ИТ-специалист и безопасность компании

ИТ-специалист и безопасность компании

В специальной литературе существует много различных определений безопасности. С практической точки зрения представляется наиболее продуктивным следующее: безопасность — это состояние защищенности жизненно важных интересов от потенциальных и / или реально существующих угроз.

Ключевым элементом приведенного определения является понятие «угрозы». Классификации угроз посвящено огромное число как научных, так и научно-популярных работ. В нашем контексте мы рассматриваем только угрозы, исходящие по воле конкретных людей (за скобками остаются угрозы природного, техногенного, политического экономического характера и пр.). Человека, который представляет потенциальную угрозу, принято называть «Противником». Это и не обязательно внешний конкурент, враг: в качестве Противника может выступить и сотрудник Компании, если он начнет преследовать цели, наносящие ей ущерб.

Какие существуют угрозы, и кто является возможным противником

При анализе безопасности Компании для каждого Противника следует выделить:

  1. какие цели может преследовать Противник (т. е. что опасно для Компании);
  2. какими ресурсами, исходными данными и возможностями может располагать Противник для достижения этих целей.
  1. информация, связанная с финансовой стороной деятельности Компании (бухгалтерская информация, финансовые итоги деятельности — прибыли / убытки, схемы проведения платежей, финансовые условия заключенных контрактов и т. п.);
  2. информация, связанная с кадровым обеспечением Компании (состав сотрудников, размер их вознаграждения, системы стимулирования деятельности и т. п.);
  3. база данных клиентов Компании;
  4. «ноу-хау», обеспечивающее конкурентные преимущества Компании (в случае кадровых агентств, это, в первую очередь, по-видимому, базы данных кандидатов);
  5. условия, выставляемые Компаний при участии в конкурсах на заключение контрактов;
  6. проблемные моменты деятельности Компании (история и итоги судебных, арбитражных разбирательств, информация о существующих внутренних конфликтах и т. п.).

Теперь несколько слов о том, что может использовать Противник для достижения поставленных им «зловредных» целей. Это прежде всего определяется позицией, которую занимает Противник по отношению к Компании. Он может быть:

  • «внешним», т. е. не имеющим прямого отношения к Компании — бандит «с улицы», конкурирующая компания и т. п.;
  • имеющим опосредованное отношение к Компании — бывшие и уволенные сотрудники; люди, связанные с обеспечением работы Компании (арендодатели, уборщицы, приглашаемые ремонтники оборудования, переводчики и т. п.), бизнес-партнеры, коррумпированные сотрудники органов исполнительной власти, контролирующих деятельность компании и пр.;
  • «внутренним» — штатные сотрудники компании, которые начинают преследовать цели, противоречащие интересам Компании.

Наконец, мы подошли и к ИТ-специалистам (системным администраторам — так называемым сисадминам). Увы, но с точки зрения безопасности Компании, если ИТ-специалист начинает выступать в роли Противника, то это наиболее опасный вид угроз! В позиции сисадмина технически можно сделать все что угодно с корпоративной информационной системой. Ведь именно для управления этой системой его и нанимали на работу!

ИТ-специалист и безопасность компании: практические аспекты

Деятельность любой Компании по обеспечению своей безопасности сводится к следующим типам мер (и различным их комбинациям):

  • технические меры;
  • юридические меры;
  • организационные и административные меры.

Технические меры обеспечения информационной безопасности — это основная тема обсуждений на всевозможных конференциях. К этим средствам в первую очередь относятся различные средства разграничения доступа к базам данных, средства контроля входящего и исходящего информационного трафика, средства контроля целостности программного обеспечения и т. д. Из отечественных разработок, представленных на рынке, можно упомянуть средство контроля входящего / исходящего трафика для противодействия «внутренним» Противникам — разработку компании Натальи Касперской (не путать с Евгением!) InfoWatch.

Но, по-видимому, для защиты от ИТ-специалиста этот тип мер вряд ли будет достаточным, поскольку в любой компании все технические средства защиты информации будет устанавливать, настраивать и администрировать именно этот ИТ-специалист! При надлежащей квалификации грамотный сисадмин всегда сможет обойти любые установленные им самим средства защиты.

Юридические меры обеспечения информационной безопасности компании должны опираться на существующий корпус законов (Федеральный закон Российской Федерации № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон Российской Федерации № 152-ФЗ «О защите персональных данных» и пр.) В российском законодательстве существует понятие конфиденциальной информации и устанавливается юридическая ответственность за ее разглашение. Поэтому любая Компания должна использовать этот механизм, а именно в трудовой договор с ИТ-специалистом обязательно следует включать позиции, предусматривающие юридическую ответственность за неправомерное разглашение конфиденциальной информации.

И наконец, последний тип мер, который и призван дать основные гарантии безопасности компании от угроз со стороны ИТ-специалистов — это организационные и административные меры. Это наиболее сложная и деликатная систем мер обеспечения безопасности.

Прежде всего, следует предпринимать все возможные меры, чтобы у ИТ-специалиста не было мотивов выступить в роли противника. Здесь должна быть предусмотрена в первую очередь и высокая зарплата, как минимум не уступающая среднерыночной. Лучше всего, когда у руководителя компании устанавливаются доверительные отношения с ИТ-специалистом, которые позволяют «мониторить» изменения в личных амбициях, вовремя отследить признаки неудовлетворенности, признаки конфликтов в коллективе или в семье. В отношении ИТ-специалистов такая работа должна быть организована отдельно, помимо общей деятельности по созданию «командного духа» во всем коллективе.

Следует крайне деликатно организовывать процедуру увольнения ИТ-специалиста, когда возникает такая необходимость. Практически все наиболее «громкие» опубликованные в прессе случаи утечки конфиденциальной информации связаны с «местью» уволенных сотрудников (классический пример — г-н Сноуден!)

С точки зрения административных регламентов работы компании следует максимально полно реализовывать принцип «каждый знает ровно столько, сколько необходимо в его работе». В случае с ИТ-специалистом, по-видимому, работа должна быть организована так, чтобы он не участвовал в обсуждениях работы менеджеров, участия в конкурсах и т. п., а имел отношение только к техническому обслуживанию корпоративной информационной системы.

Если все-таки появляются признаки утечки конфиденциальной информации (почему-то конкурент всегда опережает, постоянно перехватывая «наших» кандидатов и т. п.), то следует провести независимый аудит информационной безопасности компании. Такие услуги сейчас достаточно хорошо представлены на российском рынке.

В перспективе может появиться и еще один механизм обеспечения информационной безопасности — страхование рисков. Но пока это еще только в стадии обсуждений, поскольку страховые компании не умеют оценивать потенциальный ущерб от реализации угроз информационной безопасности.

Перечисленные в начале статьи проблемы являются частными в общем контексте Безопасности Компании. Они различаются по своему характеру, и каждая из них заслуживает отдельного подробного обсуждения.

📎📎📎📎📎📎📎📎📎📎