100004 (Безопасность компании в повседневной деятельности)

7

Безопасность компании в повседневной деятельности

Работа по обеспечению безопасности требует в первую очередь взвешенных управленческих действий в различных направлениях, согласованных по времени, продолжительности и объему затрат ресурсов. Чтобы такая деятельность была целеустремленным движением вперед, а не представляла собой хаотические порывы без смысла и понятной цели, необходим общий фундамент. Важно преподнести работу по повышению безопасности не как личный произвол начальника, вызванный внезапным "озарением", а как обоснованные и направленные действия на основе четко проработанной нормативной базы. Начальственный произвол от нормальной управленческой деятельности отличается тем, что первый основывается на волевом решении руководителя, а вторая имеет в качестве базы определенный свод правил, по которым живут все без исключения сотрудники и руководители организации. Создание системы безопасности или даже попытки повлиять на ее развитие требуют минимальных знаний о сути обсуждаемых вопросов. Эта область деятельности сама по себе очень логична и структурирована, поэтому при усвоении базовых принципов ориентироваться в проблеме вам будет гораздо проще. Рассмотрим основу основ системы безопасности - ее нормативную базу, а по ходу изложения приведем примеры, которые пояснят суть некоторых вопросов, непосредственно касающихся работы с персоналом.

Нормативная база должна быть представлена пакетом из нескольких основных документов. Взгляды на этот счет у различных авторов различаются. Как первоочередные чаще всего упоминаются следующие документы.

Концепция безопасности, описывающая общие принципы и подходы к организации системы безопасности. Этот документ должен быть основательно проработан и обязательно утвержден руководством организации.

Стандарты безопасности, в которых разъясняются основные понятия, определения, термины, строятся модели систем организации, дается набор признаков и показателей безопасного состояния объектов и систем. Например, транспортное средство обеспечивает безопасную перевозку грузов, если эксплуатируется в соответствии с рядом требований, в соответствующем порядке проходит техобслуживание и имеет свидетельство о прохождении техосмотра. Подобные описания должны быть составлены для основных объектов и подсистем организации.

Процедуры безопасности. В этом документе указывается, что следует делать в данной организации для того, чтобы уровень информационной безопасности соответствовал определенному принятому стандарту.

Методы безопасности. Этим понятием обозначают документы для конечных пользователей и рядовых сотрудников, подробные инструкции к действиям. Например, инструкцию по резервному копированию личных данных в выделенную для каждого сотрудника папку на сервере.

Аварийный план. Документ, который описывает действия в случае нанесения какого-либо существенного ущерба организации, а также действия по восстановлению ее нормальной деятельности. Подробно и развернуто суть этого понятия описывается в специальной литературе и статьях по обеспечению непрерывности бизнеса. Если попытаться изложить смысл этого понятия упрощенно, то в аварийном плане должен быть представлен подробный ответ на вопрос: "Что делать, если...". Например, что делать, если вышла из строя офисная мини-АТС? Что делать, если случился пожар? Кто отвечает за восстановление работоспособности локальной сети и какими именно ресурсами обеспечен этот сотрудник? В качестве примера можно привести одну из российских компаний. В результате пожара ее помещения выгорели полностью, но спустя несколько дней работа возобновилась, причем в нормальном режиме. Мало того, этот случай стал своеобразной рекламой самой фирме, показав надежность ее работы партнерам и заказчикам.

Остановимся более подробно на концепции безопасности. Если описать ее суть коротко, то она определяет следующие моменты:

• - что является целями и задачами безопасности;

• - что защищает и с кем взаимодействует организация;

• - от чего защищается организация;

• - с помощью чего защищается организация;

• - каким образом осуществляется защита;

• - как управляется система безопасности и как контролируется ее эффективность.

Целью обеспечения безопасности может быть, например, обеспечение устойчивого круглосуточного сервиса для пользователей услугами компании, а задачей - учет ресурсов компании, позволяющих достичь этой цели, внедрение технологий гибкого управления этими ресурсами.

