(495) 925-0049, ITShop интернет-магазин 229-0436, Учебный Центр 925-0049
  Главная страница Карта сайта Контакты
Поиск
Вход
Регистрация
Рассылки сайта
 
 
 
 
 

Система обучения и допуска персонала к работе с бизнес информацией

Источник: narod
Федотов Василий

 

Введение

    Сегодня почти в каждой компании существует информационная система (ИС) учета и манипулирования данными и, причем ни одна. Если выделить только основные, то среди них будут: кадровый учет, документооборот, почтовый клиент, бухгалтерия, учет продукции, АСУП, АСУТП и т.д. Как этот зоопарк в рамках одной компании и на рынке в общем уживается и сочетается между собой, является отдельной темой. Мы же рассмотрим более узко заданный вопрос, а именно качество работы "армии" пользователей этих ИС и организация доступа.
    Во всех информационных системах присутствуют как минимум три участника:

1. Инициаторы информации. Физическое оборудование, преобразующее свою деятельность в данные для загрузки в БД; Операторы, вносящие данные вручную или с помощи "самых современных средств автоматизации";
2. Получатели информации. Физическое оборудование, преобразующие команды из БД в действия; операторы, выполняющие действия на основе полученных данных; руководство, пользующееся обработанной отчетной информацией для анализа;
3. Хранители информации. Серверное и коммуникационное оборудование, а также "яркие" представители Администраторов БД, системных и сетевых администраторов, разработчиков ПО.

    Из теории и практики управлениям угрозами информационной безопасности (ИБ) известно, что самое слабое звено при обеспечении ИБ любой системы это - сотрудники компании, т.е. звено получателей и инициаторов информации, представленных группой "операторы". Нельзя сказать, что остальные группы не являются потенциальным источником угроз для ИС, но в данном материале исследуется проблематика работы именно с этим, самым массовым и неоднородным источником угроз для ИС.
    Ответ на вопрос, почему свои сотрудники являются наиболее массовой категорией нарушителей целостности и правильности данных, а также безопасности, нанося наибольшей ущерб компании, лежит в плоскости особенностей строения человеческого сознания. Ничего нельзя сделать с желанием человека видеть, говорить, писать, брать, наживаться, ошибаться, обманывать, завидовать, любить, мстить и т.д. и т.п.
    Существуют хорошо изученные и реализуемые методики "борьбы" с пользователями (операторами) ИС. В компаниях разрабатываться различные меры по обеспечению ИБ, создаются так называемые модели нарушителей, а также меры противодействия для каждой из них. Однако, даже самые защищенные, как физически, так и информационно компании могут получить очень сильный урон от преднамеренного и/или непреднамеренного вмешательства своих сотрудников в работу ИС.

Существующие схемы организации допуска к ИС

    Но только ли трудовая дисциплина, правообязательство или технически меры контроля могут справиться с ошибочной или некомпетентной работой пользователей с ИС? Первопричиной такой ситуации является, прежде всего, не надлежащая подготовка персонала к правильной работе на своем рабочем месте, к работе на ПК в целом, и в конкретной ИС в частности. Для решения этой проблемы в каждом случаи разрабатываются различные схемы обучения, допуска, контроля и наказания, которые можно сгруппировать следующим образом:

1. Схема "Устроился в компанию - получил доступ ко всему что есть". Здесь нет какой-либо градации уровня допуска к информации, ни на логическом, ни на программном уровне. Устройство человека на работу предоставляет ему право общего для всех допуска в ИС компании. Схема допустима для малого и отчасти среднего бизнеса, но совсем не подходит для тех, кто имеет более сложную, разветвленную и секретную бизнес информацию;
2. Схема "Устроился в компанию - получил допуск согласно принадлежности к отделу или ко всему, что захотел сам или его руководитель". В компании имеется документированный регламент допуска к информации сотрудников, и на определенном уровне он воссоздан в ИС программно. При этом тот или иной допуск определятся фактом принадлежности сотрудника к структурному подразделению, а не его непосредственными обязанностями в рамках этого подразделения или же компетенцией. Здесь имеет место принцип устного или письменного "выклянчивания" себе новых полномочий в ИС, если ранее данные права не дают делать то же, что делают "все остальные" в отделе. Важным моментом является то, что новый сотрудник работе с ИС в своем сегменте информации не обучается вовсе или обучается сотрудниками, работающими с ним вместе;
3. Схема "Устроился в компанию - прошел специальное обучение - получил начальный допуск согласно результату обучения". Идеальный вариант, при котором хорошо существует документированный регламент допуска к информации, который гибко реализован в ИС программно. Новый сотрудник проходит обучение специальными людьми и/или внутри своего отдела, но с соответствующим документальным оформлением, после чего ему присваивается доступ, но не ранее чем обучение будет завершено успешно.

