Введение
Сегодня почти в каждой компании существует информационная система (ИС) учета и манипулирования данными и, причем ни одна. Если выделить только основные, то среди них будут: кадровый учет, документооборот, почтовый клиент, бухгалтерия, учет продукции, АСУП, АСУТП и т.д. Как этот зоопарк в рамках одной компании и на рынке в общем уживается и сочетается между собой, является отдельной темой. Мы же рассмотрим более узко заданный вопрос, а именно качество работы "армии" пользователей этих ИС и организация доступа.
Во всех информационных системах присутствуют как минимум три участника:
1. Инициаторы информации. Физическое оборудование, преобразующее свою деятельность в данные для загрузки в БД; Операторы, вносящие данные вручную или с помощи "самых современных средств автоматизации";
2. Получатели информации. Физическое оборудование, преобразующие команды из БД в действия; операторы, выполняющие действия на основе полученных данных; руководство, пользующееся обработанной отчетной информацией для анализа;
3. Хранители информации. Серверное и коммуникационное оборудование, а также "яркие" представители Администраторов БД, системных и сетевых администраторов, разработчиков ПО.
Из теории и практики управлениям угрозами информационной безопасности (ИБ) известно, что самое слабое звено при обеспечении ИБ любой системы это - сотрудники компании, т.е. звено получателей и инициаторов информации, представленных группой "операторы". Нельзя сказать, что остальные группы не являются потенциальным источником угроз для ИС, но в данном материале исследуется проблематика работы именно с этим, самым массовым и неоднородным источником угроз для ИС.
Ответ на вопрос, почему свои сотрудники являются наиболее массовой категорией нарушителей целостности и правильности данных, а также безопасности, нанося наибольшей ущерб компании, лежит в плоскости особенностей строения человеческого сознания. Ничего нельзя сделать с желанием человека видеть, говорить, писать, брать, наживаться, ошибаться, обманывать, завидовать, любить, мстить и т.д. и т.п.
Существуют хорошо изученные и реализуемые методики "борьбы" с пользователями (операторами) ИС. В компаниях разрабатываться различные меры по обеспечению ИБ, создаются так называемые модели нарушителей, а также меры противодействия для каждой из них. Однако, даже самые защищенные, как физически, так и информационно компании могут получить очень сильный урон от преднамеренного и/или непреднамеренного вмешательства своих сотрудников в работу ИС.
Существующие схемы организации допуска к ИС
Но только ли трудовая дисциплина, правообязательство или технически меры контроля могут справиться с ошибочной или некомпетентной работой пользователей с ИС? Первопричиной такой ситуации является, прежде всего, не надлежащая подготовка персонала к правильной работе на своем рабочем месте, к работе на ПК в целом, и в конкретной ИС в частности. Для решения этой проблемы в каждом случаи разрабатываются различные схемы обучения, допуска, контроля и наказания, которые можно сгруппировать следующим образом:
1. Схема "Устроился в компанию - получил доступ ко всему что есть". Здесь нет какой-либо градации уровня допуска к информации, ни на логическом, ни на программном уровне. Устройство человека на работу предоставляет ему право общего для всех допуска в ИС компании. Схема допустима для малого и отчасти среднего бизнеса, но совсем не подходит для тех, кто имеет более сложную, разветвленную и секретную бизнес информацию;
2. Схема "Устроился в компанию - получил допуск согласно принадлежности к отделу или ко всему, что захотел сам или его руководитель". В компании имеется документированный регламент допуска к информации сотрудников, и на определенном уровне он воссоздан в ИС программно. При этом тот или иной допуск определятся фактом принадлежности сотрудника к структурному подразделению, а не его непосредственными обязанностями в рамках этого подразделения или же компетенцией. Здесь имеет место принцип устного или письменного "выклянчивания" себе новых полномочий в ИС, если ранее данные права не дают делать то же, что делают "все остальные" в отделе. Важным моментом является то, что новый сотрудник работе с ИС в своем сегменте информации не обучается вовсе или обучается сотрудниками, работающими с ним вместе;
3. Схема "Устроился в компанию - прошел специальное обучение - получил начальный допуск согласно результату обучения". Идеальный вариант, при котором хорошо существует документированный регламент допуска к информации, который гибко реализован в ИС программно. Новый сотрудник проходит обучение специальными людьми и/или внутри своего отдела, но с соответствующим документальным оформлением, после чего ему присваивается доступ, но не ранее чем обучение будет завершено успешно.