К объектам защиты относят:

• - персонал и руководство;

• - материальные и нематериальные активы;

• - информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иную конфиденциальную информацию на любых материальных носителях, базы данных, программное обеспечение, информативные физические поля различного характера;

• - средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радио- и космической связи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);

• - технические средства и системы охраны и защиты материальных и информационных ресурсов.

Обратите внимание на выделенные пункты. К защищаемым объектам относят информацию в различном виде, средства ее обработки, а также саму систему защиты. Далее исходя из фактора уязвимости, степени возможного ущерба и важности все объекты, в отношении которых могут быть осуществлены угрозы безопасности (посягательства физических или юридических лиц, стихийные бедствия), должны быть разделены по уровням уязвимости и степени риска. Также необходимо описать угрозы и их источники, соответствующие объектам.

Например, для фермерского хозяйства объектом защиты будут посевы, а источниками угрозы - климатические отклонения и их проявления (засуха, паводок). Для промышленной компании это, скорее, оборудование, дорогостоящее сырье, продукция на стадии транспортировки, а источники угрозы - криминальные группировки, политическая нестабильность в стране, поставляющей редкое сырье, и т.д.

Для банка уязвимость могут представлять финансовые средства (особенно в процессе транспортировки), информационные ресурсы и люди, занимающие руководящие должности, как объекты посягательств со стороны злоумышленников.

Вообще, к источникам угроз может относиться все, начиная от падения покупательской способности до эпидемии гриппа в офисе.

В статье Анатолия Брединского "Концепция безопасности коммерческого банка" приводится список угроз для сотрудников банка:

• - похищения и угрозы похищения сотрудников, членов их семей и близких родственников;

• - убийства, сопровождаемые насилием, издевательствами и пытками;

• - психологический террор, угрозы, запугивание, шантаж, вымогательство;

• - нападение с целью овладения денежными средствами, ценностями и документами.

Финансовой деятельности организации могут угрожать:

• - экономические кризисы;

• - неисполнение обязательств контрагентами;

• - возможный произвол контрольных органов в стране пребывания;

• - хищение материальных средств, продукции или сырья непосредственно с территории организации;

• - мошенничество партнеров;

• - внезапное изменение законодательной базы государства пребывания или таможенной политики.

Для информационной безопасности представляют угрозу:

• - разглашение информации, составляющей коммерческую тайну;

• - несанкционированный доступ к закрытым информационным ресурсам конкурентов либо криминальных структур;

• - утечка информации по техническим каналам утечки (побочные электромагнитные излучения, акустические колебания, электромагнитные наводки в проводных сетях);

• - намеренное или случайное повреждение данных в электронном или бумажном виде, случайное или намеренное искажение информации;

• - недоступность такого рода данных, например в случае выхода из строя или хищения компьютерной техники;

• - ведение в отношении организации активных мероприятий в информационном поле (информационно-психологическая война с возможным "вбросом" компрометирующих данных) с целью нанесения ущерба деловой репутации организации, ее руководству, изменения его рыночной стоимости для последующего поглощения или устранения.

Зданиям, сооружениям, имуществу организации могут угрожать:

• - стихийные бедствия и их последствия;

• - технические аварии;

• - пожары;

• - поджоги;

• - хулиганские действия по отношению к зданию, оборудованию, ограждениям и декоративным элементам;

• - пикетирование, блокирование входов и выходов из здания, въездов и выездов с территории;

• - поджоги;

• - нанесение ущерба транспортным средствам и т.д. и т.п.

Набор "фирменных" источников угроз для каждого предприятия уникален.

Чем защищается организация?

Здесь нужно определить меры обеспечения требуемого уровня безопасности, например:

1. Правовые.

2. Организационные (административные).

3. Инженерно-технические и программно-технические.

Любые действия, в том числе по собственной защите, ведутся в правовом поле. Далее, на административном уровне, определяется, что будет защищаться и каким именно образом. Технические меры принимаются уже на последнем этапе и на основании правовой базы, определения угроз и их источников, объектов защиты, политики безопасности организации.