    Самой нежелательной из всех является вторая схема, т.к. если в первой такой подход может быть оправдан очень скромной бизнес информацией, а в третьей сложная информационная структура хорошо описана и защищена, то именно вторая схема, используясь в компании со сложными ИС, является источником серьезных угроз для ее бизнес информации. Очевидно, что для большой компании лучше не экономить и использовать делопроизводственные регламенты и программные механизмы, соответствующие наиболее безопасной третьей схеме.
    Понятно, что каждая компания вольна сама выбирать подходящую для себя схему работы сотрудников с ИС. Однако сегодня уважающий себя бизнес вкладывает не малые ресурсы на внедрение в свою работу стандартов качества из семейства ISO или ГОСТ на их основе. Управление качеством работы всех составляющих компании в процессе выпуска продукции и/или предоставления услуг, обеспечивает "система менеджмента качества" СМК, регламентируемая стандартами линейки ISO9000/9001 и т.д. Помимо этого, область обеспечения ИБ регламентируется еще и стандартом ISO27001:2005 "построение, документальное оформление и сертификация системы менеджмента информационной безопасности". Естественно, что если при внедрении в работу компании философии норм и практик указанных стандартов не подходить формально или даже безразлично, то именно это и позволит подготовить в компании ту самую, оптимальную схему взаимодействия персонала и ИС. В этом случае также может быть достигнуто максимальное соблюдение принципа баланса интересов безопасности бизнес информации с одной стороны, и прав пользователей (сотрудников) этой информации с другой стороны.
    Но, как же быть если в реальности даже очень хорошо продуманная схема больше состоит из "бумажных" этапов или в компании применяются несколько разнородных ИС, к которым нужно индивидуально разрабатывать свои схемы. Решение может быть в попытки объединения всех схем в единую политику компании в этом вопросе и созданием на этой основе отдельной интеллектуальной надстройки, которая охватит в себе всю логику управления информацией об ИС и сотрудниках компании, а также об их тренингах, результатов тестов и уровне предоставленного доступа.

Система авторизованного обучения, тестирования, допуска и контроля

    Рассмотрим работу схемы, выбранной ними в качестве идеальной на уровне регламентов. Итак, что сие означает и каким требованиям должно отвечать. Для начала зададим критерии, по которым можно определить наличие или задатки наличия в компании той "совершенной" схемы, на базе которой может строиться надстройка в виде системы авторизованного обучения и допуска.

Во-первых, компания должна обладать одной или несколькими крупными ИС, причем под объемом больше подразумевается число разнородный пользователей, нежели физический объем занимаемого места в хранилищах данных (БД).
Во-вторых, бизнес информация в одной или нескольких ИС должна быть разветвленной, сложной по составу, но при этом хорошо структурированной и документально описанной в соответствии с требованиями стандарта качества, применяемого в компании.
В-третьих, допуск и работа большого числа сотрудников в ИС должна быть также документально описана и регламентирована в соответствии с требованиями стандарта качества, применяемого в компании.
В-четвертых, регламенты допуска и прав при работе с информацией должны быть, хотя бы частично, реализованы программно в самой ИС и/или надстроенных над неё сервисах.

    Если все пункты или их большая часть соответствует вашей компании, то можно смело начинать разработку новой концепции. Суть ее заключается в том, что можно создать интеллектуальную надстройку, в виде новой единой ИС внутреннего авторизованного обучения и допуска сотрудников, которая дополнит и объединит в себе существующие для всех ИС компании документальные регламенты и частично реализованные программные механизмы управления доступом. При этом новая ИС должна охватить полный цикл процессов связанных с обучением, тестированием, наделением и отзывом полномочий, информационной поддержкой и контролем сотрудников в период их работы с различными ИС компании.
    В результате на выходе мы можем получить следующую схему, из которой будет состоять новая ИС:

