Сегодня почти в каждой компании существует информационная система (ИС) учета и манипулирования данными и, причем ни одна. Если выделить только основные, то среди них будут: кадровый учет, документооборот, почтовый клиент, бухгалтерия, учет продукции, АСУП, АСУТП и т.д. Как этот зоопарк в рамках одной компании и на рынке в общем уживается и сочетается между собой, является отдельной темой. Мы же рассмотрим более узко заданный вопрос, а именно качество работы "армии" пользователей этих ИС и организация доступа.
Во всех информационных системах присутствуют как минимум три участника:
1. Инициаторы информации. Физическое оборудование, преобразующее свою деятельность в данные для загрузки в БД; Операторы, вносящие данные вручную или с помощи "самых современных средств автоматизации";
2. Получатели информации. Физическое оборудование, преобразующие команды из БД в действия; операторы, выполняющие действия на основе полученных данных; руководство, пользующееся обработанной отчетной информацией для анализа;
3. Хранители информации. Серверное и коммуникационное оборудование, а также "яркие" представители Администраторов БД, системных и сетевых администраторов, разработчиков ПО.
Из теории и практики управлениям угрозами информационной безопасности (ИБ) известно, что самое слабое звено при обеспечении ИБ любой системы это - сотрудники компании, т.е. звено получателей и инициаторов информации, представленных группой "операторы". Нельзя сказать, что остальные группы не являются потенциальным источником угроз для ИС, но в данном материале исследуется проблематика работы именно с этим, самым массовым и неоднородным источником угроз для ИС.
Ответ на вопрос, почему свои сотрудники являются наиболее массовой категорией нарушителей целостности и правильности данных, а также безопасности, нанося наибольшей ущерб компании, лежит в плоскости особенностей строения человеческого сознания. Ничего нельзя сделать с желанием человека видеть, говорить, писать, брать, наживаться, ошибаться, обманывать, завидовать, любить, мстить и т.д. и т.п.
Существуют хорошо изученные и реализуемые методики "борьбы" с пользователями (операторами) ИС. В компаниях разрабатываться различные меры по обеспечению ИБ, создаются так называемые модели нарушителей, а также меры противодействия для каждой из них. Однако, даже самые защищенные, как физически, так и информационно компании могут получить очень сильный урон от преднамеренного и/или непреднамеренного вмешательства своих сотрудников в работу ИС.
Но только ли трудовая дисциплина, правообязательство или технически меры контроля могут справиться с ошибочной или некомпетентной работой пользователей с ИС? Первопричиной такой ситуации является, прежде всего, не надлежащая подготовка персонала к правильной работе на своем рабочем месте, к работе на ПК в целом, и в конкретной ИС в частности. Для решения этой проблемы в каждом случаи разрабатываются различные схемы обучения, допуска, контроля и наказания, которые можно сгруппировать следующим образом:
1. Схема "Устроился в компанию - получил доступ ко всему что есть". Здесь нет какой-либо градации уровня допуска к информации, ни на логическом, ни на программном уровне. Устройство человека на работу предоставляет ему право общего для всех допуска в ИС компании. Схема допустима для малого и отчасти среднего бизнеса, но совсем не подходит для тех, кто имеет более сложную, разветвленную и секретную бизнес информацию;
2. Схема "Устроился в компанию - получил допуск согласно принадлежности к отделу или ко всему, что захотел сам или его руководитель". В компании имеется документированный регламент допуска к информации сотрудников, и на определенном уровне он воссоздан в ИС программно. При этом тот или иной допуск определятся фактом принадлежности сотрудника к структурному подразделению, а не его непосредственными обязанностями в рамках этого подразделения или же компетенцией. Здесь имеет место принцип устного или письменного "выклянчивания" себе новых полномочий в ИС, если ранее данные права не дают делать то же, что делают "все остальные" в отделе. Важным моментом является то, что новый сотрудник работе с ИС в своем сегменте информации не обучается вовсе или обучается сотрудниками, работающими с ним вместе;
3. Схема "Устроился в компанию - прошел специальное обучение - получил начальный допуск согласно результату обучения". Идеальный вариант, при котором хорошо существует документированный регламент допуска к информации, который гибко реализован в ИС программно. Новый сотрудник проходит обучение специальными людьми и/или внутри своего отдела, но с соответствующим документальным оформлением, после чего ему присваивается доступ, но не ранее чем обучение будет завершено успешно.
Самой нежелательной из всех является вторая схема, т.к. если в первой такой подход может быть оправдан очень скромной бизнес информацией, а в третьей сложная информационная структура хорошо описана и защищена, то именно вторая схема, используясь в компании со сложными ИС, является источником серьезных угроз для ее бизнес информации. Очевидно, что для большой компании лучше не экономить и использовать делопроизводственные регламенты и программные механизмы, соответствующие наиболее безопасной третьей схеме.
