Журнал "Системы Безопасности" № 1‘2023

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я , A I , I o T 121 Таким образом, сотрудников так или иначе необходимо информировать о контроле. Это не очень сложно: внесите упоминание о контроле в трудовой договор или приложение к нему. Вам помогут следующие нормы трудового зако- нодательства: l ст. 21 Трудового кодекса РФ (далее ТК РФ), обязывающая сотрудника качественно выпол- нять работу ("…работник обязан: добросовест- но исполнять свои трудовые обязанности, возложенные на него трудовым договором; соблюдать правила внутреннего трудового распорядка…"); l ст. 22 ТК РФ, дающая работодателю право контролировать работу; l ст. 189 ТК РФ, определяющая правила внут- реннего трудового распорядка. Теперь обратимся к вопросу о средствах для реализации контроля. Технические средства контроля утечки информации При решении вопроса о достижении целей контроля утечек и укрепления дисциплины не обойтись без технических средств. Разумеется, прежде чем выбирать меры слежения, необходимо составить модель нарушителя и определить каналы утечки информации. Меры могут быть организационные (например, отключение доступа к Интернету) и программ- но-аппаратные. Кратко рассмотрим основные программно- аппаратные меры, которые помогут, в порядке необходимости. 1. Подсистема идентификации и аутентифика- ции пользователей. Это основа основ. Если мы не можем однозначно идентифицировать поль- зователя, то нет возможности его контролиро- вать. И разумеется, никаких локальных адми- нистраторов на рабочих машинах. 2. Подсистема доступа в Интернет (proxy). Proxy выступает первым эшелоном контроля, ограничивая каналы утечки через Интернет. 3. Подсистема контроля приложений (про- граммной среды) – осуществление контроля установки приложений на рабочих компьюте- рах. 4. Подсистема контроля подключаемых устройств. Логическое продолжение предыду- щего пункта: если мы не можем подключить флешку, то сюрпризов у нас будет гораздо меньше. Этот инструмент также позволяет ограничить утечки класса "поработаю дома". 5. Подсистема контроля утечек конфиденциаль- ной информации (DLP-системы). Если мы все же разрешаем использовать Интернет и под- ключать флешки, необходимо знать, что имен- но передается. 6. Подсистема IRM (Information Rights Manage- ment). Это уже глобальный уровень отслежива- ния перемещения документов и действий сотрудников с ними в рамках всей организации и за ее пределами. Эти средства позволят контролировать все основные каналы утечки. Однако всегда найдут- ся каналы и способы, которые трудно отследить (к примеру, фотографирование). В этом случае для эффективного контроля должен использо- ваться комплекс мер (в приведенном примере с фотографированием необходимы средства поведенческого анализа и организационные методы). Измеряем эффективность Как же работодателю оценить, эффективен ли его контроль над действиями сотрудников? Измерение эффективности слежения прямо связано с поставленными целями. Если цель, например, заключается в уменьшении непро- дуктивно используемого времени, проведенно- го в Интернете, то мерой эффективности слеже- ния будет уменьшение случаев непродуктивно- го использования (с учетом вышеназванных ограничений). Чем меньше инцидентов, тем лучше. Какой бы ни была цель контроля, стоимость организации контроля не должна превышать совокупную сумму ущерба. Для всестороннего расчета суммы ущерба необходимо использо- вать специальные методы, описание которых займет не одну статью. Эмпирически можно вывести правило: чем ближе контролируемая цель к производственному процессу, тем эффективней должен быть контроль над дей- ствиями пользователей. Следить за действиями сотрудников необходи- мо. Главное – соблюсти баланс интересов биз- неса и сотрудников. n www.secuteck.ru февраль – март 2023 В сем нам хорошо известно, что наиболее уязвимый сегмент системы защиты инфор- мации в любой компании – это ее сотрудники. Как правило, именно из-за их необдуманных действий организация может понести наиболь- ший ущерб как технический, так и репутацион- ный. Поэтому очень важно поддерживать осве- домленность сотрудников в вопросах инфор- мационной безопасности (ИБ) и периодически устраивать проверку их знаний или тестирова- ние реакции на подозрительные письма и файлы. Основные угрозы, которые могут быть реализованы внутренним нарушителем l Утечка корпоративных данных (конфиденци- альной информации, БД). l Несанкционированный доступ в информа- ционную систему компании (передача паро- ля, учетной записи). l Непреднамеренное удаление/искажение актива компании (доступ некомпетентного сотрудника к критичным данным). l Заражение сети компании вирусом, приоста- новка основных процессов бизнеса. Чтобы стабильно повышать информирован- ность коллег в этой сфере, рекомендуется выстроить программу повышения осведомлен- ности сотрудников в информационной без- опасности на весь год, чтобы периодически напоминать о важных аспектах информацион- ной безопасности в области их профессиональ- ной деятельности. Рекомендуемые основные мероприятия по повышению осведомленности сотрудников в ИБ l Создание и распространение небольших дайджестов о критичных опасностях и наи- более актуальных уязвимостях в области информационной безопасности, а также о правилах цифровой гигиены, с акцентом на превентивных мерах. l Проведение плановых фишинг-рассылок. Результаты анализируются и сводятся в отчет, далее делается корректировка мероприятий и рассылок. Рекомендуется делать это не более четырех в год. l Рассылка сотрудникам, работающим в систе- мах дистанционного банковского обслужи- вания с электронной подписью (ЭП), темати- ческих материалов/действующих докумен- тов, инструкций и правил работы с ЭП. l Ежегодная проверка уровня знаний работни- ков в виде электронного тестирования (если итоги предыдущих проверок показывают, что знания не усвоены, необходимо увеличить количество проверок до двух в год). l Проведение "работы над ошибками" после возникновения инцидента ИБ с ответствен- ными лицами (для исключения повторения подобного). В данном процессе очень важно не допустить слишком большого давления на сотрудников и перегрузки их информацией. Рекомендуется в месяц проводить для персонала не больше 1–2 мероприятий на тему информационной безопасности, а также рассылать соответствую- щие материалы новым работникам перед про- ведением теста. На основе анализа статистики инцидентов и результатов тестирования можно выстроить гра- мотный подход для информирования групп сотрудников, работающих с наиболее критич- ными информацией и процессами. С учетом этого можно внести изменения в вашу програм- му повышения осведомленности сотрудников в области информационной безопасности, сделав акцент на наиболее актуальных проблемах, – это значительно повысит ее эффективность. n Денис Богданов Независимый эксперт по информационной безопасности МНЕНИЕ ЭКСПЕРТА Повышение осведомленности сотрудников в области информационной безопасности Ваше мнение и вопросы по статье направляйте на ss @groteck.ru