Мережева бюрократія: розробка пакету регламентуючих документів

Будь-адміністратор мережі або it-фахівець, який відповідає за питання безпеки, рано чи пізно стикається з організаційними проблемами - розробкою нормативних документів, правил і заборон для користувачів. багато фахівців не надають цій стороні питання належної уваги, зосереджуючись на технічних аспектах захисту. проте грамотна підготовка необхідних внутрішньокорпоративних документів і положень в ряді випадків знімає масу конфліктних ситуацій і істотно полегшує діяльність адміністраторів і it-фахівців.


Статистика показує, що кількість інцидентів зростає рік від року, і в них досить значною є роль користувача - за статистикою автора 41% всіх інцидентів в явному вигляді пов`язані з умисним або ненавмисної діяльністю користувача, причому в більшості випадків проблема може бути вирішена за рахунок його навчання і створення правил та інструкцій, що регламентують його діяльність.

Відео: 24, КЛОПОТАННЯ ЗАЯВА про надання БАНКОМ документів, які є невід`ємною частиною

Отже, перший крок нашого алгоритму - це створення служби безпеки.

Відео: NormaCS. Система стандартизації ЕСКД. Частина 11. ГОСТ 2.601-2013. ЕСКД. експлуатаційні документи

Зазвичай подібна служба називається «служба економічної та інформаційної безпеки» і в її штаті відповідно передбачена посада «фахівець із захисту інформації». У великих фірмах подібні служби в більшості випадків існують, в невеликих - немає. Але подібну службу завжди можна організувати (принаймні, на папері) і ввести в її штат представників IT-відділу - зазвичай, адміністраторів. Залежно від ситуації це можна зробити декількома способами:

• У штат існуючої служби безпеки вводяться 1-2 співробітника IT- підрозділу в якості сумісників. Це ідеальне рішення, реалізоване, наприклад, в ВАТ Смоленськенерго.
• Реально або формально створюється служба і в неї включаються IT- фахівці, що відповідають за безпеку і захист інформації.
• Служба безпеки не створюється, але видається наказ про те, що зазначеним IT-співробітникам офіційно ставиться в обов`язок забезпечення інформаційної безпеки.

Виникає резонне питання - для чого потрібна ця бюрократія, якщо певні фахівці «де-факто» і так виконують роботи із захисту мережі та комп`ютерів? Відповідь проста - фахівець служби безпеки по посадовій інструкції має право проводити інспекції та службові розслідування за фактами виявлених порушень, проводити дізнання, вимагати написання пояснювальних записок, здійснювати розробку нормативних документів в області безпеки і здійснювати контроль їх виконання. Зазвичай же, з точки зору посадової інструкції адміністратор за штатним розкладом значиться як «інженер-програміст» і не має права виконувати більшість з перерахованих дій. Як наслідок, він не має права давати доручення іншим співробітникам або вимагати від них що-небудь - він може тільки апелювати до вищестоящого керівництва, що істотно сповільнює й ускладнює багато заходів.

Після створення служби безпеки і введення в її штат IT-фахівців повинен бути виданий наказ, підписаний генеральним директором і доведений до всіх співробітників. У цьому наказі необхідно вказати, що:

• З такого-то числа в фірмі створена служба безпеки, і зокрема співробітники призначені фахівцями із захисту інформації;
• Зазначеним фахівцям ставиться в обов`язок забезпечувати безпеку комп`ютерної мережі, розробляти нормативні документи, проводити інспекції, вчення і службові розслідування за фактом порушень;
• Співробітники фірми зобов`язані на першу вимогу надавати кошти обчислювальної техніки для інспекції, настройки чи інших технічних заходів, вироблених зазначеними працівниками.

Відео: Які Документи Запитати При Подобової Оренду Квартир

Видання подібного наказу вже вирішує ряд проблем. Розглянемо реальну ситуацію. Адміністратор мережі виявляє поширення мережного хробака, що йде з комп`ютера бухгалтера К. Бухгалтер відмовляється надати комп`ютер для лікування, мотивуючи це підготовкою термінових звітів. У даній ситуації звичайний адміністратор мережі не має права вимагати що-небудь - він може звернутися до свого керівництва, воно, в свою чергу, звернеться до керівництва бухгалтерії, буде проведено обговорення потреби і терміновості виконання даної операції, узгодження і так далі ... В результаті робота по ремонту комп`ютера рано чи пізно буде виконана, але до цього часу епідемія пошириться по всій мережі.