`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Что делать с нарушителями политик

Статья опубликована в №45 (711) от 15 декабря

+11
голос

Цель этой статьи – описать три основных типа нарушителей политик безопасности и выяснить, каковы причины их действий и какие меры помогут исправить сложившуюся ситуацию.

Как ни странно, но чаще всего сотрудники нарушают политики потому, что ничего о них не знают. В большинстве компаний внутренние правила безопасности создаются почти исключительно ради самого факта их наличия. К тому же документ даже в пару десятков страниц (специализированного сухого текста) никто до конца не дочитает, и уж тем более не запомнит. Если же работник допустил нарушение, не догадываясь об этом, то вина лежит не столько на нем, сколько на отделе информационной безопасности (ИБ). Значит, персонал отдела не провел соответствующего обучения или хотя бы разъяснительных бесед. Ведь запомнить ограничения гораздо легче, когда понятна их суть. Следовательно, если нарушения были сделаны фактически по незнанию, то речь должна идти не о наказании виновных, а лишь о наставлении их «на путь истинный». Извест-но, что чересчур жесткие меры нередко вызывают обратный эффект, а в данном случае сотрудник будет скорее демотивирован. Кроме того, деятельность отдела ИБ в компании не должна ассоциироваться с угрозой наказания, иначе весь коллектив против него просто-напросто ополчится. Основным принципом внедрения политик в «рабочие массы» должна быть помощь и взаимовыгода: «Давайте мы вам поможем выполнять вашу работу безопасно, а вы нам – держать компанию в приемлемых показателях безопасности». И такой подход нужен ко всем аспектам безопасности: физической, коммуникаций, рабочих станций и т. д.

Второй распространенный тип нарушений – по необходимости. Чаще всего они происходят вследствие пересечения интересов отдела ИБ и руководителей других подразделений или даже всей компании. Не всегда формальные политики работоспособны на 100%, иногда они чересчур забюрократизированы (что-то вроде протокола Kerberos: вот вам билетик, по которому вы получите другой билетик...). В этих случаях нередко играет роль вопрос времени, и жизнь, естественно, должна вносить свои коррективы. Понятно, что настаивать на выполнении всех политик без исключения в таком контексте трудно, и противоречия ИБ с бизнесом должны разрешаться на самом высоком уровне. Ведь именно руководство в конечном итоге ведает деятельностью всей компании, и в сложных случаях отдел ИБ вправе переложить ответственность на него. Если же ситуация требует мгновенного разрешения, вполне можно действовать сообразно с предыдущим опытом и интуицией. Однако в дальнейшем ее надо обязательно зафиксировать и предусмотреть стандартный выход. Для этого нужно провести необходимые консультации и согласования, оформить список оснований для понижения уровня безопасности. Важно, чтобы руководство полностью поддержало и утвердило изменения, приняв таким образом все риски на себя. Что же касается наказания нарушителей, то оно, очевидно, должно зависеть от конкретной ситуации и, опять же, согласовываться на верхнем уровне. В любом случае прежде чем выносить вердикт, отдел ИБ обязан удостовериться, что располагает всей информацией. Если какая-то политика нарушается массово или сравнительно регулярно, то скорее всего ее нужно пересмотреть и упростить. При этом сознательные сотрудники гораздо охотнее станут следовать более мягким правилам, чем игнорировать более строгие. Разумеется, у такого подхода тоже есть свои пределы, которые должно устанавливать руководство при содействии отдела ИБ.

Наконец, третий тип нарушений – умышленный, без веских на то оснований. Чаще всего их совершают управленцы среднего звена, достаточно долго работающие в компании, или специалисты, которые являются примером для других. У таких людей сложилось понимание своей значимости для компании, и их поступки нередко являются просто попыткой дополнительного самоутверждения. Очень часто также обычные уговоры и просьбы не оказывают на них должного воздействия, и тогда стоит прибегнуть к формальной практике, заключающейся в подписании специального документа, образец которого приведен во врезке – для многих будет достаточно уже самого ознакомления с ним.

