Внутренние нормативы и цепочка отвественности

Внутренние нормативы и цепочка отвественности

Для того, чтобы административно воздействовать на своих сотрудников, компании придумали внутренние нормативные документы. Как правило, они приобретают форму политик, процедур и стандартов. Политики освещают общие аспекты, ориентированы на самую широкую аудиторию, редко диктуют "как", скорее "что" и "зачем" компания делает в той или иной сфере. Например, Политика информационной безопасности крест на пузе рисует, что компания дорожит информацией заказчиков и клянется защищать ее пуще своей собственной. Процедура напротив, не углубляется в "зачем", но рассказывает "что", кто и в какой последовательности делает во имя выполнения компанией взятых обязательств (предположительно сформулированных в соответствующей политике). Стандарт вообще никуда не вникает, он просто рассказывает "как" нечто будет сделано, если до этого дойдут руки. Например, как будет настроена рабочая станция или точка доступа Wi-Fi, как будут шифроваться чувствительные данные на внешних носителях типа дисков, флешек и т.п.

Важным моментом в сочинительстве внутренних документов является определение ответственныхлиц. В информационной безопасности это могут быть т.н. бизнес-владельцыданных и систем (отвечают за определение требований к защите чувствительной информации), а также технические владельцы (реализуют и поддерживают эффективность средств обеспечения безопасности информации) и пользователи (соблюдают политики, процедуры и стандарты по обеспечению... да-да, ее самой). Плюс естьотдел ИБ, который пишет документы, анализирует риски, рекомендует решения и контролирует их эффективность. Какова схема определения ответственныхза тот или иной инцидент?

Правильно начать с головы: а предусмотрел ли бизнес-владелец пострадавшей информации риск возникновения инцидента? Например: в Интернете опубликовали (тьфу-тьфу-тьфу) базу данных клиентов компании с указанием юр. и физ. адресов, регистрационных данных, Ф.И.О. руководителей и т.д. Вероятно, эти данные находилисьятся в ведении "главного" по продажам или по работе с клиентами (или и то и другое). Когда в компании проходила классификация данных, каков был ответ директора по продажам на вопрос отдела ИБ о риске возникновения подобного инцидента? Как, не было вопроса? Ну тогда это явный провтык отдела ИБ. Ах, вопрос таки был и ответ звучал как "ну и пусть крадут, что там интересного"? А вот теперь виноват явно продавец. Хотя постойте, вот в классификационной ведомости в графе "Данные о клиентах" значится: секретно, доступ только для высшего руководства. Все, директора по продажам пронесло. Кто следующий? Отдел ИБ.

Продумала ли безопасность средства защиты этого типа информации? Если нет, то теперь виноваты они. Если да, то были ли рекомендованные средства адекватны рискам? Смешно шифровать данные договоров с заказчиками при помощи паролей на документах MS Office. Да и хранение в ZIP-архивах с паролем вряд ли эффективно, если использовать ZIP-crypto вместо AES. Постойте, вот в Стандарте использования криптографии сказано, что данные, классифицированные как "секретные", "крайне секретные" и "супер секретные" нужно шифровать во время хранения за пределами серверов компании или при передаче по сети. Причем не просто шифровать, а с использованием надежных алгоритмов и протоколов шифрования (список прилагается). Итак, кажется отдел ИБ тоже отмазался. Но не совсем, об этом чуть позже.

Вопрос к отделу ИТ: были ли реализованы затребованные бизнес-владельцем и рекомендованные безопасностью средства защиты? Точно? На всех компьютерах? Не на всех? А на каких нет? На ноутбуке продавца, которого на прошлой неделе уволили, а ноут он так и не вернул? Это залет - по всем понятиям виноват отдел ИТ. Как, у продавца не было доступа к этим данным? И жесткий диск на ноутбуке был зашифрован?? И вернул он его в день увольнения??? И работает он теперь в нашей фирме-учредителе???? Есть подозрение, что и пользователь тоже обеспечил себе железное алиби.

В реальности все происходит иначе: крайних начинают искать "снизу" и зачастую без труда находят: пользователи недисциплинированны, неосмотрительны и выполнение работы в срок ставят превыше ВСЕГО, тем более каких-то там политик. Компания это поощряет, но только до тех пор, пока действия пользователя не становятся причиной убытков. И тогда расхлябанность сотрудника играет против него: слишком много предыдущих нарушений и других мелких грешков. Попытки "стрелочника" как-то доказать свою невиновность, мол "меня не научили использовать PGP", наталкиваются на "незнание не освобождает", которое в свою очередь - всего лишь блеф с расчетом на то, что внутренние нормативы по ИБ пользователь все равно не читал. Если же пользователь явно невиновен - тогда восходим по лестнице ответственности в поисках другой жертвы.

Прикол в том, что отдел ИБ виноват всегда. Пользователя он не обучил, ИТ-отдел не проконтролировал, а с высшим руководством не нашел общего языка и неправильно сформулировал (или не сформулировал вовсе) нужные вопросы. То есть, кто бы ни нажал на курок - наличие инцидента будет негативным показателем работы безопасности. Недостатки нужно устранять пока они себя не обнаружили. С другой стороны, негативный опыт тоже полезен, да и навыки расследования инцидентов нужно на чем-то оттачивать.

Вот так, хотел написать об ошибках, которые безопасность совершает при сочинении политик, а получилось о цепочке ответственности. Ладно, в следующий раз.

Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!

Vlad Styran

информационно. безопасно.*