересмотра текущей формы трудового договора, служебных обязанностей сотрудников и других внутренних организационно-распорядительных документов. Дополнительно потребуется формализовать процедуру проверки наличия у кандидатов на вакантные должности необходимых знаний и навыков и обучить сотрудников службы по работе с персоналом грамотно осуществлять такую процедуру, чтобы избежать приема на работу низкоквалифицированных или неквалифицированных работников. Это является важнейшим и, вероятно, наиболее сложным элементом на данном этапе.
При реализации процедуры проверки знаний и навыков в области информационной безопасности следует опираться на общепризнанные документы, подтверждающие квалификацию кандидата на вакантную должность, например, на сертификат European Computer Driving License (EDCL). Но и это лишь часть проблемы – на протяжении всего периода работы сотрудника его необходимо обучать правилам безопасного использования ИТ.
Итак, основную опасность для сохранности информации представляет неграмотный и низкоквалифицированный сотрудник.
Виталий Иванов (VIvanov@it.ru) – ведущий преподаватель «Академии АйТи» (Москва).