Если же какой-то упрямец рискнет подписать подобный документ, он должен быть готов ко всемерному вниманию со стороны отдела ИБ. Вполне естественно, что регулярное умышленное нарушение политик ИБ требует определенного разбирательства и выяснения причин, вплоть до специальных проверок, протоколирования деятельности (с помощью клавиатурных логгеров и т. п.) – конечно, если все это в компании предусмотрено. Для большего удобства учетную запись нарушителя стоит перенести в самостоятельную организационную единицу в домене – с тем, чтобы применять отдельные групповые политики, особенно это касается аудита. Причем самому нарушителю об этом знать вовсе не обязательно – тем сильнее будет эффект от последующей беседы с начальником службы ИБ, к примеру, о том, какой пункт должностной инструкции он выполнял в такое-то время, написав на сайте «В контакте» что-то вроде «Ленка, привет, классная фотка...». Реакция человека вполне предсказуема, ведь список подобных вопросов может быть достаточно длинным и подробным – согласно статистике, офисный работник, имещий доступ в Интернет, тратит на свои личные нужды примерно 20% рабочего времени. Таким образом, нарушителю уже будет вменяться невыполнение целого ряда политик, которое среди прочего наносит компании и определенный материальный ущерб. Естественно, конечной целью не должны быть эскалация конфликта и тем более возможное увольнение, хотя в исключительном случае собранная информация может быть доведена и до сведения руководства. Оптимальным же результатом должны стать некий «джентльменский договор» и пересмотр нарушителем своего отношения к правилам и политикам в сфере ИБ.

Наконец, последнее замечание по поводу наказаний. Компания не имеет права применять к сотрудникам меры, которые не задокументированы и не были им известны. То есть спектр возможных санкций за любое нарушение политик или стандартов, будь то увольнение, штраф или устный выговор, должен быть оговорен в письменной форме и доведен до всех сотрудников (обязательно под расписку) – среди прочего, это даст им понимание справедливости и ответственности. К сожалению, вышесказанное – большая редкость в отечественных компаниях, где персонал нередко набирается по знакомству или родству и в результате пользуется негласными преференциями или льготами. И всевозможные инциденты далеко не всегда приводят к прекращению подобной практики. Впрочем, пусть это остается на совести конкретных руководителей, мы же говорим о том, как сделать бизнес более защищенным, а значит, и цивилизованным.

Заявление о принятии риска

Заявление о политике или стандарте №_______

(соответствующий номер политики или стандарта, из-за которого возник инцидент)

Касательно положения:______________________

(пункт или тема политики или стандарта)

Я понимаю, что соответствие политике безопасности и стандартам компании ожидается от каждого подразделения, сотрудника, информационной или коммуникационной системы. Я ознакомлен с политикой или стандартом, указанным выше, и уверен, что мера контроля, которая описана в этом стандарте или политике, не должна действовать на: ________________ (название системы, подразделения, должности...), потому как ________________________________________________________ (здесь сотрудник коротко излагает, почему он считает себя исключением из правил).

Более того, я понимаю, что дефицит контроля в одной системе может распространиться на другие, находящиеся в общей сети, так как неверные данные могут быть унаследованы, и вероятность проникновения злоумышленника в системы компании возрастет. Я также осознаю, что мое нежелание следовать политике безопасности может деморализовать и подтолкнуть к ее невыполнению других.

Я понимаю, что нарушение политик безопасности и стандартов может происходить только ради получения компанией дополнительной выгоды от личных достижений и увеличения производительности, которые покроют стоимость самого риска.

Я уверен, что исключение для политики безопасности или стандарта применимо в данном случае потому, что: __________ (здесь следует еще одно краткое размышление о том, как отсутствие конкретного ограничения политики или стандарта поможет сотруднику добиться лучших результатов в работе).

Я полностью беру на себя ответственность за несоблюдение политики безопасности или стандарта. Личная ответственность не означает финансовой ответственности в случае потерь, которые компания может понести из-за таких действий, однако подразумевает, что оценка моей успешности в работе, мой оклад и бонусы, а также занимаемая в компании должность могут быть пересмотрены при возникновении определенных инцидентов.

Я также согласен, что это исключение будет действовать не более чем полгода, после чего должно быть пересмотрено.

Дата, подпись

Фамилия, имя
Должность

+11
голос

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT