Мережева бюрократія: положення про захист інформації

Відео: Канада 935: Виявляється, місцева бюрократія теж може "увійти в становище"

Розробка даного документа повинна проводитися IТ-фахівцями спільно з фахівцями служби безпеки. Цей документ регламентує порядок роботи користувачів в корпоративній мережі, встановлює їх права, обов`язки і відповідальність. Положення про захист інформації обов`язково має спиратися на положення про комерційну таємницю. Типове положення про захист інформації складається з п`яти частин:

• Загальні положення. У ньому описується призначення документа, розшифровуються спеціальні терміни;
• Вимоги програмістам, які виконують розробку і впровадження програмного забезпечення. Даний пункт має сенс тільки в тому випадку, якщо фірма розробляє ПО для своїх потреб, проте ввести його в стан стоїть в будь-якому випадку. Даний розділ регламентує взаємини розробників ПЗ і адміністраторів, а також описує вимоги до програмного забезпечення з точки зору політики інформаційної безпеки;
• Вимоги до ПО сторонніх розробників. Даний розділ аналогічний попередньому, але основний упор в ньому робиться на порядок експертизи ПО, його тестування і впровадження. В даному розділі має бути зазначено, хто саме проводить експертизу (зазвичай її виконують фахівці із захисту інформації) і в які терміни вона проводиться;
• Звід правил і обов`язків користувачів щодо забезпечення режиму інформаційної безпеки при експлуатації засобів обчислювальної техніки, засобів мережевих комунікацій і програмного забезпечення. Це найважливіший розділ положення, він, в свою чергу, може складатися з двох підрозділів:
- Обов`язки користувачів;
- Заборони і правила. Цей підрозділ слід опрацювати особливо ретельно, перерахувавши в ньому всі дії і програми, які заборонені для користувача;
• Порядок і послідовність дій посадових осіб у разі виявлення порушення режиму інформаційної безпеки. В ідеалі це покроковий алгоритм з набором дій на випадок виникнення позаштатних ситуацій. У цьому ж розділі описується порядок відключення користувача від наданих йому ресурсів мережі в разі порушень, вилучення комп`ютера для аналізу, ведення службового розслідування і покарання за порушення.

Після розробки положення має бути затверджене генеральним директором і доведено до всіх користувачів під розпис.

У положенні про захист інформації в обов`язковому порядку слід обумовити правила роботи з електронною поштою та Інтернет. В ідеалі формулювання має вигляд «Інтернет, електронна пошта та інші ресурси локальної мережі призначені виключно для вирішення завдань виробничого характеру». Наявність даного пункту дозволяє адміністратору встановлювати фільтри на пошту та Інтернет, контролювати при необхідності трафік користувача і офіційно карати за зловживання. Крім того, в заборонної частини рекомендується зазначити, що забороняється:

• Відключати антивірусні програми і інші засоби захисту, перешкоджати їх роботі або змінювати налаштування;
• Підключати до комп`ютера стороннє обладнання (зокрема модеми та мобільні телефони), а так само забороняється підключати до локальної мережі сторонні комп`ютери;
• Встановлювати і використовувати кошти адміністрування та моніторингу мережі, зокрема сніфери, сканери, шукачі вразливостей, а також проксі-сервери, поштові сервери та сервери баз даних, системи віддаленого управління і адміністрування.

Практична цінність даного документа дуже велика. Без нього адміністратори в очах користувача часто виглядають самодурами і тиранами, які по тільки їм відомих причин закривають сайти, блокують поштові розсилки та чати, забороняють установку того чи іншого програмного забезпечення або урізують права користувача.

Відео: Підхід до захисту інформації на сучасному Підприємстві

Приклад 1. Один з недавно прийнятих на роботу програмістів завантажує і запускає сканер мережевої безпеки XSpider і застосовує його з максимальними настройками до корпоративного WEB-сервера. Реакція сервера на запити сповільнюється, адміністратори фіксують факт атаки і вживає екстрених заходів. Після виявлення джерела проблеми програміст пояснює, що вирішив зробити це для самоосвіти і не знав, що виконувати подібні операції в мережі не можна. Причина: відсутність положення про захист інформації - користувач мережі не знає про те, які операції допустимі або неприпустимі, і як наслідок його неможливо покарати.

Приклад 2. Адміністратори відключають користувача X від Інтернет. У відповідь користувач підключає до комп`ютера свій стільниковий телефон і виходить в Інтернет безпосередньо. В результаті на його комп`ютер проникає вірус, і в мережі починається епідемія. Причина виникнення подібного інциденту аналогічна попередній - відсутній документ, який забороняє подібні операції, і тому користувача неможливо покарати за створення в мережі епідемії вірусу.