1. Единая БД для учета всех сотрудников компании, имеющих или претендующих на права доступа к одной или несколько ИС;
2. Единый программный комплекс (интерфейс), построенный как клиент-серверное приложение или как WEB технология, позволяющий проводить предварительное обучение и авторизованное тестирование сотрудника по темам тех ИС, на работу с которыми он претендует. Уже в процессе работы с различными ИС комплекс служит банком справочной информацией по темам для каждой из ИС, а также формой обратной связи со службой внутренней технической поддержки;
3. Интеллектуальный программный комплекс взаимодействия между всеми ИС, который вносит данные о пользователе и его полномочиях в соответствующие ИС на основе информации из своей БД, после успешного прохождения сотрудником авторизованного тестирования. Комплекс может частично управляться специалистом, специально выделенным для обеспечения контроля доступа к ИС компании, например администратором БД или домена.

    То как может работать и взаимодействовать такая система, можно проследить по алгоритму ее функционирования:

1. Новый сотрудник принимается на работу и заводится в необходимые начальные ИС как объект информации;
2. Новый сотрудник добавляется в ИС обучения, допуска и контроля, где в соответствии с регламентом и штатным расписанием ему устанавливается пакет из ИС компании, с которыми он будет работать в будущем;
3. На рабочем месте с помощью инструктора и/или самостоятельно сотрудник в интерактивном режиме изучает материалы по предстоящей работе с соответствующими ИС;
4. После прохождения тренинга, так же на рабочем месте и/или в специальном центре, сотрудник сдает итоговые авторизованные тесты, которые выполнены в виде защищенной компьютерной программы;
5. По результатам тестов и в соответствии с заявленными категориями, сама система автоматически определяет успешность пройденной проверки и уровень знаний сотрудника в заданной области;
6. На основе определенного уровня выдается предписание (программное или иное) для предоставления данному сотруднику минимально необходимого и достаточного доступа к той или иной ИС компании уже как субъекту информации;
7. На основе предписания в каждую ИС вносятся данные (программно или по-иному) для организации доступа сотрудника к работе с ИС как субъекту информации;
8. В процессе дальнейшей работы сотрудник может/должен проходить регулярные тренинги или новые курсы, результате которых может/должен изменяться уровень доступа к ИС и их число, как в большую, так и меньшую сторону;
9. При существовании системы фиксации ошибок в различных ИС компании, данная информация может быть направлена в ИС обучения, допуска и контроля, где на ее основе будет инициироваться вопрос о дополнительном тренинге/тесте;
10. В случаи увольнения сотрудника в обязательном порядке обхода должно быть получено заключение об удалении учетных записей сотрудника, как из ИС обучения, допуска и контроля, так и из остальных ИС компании. При этом желательно, чтобы удаление учетных записей из остальных ИС компании было произведено автоматически именно ИС обучения, допуска и контроля.

Преимущества и недостатки концепции внешней надстройки

    Необходимо понимать, что любая ИС, а тем более выполняющая роль интеллектуальной надстройки над существующими, должна быть не только хорошо продумана и реализована, но и отвечать нуждам самой компании с понимаем необходимости ее внедрения вообще. Помимо критериев определения потребности компании в новой ИС, описанных выше, отметим возможные основные преимущества и недостатки, связанные с разработкой и эксплуатацией.

Преимущества:
1. Сосредоточение всей информации о сотрудниках и их отношению к ИС компании, что исключает дублирование части информации о сотрудниках в каждой ИС;
2. Сосредоточение учебных материалов по каждой ИС, что позволяет гарантировать единообразие методов подготовки и организовать дистанционное обучение персонала прямо на рабочем месте, вне зависимости от размера компании;
3. Организация вводного обучения и последующего обмена опытом через систему специальных сотрудников-тренеров и/или самостоятельно на основе четкого учебного плана;
4. Ведение данных об изученном сотрудниками материале и уровне сданных тестов, что должно обеспечить обратную связь и объективную историю развития сотрудника в период после прохождения обучения и во время дальнейшей работы;
5. Предоставление доступа в определенную ИС согласно регламента и на основе уровня показанных знаний, что снижает риск причинения ущерба от некорректных действий сотрудника, не имевшего необходимые знания, но получившего излишний доступ к ИС компании.
Недостатки:
1. Самостоятельная реализация данной надстройки в компании потребует качественное проведение комплексного анализа всех ИС, технологических схем, создания и разработки новой ИС, что будет стоить немалых усилий и может быть недоступно компаниям с малым бюджетом и/или не имеющих соответствующих квалифицированных специалистов;
2. Не качественная реализация в целом или одного участка цепочки новой ИС, может привести к сбою и ошибке в работе с другими ИС компании. Это в свою очередь, может принести ощутимые убытки для компании, т.к. помимо нарушения безопасности информации может быть отказано в технической поддержке тех ИС, которые были приобретены у сторонних производителей и пострадали от действий новой программной надстройки;
3. При попытке приобрести и внедрить существующие готовые коммерческие решение в области конгломерации персональных данных сотрудников и управления уровнем доступов для ИС, возможны большие несоответствия требованиям и особенностям данной компании, что не позволит в полной мере реализовать задуманное, а затраты будут существенно выше чем при самостоятельной разработке.

Заключение

    При решении вопроса о необходимости реализации в той или иной компании описанной интеллектуальной надстройки, необходимо руководствоваться, прежде всего, интересами компании и ее возможностями.
    Не стоит городить лишнюю систему там, где существует одна или две малые ИС, или же в них самих хорошо реализованы методики доступа и контроля.
    Если в компании налицо необходимость приведения всего ассортимента ИС к единому принципу управления, то сначала должны быть разработаны логичные документальные регламенты, которые в новой ИС просто примут форму программного продукта. Нужно учесть, что регламенты должны еще и соблюдаться самой компанией, а то может быть так, что если кого из новых сотрудников руководство "захочет" принять на работу, то потребуют выдать ему доступ к нужным ИС без всякого обучения и тестов!
    Так что "… думайте сами, решайте сами, иметь или не иметь…".

Ссылки по теме


 Распечатать »
 Правила публикации »
  Обсудить материал в конференции Дискуссии и обсуждения общего плана »
Написать редактору 
 Рекомендовать » Дата публикации: 10.11.2009 
 

Магазин программного обеспечения   WWW.ITSHOP.RU
AutoCAD LT 2019 Commercial New Single-user ELD Annual Subscription
ESET NOD32 Cyber Security for MAC  - лицензия для 1 ПК на 1 год
AutoCAD LT 2019 Commercial New Single-user ELD Annual Subscription PROMO
ZBrush 4R6 Win Commercial Single License ESD
IBM RATIONAL Quality Manager Quality Professional Authorized User Single Install License + Sw Subscription & Support 12 Months
 
Другие предложения...
 
Курсы обучения   WWW.ITSHOP.RU
 
Другие предложения...
 
Магазин сертификационных экзаменов   WWW.ITSHOP.RU
 
Другие предложения...
 
3D Принтеры | 3D Печать   WWW.ITSHOP.RU
 
Другие предложения...
 
Поиск курсов
 
 
Интересные факты

Учебный центр "Интерфейс" - в десятке ведущих учебных центров России в сфере IT.

  • У нас преподают такие известные эксперты, как Пржиялковский В.В., Леоненков А.В., Новичков А.Н., Золотухина Е.Б., Зайцев А.Л., Зайцев Р.А., Большаков О.Н., Мирончик И.Я., Саксонов А.А., Пригодина Н.Ю.
  • Учебный центр "Интерфейс" проводит авторизованные курсы по продуктам компаний Microsoft, ERwin, Embarcadero (CodeGear), Postgres Professional
  • Подтвердить полученные знания можно, сдав сертификационные экзамены. Учебный центр "Интерфейс" является авторизованным центром тестирования Pearson VUE
  • Учебный центр "Интерфейс" оказывает консалтинговые услуги по построению моделей бизнес-процессов, проектированию информационных систем, разработке структуры баз данных и т.д.
  • Возможна корректировка программ курсов по желанию заказчиков! Мы расскажем Вам о том, что интересует именно Вас, а не только о том, что жестко зафиксировано в программе курса.
  • Где Вам удобнее учиться? В Москве? Санкт-Петербурге? Подмосковье? В вашем собственном офисе? Позвоните нам по тел.:+7 (495) 925-0049 и мы обсудим удобный для Вас вариант обучения.

Горячая линия:
+ 7 (495) 925-0049
mail@interface.ru
Отправить быстрое сообщение

Новости по теме
 
Рассылки Subscribe.ru
Информационные технологии: CASE, RAD, ERP, OLAP
Новости ITShop.ru - ПО, книги, документация, курсы обучения
Обучение для IT-профессионалов
Обучение и сертификация Microsoft
IT сертификация
 
Статьи по теме
 
Новинки каталога Download
 
Документация
 
 



    
rambler's top100 Rambler's Top100