Бытует мнение, что этим занимается исключительно соответствующая служба. Отчасти, конечно, это так. Но выше мы привели список угроз, в который входит масса явлений, находящихся в компетенции различных специалистов. Кроме того, есть вероятность появления новых угроз, ранее не предусмотренных. Специалист по безопасности не волшебник и во всех вопросах ориентироваться не может, поэтому не стоит ждать от него чуда. Наоборот, необходимо помочь ему силами всего коллектива. Решение целого ряда рутинных вопросов в своих узких областях могут взять на себя сотрудники и начальники отделов. Это целесообразно по следующим причинам:

• - некоторые правила будут приниматься с обсуждением или вообще по инициативе рядовых сотрудников, что частично снимет проблему напряженности в отношениях и отторжения указаний службы безопасности;

• - у сотрудников службы безопасности будет больше времени для работы "на перспективу", в противном случае погрязшие в рутине работники этой службы сами будут представлять угрозу для организации.

Роль службы безопасности во взаимодействии с персоналом заключается в том, что она обеспечивает общее регулирование деятельности в своем направлении, консультирует и обучает персонал определенной системе работы, а также контролирует выполнение положений и требований внутренней нормативной базы.

Отсюда вытекает необходимость интегрирования правил безопасной работы в описание процедур, регламенты, правила внутреннего распорядка, должностные обязанности и т.д.

Например, инструкции PR-менеджера могут содержать:

• - перечень информации, которая не должна публиковаться;

• - порядок публикации информации, относящейся к сфере интересов компании;

• - инструкцию, описывающую порядок взаимодействия со СМИ и их представителями;

• - описание информационной политики организации и т.д.

В пакете документов, определяющих работу отдела автоматизации, могут быть документы, описывающие:

• - процедуры резервного копирования данных;

• - требования безопасности к программному обеспечению;

• - порядок действий при нештатных ситуациях и т.д.

Безусловно, достаточно стабильная работа по защите компании возможна только тогда, когда есть структура, которая эту работу обеспечивает. Практика показывает, что до того момента, пока такая структура или группа ответственных сотрудников не создана, все работы по обеспечению безопасности неизбежно заканчиваются на этапе обследования текущей ситуации.

В том случае, когда нет возможности обеспечить выделение нескольких сотрудников для нужд безопасности, можно создать рабочую группу из наиболее компетентных в своих областях штатных сотрудников других отделов.

Возможно, им потребуется пройти отдельное обучение или хотя бы прослушать краткий курс, чтобы ориентироваться в вопросах безопасности. Каждый из них будет курировать вопросы, относящиеся к его кругу обязанностей, под общим руководством и контролем единственного сотрудника службы безопасности.

Как и любая деятельность, работа по созданию, развитию и поддержке системы безопасности требует планирования и выделения средств. Это условие самое важное. Если оно не соблюдается, об эффективной службе и системе безопасности можно забыть. Все приложенные усилия окажутся простой тратой денег и времени. Что касается человеческого фактора, то при распределении обязанностей между сотрудниками стоит придерживаться определенных правил и "не складывать все яйца в одну корзину". Например, администратор сети не может и не должен выполнять обязанности администратора безопасности. Причины просты, но редко принимаются в расчет руководителями.

Причина первая. У администратора сети и администратора безопасности противоположные задачи. Задача одного - обеспечить комфортную и прозрачную среду для работы и предоставить все необходимые сервисы пользователям. Задача второго - ограничить доступ к сети так, чтобы пользователи не имели доступа к ресурсам, которые им не нужны для выполнения производственных обязанностей.

Причина вторая. Вспомните известное изречение: "Кто будет сторожить сторожей?". В самом деле в организации системный администратор - царь и бог всех электронных ресурсов. Реально он имеет доступ ко всем ресурсам сети и всей информации. Контролировать его действия руководству практически невозможно.

В этом случае на выручку приходит администратор безопасности. Сам он не должен иметь доступа к данным, так же как и не должен иметь возможности что-либо менять в настройках программного, аппаратного обеспечения или в содержимом баз данных. Но у него должен быть доступ на просмотр всех "бюджетов" пользователей, протоколов работы оборудования и программного обеспечения, а также на просмотр файловой структуры.