Самой нежелательной из всех является вторая схема, т.к. если в первой такой подход может быть оправдан очень скромной бизнес информацией, а в третьей сложная информационная структура хорошо описана и защищена, то именно вторая схема, используясь в компании со сложными ИС, является источником серьезных угроз для ее бизнес информации. Очевидно, что для большой компании лучше не экономить и использовать делопроизводственные регламенты и программные механизмы, соответствующие наиболее безопасной третьей схеме.
Понятно, что каждая компания вольна сама выбирать подходящую для себя схему работы сотрудников с ИС. Однако сегодня уважающий себя бизнес вкладывает не малые ресурсы на внедрение в свою работу стандартов качества из семейства ISO или ГОСТ на их основе. Управление качеством работы всех составляющих компании в процессе выпуска продукции и/или предоставления услуг, обеспечивает "система менеджмента качества" СМК, регламентируемая стандартами линейки ISO9000/9001 и т.д. Помимо этого, область обеспечения ИБ регламентируется еще и стандартом ISO27001:2005 "построение, документальное оформление и сертификация системы менеджмента информационной безопасности". Естественно, что если при внедрении в работу компании философии норм и практик указанных стандартов не подходить формально или даже безразлично, то именно это и позволит подготовить в компании ту самую, оптимальную схему взаимодействия персонала и ИС. В этом случае также может быть достигнуто максимальное соблюдение принципа баланса интересов безопасности бизнес информации с одной стороны, и прав пользователей (сотрудников) этой информации с другой стороны.
Но, как же быть если в реальности даже очень хорошо продуманная схема больше состоит из "бумажных" этапов или в компании применяются несколько разнородных ИС, к которым нужно индивидуально разрабатывать свои схемы. Решение может быть в попытки объединения всех схем в единую политику компании в этом вопросе и созданием на этой основе отдельной интеллектуальной надстройки, которая охватит в себе всю логику управления информацией об ИС и сотрудниках компании, а также об их тренингах, результатов тестов и уровне предоставленного доступа.
Система авторизованного обучения, тестирования, допуска и контроля
Рассмотрим работу схемы, выбранной ними в качестве идеальной на уровне регламентов. Итак, что сие означает и каким требованиям должно отвечать. Для начала зададим критерии, по которым можно определить наличие или задатки наличия в компании той "совершенной" схемы, на базе которой может строиться надстройка в виде системы авторизованного обучения и допуска.
Во-первых, компания должна обладать одной или несколькими крупными ИС, причем под объемом больше подразумевается число разнородный пользователей, нежели физический объем занимаемого места в хранилищах данных (БД).
Во-вторых, бизнес информация в одной или нескольких ИС должна быть разветвленной, сложной по составу, но при этом хорошо структурированной и документально описанной в соответствии с требованиями стандарта качества, применяемого в компании.
В-третьих, допуск и работа большого числа сотрудников в ИС должна быть также документально описана и регламентирована в соответствии с требованиями стандарта качества, применяемого в компании.
В-четвертых, регламенты допуска и прав при работе с информацией должны быть, хотя бы частично, реализованы программно в самой ИС и/или надстроенных над неё сервисах.
Если все пункты или их большая часть соответствует вашей компании, то можно смело начинать разработку новой концепции. Суть ее заключается в том, что можно создать интеллектуальную надстройку, в виде новой единой ИС внутреннего авторизованного обучения и допуска сотрудников, которая дополнит и объединит в себе существующие для всех ИС компании документальные регламенты и частично реализованные программные механизмы управления доступом. При этом новая ИС должна охватить полный цикл процессов связанных с обучением, тестированием, наделением и отзывом полномочий, информационной поддержкой и контролем сотрудников в период их работы с различными ИС компании.
В результате на выходе мы можем получить следующую схему, из которой будет состоять новая ИС:
1. Единая БД для учета всех сотрудников компании, имеющих или претендующих на права доступа к одной или несколько ИС;
2. Единый программный комплекс (интерфейс), построенный как клиент-серверное приложение или как WEB технология, позволяющий проводить предварительное обучение и авторизованное тестирование сотрудника по темам тех ИС, на работу с которыми он претендует. Уже в процессе работы с различными ИС комплекс служит банком справочной информацией по темам для каждой из ИС, а также формой обратной связи со службой внутренней технической поддержки;
3. Интеллектуальный программный комплекс взаимодействия между всеми ИС, который вносит данные о пользователе и его полномочиях в соответствующие ИС на основе информации из своей БД, после успешного прохождения сотрудником авторизованного тестирования. Комплекс может частично управляться специалистом, специально выделенным для обеспечения контроля доступа к ИС компании, например администратором БД или домена.