Понятно, что каждая компания вольна сама выбирать подходящую для себя схему работы сотрудников с ИС. Однако сегодня уважающий себя бизнес вкладывает не малые ресурсы на внедрение в свою работу стандартов качества из семейства ISO или ГОСТ на их основе. Управление качеством работы всех составляющих компании в процессе выпуска продукции и/или предоставления услуг, обеспечивает "система менеджмента качества" СМК, регламентируемая стандартами линейки ISO9000/9001 и т.д. Помимо этого, область обеспечения ИБ регламентируется еще и стандартом ISO27001:2005 "построение, документальное оформление и сертификация системы менеджмента информационной безопасности". Естественно, что если при внедрении в работу компании философии норм и практик указанных стандартов не подходить формально или даже безразлично, то именно это и позволит подготовить в компании ту самую, оптимальную схему взаимодействия персонала и ИС. В этом случае также может быть достигнуто максимальное соблюдение принципа баланса интересов безопасности бизнес информации с одной стороны, и прав пользователей (сотрудников) этой информации с другой стороны.
Но, как же быть если в реальности даже очень хорошо продуманная схема больше состоит из "бумажных" этапов или в компании применяются несколько разнородных ИС, к которым нужно индивидуально разрабатывать свои схемы. Решение может быть в попытки объединения всех схем в единую политику компании в этом вопросе и созданием на этой основе отдельной интеллектуальной надстройки, которая охватит в себе всю логику управления информацией об ИС и сотрудниках компании, а также об их тренингах, результатов тестов и уровне предоставленного доступа.
Рассмотрим работу схемы, выбранной ними в качестве идеальной на уровне регламентов. Итак, что сие означает и каким требованиям должно отвечать. Для начала зададим критерии, по которым можно определить наличие или задатки наличия в компании той "совершенной" схемы, на базе которой может строиться надстройка в виде системы авторизованного обучения и допуска.
Во-первых, компания должна обладать одной или несколькими крупными ИС, причем под объемом больше подразумевается число разнородный пользователей, нежели физический объем занимаемого места в хранилищах данных (БД).
Во-вторых, бизнес информация в одной или нескольких ИС должна быть разветвленной, сложной по составу, но при этом хорошо структурированной и документально описанной в соответствии с требованиями стандарта качества, применяемого в компании.
В-третьих, допуск и работа большого числа сотрудников в ИС должна быть также документально описана и регламентирована в соответствии с требованиями стандарта качества, применяемого в компании.
В-четвертых, регламенты допуска и прав при работе с информацией должны быть, хотя бы частично, реализованы программно в самой ИС и/или надстроенных над неё сервисах.
Если все пункты или их большая часть соответствует вашей компании, то можно смело начинать разработку новой концепции. Суть ее заключается в том, что можно создать интеллектуальную надстройку, в виде новой единой ИС внутреннего авторизованного обучения и допуска сотрудников, которая дополнит и объединит в себе существующие для всех ИС компании документальные регламенты и частично реализованные программные механизмы управления доступом. При этом новая ИС должна охватить полный цикл процессов связанных с обучением, тестированием, наделением и отзывом полномочий, информационной поддержкой и контролем сотрудников в период их работы с различными ИС компании.
В результате на выходе мы можем получить следующую схему, из которой будет состоять новая ИС:
1. Единая БД для учета всех сотрудников компании, имеющих или претендующих на права доступа к одной или несколько ИС;
2. Единый программный комплекс (интерфейс), построенный как клиент-серверное приложение или как WEB технология, позволяющий проводить предварительное обучение и авторизованное тестирование сотрудника по темам тех ИС, на работу с которыми он претендует. Уже в процессе работы с различными ИС комплекс служит банком справочной информацией по темам для каждой из ИС, а также формой обратной связи со службой внутренней технической поддержки;
3. Интеллектуальный программный комплекс взаимодействия между всеми ИС, который вносит данные о пользователе и его полномочиях в соответствующие ИС на основе информации из своей БД, после успешного прохождения сотрудником авторизованного тестирования. Комплекс может частично управляться специалистом, специально выделенным для обеспечения контроля доступа к ИС компании, например администратором БД или домена.
То как может работать и взаимодействовать такая система, можно проследить по алгоритму ее функционирования:
1. Новый сотрудник принимается на работу и заводится в необходимые начальные ИС как объект информации;
2. Новый сотрудник добавляется в ИС обучения, допуска и контроля, где в соответствии с регламентом и штатным расписанием ему устанавливается пакет из ИС компании, с которыми он будет работать в будущем;
3. На рабочем месте с помощью инструктора и/или самостоятельно сотрудник в интерактивном режиме изучает материалы по предстоящей работе с соответствующими ИС;
4. После прохождения тренинга, так же на рабочем месте и/или в специальном центре, сотрудник сдает итоговые авторизованные тесты, которые выполнены в виде защищенной компьютерной программы;
5. По результатам тестов и в соответствии с заявленными категориями, сама система автоматически определяет успешность пройденной проверки и уровень знаний сотрудника в заданной области;
6. На основе определенного уровня выдается предписание (программное или иное) для предоставления данному сотруднику минимально необходимого и достаточного доступа к той или иной ИС компании уже как субъекту информации;
7. На основе предписания в каждую ИС вносятся данные (программно или по-иному) для организации доступа сотрудника к работе с ИС как субъекту информации;
8. В процессе дальнейшей работы сотрудник может/должен проходить регулярные тренинги или новые курсы, результате которых может/должен изменяться уровень доступа к ИС и их число, как в большую, так и меньшую сторону;
9. При существовании системы фиксации ошибок в различных ИС компании, данная информация может быть направлена в ИС обучения, допуска и контроля, где на ее основе будет инициироваться вопрос о дополнительном тренинге/тесте;
10. В случаи увольнения сотрудника в обязательном порядке обхода должно быть получено заключение об удалении учетных записей сотрудника, как из ИС обучения, допуска и контроля, так и из остальных ИС компании. При этом желательно, чтобы удаление учетных записей из остальных ИС компании было произведено автоматически именно ИС обучения, допуска и контроля.
Необходимо понимать, что любая ИС, а тем более выполняющая роль интеллектуальной надстройки над существующими, должна быть не только хорошо продумана и реализована, но и отвечать нуждам самой компании с понимаем необходимости ее внедрения вообще. Помимо критериев определения потребности компании в новой ИС, описанных выше, отметим возможные основные преимущества и недостатки, связанные с разработкой и эксплуатацией.
Преимущества:
1. Сосредоточение всей информации о сотрудниках и их отношению к ИС компании, что исключает дублирование части информации о сотрудниках в каждой ИС;
2. Сосредоточение учебных материалов по каждой ИС, что позволяет гарантировать единообразие методов подготовки и организовать дистанционное обучение персонала прямо на рабочем месте, вне зависимости от размера компании;
3. Организация вводного обучения и последующего обмена опытом через систему специальных сотрудников-тренеров и/или самостоятельно на основе четкого учебного плана;
4. Ведение данных об изученном сотрудниками материале и уровне сданных тестов, что должно обеспечить обратную связь и объективную историю развития сотрудника в период после прохождения обучения и во время дальнейшей работы;
5. Предоставление доступа в определенную ИС согласно регламента и на основе уровня показанных знаний, что снижает риск причинения ущерба от некорректных действий сотрудника, не имевшего необходимые знания, но получившего излишний доступ к ИС компании.
Недостатки:
1. Самостоятельная реализация данной надстройки в компании потребует качественное проведение комплексного анализа всех ИС, технологических схем, создания и разработки новой ИС, что будет стоить немалых усилий и может быть недоступно компаниям с малым бюджетом и/или не имеющих соответствующих квалифицированных специалистов;
2. Не качественная реализация в целом или одного участка цепочки новой ИС, может привести к сбою и ошибке в работе с другими ИС компании. Это в свою очередь, может принести ощутимые убытки для компании, т.к. помимо нарушения безопасности информации может быть отказано в технической поддержке тех ИС, которые были приобретены у сторонних производителей и пострадали от действий новой программной надстройки;
3. При попытке приобрести и внедрить существующие готовые коммерческие решение в области конгломерации персональных данных сотрудников и управления уровнем доступов для ИС, возможны большие несоответствия требованиям и особенностям данной компании, что не позволит в полной мере реализовать задуманное, а затраты будут существенно выше чем при самостоятельной разработке.
При решении вопроса о необходимости реализации в той или иной компании описанной интеллектуальной надстройки, необходимо руководствоваться, прежде всего, интересами компании и ее возможностями.
Не стоит городить лишнюю систему там, где существует одна или две малые ИС, или же в них самих хорошо реализованы методики доступа и контроля.
Если в компании налицо необходимость приведения всего ассортимента ИС к единому принципу управления, то сначала должны быть разработаны логичные документальные регламенты, которые в новой ИС просто примут форму программного продукта. Нужно учесть, что регламенты должны еще и соблюдаться самой компанией, а то может быть так, что если кого из новых сотрудников руководство "захочет" принять на работу, то потребуют выдать ему доступ к нужным ИС без всякого обучения и тестов!
Так что "… думайте сами, решайте сами, иметь или не иметь…".